查看原文
其他

五眼联盟发布关于智慧城市网络安全指南,含供应链风险管理

Samira Sarraf 代码卫士 2023-05-08

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

五眼联盟发布名为《智慧城市网络安全最佳实践》的指南,旨在提高执行智慧城市技术的社区和组织机构的意识,让他们认识到这些让人受益的技术中也可能存在漏洞。该指南建议考虑成为智慧城市的社区评估并缓解技术所带来的网络安全风险。

攻击者对智慧城市感兴趣的是被收集和处理的数据。由于基于AI的系统用于集成该数据,因此在检查漏洞时应特殊关注这些情况。该指南主要关注三方面:安全规划和设计、主动的供应链风险管理以及运营弹性。


01安全的规划和设计


社区规划将智慧城市技术集成到基础设施系统时,必须纳入战略性前瞻和主动的网络安全风险管理流程。应谨慎将新技术集成到遗留系统重。智能或联网特性必须是设计安全的。社区应当意识到需要重新设计遗留基础设施,才能安全地部署智慧城市系统。

执行智慧城市技术的组织机构应当在所有的网络环境中应用最低权限原则。也就是说应当查看厂商的默认和已有配置以及加固指南,确保硬件和软件只有在需要执行函数时才能访问系统和数据。这些组织机构应当了解其环境并仔细管理子网之间的社区,包括新的连接基础设施系统的互联子网。

其它措施包括执行多因素认证机制,执行零信任架构,安全管理智慧城市资产,提升易受攻击设备的安全性,保护面向互联网的服务,及时修复系统和应用程序,以及查看与部署相关联的法律、安全和隐私风险。


02主动的供应链风险管理


该指南提到,所有涉及执行智慧城市技术的组织机构都应当主动管理任何新技术的信息和通信技术 (ICT) 供应链风险,包括支持智慧城市系统的硬件或软件或者支持实现和运营的服务提供商。执行智慧城市系统的社区的采购官员还应当与厂商沟通最低安全要求并说明违反这些要求时所采取的行动。


03运营弹性


负责智慧城市项目的组织机构应当开发、评估和维护所有关键基础设施功能的手动运营意外事件并培训相关人员。这些意外事件应当包括从另外一个基础设施系统中断开连接,或者从公开互联网断开连接以自动运营。如发生攻陷事件,组织机构应当准备好隔离受影响系统并以尽可能少的破坏运营其它基础设施。为此,该指南建议培训员工如何从OT 隔离受陷的IT系统以及在必要时运营关键函数。

此外,还应为集成到智慧城市网络中的物理系统的IT系统记录和手动运营能力创建、维护和测试备份。同时建议开发和实践事件响应和恢复计划。

该指南由澳大利亚网络安全中心(ACSC)、加拿大网络安全中心(CCCS)、新西兰国家网络安全中心(NCSC-NZ)、英国国家网络安全中心(NCSC-UK)、美国的网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和国家安全局(NSA)协同编写。

该指南提到,“组织机构应当按照自身的网络安全要求执行这些最佳实践,确保基础设施系统的安全运营、保护公民的个人数据以及敏感政府和业务数据的安全性。”




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

五眼联盟:管理服务提供商遭受的供应链攻击不断增多

五眼联盟发布2021年最常遭利用的15个漏洞

谁比谁更坏?五眼联盟被曝入侵俄版谷歌 Yandex 系统

五眼联盟公布最常遭恶意利用的黑客工具

全球范本?特朗普也无力撼动?五眼联盟到底是怎样的一种存在?



原文链接
https://www.csoonline.com/article/3694149/five-eye-nations-release-new-guidance-on-smart-city-cybersecurity.html


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存