为了寻找答案,我们先后征询了这方面的多位专家,包括安全顾问、法规专家、供应商、系统集成商和最终用户。他们的回答涉及了方方面面的内容,但不足为奇的是都无一例外的指出:其实,真正安全和遵守规范是两个性质不同的概念。尽管遵守先行规范条例是最具成本效益的安全策略,但是,这种看似已经 “足够好”了的诱人的安全策略,则可能会带来无穷的隐患。
自动邮件列表(listserv)服务商——SCADASEC的老板Bob Radvanofsky在剖析遵守规范和真正安全的定义时,明确的指出:他们两个的意义不仅不相近,而且“实际上是互相矛盾的”。
“很显然,对于“安全”的定义不并是指其是否“遵守”了某些规范。同样,“遵守”规范也不见得能保证绝对的 “安全”。如果完全依据特定标准执行安全防护措施,则意味着即使面对不同的问题保证安全的方法仍然是不变的。然而,真正的“安全”不仅仅是一种感觉上的“安全”,更重要的是对于突发事件应有足够的预防性和足够的应变能力。
施耐德电气有限公司以太网营销集团经理Dan DesRuisseaux,补充说道:“遵守规范并不能保证安全。一家企业的安全措施即使满足了企业内部以及外部的各种安全条例,但仍然可能会受到各种攻击。没有任何一个标准能真正的保证安全。”
Applied Control Solutions的创办人,ControlGlobal 网站中“Unfettered” 博客的作者Joe Weiss,说:“理想的情况是将北美电力可靠性委员会规定的重要基础设施保护(NERC CIP)标准和实际安全措施有机的相结合。对于NERC CIP标准的遵守仅仅意味着设备符合了NERC的要求。但很多人误以为只要满足了NERC要求就能保证设备的安全,其实不然!NERC标准中提供的安全方案仅仅是安全防范的一种方法,与真正的保障资产安全并无直接关联。”
Verizon政府事务国家安全负责人Marcus Sachs更加坦率的说:“遵从标准会讨好审计者;而保障实际的安全则满足了投资者和客户的利益。很多年前我们曾经试图创造“安全文化”的氛围,但是失败了,相反的我们却建立起了“遵守文化”,并导致很多隐患和问题。我们需要跳出迷信检验的思维框架,不论是工厂还是企业,都应把重点重新回归到对于安全的实际检测上。”
安全的界限?
Exida安全事务主管John Cusimano说道:“安全的界限取决于其能承受风险的大小。风险是永远不可能完全避免的,因此,企业需要量化其风险承受能力,并使安全设计的水平达到或超过其承受量。企业可以通过建立安全目标级别的方式,将实际安全与安全标准相统一,并且企业也可以通过安全目标级别来衡量其承受风险的能力。”
西门子能源和自动化部PCS7营销经理Todd Stauffer,说:“安全是相对而言的。几乎没有任何办法能100 %的保证,从今往后安全都是牢不可破的。为了最大限度地提高安全性能,则所有者和经营者都应采取纵深防御。纵深防御有利于建立多层次防御体系,而这一观念对于诸如防火墙,访问控制,病毒扫描程序,软件补丁管理,物理防护和人事作业程序等技术都有重大的影响。而且,所有的防御措施都必须实时更新和补充,以确保有效的抵御新的安全漏洞。”
怎样的安全保障能做到足够的安全?
华盛顿郊区卫生委员会( WSSC )的Jake Brodsky谈到了最终用户对于安全的观点:“怎样的安全保障能做到足够的安全?这是最基本的问题。这就像问我们的汽车是怎么保障安全的?为了保障汽车的安全性,我们会采取各种各样的措施,包括防抱死制动系统,安全气囊,安全带,吸撞缓冲区,安全玻璃,牵引力控制系统等等。但是,即使有了这些防护措施仍然不能避免司机鲁莽驾驶而带来的安全隐患。防御系统也仅仅能做到这种程度。实际上,网络安全的最大难题是教育问题——教人怎么做才是安全的操作。也就是说,真正的让人们明白他们在做什么,会产生什么样的后果。”
Brodsky adds说:“作为临时措施,我们现在还必须沿用遵守规范的办法来保障基本的安全,虽然,仅仅遵守规范未必能防御攻击。但从长远来看,在我们积累足够的经验和知识而得出更好的解决办法以前,遵守规范无疑是临时措施的一个好选择。”
共0条 [查看全部] 网友评论