按照ICS/SCADA专家Ralph Langner暗示，关头根本举措措施运营商采取了安然行业风行的风险治理理念，如许做是弊端的。这位德国安然专家破译了Stuxnet若何对准在伊朗的纳坦兹核举措措施的西门子PLC，他今天发布了一个网针对ICS(财产节制系统)的收集安然框架，他称这个框架比美国当局的收集安然框架更合用，今朝仍是草案的情势。

　　这个被称为强大年夜的ICS打算和评估(RIPE)框架采取了一种不合的编制来锁定举措措施，与NIST的基于风险的收集安然框架比拟，这类编制更多地基于流程。

　　Langner暗示：“大年夜家都知道，ICS环境贫乏强迫履行的安然政策，出格是针对承包商。在关头根本举措措施中更大年夜的资产所有者有针对工作人员的政策，但其实不是针对承包商。在Stuxnet以后，这仿佛被忽视了。”

　　再有就是ICS / SCADA系统的修补坚苦：当然大年夜部门这些企业传播鼓吹有一个修补方案，但凡是修复周期为一年，并且，你会发现，按照政策需要修复的系统，凡是只有一半真正获得了修复。

　　在私有ICS环境，收集安然只有低优先级。Langner估计，95%的关头根本举措措施运营商没有专门的安然专业人士来负责其系统，并且，其ICS安然只占其IT预算的不到1%。

　　Langner暗示：“假定有申明收集安然能力的指标，那就是资本。假定电厂、炼油厂或管道运营商没有专门负责ICS安然的专职人员，关于ICS安然的任何进一步会商都是没成心义的。”

　　Langner指出，基于风险的安然编制可所以假造的，并不是基于经验数据或关于ICS环境的实际。他指出，NIST收集安然框架让企业可以基于“摆设层”来肯定其摆设框架的标的目标，从而肯定其安然状况的成熟度。 “几近没有企业可以简单地决定其方针摆设层，这根基上意味着一个完全不成熟的收集安然过程。”

　　风险治理根基上已成为安然界的“宗教”，Mandiant公司首席安然官Richard Bejtlich暗示，“风险治理已深进每小我的心里，但在营业程度之下，我不觉得大年夜大都IT安然人员都专注于此中。”

　　RIPE明白了需要记实和测量的工厂系统的8个范畴来肯定安然状况：系统数量，或软件和硬件清单;收集架构，包含收集模型和图表;组件交互或工艺流程图;员工角色和责任，身份、特权数据库，和针对所有工作人员和承包商的政策;员工手艺和能力成长，或培训课程和把持和保护记实;指导，又称政策和尺度把持流程;设计和建设变动，或工厂打算和变动治理流程;和系统收购，或采购指南。

　　摆设每个步调都有模板。“我要说的是，假定你利用我们的模板，或经由过程其他工作来对上述8个范畴进行测量，你将可以或许进步你的收集安然态势。利用RIPE的人将会对可衡量收集安然包管比合规性更感欢愉爱好。”

　　RIPE还包含这8个方面的怀抱基准和评分。Langner暗示，RIPE是基于工厂车间把持员的观点，这是一个切实可行的编制，可以或许更好地呵护这些环节。同时，Langner希看RIPE将影响NIST收集安然框架的最后版本。