报告:核设施网络安全风险被低估

本文讲的是 报告:核设施网络安全风险被低估,英国皇家国际事务研究所(Chatham House)周一发布的报告称,核工业仍未充分认识到网络攻击的风险。

该报告聚焦民用核设施网络安全,基于对来自英国、加拿大、美国、乌克兰、俄罗斯、日本、法国和德国的30位行业从业人员的访谈。

2010年攻击伊朗核设施的震网病毒清晰呈现了网络攻击的威胁。然而,这份英国皇家国际事务研究所耗时18个月的研究报告显示:尽管国际原子能机构(IAEA)近期采取了重要举措,核电业仍落后于其他产业。

虽然核设施在物理安全和防卫上准备得很充分,其越来越依赖于数字系统的事实却意味着它们需要准备好应对一种新型威胁,即来自网络空间的攻击。

工业控制系统(ICS)软件存在的大量漏洞令核设施成为恶意攻击者易于下手的目标。尽管很多人认为由于重要系统是物理隔离的(比如与公共互联网相互隔绝),负责关键基础设施的组织面对破坏性网络攻击的风险很低,皇家国际事务研究所却认为,在核设施这件事上,这种想法不过是天真的神话。

该研究发现,很多核设施采用虚拟专用网(VPN)和其他类型的网络接入,且操作员很可能没意识到它们的存在。

皇家国际事务研究所发现的主要问题之一与风险评估有关,这些评估有可能不够充分并导致网络安全预算的裁减。专家们认为,需要有准确评估和衡量风险的指导方针,以便董事会和首席执行官能够认识到什么是利害攸关的。

导致风险被低估的因素之一,是网络安全事件披露的罕见性。安全事件甚少曝光的事实可能致使核工业乐观地认为自身并非网络攻击的目标。报告显示,核工业和其他产业的交流非常有限,与网络安全公司和厂商的交流也是如此,而这也是需要关注的问题点。

涉及到核设施安全防护时,还有一系列文化上的问题,包括运行技术(OT)工程师和信息技术(IT)工程师之间的沟通困难,网络安全规程和培训的缺失,以及被动式网络安全方法。皇家国际事务研究所基于其进行的访谈确信:所有这些问题反映出核设施并未准备好侦测并处理网络攻击。

至于技术挑战,由于可能导致宕机的兼容性问题和供应链漏洞而需要面对打补丁的麻烦,该报告将工业控制系统视为“设计上就不安全的”。

“核工业整体需要更坚强的决心在网络空间采取行动,促进和培育网络安全文化,确定投资重点,确保足够的持续的资金被投放到有效应对挑战上。建立国际网络安全风险管理战略和鼓励信息在所有利益相关者间自由流通也是必需的。”皇家国际事务研究所在其报告中写道,“这就要求核工业发展合适的机制和协调一致的行动计划来解决已发现的技术短板,以及找到监管和个人责任之间的良好平衡。”

时间: 2024-09-20 18:36:05

报告:核设施网络安全风险被低估的相关文章

查塔姆研究所报告:民用核设施面临网络安全威胁

本文讲的是 查塔姆研究所报告:民用核设施面临网络安全威胁,根据英国查塔姆研究所(Chatham House)最新发布的网络安全报告,随着商业软件的大量使用和对数字化技术的依赖,全球民用核设施(核电站)面临日益严峻的网络安全威胁. 报告警告说,全球范围的核电站数字化程度越来越高,但是管理层对核电站系统中的漏洞和所面临的网络安全风险却缺乏必要的和全面的认识,因而很难对潜在攻击做好充分准备. 报告对英国核电站及其附属设施的研究表明,新投入使用的数字系统缺乏必要的安全防护. 报告认为,近年来网络犯罪,国

巴西企业网络安全风险最高

美国安全评估公司BitSight报告显示,巴西是企业网络安全风险最高的国家之一.BitSight安全评级通过分析被感染计算机的数量.重要通信协议和用户行为中的漏洞等外部可观察到的数据,衡量企业的网络安全性能.安全评级范围从250~900,等级越高,风险就越低. 调查从美国.英国.新加坡.德国.中国和巴西六国随机抽取企业作为样本,发现巴西企业的总体安全评级最低,英国.德国和美国企业的评级最高. 在预防及减轻僵尸网络破坏方面,巴西和美国企业表现最差,德国和英国防御水平最高.中国.巴西和德国企业在SP

专家:独善其身的思维无法应对网络安全风险

面对日益突出的网络安全问题,过去企业封闭式构建安全的模式已经过时.在3日举办的首届中国互联网安全领袖峰会上,专家呼吁合力共建开放的互联网安全平台,以有效应对网络安全风险. 在由腾讯集团.中国信息安全认证中心.中国金融认证中心等单位共同主办的此次会议上,专家表示,移动互联网的发展加速了产业经济与互联网的融合,传统依靠一两家安全企业提供服务的模式已不适用新时期的安全保障需求,需要建立融合共享的开放平台."单一环节的防御能力已无法保障整个链条安全.独善其身,各人自扫门前雪,封闭式构建安全的模式已经成为

发展网络安全保险,助力网络安全风险治理体系建设

随着全球信息化发展,形成与之相适应的网络安全保障能力,成为国家安全的焦点问题.我国高度关注网络安全风险防范.习近平总书记在2014年2月的中央网络安全和信息化领导小组第一次会议上,用"一体之两翼,驱动之双轮"概括了网络安全和信息化发展的辩证关系.2016年4月,在网络安全和信息化工作座谈会上,总书记又系统阐述了网络安全观的内涵及重点问题.2016年10月,在第三十六次中共中央政治局集体学习时,总书记提出了六个"加快"的要求,吹响了加快网络安全建设的冲锋号.2017年

美以病毒入侵伊朗核设施

伊朗核设施去年11月遭计算机蠕虫病毒Stuxnet侵袭,伊朗方面怀疑是美国和以色列所为.美国<纽约时报>15日披露,这种病毒由美国协助以色列技术人员开发,事先在以色列核基地内实施测试,旨在破坏伊朗核项目. 在以核基地测试效果 一些不愿公开姓名的美国和以色列情报官员及计算机专家告诉<纽约时报>记者,这是一次机密行动,由美国和以色列联手发起. 两国计算机专家制造出这种病毒后,在以色列内盖夫沙漠迪莫纳核基地展开测试,以确保病毒能对伊朗核设施内的离心机造成有效破坏.以色列为此专门建造离心机

以色列测试蠕虫病毒攻击伊朗核设施

北京时间1月17日上午消息,据<纽约时报>上周六报道,以色列已经测试了一种电脑蠕虫病毒,并且被疑已经破坏了伊朗核设施内的离心机,从而减缓了其开发核武器的速度. <纽约时报>称,该项目是由以色列和美国合作开发的,旨在破坏伊朗的核计划.这种破坏性蠕虫名为Stuxnet,过去两年已经在内盖夫(Negev)沙漠戒备森严的迪莫纳秘密核设施内进行了测试. <纽约时报>援引熟悉迪莫纳的不具名情报和军事专家的话说,以色列已经对离心机的转速进行了调整,使之几乎与伊朗纳坦兹(Natanz)

中国暂停审批核电项目将全面检查所有核设施

中国暂停审批核电项目 将全面检查所有核设施 确保绝对安全 中国紧急调整核电中长期发展规划 国家核事故应急协调委员会专家组分析称,福岛核电站目前泄漏的放射性物质经大气和海洋稀释后,不会对我国公众健康造成影响 中科院院士:中国已建.在建核电站均不在地震带上 早报讯"中国有27个已建.在建核电站,据我所知,都没有处在地震带上."中科院院士.南京航空航天大学核科学技术专业教授陈达16日对记者说. 日本东海岸11日下午发生强震并触发海啸,随后的核泄漏危机引发世界关注.从事核领域研究已48年的陈达

网络安全风险无处不在

2016年,湖南感染移动互联网恶意程序的用户数达2781.6万人次,同比增长106.7%;共发现规模较大的数据泄露事件21起;湖南网络环境监管和治理工作任重而道远―― 网络安全风险无处不在 网络安全 本版制图/刘也 记者 邓晶 Q 邹靖方 6月7日,一年一度的高考拉开序幕.与此相关的一起网络诈骗悲剧案件,因近日即将开庭而再度回归公众视野. 一年前,高考结束后,山东临沂考生徐玉玉因个人信息在网上被泄露,遭遇诈骗.她被骗走了上大学的费用9900元后,发生心源性休克去世. 这仅是网络安全风险的冰山一角

网络安全风险防控 行业更应“放大招”

"十三五规划"建议指出,"建立风险识别和预警机制,以可控方式和节奏主动释放风险,重点提高财政.金融.--安全生产.网络安全等方面风险防控能力."除了政府引导,行业大型企业.机构更应在网络安全风险防控上有所作为,即利用自身技术优势和行业号召力,指导用户对网络安全风险进行预防,提供必要的技术支持. 日前,中国互联网络信息中心(CNNIC)宣布获得ICANN颁布的RDE TPP资质,向全球域名注册服务商提供第三方注册数据托管服务,而且这项服务是免费的.业内人士认为,这个消