“网络空间安全”这个词语术语在业界已经开始流行,并引起了公众的注意。它频繁出现在新闻头条和相关文章中,最近还常常被政府和大型企业作为指导政策和行动口号。不过,对于许多工业系统的资深专家而言,“网络空间”这个词本身有其特定的涵义。
从某种技术的角度来说,“网络空间安全”是信息安全(InfoSec)的一个子集。专门研究数据安全的人会倾向于将网络安全限定在保护信息(数据)的角色上。
“网络空间安全就是应用安全措施来保证数据机密性、完整性和可用性的过程。”事实上,在工业网络实践经验中,指令和系统控制要求更深层次的防御措施。信息安全只是其中一个方面,而且网络空间安全在工业网络中的涵义也与在信息技术领域中的不同。
在作业技术(OT)环境下,信息保护通常需要在保密性、完整性和可用性的优先级上进行权衡。优先级的一个例子就是密码错误引发的用户帐户锁定。帐户锁定功能明显破坏了系统的可用性——用户被隔离在系统之外,来保证数据的保密性免遭暴力密码猜解的破坏。
工业安全策略必须应用不同的优先级。锁定用户帐户在企业环境中也许是可以接受的,但在燃气涡轮或油井运行过程中锁定那些可以进行控制的用户帐户——尤其是在紧急情况下——是完全不可接受的。系统可用性和完整性总是需要优先考虑的事,迫使工业系统采取比类似领域的IT系统更为复杂的访问控制和权限分离策略。这种情况下,网络空间安全的涵义必然超出了信息安全,必须认识到虚拟空间和真实空间之间的平衡严重事关人类安全。
可能“网络空间”这个词是由互联网的兴起才被广泛使用的,反映的是在线或浏览器活动,也许业界也随之接受了这个涵义。但令安全专家担忧的是,“网络空间”一词因此而仅指特定公共网络或用作公共用途而联结在一起的计算机集合。因为,还存在广泛使用的大量私有-公共或公司内部的连接路径。并不是只有公共网络才会将威胁引入到诸如水处理厂或疫苗生产之类的关键基础设施。
在现实中,正如很多渗透测试员所知道的那样,一支带入控制室的小小的USB存储器就能带来尤如任何一款互联网浏览器那么大的威胁。而且,一旦领域内某一系统被感染,系统内的横向传播——控制系统特定技术利用和运用如实时数据访问规范(OPC-DA)的出口通信渗透——也是可能的。通过控制系统,文件共享和企业内的DNS可以接入互联网,但这已经超出了“网络空间”最初的涵义了。
按照技术工程师一贯的做法,首先寻找数据以支持观点,然后逐步接近“事实”。通过采用谷歌N-Grams语言模型扫描1800-2008年间成千上万本书籍统计语汇引用频次,我们发现了一些启发性的数据:
“网络空间”这个词在过去40年中至少有10种变体。1976-1982年左右的期间,这个词便有所应用。但自从2000年起,它的使用率就开始了稳步增长。这个时期,围绕“网络空间安全”上下的是它绕不开的孪生兄弟——“网络空间犯罪”和“网络空间攻击”。
当然,所有的数据都基于所用的方法论和一些重要的细微差别而作了调整。但作为用于论证的初始扫描,这些数据还是极好的。
至少从Ngrams的结果看,信息安全的引用率比网络空间安全要高。不过,它俩在高峰时期上有相似性。有人可能会说,这恰好支持了网络空间安全被看作是信息安全的一个子集的观点。
Ngram呈现的“互联网”引用率视图也是如此相似,这会不会是我们至今仍在用“网络空间”一词的原因呢?
“互联网”的使用晚于“网络空间”,从1990年代才开始显著上升,且2000年后有一个很有趣的回落。
从技术专家的观点来看,应该摒弃Ngram的实验结果向未来展望,而不是向以前回顾。当然,最重要的是用户随着作业技术网络增加的连接性和物理隔绝的消失,去减少不断变化的威胁。
最近,学术界和政府机构已经开始使用“网络空间物理安全”这个术语。根据IEEE的描述,“与网络空间安全相比,网络空间-物理安全的目标是采用大范围感知、通信和控制进行安全可靠的操作,保护整个网络空间-物理系统。”而美国国家科学基金会将之定义为“依靠计算算法和物理部件的无缝集成建立的工程系统。”
工业互联网已经砸下了巨大投资,那些之前关闭的装置、系统和设备将会升级它们的连接性和功能性。但随之而来的就是风险威胁的升级。对于安全研究人员而言,怎样描述我们的工作——网络安全、网络物理安全,并不是最紧要的,更重要的是持续扩展我们发现新型威胁的能力,并能够加以预防。
原文地址:http://www.aqniu.com/neo-points/7081.html
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/124644.html<
