在重要任务管理方面，关键基础设备运营商开始用开放标准结构替代所有权系统。由此，一位高级技术审计师对同行的风险意识表示关注。

注册信息系统审计师(CISA)Barry Munns告诉Builder澳大利亚姐妹网站ZDNet Australia说，IT审计职业“大大忽略”了能源、汽油及用水公用事业在其遥感勘测与遥控基础设备中采用开放标准（也称之为数据采集与监控系统—SCADA）的行动，以及这一行动所带来的危险。这些系统可对变电站或水管这些基础设施进行遥控或监控。

Munns说：“发生了一些世代性的转变。”

“由相当封闭的所有权类型结构——软件与操作系统，转向更为开放或公共类型的系统。所有与黑客和拒绝服务这些事情有关的风险，这些风险现在非常有可能进入SCADA。”

Munns为澳大利亚能源公司审计过一些系统，最近他加入澳大利亚核科学与技术协会(ANSTO)。

“SCADA遥感勘测与遥控系统正向开放安排与互联模式发展。”他称。

作为一名IT审计师，这是一个在很大程度上被忽略且一般不为人所知的领域。

“我认为这是一个在我们职业范围内尚未引起关注的领域。”

Munns称，虽然以前攻击者必须拥有高度的专业知识，且有时要能访问关键基础设备运营商的设施才能造成破坏，但现在这种攻击要简单得多。

尽管以前你可能拥有一个非常封闭的系统，你向一家公司购买一个所有权SCADA系统，他们向你提供所有的硬件与软件…那种安置十分独特。

“现在，你能够购买一个SCADA系统或自己开发，但你也许会使用Linux作为你的操作系统，使用TCP/IP作为通信协议，并使用常见的防火墙。于是突然之间，你开始使用普通的应用。因为它们是普通的，所以更容易受到攻击。”

“所以，尽管以前只有少数人了解这种应用…我们实际上正面临一个我们不再是知情人的领域。这正是问题所在。”

这大大增加了潜在攻击者的数量，Munns称。

“一般来说，你以前需要直接访问系统才能对其进行攻击，但随着我们转而使用开放标准，这种安全级别已经不再存在了。”

Munns称更多组织需要采用IT管理框架来避免这种风险。

“我强烈推荐所有组织都采用7799信息安全标准。”

去年，联邦政府公布了SCADA系统首席执行官建议，并成立“信任信息共享网络(TISN)”来应对这些风险。

Munns拒绝评论澳大利亚能源公司的SCADA系统。

责任编辑：张琎

查看本文的国际来源