一項(xiàng)通過對(duì)291名信息安全專業(yè)技術(shù)人員的調(diào)查表明�,不管是在工業(yè)生產(chǎn)系統(tǒng)還是商業(yè)系統(tǒng)中���,比如說收費(fèi)系統(tǒng)�����、人力管理等���,物理安防費(fèi)用都占到了極大的建設(shè)成本。
公共事業(yè)部門忽略信息安全嗎?
公共事業(yè)部門和能源公司貌似在物理安防上花費(fèi)了大量的成本��,可是對(duì)信息安全卻置若罔聞?
一項(xiàng)通過對(duì)291名信息安全專業(yè)技術(shù)人員的調(diào)查表明����,不管是在工業(yè)生產(chǎn)系統(tǒng)還是商業(yè)系統(tǒng)中,比如說收費(fèi)系統(tǒng)�、人力管理等,物理安防費(fèi)用都占到了極大的建設(shè)成本�����。
美國政府警告提示SCADA漏洞
Ponemon研究所的IT安全部門在對(duì)“公共事業(yè)部門及能源公司”的一項(xiàng)研究中發(fā)現(xiàn),29%的受訪者表示,其所在組織的在物理安防方面的預(yù)算平均每年在2000萬到4000萬美元之間�����,而32%的調(diào)查者則每年超過4000萬美元�。然而,信息安全方面的預(yù)算則出人意料的少:21%的企業(yè)有不到100萬美元的預(yù)算����,32%的企業(yè)有200萬美元的預(yù)算,16%的企業(yè)預(yù)算在200萬到400萬美元之間��,13%的企業(yè)為400萬到600萬美元之間��,11%為600萬到800萬美元���。只有7%的企業(yè)為800萬美元以上,但是卻沒有哪家企業(yè)預(yù)算支出超過1400萬美元�。
“物理安防的概念已經(jīng)滲透到了安全界,”負(fù)責(zé)主持該項(xiàng)調(diào)查的Ponemon研究所主管Larry博士說�����,這項(xiàng)調(diào)查結(jié)果即將在本月進(jìn)行發(fā)布。
Ponemon說���,在我們針對(duì)參與該項(xiàng)調(diào)查的對(duì)象進(jìn)行采訪時(shí)�����,他們大多數(shù)表示對(duì)信息安全概念的理解僅停留在防止當(dāng)機(jī)上��。
參與調(diào)查的全部是美國的企業(yè)����,但是其中有很多在加拿大�����、歐洲�����、中東地區(qū)����、非洲、亞洲和拉丁美洲有分公司��。不過他們的共同之處就在于他們有管理控制系統(tǒng)和數(shù)據(jù)采集系統(tǒng),用來進(jìn)行生產(chǎn)管理�,他們都接受聯(lián)邦能源管理委員會(huì)和北方電力可靠性委員會(huì)(NERC)的的監(jiān)管,特別是在關(guān)鍵基礎(chǔ)設(shè)施的的管理上�����。
大約有將近一半的調(diào)查對(duì)象表示其企業(yè)有足夠的財(cái)力來按照NERC所要求的進(jìn)行安全方面的建設(shè)�。
不到一半的調(diào)查對(duì)象認(rèn)為其所在機(jī)構(gòu)會(huì)將“安全作為一個(gè)戰(zhàn)優(yōu)先略”,或者是“企業(yè)正致力于預(yù)防可能面臨的威脅”,“使用最尖端的技術(shù)將SCADA網(wǎng)絡(luò)的風(fēng)險(xiǎn)降至最低?����!?/p>
只有32%的受訪者相信他們的安全組織是“致力于保護(hù)國家的重要基礎(chǔ)設(shè)施”����。29%的人說,他們認(rèn)為其機(jī)構(gòu)認(rèn)為IT安全與物理安防同等重要����?���!?/p>
調(diào)查結(jié)果表明,77%的受訪者并不認(rèn)為共同遵守NERC的標(biāo)準(zhǔn)是一個(gè)重大安全目標(biāo),69%的受訪者表示其安全操作并沒有“明確的職權(quán)線條”����。還有61%的受訪者認(rèn)為“承包商���、供應(yīng)商和其他第三方并不是企業(yè)建立高安全設(shè)施的商業(yè)條件”。
“我們看到這些人的不滿,”Ponemon說�����,這也代表著那部分消極派的觀點(diǎn)����,但是我們目前已經(jīng)達(dá)成了一個(gè)共識(shí),那就是對(duì)于NERC來說�,那些物理安防的費(fèi)用還不夠。
有了這個(gè)認(rèn)同之后,他們花費(fèi)了更多的精力用于那些重要基礎(chǔ)設(shè)施的安全設(shè)備的建設(shè)��,甚至超越了零售業(yè)在這方面的投入����,“事實(shí)證明也是如此,”Ponemon補(bǔ)充道���。
盡管人們?cè)诓粩嗾劶凹砂卜酪约爸悄芸刂葡到y(tǒng)�,但是卻沒有太多證據(jù)表明這一系統(tǒng)已經(jīng)被廣泛應(yīng)用開來��,72%的調(diào)查對(duì)象表示他們的企業(yè)并沒有使用智能控制系統(tǒng)。
雖然這項(xiàng)調(diào)查并沒有關(guān)于網(wǎng)絡(luò)病毒方面類的話題,許多在能源和公共事業(yè)公司工作的安全專業(yè)人士卻都談及到�,在過去一年里,他們都曾經(jīng)歷了遭遇安全漏洞的情況����。
48%的人表示經(jīng)歷了一次,13%的人說兩到五次,9%的人表示超過5次,還有6%的人說并不確定有多少次這樣的情況發(fā)生。在這些事件中��,20%被認(rèn)為是由于外部攻擊,5%認(rèn)為是內(nèi)部攻擊所致����,28%的人說是數(shù)據(jù)意外丟失,18%表示是惡意代碼或網(wǎng)絡(luò)僵尸所致。
許多人認(rèn)為���,物理安防并不能夠提供足夠程度的反攻擊的保護(hù)���,而數(shù)據(jù)安全則值得重視。然而���,到底誰值得花費(fèi)更多的成本去建設(shè)呢?
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺(tái)�����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的���,皆為無意。如您是字體廠商��、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材,請(qǐng)聯(lián)系我們�,本站核實(shí)后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用����,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解����!
粵公網(wǎng)安備 44030402000264號(hào)