欧洲杯赛程表|奥运会男足比赛积分表|赫斯基|雷霆主教练|哥伦比亚国家

核電科普

科普詳細

首頁 > 核電科普 > 核安全 > 科普詳細

報告:核設施網絡安全風險被低估

發布時間:2015-10-12 資訊來源:內容轉載自公眾號 安全牛 瀏覽次數:2092



英國皇家國際事務研究所(Chatham House)周一發布的報告稱,核工業仍未充分認識到網絡攻擊的風險。



該報告聚焦民用核設施網絡安全,基于對來自英國、加拿大、美國、烏克蘭、俄羅斯、日本、法國和德國的30位行業從業人員的訪談。

2010年攻擊伊朗核設施的震網病毒清晰呈現了網絡攻擊的威脅。然而,這份英國皇家國際事務研究所耗時18個月的研究報告顯示:盡管國際原子能機構(IAEA)近期采取了重要舉措,核電業仍落后于其他產業。

雖然核設施在物理安全和防衛上準備得很充分,其越來越依賴于數字系統的事實卻意味著它們需要準備好應對一種新型威脅,即來自網絡空間的攻擊。

工業控制系統(ICS)軟件存在的大量漏洞令核設施成為惡意攻擊者易于下手的目標。盡管很多人認為由于重要系統是物理隔離的(比如與公共互聯網相互隔絕),負責關鍵基礎設施的組織面對破壞性網絡攻擊的風險很低,皇家國際事務研究所卻認為,在核設施這件事上,這種想法不過是天真的神話。

該研究發現,很多核設施采用虛擬專用網(VPN)和其他類型的網絡接入,且操作員很可能沒意識到它們的存在。

皇家國際事務研究所發現的主要問題之一與風險評估有關,這些評估有可能不夠充分并導致網絡安全預算的裁減。專家們認為,需要有準確評估和衡量風險的指導方針,以便董事會和首席執行官能夠認識到什么是利害攸關的。

導致風險被低估的因素之一,是網絡安全事件披露的罕見性。安全事件甚少曝光的事實可能致使核工業樂觀地認為自身并非網絡攻擊的目標。報告顯示,核工業和其他產業的交流非常有限,與網絡安全公司和廠商的交流也是如此,而這也是需要關注的問題點。

涉及到核設施安全防護時,還有一系列文化上的問題,包括運行技術(OT)工程師和信息技術(IT)工程師之間的溝通困難,網絡安全規程和培訓的缺失,以及被動式網絡安全方法。皇家國際事務研究所基于其進行的訪談確信:所有這些問題反映出核設施并未準備好偵測并處理網絡攻擊。

至于技術挑戰,由于可能導致宕機的兼容性問題和供應鏈漏洞而需要面對打補丁的麻煩,該報告將工業控制系統視為“設計上就不安全的”。

“核工業整體需要更堅強的決心在網絡空間采取行動,促進和培育網絡安全文化,確定投資重點,確保足夠的持續的資金被投放到有效應對挑戰上。建立國際網絡安全風險管理戰略和鼓勵信息在所有利益相關者間自由流通也是必需的。”皇家國際事務研究所在其報告中寫道,“這就要求核工業發展合適的機制和協調一致的行動計劃來解決已發現的技術短板,以及找到監管和個人責任之間的良好平衡。”

---