超级会员免费看
田纳西河谷管理局电力系统ICT控制缺陷及安全改进策略
1. 田纳西河谷管理局电力系统管理概况
田纳西河谷管理局(TVA)的水电设施由河流运营部门管理,而输电控制系统则由其电力系统运营业务部门内的输电与可靠性组织负责。该组织高度依赖信息通信技术(ICT)控制系统,为确保系统安全,其在信息安全方面比TVA的其他组织承担了更多工作,例如管理部分自身的网络基础设施,并安排内部和外部安全评估以加强控制系统的安全性。
2. 安全审查情况
应三个国会委员会或小组委员会主席及资深成员的要求,相关方面对TVA为保护其控制系统和网络而实施的ICT控制和安全实践进行了审查。审查采用了联邦信息系统控制审计手册的方法,重点关注TVA六个设施的企业网络和ICT控制系统。这些设施涵盖了不同类型的发电设施(煤炭、燃气轮机、水电和核电)以及不同功能(发电和输电),以全面了解各类控制系统的情况。审查工作从2007年3月持续到2008年4月,遵循美国政府普遍接受的审计标准。审查过程包括使用联邦指南、清单和供应商最佳实践进行测试和观察,检查和分析相关文件,并与关键安全代表、系统管理员和管理人员进行讨论,还查阅了TVA监察长办公室此前发布的报告。
3. 安全实践存在的问题
控制弱点导致系统运行风险增加,TVA在保护关键基础设施的控制系统方面,并未全面实施适当的安全实践,存在诸多问题:
- 企业网络控制薄弱 :TVA企业网络存在多个弱点,使其网络设备和传输信息的机密性、完整性和可用性面临潜在威胁。具体表现如下:
- 企业网络上几乎所有接受检查的工作站和服务器都缺乏关键安全补丁或安全设置不足,这增加了攻击者利用已知漏洞执
订阅专栏 解锁全文
扫一扫
28
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
