信息來(lái)源:安全內(nèi)參
-
安全措施由過(guò)往的合規(guī)基線(xiàn)改為績(jī)效指標(biāo),以期實(shí)現(xiàn)關(guān)鍵安全目標(biāo),有效提升鐵路運(yùn)營(yíng)的網(wǎng)絡(luò)安全防范和彈性水平;
-
該指令的關(guān)鍵安全目標(biāo)包括:網(wǎng)絡(luò)分段和控制策略、針對(duì)關(guān)鍵系統(tǒng)實(shí)施訪問(wèn)控制、持續(xù)監(jiān)控和檢測(cè)、基于風(fēng)險(xiǎn)的安全方法。
前情回顧·美國(guó)關(guān)基行業(yè)安全大躍進(jìn)
安全內(nèi)參10月21日消息,美國(guó)運(yùn)輸安全管理局(TSA,以下簡(jiǎn)稱(chēng)運(yùn)安局)周二發(fā)布一項(xiàng)網(wǎng)絡(luò)安全指令,要求對(duì)指定的客運(yùn)和貨運(yùn)鐵路運(yùn)營(yíng)商實(shí)施監(jiān)管,通過(guò)基于績(jī)效指標(biāo)的措施增強(qiáng)網(wǎng)絡(luò)安全彈性。這項(xiàng)指令將進(jìn)一步加強(qiáng)國(guó)家鐵路運(yùn)營(yíng)的網(wǎng)絡(luò)安全預(yù)防與彈性水平,并以此為基礎(chǔ),逐步增強(qiáng)其他運(yùn)輸方式的網(wǎng)絡(luò)安全防御能力。
加強(qiáng)鐵路網(wǎng)絡(luò)安全指令
這份指令的主文件題為《加強(qiáng)鐵路網(wǎng)絡(luò)安全-SD1580/82-2022-01》,共七頁(yè)。該文件自10月24日起生效,有效期一年。指令對(duì)客運(yùn)和貨運(yùn)鐵路運(yùn)營(yíng)商的網(wǎng)絡(luò)安全提出了多項(xiàng)要求,制定者包括行業(yè)利益相關(guān)方與聯(lián)邦政府合作伙伴,如國(guó)土安全部下轄的網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)、交通部下轄的聯(lián)邦鐵路管理局(FRA)。
該指令要求,貨運(yùn)鐵路承運(yùn)人(所有者/運(yùn)營(yíng)商)和其他運(yùn)安局指定的貨運(yùn)鐵路機(jī)構(gòu)應(yīng)指定一名網(wǎng)絡(luò)安全協(xié)調(diào)員。該協(xié)調(diào)員必須隨時(shí)與運(yùn)安局及CISA保持聯(lián)絡(luò),并負(fù)責(zé)協(xié)調(diào)網(wǎng)絡(luò)安全實(shí)踐與安全事件管理。
此外,貨運(yùn)鐵路承運(yùn)人還需要向CISA上報(bào)網(wǎng)絡(luò)安全事件并制定事件響應(yīng)計(jì)劃,以降低IT/OT系統(tǒng)受網(wǎng)絡(luò)安全事件影響時(shí),發(fā)生運(yùn)營(yíng)中斷的風(fēng)險(xiǎn)。
各鐵路承運(yùn)人還需要使用運(yùn)安局提供的模版表格開(kāi)展網(wǎng)絡(luò)安全漏洞評(píng)估,并將結(jié)果提交給運(yùn)安局。漏洞評(píng)估包括審查當(dāng)前實(shí)踐與行為,解決IT/OT系統(tǒng)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn),確定現(xiàn)有網(wǎng)絡(luò)安全措施中的不足,確定補(bǔ)救措施以解決一切已發(fā)現(xiàn)的安全漏洞/缺口。
根據(jù)這項(xiàng)指令,運(yùn)安局將繼續(xù)采取措施,保護(hù)當(dāng)前威脅環(huán)境下的交通基礎(chǔ)設(shè)施。該部門(mén)還打算制定新規(guī)則,在經(jīng)過(guò)公眾意見(jiàn)征詢(xún)期后發(fā)布鐵路行業(yè)監(jiān)管要求。
這項(xiàng)指令要求實(shí)施包含縱深防御的分層網(wǎng)絡(luò)安全措施,以降低關(guān)鍵鐵路運(yùn)營(yíng)及設(shè)施所面臨的網(wǎng)絡(luò)安全威脅風(fēng)險(xiǎn)。近期一系列真實(shí)事件已經(jīng)反復(fù)證明,惡意個(gè)人、組織及政府構(gòu)成的威脅形勢(shì)正日趨復(fù)雜,安全漏洞愈發(fā)凸顯,貫徹執(zhí)行指令要求已經(jīng)迫在眉睫。
鐵路網(wǎng)絡(luò)安全緩解措施與測(cè)試指令
除《加強(qiáng)鐵路網(wǎng)絡(luò)安全》之外,運(yùn)安局還發(fā)布了《鐵路網(wǎng)絡(luò)安全緩解措施與測(cè)試-SD 1580/82-2022-01》指令文件。
該文件共14頁(yè),要求鐵路所有者/運(yùn)營(yíng)商應(yīng)向運(yùn)安局提交網(wǎng)絡(luò)安全實(shí)施計(jì)劃以供審批。在獲得運(yùn)安局批準(zhǔn)之后,計(jì)劃須進(jìn)一步制定可供運(yùn)安局實(shí)施合規(guī)性審查的安全措施和要求。
此外,鐵路所有者/運(yùn)營(yíng)商還須提供額外文件,并根據(jù)需要為運(yùn)安局提供合規(guī)性審查訪問(wèn)權(quán)限。在制定網(wǎng)絡(luò)安全實(shí)施計(jì)劃的過(guò)程中,所有者/運(yùn)營(yíng)商可以使用以往的風(fēng)險(xiǎn)或漏洞評(píng)估成果來(lái)識(shí)別出關(guān)鍵網(wǎng)絡(luò)系統(tǒng),并優(yōu)先考慮與安全指令緊密相關(guān)的網(wǎng)絡(luò)安全措施。
鐵路網(wǎng)絡(luò)安全將迎來(lái)較大提升
運(yùn)安局局長(zhǎng)David Pekoske在媒體聲明中提到,“長(zhǎng)久以來(lái),美國(guó)鐵路一直以積極的前瞻性方式保護(hù)自身網(wǎng)絡(luò)免受威脅侵?jǐn)_,并在過(guò)去一年中努力建立起額外彈性。此次發(fā)布基于績(jī)效的網(wǎng)絡(luò)安全指令,將進(jìn)一步推動(dòng)關(guān)鍵交通基礎(chǔ)設(shè)施免受攻擊影響。運(yùn)安局、鐵路管理局、CISA和鐵路行業(yè)在制定這項(xiàng)安全指令期間完成的重大合作,也讓我們深受鼓舞?!?
除了安全指令之外,客運(yùn)和貨運(yùn)鐵路承運(yùn)人還可以獲取陸路運(yùn)輸網(wǎng)絡(luò)安全資源工具包,用于為員工少于1000人的陸路運(yùn)輸運(yùn)營(yíng)商提供網(wǎng)絡(luò)風(fēng)險(xiǎn)管理信息。
工具包中的資料主要來(lái)自三大來(lái)源,包括美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)用于改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架;旨在提升美國(guó)民眾對(duì)網(wǎng)絡(luò)威脅的理解、保障美國(guó)公眾網(wǎng)上安全的全國(guó)性公眾意識(shí)活動(dòng)Stop.Think.Connect;以及負(fù)責(zé)改善國(guó)家網(wǎng)絡(luò)安全態(tài)勢(shì)、協(xié)調(diào)網(wǎng)絡(luò)信息共享并管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組。
安全廠商GuidePoint Security的OT網(wǎng)絡(luò)安全高級(jí)顧問(wèn)Chris Warner評(píng)論稱(chēng):“眾所周知,鐵路行業(yè)的網(wǎng)絡(luò)安全資源一直比較有限。這種有限性不僅體現(xiàn)在財(cái)務(wù)預(yù)算方面,也體現(xiàn)在因缺乏知識(shí)淵博的員工而難以實(shí)施成熟網(wǎng)絡(luò)安全法規(guī)和零信任等現(xiàn)代安全方法上。”
Warner說(shuō),“對(duì)鐵路運(yùn)營(yíng)商來(lái)說(shuō),網(wǎng)絡(luò)分段策略和控制要求將帶來(lái)巨大提升,敦促他們不得不重新設(shè)計(jì)大部分控制系統(tǒng)。這當(dāng)然是朝著正確方向邁出的重要一步,但這條發(fā)展之路也不可能一帆風(fēng)順,意味著鐵路行業(yè)必須現(xiàn)代化,必須擺脫舊系統(tǒng)并引入新的訪問(wèn)控制方法?!?
今年7月,運(yùn)安局修訂并重新發(fā)布了關(guān)于石油和天然氣管道所有者及運(yùn)營(yíng)商的網(wǎng)絡(luò)安全指令。該指令將網(wǎng)絡(luò)安全要求的有效期延長(zhǎng)了一年,并將以往的規(guī)定性措施調(diào)整為基于績(jī)效的措施,希望借此達(dá)成關(guān)鍵網(wǎng)絡(luò)安全目標(biāo)。修訂后的指令將繼續(xù)努力幫助美國(guó)關(guān)鍵管道輸送運(yùn)營(yíng)商建立起網(wǎng)絡(luò)安全彈性。