9國14個監管機構聯合發布《運營技術網絡安全原則》
責編:gltian |2024-10-08 15:19:51
2024年10月2日,澳大利亞牽頭發布了一份《運營技術網絡安全原則》,闡述了指導創建和維護安全、可靠的關鍵基礎設施OT環境的六項原則。該文件由澳大利亞信號局網絡安全中心(ASD的ACSC)撰寫,并與美國網絡安全和基礎設施安全局(CISA)、國家安全局(NSA)、聯邦調查局(FBI)、多州信息共享與分析中心(MS-ISAC)、英國國家網絡安全中心(NCSC-UK)、加拿大網絡安全中心(Cyber Centre)、新西蘭國家網絡安全中心(NCSC-NZ)、德國聯邦信息安全辦公室(BSI Germany)、荷蘭國家網絡安全中心(NCSC-NL)、日本網絡安全事件準備與戰略國家中心(NISC)及國家警察廳(NPA)、大韓民國國家情報院(NIS)及NIS國家網絡安全中心(NCSC)共同發布。
關鍵基礎設施組織為公眾提供至關重要的服務,包括清潔水、能源和交通。這些組織依賴運營技術(OT)來控制和管理提供這些關鍵服務的物理設備和流程。因此,關鍵服務的連續性依賴于關鍵基礎設施組織確保其OT的網絡安全和安全性。由于OT在關鍵基礎設施組織技術環境中的廣泛集成,以及這些環境的復雜結構,很難確定業務決策如何影響OT的網絡安全,包括特定決策帶來的風險。決策可能包括向環境引入新系統、流程或服務;選擇支持技術環境的供應商或產品;以及制定業務連續性和安全相關計劃和手冊。本文檔旨在幫助組織在設計、實施和管理OT環境時做出決策,以確保其既安全又可靠,同時確保關鍵服務的業務連續性。
編寫機構建議OT決策者應用本文檔中提出的六項原則,以幫助確定所做出的決策是否可能對OT環境的網絡安全產生不利影響。如果決策影響或違反本文檔中概述的一項或多項OT網絡安全原則,則可能會給OT環境引入漏洞。因此,需要更仔細地審查此類決策,以確保實施適當的網絡安全控制措施,并且控制措施實施后的剩余風險是可接受的,或者重新考慮該提案。快速篩選決策以識別那些影響OT安全性的決策,將增強在設計、實施和管理OT環境時做出穩健、知情和全面的決策的能力,從而促進安全、可靠性和業務連續性。編寫機構建議OT決策者閱讀并理解每一項原則。本文檔旨在供所有需要篩選影響OT的決策的人員使用,從組織的領導層(包括制定戰略決策的高管和董事會成員)到制定戰術和運營決策的技術人員。
原則1:安全至上——確保系統安全!
物理環境中的安全至關重要。這包括人身安全、工廠與設備安全、環境安全以及過程的可靠性和正常運行時間。網絡安全控制措施必須安全,并且安全性的考慮應基于網絡威脅環境。
原則2:了解業務至關重要——了解并保護關鍵系統。
了解業務、了解流程的工作原理、了解連接點在哪里以及哪些部件是關鍵部件,將有助于組織為其可用資源設計和實施最有效的網絡安全控制措施和響應能力。組織應能夠識別關鍵系統,并建立能夠保護這些系統的架構,同時包括能夠實現所需業務成果的恢復和恢復過程。
原則3:OT數據極其寶貴且需要保護——保護OT數據。
對于惡意網絡攻擊者來說,了解系統的設置方式、網絡的架構方式、控制器的配置方式、所使用的供應商和設備、所使用的協議等,就像是一張指導如何造成破壞的藏寶圖。應制定流程,以最小化對OT數據的訪問和分發,同時確保OT數據的完整性。
原則4:將OT與其他所有網絡進行隔離和分段——關緊后門。
將OT與其他所有網絡(包括對等網絡、IT網絡和互聯網)進行隔離和分段。特別要考慮OT環境中的管理和行政角色分配。
原則5:供應鏈必須安全——確保網絡安全供應鏈。
供應鏈安全不僅涉及主要供應商的軟件和設備。應考慮OT中的所有軟件、設備和托管服務提供商,包括它們的支持、管理和維護,從采購和集成到退役和處置。
原則6:人員在OT網絡安全中至關重要——人員是第一道防線。
如果沒有具備必要工具和接受過培訓的人員來尋找并有能力及時有效地應對OT中的網絡安全事件,則無法預防、防御、識別、響應和從網絡安全事件中恢復。對員工進行投資,以創建一個訓練有素、技能嫻熟的協作團隊,并提供必要的工具,同時輔以整個組織范圍內的成熟網絡安全文化,這對于組織的網絡安全防御至關重要。