德专家针对Stuxnet推出新框架 提高ICS/SCADA安全

根据ICS/SCADA专家Ralph Langner表示，关键基础设施运营商采用了安全行业流行的风险管理理念，这样做是错误的。这位德国安全专家破译了Stuxnet如何瞄准在伊朗的纳坦兹核设施的西门子PLC，他发布了一个网针对ICS(工业控制系统)的网络安全框架，他称这个框架比美国政府的网络安全框架更适用，目前还是草案的形式。

创新互联建站是一家集网站建设,康马企业网站建设,康马品牌网站建设,网站定制,康马网站建设报价,网络营销,网络优化,康马网站推广为一体的创新建站企业，帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿，时刻以成就客户成长自我，坚持不断学习、思考、沉淀、净化自己，让我们为更多的企业打造出实用型网站。

这个被称为强大的ICS规划和评估(RIPE)框架采用了一种不同的方法来锁定设施，与NIST的基于风险的网络安全框架相比，这种方法更多地基于流程。

Langner表示：“大家都知道，ICS环境缺乏强制执行的安全政策，特别是针对承包商。在关键基础设施中更大的资产所有者有针对工作人员的政策，但并不是针对承包商。在Stuxnet之后，这似乎被疏忽了。”

再有就是ICS / SCADA系统的修补难题：虽然大部分这些企业声称有一个修补方案，但通常修复周期为一年，并且，你会发现，根据政策需要修复的系统，通常只有一半真正得到了修复。

在私有ICS环境，网络安全只有低优先级。Langner估计，95%的关键基础设施运营商没有专门的安全专业人士来负责其系统，并且，其ICS安全只占其IT预算的不到1%。

Langner表示：“如果有说明网络安全能力的指标，那就是资源。如果电厂、炼油厂或者管道运营商没有专门负责ICS安全的专职人员，关于ICS安全的任何进一步讨论都是没有意义的。”

Langner指出，基于风险的安全方法可以是捏造的，并非基于经验数据或者关于ICS环境的现实。他指出，NIST网络安全框架让企业可以基于“部署层”来确定其部署框架的方向，从而确定其安全状态的成熟度。 “几乎没有企业可以简单地决定其目标部署层，这基本上意味着一个完全不成熟的网络安全过程。”

风险管理基本上已经成为安全界的“宗教”，Mandiant公司首席安全官Richard Bejtlich表示，“风险管理已经深入每个人的心里，但在业务水平之下，我不认为大多数IT安全人员都专注于其中。”

RIPE明确了需要记录和测量的工厂系统的8个领域来确定安全状态：系统数量，或者软件和硬件清单;网络架构，包括网络模型和图表;组件交互或者工艺流程图;员工角色和责任，身份、特权数据库，以及针对所有工作人员和承包商的政策;员工技能和能力发展，或者培训课程以及操作和维护记录;指导，又称政策和标准操作流程;设计和配置变更，或者工厂规划和变更管理流程;以及系统收购，或采购指南。

部署每个步骤都有模板。“我要说的是，如果你使用我们的模板，或者通过其他工作来对上述8个领域进行测量，你将能够提高你的网络安全态势。使用RIPE的人将会对可衡量网络安全保证比合规性更感兴趣。”

RIPE还包括这8个方面的度量基准和评分。Langner表示，RIPE是基于工厂车间操作员的见解，这是一个切实可行的办法，能够更好地保护这些环节。同时，Langner希望RIPE将影响NIST网络安全框架的最后版本。

新闻标题：德专家针对Stuxnet推出新框架 提高ICS/SCADA安全
标题网址：http://www.gawzjz.com/qtweb2/news45/13195.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联