国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁(yè) > 信息安全 > 安全管理 >

Stuxnet推出新框架 進(jìn)步ICS/SCADA安然

時(shí)間:2013-09-29 11:10來(lái)源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
按照ICS/SCADA專家Ralph Langner暗示,關(guān)頭根本舉措措施運(yùn)營(yíng)商采取了安然行業(yè)風(fēng)行的風(fēng)險(xiǎn)治理理念,如許做是弊端的。這位德國(guó)安然專家破譯了Stuxnet若何對(duì)準(zhǔn)在伊朗的納坦茲核舉措措施的西門子
Tags安全管理(325)Stuxnet(14)SCADA(2)ICS(1)  

  按照ICS/SCADA專家Ralph Langner暗示,關(guān)頭根本舉措措施運(yùn)營(yíng)商采取了安然行業(yè)風(fēng)行的風(fēng)險(xiǎn)治理理念,如許做是弊端的。這位德國(guó)安然專家破譯了Stuxnet若何對(duì)準(zhǔn)在伊朗的納坦茲核舉措措施的西門子PLC,他今天發(fā)布了一個(gè)網(wǎng)針對(duì)ICS(財(cái)產(chǎn)節(jié)制系統(tǒng))的收集安然框架,他稱這個(gè)框架比美國(guó)當(dāng)局的收集安然框架更合用,今朝仍是草案的情勢(shì)。

  這個(gè)被稱為強(qiáng)大年夜的ICS打算和評(píng)估(RIPE)框架采取了一種不合的編制來(lái)鎖定舉措措施,與NIST的基于風(fēng)險(xiǎn)的收集安然框架比擬,這類編制更多地基于流程。

  Langner暗示:“大年夜家都知道,ICS環(huán)境貧乏強(qiáng)迫履行的安然政策,出格是針對(duì)承包商。在關(guān)頭根本舉措措施中更大年夜的資產(chǎn)所有者有針對(duì)工作人員的政策,但其實(shí)不是針對(duì)承包商。在Stuxnet以后,這仿佛被忽視了。”

  再有就是ICS / SCADA系統(tǒng)的修補(bǔ)堅(jiān)苦:當(dāng)然大年夜部門這些企業(yè)傳播鼓吹有一個(gè)修補(bǔ)方案,但凡是修復(fù)周期為一年,并且,你會(huì)發(fā)現(xiàn),按照政策需要修復(fù)的系統(tǒng),凡是只有一半真正獲得了修復(fù)。

  在私有ICS環(huán)境,收集安然只有低優(yōu)先級(jí)。Langner估計(jì),95%的關(guān)頭根本舉措措施運(yùn)營(yíng)商沒有專門的安然專業(yè)人士來(lái)負(fù)責(zé)其系統(tǒng),并且,其ICS安然只占其IT預(yù)算的不到1%。

  Langner暗示:“假定有申明收集安然能力的指標(biāo),那就是資本。假定電廠、煉油廠或管道運(yùn)營(yíng)商沒有專門負(fù)責(zé)ICS安然的專職人員,關(guān)于ICS安然的任何進(jìn)一步會(huì)商都是沒成心義的。”

  Langner指出,基于風(fēng)險(xiǎn)的安然編制可所以假造的,并不是基于經(jīng)驗(yàn)數(shù)據(jù)或關(guān)于ICS環(huán)境的實(shí)際。他指出,NIST收集安然框架讓企業(yè)可以基于“擺設(shè)層”來(lái)肯定其擺設(shè)框架的標(biāo)的目標(biāo),從而肯定其安然狀況的成熟度。 “幾近沒有企業(yè)可以簡(jiǎn)單地決定其方針擺設(shè)層,這根基上意味著一個(gè)完全不成熟的收集安然過(guò)程?!?/P>

  風(fēng)險(xiǎn)治理根基上已成為安然界的“宗教”,Mandiant公司首席安然官Richard Bejtlich暗示,“風(fēng)險(xiǎn)治理已深進(jìn)每小我的心里,但在營(yíng)業(yè)程度之下,我不覺得大年夜大都IT安然人員都專注于此中?!?/P>

  RIPE明白了需要記實(shí)和測(cè)量的工廠系統(tǒng)的8個(gè)范疇來(lái)肯定安然狀況:系統(tǒng)數(shù)量,或軟件和硬件清單;收集架構(gòu),包含收集模型和圖表;組件交互或工藝流程圖;員工角色和責(zé)任,身份、特權(quán)數(shù)據(jù)庫(kù),和針對(duì)所有工作人員和承包商的政策;員工手藝和能力成長(zhǎng),或培訓(xùn)課程和把持和保護(hù)記實(shí);指導(dǎo),又稱政策和尺度把持流程;設(shè)計(jì)和建設(shè)變動(dòng),或工廠打算和變動(dòng)治理流程;和系統(tǒng)收購(gòu),或采購(gòu)指南。

  擺設(shè)每個(gè)步調(diào)都有模板?!拔乙f(shuō)的是,假定你利用我們的模板,或經(jīng)由過(guò)程其他工作來(lái)對(duì)上述8個(gè)范疇進(jìn)行測(cè)量,你將可以或許進(jìn)步你的收集安然態(tài)勢(shì)。利用RIPE的人將會(huì)對(duì)可衡量收集安然包管比合規(guī)性更感歡愉愛好?!?/P>

  RIPE還包含這8個(gè)方面的懷抱基準(zhǔn)和評(píng)分。Langner暗示,RIPE是基于工廠車間把持員的觀點(diǎn),這是一個(gè)切實(shí)可行的編制,可以或許更好地呵護(hù)這些環(huán)節(jié)。同時(shí),Langner??碦IPE將影響NIST收集安然框架的最后版本。

相關(guān)文章
------分隔線----------------------------

推薦內(nèi)容