标准规范下载简介
TCEA 703-2020 电梯、自动扶梯和自动人行道网络安全标准通用要求.pdf简介:
"电梯、自动扶梯和自动人行道网络安全标准通用要求(TCEA 703-2020)"是一份专业技术标准,它针对电梯、自动扶梯和自动人行道这类特种设备的网络安全提出了具体的要求。这份标准旨在确保这类设备在设计、制造、安装和运行过程中,其网络系统能够满足安全、可靠和隐私保护的需求。
TCEA 703-2020涵盖了网络架构、数据加密、身份验证、访问控制、安全更新、应急响应等方面的内容,目的是为了防止未经授权的访问、保护用户数据,以及在发生网络安全事件时能及时有效地处理。它对于保障电梯和相关设施的正常运行,防止因网络安全问题引发的事故,具有重要的指导意义。
由于这是一份专业标准,可能包含复杂的术语和技术细节,非专业人士阅读时可能需要一定的专业知识背景。如果你需要详细了解这份标准的内容,建议寻求相关领域的专业人士帮助。
TCEA 703-2020 电梯、自动扶梯和自动人行道网络安全标准通用要求.pdf部分内容预览:
T/CEA 7032020
T/CEA 7032020
本文件主要涉及电梯、自动扶梯和自动人行道系统与不可信设备进行通迅的接口。虽然本文件介绍 了与其他系统的接口,但最佳策略是考虑内部功能间的通信。 以下章节中图1、图2描述了电梯、自动扶梯和自动人行道通信系统架构以及架构中存在风险的一些 示例。 本文件包含但不限于如下接口: a)连接到互联网的有线或无线网络接口; 远程软件更新接口(如OTA); C) 连接到建筑物局域网络的有线或无线网络接口; d) 连接到安防系统的有线或无线接口; 连接到智能服务工具(如计算机)的有线或无线接口; f)能与设备交互的报警系统。
5.1.1单部设备可信/安全区域边界《乡村建筑内隔墙板应用技术规程 CECS 301:2011》,见图
单部设备可信/安全区域边界,见图1。
T/CEA 703—2020机房维护工具短距离无线操作控制运行控制维护工具驱动控制安全系统41→、连接控制系统可信/安全区域图1单部设备可信/安全区域边界图5.1.2多部设备可信/安全区域边界,见图2。
T/CEA703—2020互联网、无线语音或数据机房互联网或无线网关专用网络DDS互联网或无线专用网络EMS操作控制操作控制消防,安防,通用电脑运行控制运行控制共享网络驱动控制驱动控制安全系统安全系统>连接控制系统可信/安全区域图2多部设备可信/安全区域边界图网络安全的生命周期该生命周期需要保证足够的培训、工具、资源和过程,以加强和维持电梯、自动扶梯和自动人行道系统抵御网络攻击的能力。生命周期的建立是保证网络安全的方法和基本前提,生命周期包含七项功能见表1。表1生命周期包含的七项功能团队成员根据其角色进行网络安全培训1. 培训风险分析/威胁培训安全要求产品特定要求2.要求资产标识风险/威胁分析和建模供应链安全3.设计选择具体的设计保护措施,例如加密、防火墙、威胁建模、安全架构开发运营计划安全证明安全编码实践4.实施静态分析持续集成4
T/CEA7032020表1(续)计划方法动态分析5.验证模糊测试渗透测试清晰的文档6.发布安全安装指南外部测试反应计划现场问题/行为跟踪7.运营漏洞和补丁管理停运6.1培训参与网络安全生命周期的每个员工都应接受充分的培训,以确保电梯、自动扶梯和自动人行道达到相应的安全级别,包括但不限于高层管理人员、开发人员、生产线人员、维护人员和采购人员。应根据员工的角色提供通用的网络安全培训内容和特定的专业知识。列举培训的内容如下:参与网络安全生命周期的所有员工都需大致了解什么是网络安全、当前的最佳措施是什么以及如何应用,并了解需要保护的系统及网络安全威胁所引发的风险。培训团队应包含网络安全专家。具体培训内容根据角色会有所差异:a)高层管理人员应了解网络安全对电梯、自动扶梯和自动人行道的重要性;管理层人员在完成第1)项培训外,还应建立安全生命周期过程来支持所有工作,分配必要的资源,使网络安全恢复能力达到合理水平:c)开发人员在完成第1)、2)项培训外,还需要具备实现安全功能的专业知识(参见6.3章节:设计),并应通过培训掌握各自任务的最佳方法;d)风险或威胁分析的团队在完成第1)、2)、3)项培训外,还应掌握GB/T20900等相关标准的最新知识,并根据最佳方法开展工作;e)电梯、自动扶梯和自动人行道维护人员也应接受培训,根据既定规程保障网络安全。6.2要求6.2.1概述电梯、自动扶梯和自动人行道系统的网络安全要求的管理过程本质上是风险管理过程。为获得具有可接受安全级别的产品,应创建有效的措施和控制过程,减轻威胁电梯、自动扶梯和自动人行道系统的各种风险。确认资产和收集潜在的安全风险是一个多方合作的过程,如内部不具备专业知识的情况下,可寻求专业的外部支持,作为有效的补充,例如研讨会的评估。与功能安全所面临的危险和风险分析一样,应组建风险分析团队,通过综合评估,逐渐完善已确定的威胁和风险列表。电梯、自动扶梯和自动人行道系统的网络安全要求可分为两类:a)基本安全要求应在所有系统中使用最佳的安全措施,第8章节提供了推荐的安全基本要求。应多方面考虑和目标系统接口设备的安全要求。5
T/CEA 7032020
b)特定系统的安全要求 在设计新系统或分析现有系统的安全时,应进行风险威胁分析以确认系统威胁并确定防范威肋 的措施。尽管在某些情况下可以确认基本安全要求已经足够,但安全也不应只依赖于基本安全要求 控制的实施
b)特定系统的安全要求
6.2.3.1确认资产和系统
a)确认资产以了解系统的哪些部分应受到保护,即哪些部分已被证明需要投入额外成本获得保护 b 从安全角度来看,对企业具有感知或实际价值的所有内容都是资产。资产可以是逻辑或物理对 象,例如服务的可用性、乘客和服务技术人员的安全、安全系统的完整性等; C 必须考虑系统中的附加资产; d 对于电梯、自动扶梯和自动人行道系统,乘客和服务技术人员的安全应视为受保护的资产,并 优先于其他保护方面。安全措施不应对电梯、自动扶梯和自动人行道系统的安全功能产生不良 影响; e 在确认资产过程中,应确定可接受的风险级别。可接受级别取决于企业和当地法规规章以及社 会价值等,例如安装在低风险住宅建筑、医院、大使馆中的电梯、自动扶梯和自动人行道系统。 如果需要进行风险评估,则应先定义电梯、自动扶梯和自动人行道系统的典型应用。
6.2.3.2初始风险评估
T/CEA 7032020
T/CEA 7032020
注”如果影响全国或全球,则将严重程度提高两级
根据仪始风分析结果确定木减轻的资产风。基于风险矩阵,应确定明些风险需要额外的缓解指 施。安全等级参见第6章中的要求。
6. 2. 3. 3 安全要求
a)在初始风险评估之后,应送 可接受风险等级的评估风险 创建、选择的措施最佳方法是“深度防御”。措施不应依靠单一的防护,而是需要利用多层保护, 如果一种防护被突破,资产仍会受到其他几种防护的保护; 补偿措施可被用于满足一个或多个安全要求,例如物理访问控制或检测控制等; d)有关措施的要求参见第8章,
6. 2.3. 4 进行多轮风险评估
a)如初步风险评估一样进行多轮风险评估,但应落实先前选择的措施; b 检查之前定义的措施是否将已确认的网络安全风险降低到之前定义的可接受水平,还应检查措 施是否会带来新的安全威胁,例如拒绝服务、新的攻击层面等。如果没有降低至可接受水平, 应采取其他措施、缓解方法,并重新评估相关风险; C 当对现有产品或系统的风险评估结束时,应确定所需的缓解措施,以最大限度地降低初始评估 期间发现的风险
6.2.3.5记录网络安全要求
记录网络安全要求如下: a)应包含在开发期间实施的满足安全要求的安全措施。安全要求应对之前确定的安全风险具有可 追溯性; b)追踪并在开发结束时确认和验证所有其他安全要求
6.2.3.6外部开发的软件安全
上述方法应扩展到外部资源开发的组件,包括商务现货供应(COTS)软件、开源软件(OSS) 为公司开发的组件。
T/CEA 7032020
设计阶段的目标是开发系统架构。在该阶段,将确定有关高级设计选择和关键组件的所有决策。在 构开发过程中,为了实现符合所需功能的架构,应对产品的完整功能进行必要的描述。例如,这一描 可能包含所涉及的实体、由此所产生的数据流、已经分配的重要安全或非安全的属性。 由于在设计阶段确认的选择具有深远影响,因此该阶段特别容易出现安全漏洞。开发体系结构中的 陷,可能直接或间接导致在此高级阶段中出现难以识别的漏洞,其原因是它们可能非常特殊或仅在较 等级阶段才能被发现。在设计阶段应尽早定性这些安全问题,这才是最为有效的措施。如果在后期阶 发现安全漏洞,例如在测试或运行期间,则处理会变得更加复杂,处理成本更加昂贵。因此,检测设 阶段已有的漏洞并采用行业标准最佳方法来减少暴露的攻击面是非常重要的。 方法如下: a)最小权限原则,即过程或用户在设计上不应拥有比完成其任务所需的更高权限; b 攻击层面的识别及最小化: 模块化设计,以减少安全威胁的影响; d 深度防御,是指不应通过单一措施,而是通过多项分层措施减轻风险。即使其中一项措施失败, 但其他措施仍然有效; 限制用户的访问权限,仅对接那些满足相应功能的系统或任务所需的数据; 优先使用简单、经过验证的概念或组件,而不是那些不必要的复杂的、专有或未经过充分测试 的组件; 定期执行安全设计审核,以检测当前设计尚未解决的安全要求,并检查系统当前架构是否符合 最佳方法。
《固定电话交换网工程设计规范 YD5076-2014》至少应遵循以下与安全实施相关的主要属性: a) 使用安全编码标准; 使用静态分析工具; c)关键功能的单元测试; d)分析第三方和开源软件。
T/CEA 7032020
使用安全编码标准,标准应根据实际案例,列出可能被利用的编码结构或不应使用的设计。通常标 隹还应包括禁用、弃用功能列表。 使用静态分析工具,至少使用静态代码工具来分析满足以下条件的代码: a 侦听或连接到网络的代码,这些代码被规划连接到可信、安全区域外部的设备、系统或应用程 序; b 已被确认的早期漏洞代码: c) 需要高权限才能执行的代码,除非所有这些代码都需要高权限才能执行,例如系统最高权限、 管理员账户、根账户等。以高权限运行的代码都应有正当理由; d) 安全相关代码模块,例如身份验证、授权、加密和防火墙代码等; e 解析来自不可信来源的数据结构的代码; f 设置访问控制、处理加密密钥或密码的设置代码; g 应通过静态分析工具降低违反编码标准的所有可识别的风险,除非这些违反标准是没有风险的 h 最佳方法是在开发过程中进行持续的源代码分析,当开发人员输入代码时,会自动分析代码以 查找任何可能的安全问题,
除了产品开发中的正常测试和验证过程之外,网络安全验证和测试计划也应成为系统验证阶段的正 式过程。以下是与安全相关的关键活动
对应用程序应执行动态测试,以识别存储损坏、竞争条件、用户权限问题以及任何其他严重的 题。
对处理源自安全区域或组件外的数据的所有组件T∕CAS 428-2020 综合管廊智能化巡检机器人通用技术标准,应进行模糊测试 应创建一个模糊测试计划,记录将要执行的模糊测试。该计划应包括将被模糊测试的所有组件 如何进行模糊测试的描述,是否进行智能模糊测试或傻瓜模糊测试以及测试的通过和失败标