物理安防PK信息安全：谁值得花费更多 - 安防知识网 - 资讯

一项通过对291名信息安全专业技术人员的调查表明，不管是在工业生产系统还是商业系统中，比如说收费系统、人力管理等，物理安防费用都占到了极大的建设成本。

　　公共事业部门忽略信息安全吗?

　　公共事业部门和能源公司貌似在物理安防上花费了大量的成本，可是对信息安全却置若罔闻?

　　美国政府警告提示SCADA漏洞

　　Ponemon研究所的IT安全部门在对“公共事业部门及能源公司”的一项研究中发现，29%的受访者表示,其所在组织的在物理安防方面的预算平均每年在2000万到4000万美元之间，而32%的调查者则每年超过4000万美元。然而，信息安全方面的预算则出人意料的少：21%的企业有不到100万美元的预算，32%的企业有200万美元的预算，16%的企业预算在200万到400万美元之间，13%的企业为400万到600万美元之间，11%为600万到800万美元。只有7%的企业为800万美元以上，但是却没有哪家企业预算支出超过1400万美元。

　　“物理安防的概念已经渗透到了安全界，”负责主持该项调查的Ponemon研究所主管Larry博士说，这项调查结果即将在本月进行发布。

　　Ponemon说，在我们针对参与该项调查的对象进行采访时，他们大多数表示对信息安全概念的理解仅停留在防止当机上。

　　参与调查的全部是美国的企业，但是其中有很多在加拿大、欧洲、中东地区、非洲、亚洲和拉丁美洲有分公司。不过他们的共同之处就在于他们有管理控制系统和数据采集系统，用来进行生产管理，他们都接受联邦能源管理委员会和北方电力可靠性委员会(NERC)的的监管，特别是在关键基础设施的的管理上。

　　大约有将近一半的调查对象表示其企业有足够的财力来按照NERC所要求的进行安全方面的建设。

　　不到一半的调查对象认为其所在机构会将“安全作为一个战优先略”,或者是“企业正致力于预防可能面临的威胁”,“使用最尖端的技术将SCADA网络的风险降至最低。”

　　只有32%的受访者相信他们的安全组织是“致力于保护国家的重要基础设施”。29%的人说，他们认为其机构认为IT安全与物理安防同等重要。”

　　调查结果表明,77%的受访者并不认为共同遵守NERC的标准是一个重大安全目标，69%的受访者表示其安全操作并没有“明确的职权线条”。还有61%的受访者认为“承包商、供应商和其他第三方并不是企业建立高安全设施的商业条件”。

　　“我们看到这些人的不满,”Ponemon说，这也代表着那部分消极派的观点，但是我们目前已经达成了一个共识，那就是对于NERC来说，那些物理安防的费用还不够。

　　有了这个认同之后,他们花费了更多的精力用于那些重要基础设施的安全设备的建设，甚至超越了零售业在这方面的投入，“事实证明也是如此，”Ponemon补充道。

　　尽管人们在不断谈及集成安防以及智能控制系统，但是却没有太多证据表明这一系统已经被广泛应用开来，72%的调查对象表示他们的企业并没有使用智能控制系统。

　　虽然这项调查并没有关于网络病毒方面类的话题,许多在能源和公共事业公司工作的安全专业人士却都谈及到，在过去一年里，他们都曾经历了遭遇安全漏洞的情况。

　　48%的人表示经历了一次,13%的人说两到五次,9%的人表示超过5次,还有6%的人说并不确定有多少次这样的情况发生。在这些事件中，20%被认为是由于外部攻击,5%认为是内部攻击所致，28%的人说是数据意外丢失,18%表示是恶意代码或网络僵尸所致。

　　许多人认为，物理安防并不能够提供足够程度的反攻击的保护，而数据安全则值得重视。然而，到底谁值得花费更多的成本去建设呢?