评论:IT 安全,2016 年 4 月
德米特里·亚鲁舍夫斯基| 2016 年 5 月 4 日
根据一个常见的定义,文化是一套基于符号思维和社会学习的知识、信仰和行为。在国外的实践中,“信息安全文化”这一术语不仅用来描述信息安全政策(以下简称IS)等文件所规定的要求和实施的技术解决方案和措施的总和,而且还用来描述各级设施中如何实际解决IS问题的总和。换句话说,网络安全文化是指与信息安全相关的、旨在保护资产的程序和流程的实际执行方式,所有员工在确保信息安全的过程中参与程度如何(以及取得了哪些成功)等。这一术语在国内实践中尚未扎根,但“文化方面”的影响不仅在企业系统的信息安全中显而易见,而且在自动化过程控制系统(APCS)的保护领域也显而易见。
安全须知
在过去三年中,我和我的同事对十二个客户组织的五十多个 柬埔寨电报数据 生产设施的自动化过程控制系统进行了调查。这些设施都没有任何组织或管理文件,甚至都没有任何关于 APCS 中信息保护流程(信息安全、网络安全等 )的要求、组织和实施的描述。当然,有通用的信息安全政策、授予访问权限的一般程序、密码保护规定等等,但令人惊讶的事实是,只有在企业环境中才对严格遵守这些政策进行规定。一旦我们开始谈论自动化过程控制系统,细微差别就开始出现了。有时还非常有趣。例如,在某个设施中,信息安全专家认为,APCS 中不存在任何需要保护的信息:他们认为“根本没有信息,只有数据”。由于这种“信念”,所有定义该设施信息安全要求和程序的组织和管理文件都包含以下条款:“自动化过程控制系统除外”。同时,上述文件和要求是无法替代的——设施自动化系统中的信息安全问题没有得到任何形式的正规化或规范。
缺乏责任感
我已经多次说过,我认为国内企业自动化过程控制系统网络安全的主要问题之一是缺乏负责人。如果没有人负责确保信息安全,那么即使是最完美的信息安全工具也无法有效发挥作用。
国内在保障自动化过程控制系统网络安全的实践中,也没有明确哪些部门应当承担这一责任。在最好的情况下,信息安全的责任会默认(这使得它非常有条件地)分配给负责自动化、网络技术和信息安全的三个(有时多,有时少)部门。通常情况下,“共享责任就是没有人的责任”,在这种情况下,信息安全流程处于 CMM 模型的零成熟度级别。简单来说,它们是随机的并且不受约束。