《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 美國(guó)白宮正在制定工業(yè)控制系統(tǒng)專(zhuān)項(xiàng)保護(hù)計(jì)劃

美國(guó)白宮正在制定工業(yè)控制系統(tǒng)專(zhuān)項(xiàng)保護(hù)計(jì)劃

2021-03-10
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心

  針對(duì)由SolarWinds入侵事件引發(fā)的一系列黑客活動(dòng),白宮即將發(fā)布行政命令,要求采取包括提高軟件透明度在內(nèi)的一系列應(yīng)對(duì)措施。

  微信圖片_20210310150314.jpg

  美國(guó)白宮高級(jí)網(wǎng)絡(luò)安全官員正在與證券交易委員會(huì)、環(huán)境保護(hù)局、能源部門(mén)以及工業(yè)控制系統(tǒng)專(zhuān)家合作,制定關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃。

  隨著互聯(lián)網(wǎng)連接度的不斷提升,與水資源管理、電網(wǎng)運(yùn)行、地鐵系統(tǒng)以及其它基礎(chǔ)服務(wù)相關(guān)的底層系統(tǒng)也面臨著愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)攻擊威脅。就在上個(gè)月,一個(gè)身份不明的攻擊者試圖將佛羅里達(dá)州一家水處理廠的化學(xué)成分操縱到危險(xiǎn)的水平。這個(gè)案例說(shuō)明系統(tǒng)的低能見(jiàn)度不僅能造成數(shù)字威脅,還能造成物理傷害,帶來(lái)災(zāi)難性的后果。

  美國(guó)網(wǎng)絡(luò)與新興技術(shù)國(guó)家安全副顧問(wèn)Anne Neuberger表示,“考慮到任務(wù)影響、風(fēng)險(xiǎn)、威脅與文化差異,我們需要建立起有針對(duì)性的OT(運(yùn)行技術(shù))網(wǎng)絡(luò)安全方法,來(lái)保護(hù)美國(guó)本土的工業(yè)基礎(chǔ)設(shè)施。”

  Neuberger上周五在SANS研究所舉辦的工業(yè)控制系統(tǒng)安全虛擬峰會(huì)上發(fā)表講話,她強(qiáng)調(diào):“如果你無(wú)法看見(jiàn)網(wǎng)絡(luò),自然無(wú)法保護(hù)網(wǎng)絡(luò);如果無(wú)法快速看見(jiàn)網(wǎng)絡(luò),自然無(wú)法及時(shí)捍衛(wèi)網(wǎng)絡(luò)。我們必須把這兩點(diǎn)作為IT與OT的核心原則。”

  Neuberger表示,這項(xiàng)計(jì)劃的初步范圍將集中在對(duì)美國(guó)民眾影響最大,或者對(duì)國(guó)防、天然氣、電力、管道、水資源以及化學(xué)系統(tǒng)具有重大意義的運(yùn)營(yíng)技術(shù)身上。此項(xiàng)計(jì)劃還迎來(lái)另一位私營(yíng)電力組織的重量級(jí)參與者——美國(guó)南方電力公司CEO Tom Fanning,同時(shí)也是國(guó)會(huì)授權(quán)的網(wǎng)絡(luò)空間日光浴委員會(huì)成員。

  由多位立法者組成的網(wǎng)絡(luò)空間日光浴委員會(huì),曾建議對(duì)2002年頒布的《薩班斯-奧克斯利法案》做出修訂,批準(zhǔn)證券交易委員會(huì)針對(duì)上市公司提出的網(wǎng)絡(luò)安全監(jiān)督與報(bào)告要求。上周三,該委員會(huì)的審查部門(mén)已經(jīng)將信息安全與運(yùn)營(yíng)彈性(特別是網(wǎng)絡(luò)安全)列為2021年內(nèi)的高優(yōu)先級(jí)事項(xiàng)。

  Neuberger強(qiáng)調(diào),白宮也在與美國(guó)證券交易委員會(huì)進(jìn)行對(duì)話,“希望在采取實(shí)際行動(dòng)之前明確雙方擁有共同的目標(biāo),并通過(guò)討論確定有效方法?!?/p>

  目前,受SolarWinds事件影響的至少9家聯(lián)邦政府部門(mén)與100多家企業(yè)受害者都表達(dá)了系統(tǒng)與軟件透明度的重要意義。Neuberger認(rèn)為,政府不僅需要從企業(yè)處獲取洞見(jiàn),同時(shí)也應(yīng)關(guān)注企業(yè)所運(yùn)營(yíng)產(chǎn)品的實(shí)際質(zhì)量,在源頭上阻遏入侵行為的發(fā)生。

  她認(rèn)為,“我們需要從根本上轉(zhuǎn)變觀念,從事件響應(yīng)轉(zhuǎn)變?yōu)槭孪阮A(yù)防,并據(jù)此規(guī)劃時(shí)間與資源投入。”

  她還提到,即將發(fā)布的這項(xiàng)最新行政令還將包括一系列標(biāo)準(zhǔn),可引導(dǎo)軟件采購(gòu)方輕松做出更好的安全決策。此外,美國(guó)國(guó)家電信與信息管理局也將提出一項(xiàng)改進(jìn)軟件物科清單質(zhì)量的措施。

  最后,她對(duì)這份即將發(fā)布的行政令做出總結(jié):

  “如今,一個(gè)網(wǎng)絡(luò)所有者在采購(gòu)網(wǎng)絡(luò)管理軟件等技術(shù)方案時(shí),往往無(wú)法了解軟件構(gòu)建當(dāng)中所使用的具體網(wǎng)絡(luò)安全實(shí)踐,也無(wú)法了解做出的產(chǎn)品選擇將引入怎樣的風(fēng)險(xiǎn)級(jí)別。我們必須扭轉(zhuǎn)不利局面,推動(dòng)軟件物料清單及其他相關(guān)信息建立起良好的可見(jiàn)性。也只有這樣,我們才能有效運(yùn)用網(wǎng)絡(luò)安全資金,明確表達(dá)我們?cè)跊Q策中最為重視的考量因素?!?/p>

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。