一、摘要
- 整合信息和通信技术(ICT)、全社区数据和智能解决方案,对基础设施进行数字化转型,优化治理,满足公民需求。
- 将管理物理基础设施的运营技术(OT)与使用ICT组件收集和分析数据的网络和应用程序连接起来,这些ICT组件包括物联网(IoT)设备、云计算、人工智能(AI)和5G。
说明:采用这种整合方法的还有“互联场所”、“互联社区”和“智能场所”。在基础设施中采用智慧城市技术的社区规模各不相同,小到大学校园和军事设施,大到城镇和城市。
将公共服务纳入互联环境可以增强基础设施的效率和韧性,方便人们的日常生活。然而,有意创建智慧城市的社区应充分评估和减轻这种整合带来的网络安全风险。智慧城市之所以对恶意网络攻击者极具吸引力,原因如下:
- 所收集、传输、存储和处理的数据包括政府、企业和公民个人的大量敏感信息;
- 智慧城市有时会使用复杂的智能软件系统来整合这些数据,而这些系统可能存在漏洞。
大型数据集的内在价值和数字系统中的潜在漏洞意味着,包括民族国家、网络罪犯、激进黑客、内部威胁和恐怖分子在内的恶意威胁主体可能会利用这些数据集进行间谍活动,获取经济或政治利益。
任何技术方案都不可能是完美无缺的。社区在实施智慧城市技术时,一方面需要提升效率和进行创新,另一方面,需要保护网络安全、隐私和国家安全。本指南就如何平衡这两方面提供了建议。各组织应根据其特定的网络安全要求采用本文所提供的最佳实践,确保基础设施系统安全运行,保护公民的隐私数据以及敏感的政府和商业数据。
撰稿组织建议在阅读本指南时结合英国国家网络安全中心的《互联场所网络安全原则》、澳大利亚网络安全中心的《智能场所安全保护入门》、加拿大网络安全中心的《关键基础设施的安全考虑》、美国网络安全和基础设施安全局的《跨部门 网络安全绩效目标》《改变网络安全风险平衡:安全设计和预设安全的原则与方法》及《应对网络威胁,保护托管服务提供商及其客户的安全》。
二、智慧城市面临的风险
智慧城市对于犯罪分子和网络威胁主体极具吸引力,他们会利用存在漏洞的系统窃取关键基础设施数据和专有信息、进行勒索软件攻击或发动破坏性网络攻击。智慧城市遭遇网络攻击后,会导致基础设施服务中断、重大财务损失、公民隐私数据泄露、智能系统可信性下降,还可能对基础设施造成物理影响,导致伤亡。社区实施智慧城市技术时应将这些相关风险纳入整体风险管理。撰稿组织推荐使用以下资源进行网络风险管理:
- 网络威胁环境入门(CCCS)
- 控制系统防御:了解对手(CISA、NSA)
- 网络威胁公告:运营技术网络威胁(CCCS)
- 网络评估框架(NCSC-UK)
此外,由于智慧城市集成了更多的系统,增加了子网之间的连接,网络管理员和安全人员可能无法全面了解整个系统的风险。例如,在集成网络中,各个厂商提供了不同组件,形成基础设施即服务,而网络管理员和安全人员无法准确定位组件的所有者和运营者。在网络持续演进过程中,系统所有者务必了解网络拓扑的每一变化,加强控制,还要明确整个系统及其组成部分的负责人或厂商。角色和责任若模糊不清,势必会影响系统的网络安全态势和事件响应能力。社区采用智慧城市技术时应评估和管理与复杂互联系统相关的此类风险。
- 数据和知识产权被窃;
- 智慧城市系统的完整性不再可信;
- OT可用性被破坏,进而导致系统或网络故障。
提供智慧城市技术的ICT厂商应采取全面的安全方法,开发中应遵循安全设计(secure-by-design)和预设安全(secure-by-default)原则。采用这些安全实践的软件产品可减轻资源受限的当地司法管辖区的负担,提高智慧城市网络的网络安全基线。有关安全设计和预设安全开发实践,请参阅以下资源:
- 改变网络安全风险的平衡:安全设计和预设安全的原则与方法(CISA、NSA、FBI、ACSC、NCSC-UK、CCCS、BSI、NCSC-NL、CERT NZ、NCC-NZ)
技术与基本或重要服务之间相互依赖且这种依赖日益增长,因而,各智慧城市厂商带来的风险可能远高于其他ICT供应链或基础设施运营的风险。组织应周密考虑各厂商风险,避免潜在的不可靠软硬件危及公民、企业和社区,防止有人利用供应链漏洞发动攻击。具体说来,组织要严格审查两类厂商:
(1)来自于有网络攻击历史的国家的厂商
(2)按国家法律要求须将数据移交给外国情报机构的厂商。
ICT供应链若存在漏洞,可能会被非法入侵,进而影响或中断基础设施的运营,或导致公用事业运营、应急服务通信或视频监控相关的敏感数据被泄露或窃取。智慧城市IT厂商可能需要访问多个社区的大量敏感数据,以支持基础设施服务的集成。这些敏感数据包括政府信息和个人身份信息(PII),这类信息是恶意攻击者的主要目标。敏感数据聚集在一处可能会被恶意攻击者获取,发现关键基础设施中的漏洞,危及公民的隐私安全。有关如何降低供应链风险,参阅以下资源:
- 信息和通信技术供应链风险管理(CISA)
- 供应链安全指南(NCSC-UK)
- 识别网络供应链风险(ACSC)
- 网络供应链:风险评估方法(CCCS)
智慧城市环境中基础设施运营的自动化可能需要使用传感器和致动器,这会将更多的端点和网络连接置于入侵风险之下。人工智能和复杂数字系统的集成可能会引入无法防护的新攻击向量和存在漏洞的其他网络组件。对人工智能系统或其他复杂系统的依赖或会降低网络设备操作的整体透明度,因为这些系统基于算法而非人工判断来做出和执行操作决策。
三、建议
- 跨部门网络安全绩效目标(CISA)
有关信息、物理和融合环境中的风险应对指南,另见以下文档:
- 通过深度防御提升ICS网络安全(CISA)
- 网络安全与物理安全融合(CISA)
- 结果驱动的网络信息工程(INL)
- 权限和账号保护(NSA)
- 限制管理权限(ACSC)
- 管理和控制管理权限(CCCS)
- #不止是密码(CISA)
- 政府支持的俄罗斯网络攻击者利用默认的多因素身份认证协议和“打印噩梦”(PrintNightmare)漏洞入侵网络(FBI、CISA)
- 向多因素身份认证过渡(NSA)
- 在线服务MFA(NCSC-UK)
- 实施MFA(ACSC)
- 零信任架构设计原则—身份认证和授权(NCSC-UK)
- 零信任架构设计原则(NCSC-UK)
- 零信任成熟度模型(CISA)
- 采用零信任安全模型(NSA)
- 安全架构的零信任方法(CCCS)
- 零信任安全模型(CCCS)
说明:根据端点信任关系要求,尽可能采用零信任架构和MFA。部分OT网络可能要求采用“默认信任”(trust-by-default)架构,组织应对此类网络加以隔离,同时使用零信任等原则来保护与该网络的所有连接。
- CISA漏洞扫描(CISA)
- 漏洞扫描工具和服务(NCSC-UK)
- 安全架构反模式(NCSC-UK)
- 预防横向移动(NCSC-UK)
- 网络分段及应用程序感知防御(NSA)
- 如何选择和加固远程访问VPN方案(CISA、NSA)
- 使用虚拟专用网络(ACSC)
- 虚拟专用网络(CCCS)
- 保护基于公共服务CNI的互联网服务(NCSC-UK)
- 保护Web应用系统,防止凭证填充攻击(CCCS)
- 隔离面向Web的应用程序(CCCS)
- 已知利用漏洞目录(CISA)
- 网络安全资产管理(NCSC-UK)
评审与部署相关的法律、安全和隐私风险。
采用流程,持续评估和管理与部署方案相关的法律和隐私风险。
有关详细的供应链安全指南,参阅如下文件:
- 俄罗斯国家支持的针对关键基础设施的网络威胁组织(CISA、ACSC、NCSC-NZ、NCSC-UK、CCCS)
- 供应链安全指南(NCSC-UK)
- ICT供应链资源库(CISA)
- 电力子行业的信息物理安全考虑因素(CISA)
- 网络供应链风险管理(ACSC)
厂商还应承担部分产品风险,根据安全设计和预设安全原则开发智慧城市技术,主动维护自己的产品。厂商遵守了这些原则,负责采购和实施智慧城市技术的组织才能更有信心地将产品接入网络。
详细指导,可参阅如下文件:
- 改变网络安全风险的平衡:安全设计和预设安全 的原则和方法(CISA、NSA、FBI、 ACSC、NCSC-UK、CCCS、BSI、NCSC-NL、CERT NZ、NCSC-NZ)
- 软件材料清单(CISA)
- 供应链网络安全:安全掌控(NCSC-NZ)
- 保护软件供应链安全:客户建议实践指南(ODNI、NSA、CISA、CSCC、 DIBSCC、 ITSCC)
- 协调漏洞披露过程(CISA)
- 保护组织,防范软件供应链威胁(CCCS)
- 网络供应链:风险评估方法(CCCS)
- 物联网项目的网络安全(NIST)
- 防范软件供应链攻击(CISA、NIST)
- 改变网络安全风险的平衡:安全设计和预设安全的原则与方法(CISA、NSA、FBI、ACSC、NCSC-UK、CCCS、BSI、NCSC-NL、CERT NZ、NCC-NZ)
- 保护托管服务提供商及其客户,防范网络威胁(NCSC-UK、CCCS、NCSC-NZ、CISA、NSA、FBI)
- 云计算安全六步法(FTC)
- 为组织选择最佳网络安全解决方案(CCCS)
智慧城市技术实施组织应该制定计划并对员工进行培训,让运营经理了解如何断开正常连接的基础设施系统,进行“离线”操作,保持基本服务水平。详细指导,可参阅如下文件:
- 联网环境中的离线备份(NCSC-UK)
组织应为新员工和现有员工提供培训,介绍集成自动化操作以及独立的手动备份程序,包括重启后如何恢复服务。组织应定期更新培训,纳入新技术和新组件内容。详细指导,可参阅如下文件:
- 通过CISA提供的ICS培训(CISA)
- 事件响应计划基础知识(CISA)
- 如何有效开展网络演习(NCSC-UK)
- 事件管理:增强韧性,做好准备(NCSC-NZ)
- 提前准备,应对网络安全事件(ACSC)
- 制定事件响应计划(CCCS)
- 制定IT恢复计划(CCCS)
发布日期:2023年4月
原文链接:https://www.cisa.gov/resources-tools/resources/cybersecurity-best-practices-smart-cities