企业应如何确保工业控制系统网络安全

2014-07-15 00:04

　　最近对负责世界电力、供水及其他重要功能的企业进行的一项调查显示，将近三分之二受访企业表示在过去的一年时间里，至少出现一个导致机密信息泄露或操作中止的安全漏洞。

　　笔者认为虽然很多企业都接受了整个行业面临着相当多的网络安全问题的事实，但是信息本身正反映出企业对网络安全的问题缺乏重视。在对公用事业、油气行业、能源和制造业的599位高管的调查中，有64%的受访者预计接下来的一年会有一次或多次网络安全攻击。尽管企业仍存在这样的威胁，只有28%的受访者把网络安全列入企业五大战略重点之一。

　　“调查结果很让人吃惊，因为这些行业是全球经济支柱，网络安全受威胁后果是相当严重的，”PonenonInstitute创始人兼董事长LarryPonemon表示，“虽然企业对安全保护渴望不已，但他们为保护关键基础设施以防遭受攻击所采取的行动是远远不够的。”

　　只有六分之一的受访者认为他们企业的IT安全程序或活动已经成熟。那些表示在过去一年数据被泄露的受访者大部分认为数据的泄露主要是由企业内部所发生的意外或错误造成的，所以对此疏忽的内部人员是网络安全的最大威胁。

　　事实上，很多读者认为这个关于网络安全的话题其实是网络安全产品公司在对其产品进行炒作的原因在于，他们所在的公司或行业的重要性还不足以受到黑客的关注。他们似乎完全忽略了来自企业内部的不管是恶意的还是突发性的威胁。只有6%的受访者他们会对所有员工进行网络安全培训。

　　“不管是恶意的还是意外的，企业内部的威胁跟外部的威胁一样真实且具有同样的破坏性，”Unisys首席信息安全官DaveFrymier说到，“我们希望这次的调查结果可以为基础设施提供商敲响警钟，然后他们可以采取更主动更全面的方法来防止IT系统遭受攻击。在事发前就要做好保护措施，不然亡羊补牢，为时已晚。”

　　该调查还显示了受访高官们对工业控制系统（ICS）及SCADA系统安全的担忧。被问及他们企业的ICS或SCADA系统受到攻击的可能性时，78%的信息安全资深高管回应说在接下来的两年时间里至少会受到一次攻击。只有21%的受访者认为由于出台了相关法规及以行业为基础的安全标准，ICS和SCADA系统的风险水平大大地降低了，这就意味着采取更严格的控制和标准很必要。

　　很多受访者表示仍未全面部署IT安全程序。只有17%表示他们大部分的安全程序已完全部署。