正文

下载:五眼联盟智慧城市的网络安全最佳实践

admin
admin V管理员 /0 评论 /164 阅读
0515
此篇文章发布距今已超过493天,您需要注意文章的内容或图片是否可用!
文末获取下载路径




本指南是美国网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)、美国联邦调查局(FBI)、英国国家网络安全中心(NCSC-UK)、澳大利亚网络安全中心(ACSC)、加拿大网络安全中心网络安全(CCCS)和新西兰国家网络安全中心(NCSC-NZ)。

这些网络安全机构(以下简称“创作组织”)意识到,社区可以通过基础设施的数字化转型来寻求成本节约和生活质量改善,以创建“智能城市”。在这种情况下,“智慧城市”一词是指具有以下特征的社区:


  • 整合信息和通信技术(ICT)、社区数据和智能解决方案,实现基础设施数字化转型并优化治理,以满足公民需求。
  • 将管理物理基础设施的运营技术(OT)与使用ICT组件(如物联网(IoT)设备、云计算、人工智能(AI)和5G)收集和分析数据的网络和应用程序连接起来。

注意:也指具有此类集成的社区的术语包括“互联场所”、“互联社区”和“智能场所”。在其基础设施中采用智慧城市技术的社区规模各不相同,包括大学校园、军事设施、城镇和城市。
将公共服务整合到互联环境中可以提高支持我们社区日常生活的基础设施的效率和弹性。但是,考虑成为智慧城市的社区应彻底评估和减轻这种集成带来的网络安全风险。智慧城市是恶意网络行为者的有吸引力的目标,因为:


  • 正在收集、传输、存储和处理的数据,其中可能包括来自政府、企业和公民个人的大量敏感信息。
  • 复杂的人工智能驱动的软件系统可能存在漏洞,智慧城市有时会使用它们来整合这些数据。
大型数据集的内在价值和数字系统中的潜在漏洞意味着存在被恶意威胁行为者(包括民族国家、网络犯罪分子、黑客行动主义者、内部威胁和恐怖分子)利用从事间谍活动以及获取财务或政治利益的风险。
没有任何技术解决方案是完全安全的。随着社区实施智慧城市技术,本指南提供了在效率和创新与网络安全、隐私保护和国家安全之间取得平衡的建议。组织应根据其特定的网络安全要求实施这些最佳实践,以确保基础设施系统的安全可靠运行、公民私人数据的保护以及敏感的政府和企业数据的安全。
编写组织建议结合NCSC的互联场所网络安全原则、ACSC的智能场所保护简介、CCCS的关键基础设施安全注意事项、CISA的跨部门网络安全绩效目标、转变网络安全风险平衡:设计和默认安全的原则和方法,以及防止对托管服务提供商及其客户的网络威胁。

智慧城市面临的风险

智慧城市可以通过技术创新和数据驱动的决策创造更安全、更高效、更有弹性的社区;然而,这一机会也带来了潜在的漏洞,如果被利用,可能会影响国家安全、经济安全、公共卫生和安全以及关键基础设施运营。针对OT系统的网络威胁活动在全球范围内不断增加,OT系统和智能城市基础设施之间的互连增加了攻击面并加剧了入侵的潜在后果。
智慧城市是犯罪分子和网络威胁行为者利用易受攻击的系统窃取关键基础设施数据和专有信息、进行勒索软件操作或发起破坏性网络攻击的有吸引力的目标。针对智慧城市的成功网络攻击可能导致基础设施服务中断、重大财务损失、公民私人数据暴露、公民对智能系统本身的信任受到侵蚀,以及对基础设施的物理影响,可能导致人身伤害或生命损失。实施智慧城市技术的社区应考虑这些相关风险,作为其整体风险管理方法的一部分。编写组织建议使用以下资源来指导网络风险管理:

网络威胁环境(CCCS)简介

控制系统防御:了解对手(CISA,NSA)

网络威胁公告:对运营技术的网络威胁(CCCS)

网络评估框架(NCSC-UK)

扩展和互连的攻击面

将更多以前独立的基础设施系统集成到单个网络环境中,可以扩大每个互连组织的数字攻击面。这种扩展的攻击面增加了威胁参与者利用漏洞进行初始访问的机会,跨网络横向移动,并导致基础架构运营的级联、跨部门中断,或以其他方式威胁组织数据、系统和网络的机密性、完整性和可用性。例如,如果系统相互连接,访问地方政府物联网传感器网络的恶意行为者可能能够横向访问紧急警报系统。
此外,由于智能城市集成了更多系统并增加了子网之间的连接,网络管理员和安全人员可能会失去对集体系统风险的可见性。这种潜在的可见性损失包括由供应商拥有和运营的组件,这些供应商将其基础架构作为服务提供支持集成。系统所有者必须保持对不断发展的网络拓扑以及负责整个系统和每个网段的个人/供应商的认识和控制。
角色和职责的模糊性可能会降低系统的网络安全状况和事件响应能力。实施智慧城市技术的社区应评估和管理与复杂的互连系统相关的这些风险

关注公众号回复“230422

获得“智慧城市的网络安全最佳实践 ”翻译版

后期,我们将陆续整理分享网络安全相关资料

…………

建议

安全的规划和设计

编写组织强烈建议社区在其计划和设计中包括战略远见和主动网络安全风险管理流程,以将智慧城市技术集成到其基础设施系统中。新技术应有意识地、谨慎地集成到传统基础设施设计中。社区应确保他们计划包含在新基础设施中的任何“智能”或连接功能在设计上都是安全的,并将安全连接与任何剩余的遗留系统相结合。此外,社区应该意识到,传统基础设施可能需要重新设计,以安全地部署智能城市系统。安全规划应侧重于通过深度防御来创造弹性,并考虑物理和网络风险以及物联网和工业物联网(IIoT)系统引入的融合网络物理环境。请参阅以下整合的基线实践,各种规模的组织都可以实施这些实践,以减少已知IT和OT风险的可能性和影响。

>>>等级保护<<<


















  32. >>>工控安全<<<


  43. >>>数据安全<<<

  54. >>>供应链安全<<<






  66. >>>其他<<<


下载:五眼联盟智慧城市的网络安全最佳实践


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com