行業(yè)動(dòng)態(tài)

企業(yè)將遵守新的網(wǎng)絡(luò)安全立法

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-06-24    瀏覽次數(shù):
 

信息來源:企業(yè)網(wǎng)

如今,數(shù)據(jù)中心的失敗比十年前具有更廣泛的影響。在減輕網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的責(zé)任方面,企業(yè)必須了解這些風(fēng)險(xiǎn)以及它們的全部影響。

雖然IT網(wǎng)絡(luò)安全具有監(jiān)測(cè)與評(píng)估系統(tǒng)人,但仍然可能遭遇攻擊。盡管一些企業(yè)具有ICS(工業(yè)控制系統(tǒng))的經(jīng)驗(yàn),但仍然缺乏對(duì)監(jiān)測(cè)與評(píng)估數(shù)據(jù)中心漏洞的認(rèn)識(shí)。其部分歸因于數(shù)據(jù)中心監(jiān)測(cè)與評(píng)估系統(tǒng)的不足,這些問題存在是因?yàn)樗婕暗奖O(jiān)測(cè)和評(píng)估固件,因此IT技術(shù)和工程技術(shù)之間完全相反。

行業(yè)專家建議每個(gè)企業(yè)和政府?dāng)?shù)據(jù)中心都必須進(jìn)行網(wǎng)絡(luò)安全監(jiān)督評(píng)估審計(jì)。并介紹了影響物理安全和環(huán)境控制的新的網(wǎng)絡(luò)安全法規(guī)。

金融服務(wù)立法將影響行業(yè)廠商

紐約州金融服務(wù)局(NYDFS)通過的網(wǎng)絡(luò)安全立法23NYCRR500于2017年3月1日生效。

新規(guī)則適用于在紐約州內(nèi)經(jīng)營(yíng)的“銀行法”,“保險(xiǎn)法”或“金融服務(wù)法”(有限豁免),包括非美國(guó)實(shí)體在內(nèi)的任何金融服務(wù)公司。

這些公司將在2017年8月28日之間有實(shí)施網(wǎng)絡(luò)安全計(jì)劃和政策。特別是第500.03條,(j)項(xiàng)是物理安全和環(huán)境控制。環(huán)境控制系統(tǒng)使用固件有三個(gè)原因:

1.系統(tǒng)屬于監(jiān)控與評(píng)估領(lǐng)域,而不是IT網(wǎng)絡(luò)安全。因?yàn)橛绊戇@些系統(tǒng)保護(hù)的這種治理與網(wǎng)絡(luò)安全的其他方面沒有得到同等程度的關(guān)注。

2.訪問固件進(jìn)行修補(bǔ)或其他修改由第三方供應(yīng)商進(jìn)行。

3.控制和監(jiān)視系統(tǒng)協(xié)議,例如MODBUS,BACnet和SNMPv3由于其防護(hù)較弱或通常不存在的加密和認(rèn)證而容易受到惡意攻擊,因?yàn)樗鼈儗⒕W(wǎng)絡(luò)安全本身作為一個(gè)問題。

防御性基礎(chǔ)設(shè)施

該法規(guī)規(guī)定,網(wǎng)絡(luò)安全政策(涉及物質(zhì)安全和環(huán)境控制的條款)是基于風(fēng)險(xiǎn)評(píng)估。不正當(dāng)之處在于,盡管這些公司自生效之日起一年內(nèi)進(jìn)行風(fēng)險(xiǎn)評(píng)估,但其所依據(jù)的網(wǎng)絡(luò)安全政策即將到期。

至少,承辦金融服務(wù)的數(shù)據(jù)中心必須緊急采取行動(dòng),對(duì)影響其監(jiān)測(cè)和監(jiān)測(cè)系統(tǒng)的漏洞進(jìn)行審計(jì)。

2017年各國(guó)政府部門制定的新立法

英國(guó)政府于2016年12月發(fā)布了“網(wǎng)絡(luò)安全法規(guī)和激勵(lì)措施審查報(bào)告”,該報(bào)告指出,它正在考慮對(duì)關(guān)鍵部門另行監(jiān)管。在網(wǎng)絡(luò)和信息安全(NIS)下,關(guān)鍵數(shù)字服務(wù)(如云服務(wù)提供商)的指令運(yùn)營(yíng)商可能需要額外的風(fēng)險(xiǎn)管理和報(bào)告要求。

另外,新加坡政府將在今年推出新的網(wǎng)絡(luò)安全法案,要求“關(guān)鍵信息基礎(chǔ)設(shè)施(CII)業(yè)主和運(yùn)營(yíng)商負(fù)責(zé)保護(hù)其系統(tǒng)和網(wǎng)絡(luò)。這包括遵守政策和標(biāo)準(zhǔn),進(jìn)行審計(jì)和風(fēng)險(xiǎn)評(píng)估,以及報(bào)告網(wǎng)絡(luò)安全事件?!保ㄐ录悠戮W(wǎng)絡(luò)安全戰(zhàn)略2016,新加坡網(wǎng)絡(luò)安全局)

確定監(jiān)測(cè)和評(píng)估系統(tǒng)中的漏洞是組織需要采取的第一步,以遵守新立法的初步階段。

 
 

上一篇:2017年06月23日 聚銘安全速遞

下一篇:高考結(jié)束騙局警示 查分鏈接植入木馬病毒