一項(xiàng)通過(guò)對(duì)291名信息安全專業(yè)技術(shù)人員的調(diào)查表明,不管是在工業(yè)生產(chǎn)系統(tǒng)還是商業(yè)系統(tǒng)中,比如說(shuō)收費(fèi)系統(tǒng)��、人力管理等,物理安防費(fèi)用都占到了極大的建設(shè)成本�����。
公共事業(yè)部門忽略信息安全嗎?
公共事業(yè)部門和能源公司貌似在物理安防上花費(fèi)了大量的成本��,可是對(duì)信息安全卻置若罔聞?
一項(xiàng)通過(guò)對(duì)291名信息安全專業(yè)技術(shù)人員的調(diào)查表明���,不管是在工業(yè)生產(chǎn)系統(tǒng)還是商業(yè)系統(tǒng)中����,比如說(shuō)收費(fèi)系統(tǒng)、人力管理等���,物理安防費(fèi)用都占到了極大的建設(shè)成本�����。
美國(guó)政府警告提示SCADA漏洞
Ponemon研究所的IT安全部門在對(duì)“公共事業(yè)部門及能源公司”的一項(xiàng)研究中發(fā)現(xiàn)�����,29%的受訪者表示,其所在組織的在物理安防方面的預(yù)算平均每年在2000萬(wàn)到4000萬(wàn)美元之間����,而32%的調(diào)查者則每年超過(guò)4000萬(wàn)美元�����。然而,信息安全方面的預(yù)算則出人意料的少:21%的企業(yè)有不到100萬(wàn)美元的預(yù)算��,32%的企業(yè)有200萬(wàn)美元的預(yù)算��,16%的企業(yè)預(yù)算在200萬(wàn)到400萬(wàn)美元之間����,13%的企業(yè)為400萬(wàn)到600萬(wàn)美元之間���,11%為600萬(wàn)到800萬(wàn)美元�����。只有7%的企業(yè)為800萬(wàn)美元以上,但是卻沒(méi)有哪家企業(yè)預(yù)算支出超過(guò)1400萬(wàn)美元���。
“物理安防的概念已經(jīng)滲透到了安全界��,”負(fù)責(zé)主持該項(xiàng)調(diào)查的Ponemon研究所主管Larry博士說(shuō)���,這項(xiàng)調(diào)查結(jié)果即將在本月進(jìn)行發(fā)布�。
Ponemon說(shuō)�,在我們針對(duì)參與該項(xiàng)調(diào)查的對(duì)象進(jìn)行采訪時(shí),他們大多數(shù)表示對(duì)信息安全概念的理解僅停留在防止當(dāng)機(jī)上����。
參與調(diào)查的全部是美國(guó)的企業(yè)�,但是其中有很多在加拿大���、歐洲�、中東地區(qū)�����、非洲、亞洲和拉丁美洲有分公司。不過(guò)他們的共同之處就在于他們有管理控制系統(tǒng)和數(shù)據(jù)采集系統(tǒng)����,用來(lái)進(jìn)行生產(chǎn)管理,他們都接受聯(lián)邦能源管理委員會(huì)和北方電力可靠性委員會(huì)(NERC)的的監(jiān)管�,特別是在關(guān)鍵基礎(chǔ)設(shè)施的的管理上。
大約有將近一半的調(diào)查對(duì)象表示其企業(yè)有足夠的財(cái)力來(lái)按照NERC所要求的進(jìn)行安全方面的建設(shè)����。
不到一半的調(diào)查對(duì)象認(rèn)為其所在機(jī)構(gòu)會(huì)將“安全作為一個(gè)戰(zhàn)優(yōu)先略”,或者是“企業(yè)正致力于預(yù)防可能面臨的威脅”,“使用最尖端的技術(shù)將SCADA網(wǎng)絡(luò)的風(fēng)險(xiǎn)降至最低��。”
只有32%的受訪者相信他們的安全組織是“致力于保護(hù)國(guó)家的重要基礎(chǔ)設(shè)施”���。29%的人說(shuō)�����,他們認(rèn)為其機(jī)構(gòu)認(rèn)為IT安全與物理安防同等重要�����?���!?/p>
調(diào)查結(jié)果表明,77%的受訪者并不認(rèn)為共同遵守NERC的標(biāo)準(zhǔn)是一個(gè)重大安全目標(biāo)�,69%的受訪者表示其安全操作并沒(méi)有“明確的職權(quán)線條”�。還有61%的受訪者認(rèn)為“承包商、供應(yīng)商和其他第三方并不是企業(yè)建立高安全設(shè)施的商業(yè)條件”�����。
“我們看到這些人的不滿,”Ponemon說(shuō)�����,這也代表著那部分消極派的觀點(diǎn),但是我們目前已經(jīng)達(dá)成了一個(gè)共識(shí)��,那就是對(duì)于NERC來(lái)說(shuō),那些物理安防的費(fèi)用還不夠�。
有了這個(gè)認(rèn)同之后,他們花費(fèi)了更多的精力用于那些重要基礎(chǔ)設(shè)施的安全設(shè)備的建設(shè),甚至超越了零售業(yè)在這方面的投入����,“事實(shí)證明也是如此����,”Ponemon補(bǔ)充道�。
盡管人們?cè)诓粩嗾劶凹砂卜酪约爸悄芸刂葡到y(tǒng)����,但是卻沒(méi)有太多證據(jù)表明這一系統(tǒng)已經(jīng)被廣泛應(yīng)用開(kāi)來(lái)�����,72%的調(diào)查對(duì)象表示他們的企業(yè)并沒(méi)有使用智能控制系統(tǒng)���。
雖然這項(xiàng)調(diào)查并沒(méi)有關(guān)于網(wǎng)絡(luò)病毒方面類的話題,許多在能源和公共事業(yè)公司工作的安全專業(yè)人士卻都談及到��,在過(guò)去一年里,他們都曾經(jīng)歷了遭遇安全漏洞的情況。
48%的人表示經(jīng)歷了一次,13%的人說(shuō)兩到五次,9%的人表示超過(guò)5次,還有6%的人說(shuō)并不確定有多少次這樣的情況發(fā)生。在這些事件中����,20%被認(rèn)為是由于外部攻擊,5%認(rèn)為是內(nèi)部攻擊所致����,28%的人說(shuō)是數(shù)據(jù)意外丟失,18%表示是惡意代碼或網(wǎng)絡(luò)僵尸所致����。
許多人認(rèn)為���,物理安防并不能夠提供足夠程度的反攻擊的保護(hù)��,而數(shù)據(jù)安全則值得重視�。然而,到底誰(shuí)值得花費(fèi)更多的成本去建設(shè)呢?
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)���。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的���,皆為無(wú)意���。如您是字體廠商、圖片文字廠商等版權(quán)方��,且不允許本站使用您的字體和圖片文字等素材�����,請(qǐng)聯(lián)系我們��,本站核實(shí)后將立即刪除�!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的��,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�����,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解���!
粵公網(wǎng)安備 44030402000264號(hào)