<p>TÜV南德意志集团关键基础设施的 IT安全整体IT安全战略在减少 潜在数字化损失方面的 重要性白皮书摘要在当今这个数字化时代，IT安全面临越来越多的挑战，但是，很多组织仍尚未做好准备以应对日益提高的监管水平和充满威胁的环境。本白皮书与大家分享了各国关键基础设施的定义， 并就开发和部署有效IT安全战略过程中采取全局方法的重要性进行了讨论。包括当前与网络 攻击有关的形势概述，讨论各种类型的网络威胁，以及不充分的IT安全战略而可能产生的潜在后果。另外，本白皮书还描述了关键基础设施行业采取具体步骤以有效实施IT安全战略的的 迫切需求。2关键基础设施的IT安全 | TÜV南德意志集团目录1 TÜV南德意志集团专家简介 &nbsp;22 前言 &nbsp;32 日益增加的IT安全威胁及其后果 &nbsp; 43 IT安全法规 &nbsp; 64 IT安全威胁及漏洞类型 &nbsp; 75 IT安全宏观方法的组成要素 &nbsp; 86 采用有效的IT安全战略 &nbsp; 97 TÜV南德意志集团如何为您提供帮助？ &nbsp;103TÜV南德意志集团 | 关键基础设施的IT安全Mirko PanevTÜV南德意志集团管理服务部网络安全服务负责人Mirko Panev现任慕尼黑TÜV南德意志集团管理服务部网络安全服务部门的负责人。 主要负责公司国际网络安全活动的战略开发工作。Panev先生在信息和通信技术安全业务领域（包括信息安全管理系统和战略管理）拥有20多年资深经验。Alexander HäußlerTÜV南德意志集团管理服务部 全球产品合规经理兼主任审核员Alexander HauBler现任TÜV南德意志集团管理服务部全球产品合规经理兼主任审核员。加入TÜV南德意志集团前，曾任软件开发人员、系统管理员，并作为项目负责人帮助一家汽车供应商导入ISO 27001。后在该公司任信息安全官。目前，他在工作小组内部协助DIN和DAkkS处理ISMS相关问题。TÜV南德意志集团专家简介Doris KieferTÜV南德意志集团Sec-IT公司数据保护官Doris Kiefer是一名德国律师，在慕尼黑TÜV南德意志集团Sec-IT公司担任数据保护官。她在数据保护/数据隐私咨询服务（以外包、云计算、技术和组织数据安全、起草和磋商数据传送和处理协议为代表）和知识产权，以及在德国和欧洲审核与实施客户的合规性管理体系等领域积累下丰富经验。她就数据保护相关事务提供专业的建议，同时任多家公司的外聘数据保护官。Danilo DiomedeTÜV南德意志意大利集团定制化服务业务部门经理兼主任审核员Danilo Diomede现任TÜV南德意志意大利集团定制化服务业务部门经理，兼任注册主任审核员（ISO 9001, ISO 27001, ISO 20000, ISO 22301）。他拥有电子工程学士学位，曾任IT系统顾问，其工作范围包括管理体系的设计和实施。2011年加入TÜV南德意志意大利集团以来，Diomede先生先后在公司内部担任多个职位，如销售经理、技术协调员、培训师和项目经理。4关键基础设施的IT安全 | TÜV南德意志集团前言近年来，针对企业和工业信息技术（IT）系统的网络攻击在频率、严重性和影响方面呈指数级增长对公司、高管及其客户造成代价高昂的潜在后果。据国际会计师事务所普华永道报道显示，与2014年相比，2015年安全事件增加了38， “硬”知识产权盗窃事件增加了56。雇员仍被认为是最主要安全事件来源，由于业务合作伙伴引发的盗窃事件所占比例增至22%。1以所谓的关键基础设施行业作为 目标的潜在网络攻击威胁导致全球政府纷纷发布法规和要求，帮助抵御网络攻击或尽量减少其影响。 尽管如此，大中小型公司和企业 仍然面临风险。2015年，小型企业的网络攻击事件持续增加，增幅为9%。2011至2015年这五年期间，员工数量不足250人的企业遭遇的攻击事件稳步上升。2遗憾的是，对于很多组织而言，为保护IT基础设施而采取的措施通常倾向于解决最常见网络攻击的关联问题，例如：公司网站或在线支付系统，或包括系统硬件在内的其他潜在薄弱环节（漏洞）。但是，对于被黑客高手利用的其他领域，这些方法通常无效。此外，绝大多数IT安全实施工作均以历史漏洞的解决方案作为重点，无法应对黑客创新挑战。因此，多数IT安全措施无法提供全面、具有战略性的方法，无法为抵御黑客创造一个更加公平的战场。因此，多数IT安全措施无法提供全面、具有战略性的方法，无法为抵御黑客创造一个更加 公平的战场。5TÜV南德意志集团 | 关键基础设施的IT安全日益增加的IT安全威胁及其后果现如今，IT系统是整个工业化世界经济活动当中一个不可或缺的组成部分。任何规模的企业都依赖于IT系统来处理和存储数字化数据，包括重要文档和客户信息在内。但是，从制造和工业活动到销售点交易以及基于网络的商务活动，IT系统在控制和监控业务运作的各个方面发挥关键作用。因此，几乎在所有现代组织当中，IT和其它基础设施系统不仅相互影响，同时也是相互依存的。因此，几乎在所有现代组织当中，IT和其它基础设施系统不仅相互影响，同时也是相互依存的。事实上，IT系统在企业和工业活动的全面整合中显著增加了网络攻击的可能性以及后果的严重性。每年全球网络犯罪活动成本估计高达4450亿美元，高出大多数国家的国内生产总值。损失保守估计将有3750亿美元，损失上限可能高达5750亿美元。3除了经济影响以外，遭受网络攻击的组织还面临一系列其他后果。包括专有信息的丢失，导致削弱公司在市场当中的竞争地位，在当前和潜在客户当中声誉受损，以及关键基础设施行业中的物理损失。在某些情况下，高级管理人员由于未能确保实施充分的IT安全保障措施，或者由于泄密而导致诚信损失而被解雇。4 任何规模的企业都依赖于IT系统来处理和存储数字化数据，包括重要文档和客户信息在内。6关键基础设施的IT安全 | TÜV南德意志集团由于网络攻击的风险和后果日益严重，导致在IT系统安全性方面的支出也日益增加。据信息技术研究和咨询公司高德纳（Gartner）预测：截至2019年，安全市场整体复合年增长率（CAGR）将为7.8这表明IT安全支出在全球IT支出当中所占比例不足5（2.77万亿美元）。 5由于威胁的不断增加，不存在100%的安全性。因此，应集中力量建立高安全级别的安全框架，同时部署其他预防和应对服务，尽量将对违法攻击行为的反应和响应时间降到最低。 网络攻击的风险对于已被确定为关键基础设施（CI）组成部分的行业和企业来说尤其严重，CI通常被定义为“如果被中断或破坏，将会严重影响到公民的健康、安全或经济福利以及国家政府有效运作的原材料、IT资产、网络、服务和设备。”6 包括美国和欧盟（EU）在内的20多个主要工业化国家或地区，已经指定CI作为一个特殊的工业领域，通常包括金融服务、IT、医疗保健、电信、公共事业设备、能源、工业运输以及航空航天和国防。随着全球IT安全威胁不断增加，网络安全和数据保护法规和要求纷纷出台。多数司法管辖区已经采取措施，实施同时适用于CI和非CI行业的IT安全法规。由于面临可能造成更糟后果的风险，关键CI特定行业内部组织，如政府、IT和金融机构需要满足更加严格的法规，接受更高标准的监管。欧盟（EU）网络安全战略、欧洲安全议程为欧盟针对网络安全和网络犯罪方面采取的措施提供了整体战略框架。另外，数字化单一市场战略同样明确了信任和安全的重要性。72016年7月6日，欧洲议会通过了关于网络和信息系统安全的指令（NIS指令）。该指令自2016年8月开始正式生效。成员国拥有21个月的时间将该指令转化为国家法律，此后还有6个月的时间确定运营商的基本服务。8IT安全法规7TÜV南德意志集团 | 关键基础设施的IT安全由于持续性威胁不断增多且愈加复杂，导致监管环境随之变化。高级持续威胁（APT）通常以特定实体作为目标的一套隐匿和连续的电脑黑客攻击过程就是其中一个典型范例。具体来说，“高级”威胁指的是借助恶意软件利用系统中漏洞的复杂技术。“持续”过程表明外部指挥和控制系统正在不断监测并提取特定目标数据。IT系统IT漏洞要素较少的安全功能除了上述安全漏洞之外，其它IT系统组成要素（如嵌入式设备和应用软件）的设计可能会危及整体的IT安全性。供应商的访问和安全要求最后，直接访问组织IT系统的外部供应商可能会采取不太严格的IT安全措施，从而为黑客和网络攻击提供了一条备选路径。无线连接如今，IT系统支持无线连接简化异地数据收集。但无线连接更容易 受到窃听和远程黑客攻击的影响。日益提高的连通性 IT系统与其它网络和操作控制整合增加了信息流，但消除了有助于 保护这些系统免受外部威胁的实体屏障。现有组件目前，越来越多的IT系统利用现有组件进行设计，从而降低了成本和实施时间。但是，外界更容易获得关于组件安全漏洞的知识信息。系统漏洞具有不同形式，具体取决于IT系统的范围及其与其他工业系统和基础设施运作相结合的程度。下图显示了其他5个漏洞组成要素。IT安全威胁及漏洞类型APT一词通常被用于指代网络威胁，特别是利用各种情报收集技术访问敏感信息的互联网间谍活动。但同时也适用于其他类型的威胁，如传统的间谍活动或有组织的犯罪活动。结合各种网络威胁，网络攻击成功的可能性取决于单个IT系统易受此类威胁影响的程度。系统漏洞具有不同形式，具体取决于IT系统的范围及其与其他工业系统和基础设 施运作相结合的程度。其他漏洞 包括：8关键基础设施的IT安全 | TÜV南德意志集团IT安全宏观方法的组成要素迄今为止，大多数IT安全措施都以特别适用于IT基础设施的程序和控制作为重点。这些措施方法通常包括开发和应用具体技术要求的IT硬件和组件，可通过集中测试（如硬件渗透测试）评估其有效性。基于他们的业务或业务性质，一些组织也可能借助监督控制和数据采集（SCADA）系统开展特定的业务活动，或采取符合行业认可标准和实践的其他安全措施。但是，如前所述，IT系统与其它基础设施组成要素整合可能会导致不可预见的漏洞问题出现，不仅危及核心IT系统，同时还危及整个组织中的业务资产。现如今威胁不断变化，这些漏洞使得标准的针对人力密集型的IT安全方法不足以应对现代网络安全威胁。 我们需要采用一种宏观的IT安全方法，不仅由特定操作中的安全性界定，同时在企业层面建立了一个IT安全框架。这一框架至少包括： 识别和保护敏感数据的组织层面的策略和程序评估一般威胁级别和漏洞领域的分析和情报收集能力明确用于检测和评估相关安全威胁，并确定对已知安全漏洞作出适当响应的智能软件平台用以确定符合国家和工业化IT安全法规与标准的审核风险分析 高效、准确地实施所需的IT安全软件组织一旦建立起IT安全框架，则可开展常规的预防性活动，包括系统漏洞检查和渗透测试分析等。另外，还可以开展持续性活动，包括系统合规监测，以及实际安全漏洞出现后，确定根本原因的合法调查。组织通过采用这种整体IT安全方法，能够即刻在防范网络攻击的努力中取得重要进展，不受攻击来源或类型的限制。此外，还有助于将IT安全工作整合到企业范围内的风险管理方案中，将IT安全转变为组织整体业务战略的一个关键方面。 9TÜV南德意志集团 | 关键基础设施的IT安全采用有效的IT安全战略获得高级管理层的承诺成功源于一个组织的高级管理层对IT安全和执行一个满足该组织需要的方案的明确承诺。确保IT安全措施符合业务目标为了使员工普遍遵守IT安全策略，采取的措施必须为关键业务目标和活动提供直接支持。实施IT安全管理体系ISO 27001为信息安全管理体系的开发和实施提供了一个有价值的框架，同时兼具迎合特定需求的灵活性。预先评估与新技术有关的安全问题在采用新技术的同时，同时也可能会带来新系统的漏洞。在采用任何可能影响IT系统整体安全性的新技术之前，应对安全问题进行审查和评估。提高整个组织对IT安全问题的意识和责任关于IT安全性的信息的稳定流动将有助于确保管理和员工参与IT安全原则和实践当中。将安全考虑要素纳入到组织的绩效管理流程，可以推动完善各级问责制。利用行业知识与专业技能没有一个组织能够应对与IT安全有关的所有问题。通过工商业协会和网络安全专家获得专业知识，以此减少实施有效的安全解决方案所需的时间，并降低网络威胁风险。1.2.3.4.5.6.采用一种结构明确的方法利于成功启用更加有效的ITIT安全方案，其中包括以下步骤在内：10关键基础设施的IT安全 | TÜV南德意志集团由于网络攻击活动日益普遍，因此，对于IT安全的有效方法的需求变得更加重要。然而，许多组织（包括作为关键基础设施成员在内的组织）应对当今网络威胁问题的速度十分缓慢。此外，许多IT安全方法未能解决IT系统与其他数据驱动操作整合而引发的漏洞问题，使其更容易受到各类攻击以及随之而来的后果。为了成功应对这些挑战，组织必须考虑采用一种宏观的IT安全方法，以解决企业范围内所面临的风险和各项漏洞，对其它风险管理实践起到补充作用，使IT安全成为战略重点。这种整体方法提高了应对当今威胁的安全性，能够更好地为组织解决今后未知的网络挑战。 TÜV南德意志集团是一家全球性的企业和工业IT安全服务和解决方案供应商。我们的服务组合包括数据安全服务，例如：IT渗透测试、数据保护审核，以及处置信用卡数据的支付卡行业合规测试。同时，TÜV 南德意志集团的Sfer-电子商务购物标志获得广泛认可，是对维护网站的消费者信息安全性进行彻底 评估的证明。另外，TÜV南德意志 集团还是ISO / IEC 27001，ISO 22301 （业务连续性管理）和TL 9000（电信行业的质量管理要求）的领先注册商。凭借这些资质，TÜV南德意志集团成为全球各种规模CI行业组织和企业的首选IT安全合作伙伴。 &nbsp;为了成功应对这些挑战，组织必须考虑采用一种宏观的IT安全方法，以解决企业范围内所面临的风险和各项漏洞，对其它风险管理实践起到补充作用，使IT安全成为战略重点。TÜV南德意志集团如何为您提供帮助？技术咨询服务系统整合服务管理安全服务增值安全服务认证服务图1：TÜV南德意志集团网络安全组合11TÜV南德意志集团 | 关键基础设施的IT安全脚注1 &nbsp;网络安全的转变和转型，“全球信息安全情况调查报告”2016年主要调查结果是普华永道首席信息官和首席战略官自2015年5月7日至2015年6月12日期间在线开展的一项全球研究。访问：pwc/ sg/en/publications/assets/pwc-global-state-of-information-security-survey-2016.pdf ）（截至2017年2月1日）2 &nbsp;Symantec Corporation 发布的“2016年互联网安全威胁报告”访问： symantec/security-center/threat-report（截至2017年2月1日）3 &nbsp;“净损失：网络犯罪的全球估测成本”，网络犯罪的经济影响二，报告摘要；访问mcafee/in/resources/reports/ rp-economic-impact-cybercrime2-summary.pdf（截至2017年2月1日）4 &nbsp;“聚焦公司总裁格雷格·斯坦哈菲尔由于数据泄露问题辞职”福布斯杂志，2014年5月5日。访问：forbes/sites/clareoconnor/2014/05/05/target- &nbsp;ceo-gregg-steinhafel-resigns-in-wake-of-data-breach-fallout/#5b69bd886e61. （截至2015年2月13日 &nbsp;） 5 &nbsp;“预测分析：信息安全”，全球2015年第4季度更新版本，2016年3月22日发布 ID：高德纳公司G00302306，访问： cybersecurityventures/ cybersecurity-market-report/ &amp; gartner/ doc/3261517/ forecast-analysis-information-security-worldwide6 &nbsp;“国际CIIP手册2008/2009”苏黎世联邦理工学院安全研究中心，2008年7月访问：css.ethz.ch/publications/pdfs/CIIP-HB-08-09.pdf（截至2015年2月13日）7 &nbsp;“网络安全作为网络安全和数字隐私的一部分”访问： ec.europa.eu/digital-single-market/en/cybersecurity（截至2017年2月1日）8 &nbsp;“网络和信息系统安全指令”（NIS指令），访问：ec.europa.eu/ digital-single-market/en/network-and-information-security-nis- directive &amp; &nbsp;eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L114 8&amp;from=EN（截至2017年2月1日）版权通知本文件当中所含信息代表TÜV南德意志集团截止到发布日期关于讨论问题的当前观点。由于TÜV南德意志集团必须响应不断变化的市场条件，因此，不得将其观点视为TÜV南德意志集团的承诺，TÜV南德意志集团也无法保证发布日期后任何信息的准确性。本白皮书仅做参考使用。TÜV南德意志集团针对本文件当中的任何信息不作任何明确或暗示保证。用户应承担遵守所有相版权的责任。在版权不受限制的情况下，如果没有获得不TÜV南德意志集团的超越合规标准的安全性书面同意，得复制、储存或将本文件当中任何部分内容引入任何检索系统，也不得出于任何目的通过任何渠道以任何方式（电子、机械、复印、录音或其他）进行传输。TÜV南德意志集团享有本文件当中主题事项的专利、专利申请、商标、版权或其他知识产权。除非TÜV南德意志集团在任何书面许可当中超越合规标准的安全性同意，否则本文件的提供并不代表授予用户任何专利、专利申请、商标、版权或其他知识产权许可。在未获得事先书面同意的情况下，不得任何复制、改编或翻译本文件，除非版权法允许以外。©TÜV南德意志集团-2017年-版权所有- TÜV SÜD 是TÜV南德意志集团的注册商标。免责声明我们已经采取一切合理措施，以确保内容信息的质量、可靠性和准确性。但是，对于本时事通讯当中所含的第三方内容，TÜV南德意志集团不承担任何法律责任。TÜV南德意志集团并未以明确或暗示的方式对本时事通讯当中所含信息的准确性完整性作出任何保证或表示。本时事通讯旨在提供关于特定主题或主题事项的一般信息，并非关于该主题的完整处理。因此，本时事通讯当中所含信息并不构成任何咨询或专业建议或服务。如果想要获得与本时事通讯当中所含信息有关的任何事项的建议，应直接与我们联系提出具体问题，或咨询专业人士的专业意见。TÜV南德意志集团确保其服务的提供满足独立性、客观性和公正性要求。在未获得 TÜV南德意志集团事先书面同意的情况下，不得在任何其他出版物或资料当中复制、引用或提及本文所含信息。版权所有© 2017 TÜV南德意志集团。缩略词APT &nbsp; &nbsp;高级持续威胁CI &nbsp; &nbsp;关键基础设施EU &nbsp; &nbsp;欧盟GDPR &nbsp; &nbsp;一般数据保护条例IT &nbsp; &nbsp;信息技术NIS &nbsp; &nbsp;网络和信息安全NIST &nbsp; &nbsp;美国国家标准与技术研究院SCADA &nbsp; &nbsp;数据采集与监视控制系统12关键基础设施的IT安全 | TÜV南德意志集团2017 © TÜV SÜD China Holding | V-M/MS/38.1/zh-si/CN/260联系我们，了解在整个项目周期如何为您提供增值服务 tuv-sudinfotuv-sud我们在大中华区的分公司及办事处：权威认证，创享价值TÜV南德意志集团是一家优质、安全和可持续性的解决方案提供商，专注于提供测试、检验、审核、认证、培训和资讯服务。公司在全世界拥有1 ,000多个分支机构，致力于在欧洲、美洲、中东、亚洲和非洲提供认证服务。通过为客户提供客观的服务解决方案，我们着力为企业、客户和环境提供有形的增值服务。大中华区总部上海上海市恒通路151号3-13层 200070电话：+86 21 6141 0123上海测试中心上海市闵行区都会路1999号 201108电话：+86 21 6037 6300上海市闵行区都会路1951号16号楼 201108电话：+86 21 6037 6300上海工业材料实验室上海市闵行区曲吴路589号南上海创意产业园3号楼 200241电话：+86 21 6014 9880无锡江苏省无锡市东亭华夏中路10号 214100电话：+86 510 8820 3737宁波浙江省宁波市鄞州区前河南路1016号恒达高大厦1702室 315199电话：+86 574 2786 6658金华浙江省金华市金东区万达写字楼4号楼12楼17室 321000电话：+86 579 8288 8708南京江苏省南京市建邺区江东中路359号国睿大厦一号楼9楼905-1室 210000电话：+86 25 8779 0058合肥安徽省合肥市蜀山区长江西路200号置地投资广场2506室 230031电话：+86 551 6537 8730台州浙江省台州市温岭万昌中路1333号创业大厦2栋2楼 318000电话：+86 576 8966 1886苏州江苏省苏州市高新区狮山路22号人才市场2005室 215011电话：+86 512 6809 5318成都四川省成都市成龙大道888号总部经济港F1栋3楼 610199电话：+86 28 8952 0656杭州浙江省杭州市西湖区玉古路173号中田大厦15F-F 310007电话：+86 571 8111 0758常州江苏省常州市经济开发区五一路309号 213015电话：+86 519-81239872武汉湖北省武汉市解放大道688号武汉广场写字楼4104室 430022电话：+86 27 8571 4927郑州河南省郑州市郑东新区东风南路与创业路交叉口绿地之窗云峰A座1707室 450000 电话：+86 371 5538 2208重庆重庆市渝中区中山三路131号希尔顿商务中心507室 400 015电话：+86 23 8980 9513北京北京市朝阳区望京中环南路7号M楼 100102电话：+86 10 6590 6186北京实验室北京市北京经济技术开发区宏达北路12号B幢三区一层105-108室 100176电话：+86 10 6788 5819天津天津市和平区南京路189号津汇广场1号写字楼1210室 300051电话：+86 22 8319 2258青岛山东省青岛市市南区山东路40号广发金融大厦2202B 266071电话：+86 532 8503 0106大连辽宁省大连市中山区五惠路21号瑞诗酒店写字楼1111室 116001电话：+86 411 8230 4203沈阳辽宁省沈阳市沈河区惠工街124号中韩中心1408室 110013电话：+86 24 6223 3726长春吉林省长春市自由大路5188号经济技术开发区开发大厦1306室 130031电话：+86 431 8462 9833济南山东省济南市高新区新洛大街1166号奥盛大厦1号楼2413室 250101电话：+86 531 6862 1896哈尔滨黑龙江省哈尔滨市中山路260号财富中心6层602室 150001电话：+86 451 8264 3082香港香港沙田科学园科技大道西10号浚湖楼西翼3楼电话：+852 2776 1323香港元朗办事处香港元朗宏业西街33号元朗贸易中心18 楼电话：+852 2443 3774深圳广东省深圳市南山区南头关口二路智恒战略新兴产业园12&amp;13栋 518052电话：+86 755 8828 6998深圳观澜实验室广东省深圳市龙华新区观澜桔塘社区桔岭新村桔坑路11号 518110电话：+86 755 3359 5385广州广东省广州市黄埔大道西平云路163号通讯大楼5楼 510656电话：+86 20 3832 0668厦门福建省厦门市同安区美溪道湖里工业园93号401单元 361100电话：+86 592 7706 188东莞广东省东莞市南城区胜和路华凯大厦202室 523071电话：+86 769 2168 7092泉州福建省泉州市丰泽区泉秀路五矿大厦1401 362000电话：+86 595 2281 3681长沙湖南省长沙市五一大道456号亚大时代1202单元 410011电话：+86 0731 84585815柳州广西省壮族自治区柳州市阳光100城市广场2号写字楼15-15电话：+86 158 0772 5319台北台北市北投区中央南路二段37号7楼 11270电话：+886 2 2898 6818台中台中市南区建成路1727号 40248电话：+886 4 2287 0566以综合性IT安全方法减少潜在 损失tuv-sudinfotuv-sud权威认证，创享价值TÜV南德意志集团是一流的质量、安全和可持续性解决方案供应商，专门提供测试、检验、审核、认证、培训和知识服务。我们的办事处遍布全球1,000多个地区，在欧洲、美洲、中东和亚洲享受认证资质。通过为客户提供 客观的服务解决方案，我们为企业、消费者和环境增添有形实价值。</p>