如今，数据中心的失败比十年前具有更广泛的影响。在减轻网络攻击风险的责任方面，企业必须了解这些风险以及它们的全部影响。

虽然IT网络安全具有监测与评估系统人，但仍然可能遭遇攻击。尽管一些企业具有ICS(工业控制系统)的经验，但仍然缺乏对监测与评估数据中心漏洞的认识。其部分归因于数据中心监测与评估系统的不足，这些问题存在是因为它涉及到监测和评估固件，因此IT技术和工程技术之间完全相反。

行业专家建议每个企业和政府数据中心都必须进行网络安全监督评估审计。并介绍了影响物理安全和环境控制的新的网络安全法规。

　　金融服务立法将影响行业厂商

纽约州金融服务局(NYDFS)通过的网络安全立法23NYCRR500于2017年3月1日生效。

新规则适用于在纽约州内经营的“银行法”，“保险法”或“金融服务法”(有限豁免)，包括非美国实体在内的任何金融服务公司。

这些公司将在2017年8月28日之间有实施网络安全计划和政策。特别是第500.03条，(j)项是物理安全和环境控制。环境控制系统使用固件有三个原因：

1.系统属于监控与评估领域，而不是IT网络安全。因为影响这些系统保护的这种治理与网络安全的其他方面没有得到同等程度的关注。

2.访问固件进行修补或其他修改由第三方供应商进行。

3.控制和监视系统协议，例如MODBUS，BACnet和SNMPv3由于其防护较弱或通常不存在的加密和认证而容易受到恶意攻击，因为它们将网络安全本身作为一个问题。

　　防御性基础设施

该法规规定，网络安全政策(涉及物质安全和环境控制的条款)是基于风险评估。不正当之处在于，尽管这些公司自生效之日起一年内进行风险评估，但其所依据的网络安全政策即将到期。

至少，承办金融服务的数据中心必须紧急采取行动，对影响其监测和监测系统的漏洞进行审计。

　　2017年各国政府部门制定的新立法

英国政府于2016年12月发布了“网络安全法规和激励措施审查报告”，该报告指出，它正在考虑对关键部门另行监管。在网络和信息安全(NIS)下，关键数字服务(如云服务提供商)的指令运营商可能需要额外的风险管理和报告要求。

另外，新加坡政府将在今年推出新的网络安全法案，要求“关键信息基础设施(CII)业主和运营商负责保护其系统和网络。这包括遵守政策和标准，进行审计和风险评估，以及报告网络安全事件。”(新加坡网络安全战略2016，新加坡网络安全局)

确定监测和评估系统中的漏洞是组织需要采取的第一步，以遵守新立法的初步阶段。

(责任编辑：安博涛)