五眼联盟发布关于智慧城市网络安全指南,含供应链风险管理
编译:代码卫士
攻击者对智慧城市感兴趣的是被收集和处理的数据。由于基于AI的系统用于集成该数据,因此在检查漏洞时应特殊关注这些情况。该指南主要关注三方面:安全规划和设计、主动的供应链风险管理以及运营弹性。
社区规划将智慧城市技术集成到基础设施系统时,必须纳入战略性前瞻和主动的网络安全风险管理流程。应谨慎将新技术集成到遗留系统重。智能或联网特性必须是设计安全的。社区应当意识到需要重新设计遗留基础设施,才能安全地部署智慧城市系统。
执行智慧城市技术的组织机构应当在所有的网络环境中应用最低权限原则。也就是说应当查看厂商的默认和已有配置以及加固指南,确保硬件和软件只有在需要执行函数时才能访问系统和数据。这些组织机构应当了解其环境并仔细管理子网之间的社区,包括新的连接基础设施系统的互联子网。
其它措施包括执行多因素认证机制,执行零信任架构,安全管理智慧城市资产,提升易受攻击设备的安全性,保护面向互联网的服务,及时修复系统和应用程序,以及查看与部署相关联的法律、安全和隐私风险。
该指南提到,所有涉及执行智慧城市技术的组织机构都应当主动管理任何新技术的信息和通信技术 (ICT) 供应链风险,包括支持智慧城市系统的硬件或软件或者支持实现和运营的服务提供商。执行智慧城市系统的社区的采购官员还应当与厂商沟通最低安全要求并说明违反这些要求时所采取的行动。
负责智慧城市项目的组织机构应当开发、评估和维护所有关键基础设施功能的手动运营意外事件并培训相关人员。这些意外事件应当包括从另外一个基础设施系统中断开连接,或者从公开互联网断开连接以自动运营。如发生攻陷事件,组织机构应当准备好隔离受影响系统并以尽可能少的破坏运营其它基础设施。为此,该指南建议培训员工如何从OT 隔离受陷的IT系统以及在必要时运营关键函数。
此外,还应为集成到智慧城市网络中的物理系统的IT系统记录和手动运营能力创建、维护和测试备份。同时建议开发和实践事件响应和恢复计划。
该指南由澳大利亚网络安全中心(ACSC)、加拿大网络安全中心(CCCS)、新西兰国家网络安全中心(NCSC-NZ)、英国国家网络安全中心(NCSC-UK)、美国的网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和国家安全局(NSA)协同编写。
该指南提到,“组织机构应当按照自身的网络安全要求执行这些最佳实践,确保基础设施系统的安全运营、保护公民的个人数据以及敏感政府和业务数据的安全性。”
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。