晴時多雲

自由電子報
3C科技
3C首頁 影音專區 智慧手機 實用秘技 科技趣聞 網路社群 好攝相機 電腦應用 家電娛樂 3C頻道粉絲團粉絲團
自由影音
即時 熱門 政治 軍武 社會 生活 健康 國際 地方 蒐奇
財經 娛樂 藝文 汽車 時尚 體育 3 C 評論 玩咖 食譜 地產 專區 服務
自由電子報APP 自由電子報粉絲團 自由電子報Line 熱門新訊
已經加好友了,謝謝
歡迎加入【自由3C科技】
按個讚 心情好
已經按讚了,謝謝。
3C 電腦應用 資訊安全

賽門鐵克調查發現 全球關鍵基礎架構供應商較少意識到並參與政府計畫

2011/11/10 18:56 賽門鐵克

賽門鐵克公布 2011 年關鍵基礎架構防護( CIP )調查 ( 2011 Critical Infrastructure Protection ( CIP ) Survey );調查發現,若以 CIP 參與指數衡量,全球的意識與參與率逐漸下滑。與 2010 年相較之下,今年受訪的公司在政府防護計畫的 CIP 參與指數上僅達 82 %,較去年下滑 18 個百分點。關鍵基礎架構的供應商皆來自於重要性極高的產業,若這些產業的網際網路成功被駭客入侵、遭到關閉,可能會對國家安全造成實際的威脅。

台灣賽門鐵克資深技術顧問張士龍表示:「鑒於近來如 Nitro 與 Duqu 等針對關鍵基礎架構供應商所發動的攻擊,此調查的發現的確敲響了警鐘。而受訪者所提及的人力與資源限制,解釋了為何基礎架構供應商必須優先將其重心放在日常的網路安全威脅上。然而,我們認為,針對關鍵基礎架構供應商的攻擊,將持續以 Stuxnet 、 Nitro 及 Duqu 的形式出現。全球企業與政府應當非常主動積極促進與協調關鍵產業的網路防護,而近期所看見的攻擊很可能只是針對關鍵基礎架構攻擊的開端。」

調查發現重點:

  • 政府 CIP 計畫的低認知與低參與度:今年企業普遍較少意識到政府的 CIP 計畫。 36 %的受訪者有些或完全意識到國內所探討的政府關鍵基礎架構計畫,而去年則高達 55 %。於 2011 年,僅 37 %的企業完全或相當程度的參與該計畫,但去年的比例卻高達 56 %。
  • 對於政府 CIP 計畫更猶豫不決:本調查亦透露出, 2011 年企業對於政府 CIP 計畫的態度,相較於 2010 年更加猶豫不決。例如:向受訪者詢問他們對於政府 CIP 計畫有何意見時, 42 %的受訪者表示無意見或保持中立。此外,相較於去年的 57 %,今年有 66 %的企業較不願意配合 CIP 計畫。
  • 全球性組織覺得其準備不足:一點都不令人意外的是,組織對於安全威脅的評量下滑連帶地整備性跟著鬆散。全球整體整備性平均下滑 8 個百分點(自 2010 年的 68 %至 70 %下滑至 2011 年的 60 %至 63 %)。

確保關鍵基礎架構遭受網路攻擊後的恢復力之建議:

  • 制訂與執行 IT 政策,以及自動化法規遵循程序。企業組織可擬定風險的優先順序,定義適用於各據點的政策,透過內建的自動化與工作流程執行政策,因此不僅可識別安全威脅,還可在事件發生之前即早矯正,或事先預測到可能發生的事件。
  • 透過採取資訊為中心的方法保護資訊與互動行為,以積極主動保護資訊。採取內容感知 ( Content - Aware )方法保護資訊,將可知道誰擁有資訊、敏感性資訊位於何處、誰具有資訊的存取權,以及資訊如何傳送或從您的企業組織寄出。
  • 透過部署安全作業環境、發送與執行修補程式等級、自動化程序以精簡效率,以及監控與回報系統狀態,以有效管理系統。
  • 保護端點、傳訊及 Web 環境,進而保護基礎架構。此外,最優先的工作應為定義出內部關鍵的伺服器,以及部屬具備備份與恢復資料的能力。企業組織亦需具備能見度與安全性情報,才可迅速因應威脅。
  • 確保全年無休的可用性。企業組織應執行不中斷營運的測試方法,藉由自動化容錯移轉程序,以降低複雜度。虛擬環境的處理方式應等同於實體環境,因而顯示出企業組織必須採取橫跨更多平台與環境的工具,或在較少的平台上標準化。
  • 發展包括資訊保存計畫與政策的資訊管理策略。企業組織必須停止以備份的方式進行歸檔與法定保留資訊的動作,並於各處實行重複資料刪除的政策,以釋放資源、使用功能完整的歸檔系統,以及部署防止資料外洩等技術。

對於政府促進關鍵基礎架構防護的建議:

  • 政府應持續釋出資源,建立政府機關的關鍵基礎架構計畫。
    • 大多數的關鍵基礎架構供應商證實其察覺到政府機關的關鍵基礎架構計畫。
    • 而且,大多數的關鍵基礎架構供應商支持政府制定防護計畫的工作。
  • 政府應與產業協會與企業團體協力合作,宣傳讓大眾更認識政府 CIP 組織與計畫的資訊,具體說明面臨全國網路攻擊時,應變措施如何生效、政府應扮演的角色、在地方與全國層級的各種不同產業中,哪個單位為指定溝通對象,以及政府與民營企業如何在發生緊急情況時分享資訊。
  • 政府應強調在面臨現今的網路攻擊時,安全性已不足以維持優異的恢復能力。政府亦應向關鍵基礎架構供應商與企業強調,必須儲存、備份、組織及排定其內部資訊的優先順序,並備妥合宜的身分識別與存取管制程序。

賽門鐵克關鍵基礎架構防護調查

賽門鐵克關鍵基礎架構防護調查係由 Applied Research 於 2011 年 8 月與 9 月所做的研究結果,其中探訪 14 種關鍵基礎架構產業內中小企業與大型企業的高階主管及 IT 專業人員。報告旨在檢驗對於政府 CIP 計畫的認識程度、參與感,以及整備程度。此份調查涵蓋北美、歐洲、中東、非洲、亞太地區及拉丁美洲 37 個國家內 3,475 間企業組織。

關於 CIP 參與指數

CIP 參與指數彙整不同類型的問題,用以評量企業對於政府 CIP 計畫的參與感。此指數以 2010 年作為此調查之基準年。依慣例, 2010 CIP 參與指數為 100 %。

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

熱門文章
看更多!加入3C科技粉絲團
網友回應