咨询热线:+(86)10 63308519
您现在所在位置:首页 > 新闻
网络安全警报
来源: ceasia-china.com作者: Kenny Fu时间:2019-12-16 16:43:11点击:1164

在板球运动中,如果一名年轻选手希望成为明星,教练会建议他在学习进攻、击球、得分、为球队做出贡献之前,首先管好自己的防区。现在,企业得到的建议也与之类似,就是在增加产能、提高资源使用效率、扩大市场份额和利润的同时,先要管好网络安全。企业雇佣了越来越多的信息安全专家,安全的标准也更加严格。今天几乎所有的企业都要使用互联网,这些都为网络安全解决方案市场提供了机会。

在2008年2月,ISA-SP99委员会(国际自动化协会)主席Bryan Singer告诉笔者,随着ISA SP99标准会明确的推动将安全元素更加平滑、更加方便和快捷的集成到流程行业之中,安全技术也将会继续保持发展的势头。这是Singer在三年之前做出的论断,接下来委员会的执行总监Bob Webb强调说,流程和制造行业需要更加关注恶意连接企业级自动化网络的威胁。

标准只给出了提示和指南,而法规则是相对更加强大的力量,强制企业必须执行。值得一提的是ISO/IEC 27000系列标准(从ISO/IEC 27000到ISO/IEC 27006),它们支持一个计划-执行-检查-行动这样的模型,目标是改善各种类型组织内部的信息安全管理系统。欧盟的2008/58/EC标准也涉及到了信息安全,此外在亚太地区相关的标准还包括国际级的印度技术条例和澳大利亚隐私保护条例。

从你第一次阅读ISA网站相关的调查邮件开始已经过去了六年的时间,但是相关的担忧却丝毫没有过时。这是为什么?正如去年在伊朗发生的警示事件:Stuxnet蠕虫病毒侵入了布什尔核电站的一些计算机,后果是伊朗的核浓缩过程遭到了一定的破坏,尽管这些破坏根据官方公布的情况并不算太严重。

Shoaib Yousuf是一位澳大利亚信息管理战略专家,他认为蠕虫对于工业的威胁是显而易见的,尤其是对于今天半智能电网上运行的监控与数据采集系统(SCADA)。这事关网络能否实现全面集成和互联成为真正智能的电网。

Yousuf告诉《亚洲控制工程》,Stuxnet可以通过USB存储器进入系统,并不一定需要借助互联网。蠕虫在微软Windows系统中采用零日漏洞的方法,即便是最佳的防护软件也检测不到,因此可以在被检测出之前在系统中存在数月之久。不仅仅是Windows,中间件同样也会被感染,甚至它还可以感染SCADA系统中的现场可编程逻辑控制器。没有什么不可能发生。

增强安全意识

今年早些时候,McAfee与国际战略研究中心同来自14个国家的关键电力基础设施企业的200名IT安全负责人举行了座谈。他们当中有80%的人相信电力部门会随着时间的推移变得越来越脆弱,而有60名负责人承认自己的公司对于此类来自网络的攻击没有什么准备,同时只有不到一半的人认为在未来的12个月之内会受到重大的网络攻击。

与Webb和Singer的评论对应的是,人们的安全意识确实增强了,但是将意识转化为行动的动机和公司意愿还没有那么强烈。再一次举能源领域的例子,随着智能电网的蓬勃发展,安全成为了一项关键性的议题。然而,能源效率的提升不应该使电网对于网络攻击更加脆弱,换句话说,要防止好事变成坏事。根据Shoaib Yousuf的描述,表1中列出了安全可靠的智能电网运营所必需的元素。

就在McAfee和国际战略研究中心与200名IT安全负责人座谈之后不久,弗若斯特苏利文公司在2007年经过对7000名相关从业人员调查之后,发布了名为《2008全球信息安全研究》的报告。该报告指出全球IT安全专业人士的数量已经从2007年的166万(亚太地区为57万)增加到2008年的270万(亚太地区为86万)。而最近弗若斯特苏利文的一项调查预计在2015年底之前,从业人数将达到420万。

没有新技术

外界病毒/蠕虫攻击通常要排在黑客和内部员工威胁的前面。根据工业安全事故智囊机构(www.securityincidents.org)的数据显示,有31%的工业安全事故是来自于外部的恶意软件,15%来自于外部渗透,13%是外部蓄意破坏和拒绝服务,另有1%来自外部信息盗取,这些加起来要占到全部威胁的60%。

在第一次调查时亚太地区采用的前五种信息安全技术,安全重要度的排列如下:无线安全解决方案、侵入检测、业务持续与灾难恢复、生物统计学和密码学。

必须提到的是,有的时候可能为了获得某种功能或者实现某种目的,存在几种方法可以使用(换句话说就是有选择),可能需要综合使用几种方法(冗余或者多层安全栅)来实现所提到的功能。在这种情况下,才能实现信息安全(更具体的说,是网络安全。如果考虑现在即便是在小型和微型企业,所有的数据和信息处理也都是电子化的)。

同样值得一提的,是管理支持与用户服从对于稳定可靠的信息安全至关重要。就技术本身而言,跟想象的不一样,并没有什么新鲜的东西。

驱动力通常是公司的声誉以及需要维系消费者信心,当然良好的投资回报也不能忽视。谈到投资回报,仅仅是违规惩罚以及让法规更加严格就可以平衡违规的风险和合规工作所需的成本。

Check Point软件区域总监John Ong告诉《亚洲控制工程》,当问到网络安全解决方案的投资,自然而然的就会联系到保险政策。通常在购买保险的时候,用户并不想使用到它,然而网络威胁是真实存在的,并且越来越严重。然而,作为工业网络安全这一新型领域的先驱,Byres安全公司联合创始人和首席技术官Eric Byres还是认为除非公司认识到它正在降低风险,否则花掉的钱都是打水漂。他还补充道,很多公司不再增加精明的销售员,而是花大笔的资金降低很小的风险,而实际上还有很多主要的问题没有解决。

亚太地区的情况

最近IDC制造观察发布的一项报告显示,亚太地区制造业信息安全的情况还是有点令人沮丧。根据报告,受访的亚洲制造商中有58%并不了解过去的一年中在组织内部发生了多少安全方面的问题。而对于事件发生的原因一无所知的受访者比例更高,达到了64%。

这并不意味着西方的制造商就走到了亚洲竞争对手的前面,但是就比例而言,亚洲厂商确实要落后于西方人。IDC制造观察亚太区高级研究经理William Lee博士指出,这种差距是由于亚洲制造业内部信息安全从业人员造成的。

他告诉《亚洲控制工程》,这项研究覆盖了中国、印度、新加坡、马来西亚、澳大利亚和新西兰,受访对象的样本既涵盖离散行业,也包括流程行业。调查人员急于想了解进行基于风险的成本收益分析以说服企业投资于信息安全的难度。毕竟,这同保险并不一样。除非有严格的标准必须,或者有突然的震动,企业总会认为安全虽然不错但是总是显得有些多余。

然而,Lee也认为尽管不同行业和公司之间的风险成因和风险偏好不尽相同,但是进行风险评估并不很难。他同意将损失看作是对于公司的成本这种观点。他认为,对于制造商来说,面向关键工业软件和设备的恶意攻击(比如Stuxnet)要比办公室中PC上的病毒危害大的多。这是因为工厂系统包含很多制造企业的关键基础设施,无法进行隔离,否则就会引起生产的停滞。

愈发严重

Eric Byres曾经告诉笔者,非常需要在流程行业中讲网络安全IT工具知识与控制工程的专业知识结合,让操作员了解自动化系统网络安全的意义和需求。正如读者所了解的,这里需要再次强调它的重要性,以及人为因素,包括用户和管理对于网络安全系统成功的影响。

Stuxnet已经成为了一个里程碑式的事件,西门子的Tino Hilderbrand认为其唤醒了自动化行业。它已经从理念转化为了切实存在。并且,正如Byres所指出的,只有在发生严重事件之后,人们才能摆正流程和技术,提升网络安全性。

最后仍然用板球的比喻来结尾。谁也不能确认可以完全防守住自己的三柱门,一个曲线球可能就会悄悄的击败你。人们需要小心再小心,对任何突发情况做好准备。就像Check Point公司的John Ong所说的那样,公司应该考虑那些可以最好的满足自身需求的解决方案,即便是在安全威胁提升的情况下,这些解决方案也可以不断改进。只要需要,安全解决方案就没有什么值得争议。

> 相关阅读:
> 评论留言:
杂志更多+
热门推荐
联系地址: 北京丰台区广安路9号国投财富广场4号楼3A19 企业邮箱:steve.zhang@fbe-china.com
©2019 版权所有©北京中福必易网络科技有限公司  京公安备11010802012124京ICP备16026639号-2