【公益译文】智慧城市的网络安全最佳实践

阅读： 5

一、摘要

本指南由美国网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)、美国联邦调查局(FBI)、英国国家网络安全中心(NCSC-UK)、澳大利亚网络安全中心(ACSC)、加拿大网络安全中心(CCCS)和新西兰国家网络安全中心(NCSC-NZ)联合发布。这些网络安全机构（下称“撰稿组织”）意识到，要想节约成本，提升生活质量，需要对基础设施进行数字化转型，创建“智慧城市”。本文所称的“智慧城市”具有以下特点：

整合信息和通信技术（ICT）、全社区数据和智能解决方案，对基础设施进行数字化转型，优化治理，满足公民需求。
将管理物理基础设施的运营技术（OT）与使用ICT组件收集和分析数据的网络和应用程序连接起来，这些ICT组件包括物联网（IoT）设备、云计算、人工智能（AI）和5G。

说明：采用这种整合方法的还有“互联场所”、“互联社区”和“智能场所”。在基础设施中采用智慧城市技术的社区规模各不相同，小到大学校园和军事设施，大到城镇和城市。

将公共服务纳入互联环境可以增强基础设施的效率和韧性，方便人们的日常生活。然而，有意创建智慧城市的社区应充分评估和减轻这种整合带来的网络安全风险。智慧城市之所以对恶意网络攻击者极具吸引力，原因如下：

所收集、传输、存储和处理的数据包括政府、企业和公民个人的大量敏感信息；
智慧城市有时会使用复杂的智能软件系统来整合这些数据，而这些系统可能存在漏洞。

大型数据集的内在价值和数字系统中的潜在漏洞意味着，包括民族国家、网络罪犯、激进黑客、内部威胁和恐怖分子在内的恶意威胁主体可能会利用这些数据集进行间谍活动，获取经济或政治利益。

任何技术方案都不可能是完美无缺的。社区在实施智慧城市技术时，一方面需要提升效率和进行创新，另一方面，需要保护网络安全、隐私和国家安全。本指南就如何平衡这两方面提供了建议。各组织应根据其特定的网络安全要求采用本文所提供的最佳实践，确保基础设施系统安全运行，保护公民的隐私数据以及敏感的政府和商业数据。

撰稿组织建议在阅读本指南时结合英国国家网络安全中心的《互联场所网络安全原则》、澳大利亚网络安全中心的《智能场所安全保护入门》、加拿大网络安全中心的《关键基础设施的安全考虑》、美国网络安全和基础设施安全局的《跨部门网络安全绩效目标》《改变网络安全风险平衡：安全设计和预设安全的原则与方法》及《应对网络威胁，保护托管服务提供商及其客户的安全》。

二、智慧城市面临的风险

智慧城市通过技术创新和数据驱动决策，可以创建更安全、更高效、更有韧性的社区。然而，这也引入了潜在的漏洞，攻击者利用这些漏洞可能会影响国家安全、经济安全、公共卫生和安全以及关键基础设施的运营。针对OT系统的网络威胁活动在全球范围内日益猖獗，OT系统和智慧城市基础设施互联后增加了攻击面，加剧了入侵的潜在后果。

智慧城市对于犯罪分子和网络威胁主体极具吸引力，他们会利用存在漏洞的系统窃取关键基础设施数据和专有信息、进行勒索软件攻击或发动破坏性网络攻击。智慧城市遭遇网络攻击后，会导致基础设施服务中断、重大财务损失、公民隐私数据泄露、智能系统可信性下降，还可能对基础设施造成物理影响，导致伤亡。社区实施智慧城市技术时应将这些相关风险纳入整体风险管理。撰稿组织推荐使用以下资源进行网络风险管理：

网络威胁环境入门（CCCS）
控制系统防御：了解对手(CISA、NSA)
网络威胁公告：运营技术网络威胁(CCCS)
网络评估框架（NCSC-UK）

系统互联扩大了攻击面

之前独立的基础设施系统统一集成到网络环境后，各相关组织的数字攻击面逐渐扩大。攻击面扩大后，被攻击概率也随之增长，威胁主体会利用漏洞获取初始访问权限，在网络中横向移动，造成大范围基础设施中断，影响多个部门，或以其他方式威胁组织数据、系统和网络的机密性、完整性和可用性。例如，如果系统相互连接，恶意攻击者入侵当地政府物联网传感器网络后可能会横向移动，进入紧急警报系统。

此外，由于智慧城市集成了更多的系统，增加了子网之间的连接，网络管理员和安全人员可能无法全面了解整个系统的风险。例如，在集成网络中，各个厂商提供了不同组件，形成基础设施即服务，而网络管理员和安全人员无法准确定位组件的所有者和运营者。在网络持续演进过程中，系统所有者务必了解网络拓扑的每一变化，加强控制，还要明确整个系统及其组成部分的负责人或厂商。角色和责任若模糊不清，势必会影响系统的网络安全态势和事件响应能力。社区采用智慧城市技术时应评估和管理与复杂互联系统相关的此类风险。

ICT供应链和厂商风险

构建智能基础设施系统时，一般依赖厂商采购和集成软硬件，通过数据连接将基础设施连接起来。ICT供应链中的漏洞或为网络威胁主体出于恶意目的开发，或因不安全实践无意引入。这些漏洞会造成：

数据和知识产权被窃；
智慧城市系统的完整性不再可信；
OT可用性被破坏，进而导致系统或网络故障。
提供智慧城市技术的ICT厂商应采取全面的安全方法，开发中应遵循安全设计（secure-by-design）和预设安全（secure-by-default）原则。采用这些安全实践的软件产品可减轻资源受限的当地司法管辖区的负担，提高智慧城市网络的网络安全基线。有关安全设计和预设安全开发实践，请参阅以下资源：
改变网络安全风险的平衡：安全设计和预设安全的原则与方法（CISA、NSA、FBI、ACSC、NCSC-UK、CCCS、BSI、NCSC-NL、CERT NZ、NCC-NZ）

技术与基本或重要服务之间相互依赖且这种依赖日益增长，因而，各智慧城市厂商带来的风险可能远高于其他ICT供应链或基础设施运营的风险。组织应周密考虑各厂商风险，避免潜在的不可靠软硬件危及公民、企业和社区，防止有人利用供应链漏洞发动攻击。具体说来，组织要严格审查两类厂商：

（1）来自于有网络攻击历史的国家的厂商

（2）按国家法律要求须将数据移交给外国情报机构的厂商。

ICT供应链若存在漏洞，可能会被非法入侵，进而影响或中断基础设施的运营，或导致公用事业运营、应急服务通信或视频监控相关的敏感数据被泄露或窃取。智慧城市IT厂商可能需要访问多个社区的大量敏感数据，以支持基础设施服务的集成。这些敏感数据包括政府信息和个人身份信息（PII），这类信息是恶意攻击者的主要目标。敏感数据聚集在一处可能会被恶意攻击者获取，发现关键基础设施中的漏洞，危及公民的隐私安全。有关如何降低供应链风险，参阅以下资源：

信息和通信技术供应链风险管理（CISA）
供应链安全指南（NCSC-UK）
识别网络供应链风险（ACSC）
网络供应链：风险评估方法（CCCS）

基础设施运营自动化

智慧城市通过自动化操作来实现效率，例如自动化废水处理或交通管理等。自动化后，对这些系统的直接人工控制进而减少。自动化还可以提高标准化操作的一致性、可靠性和速度。然而，自动化增加了网络的远程入口（例如物联网传感器和远程接入点）数量，可能会引入新漏洞。自动化操作的数据量和复杂性——包括依赖第三方厂商来监管操作——会降低系统操作的可见性，阻碍事件的实时响应。

智慧城市环境中基础设施运营的自动化可能需要使用传感器和致动器，这会将更多的端点和网络连接置于入侵风险之下。人工智能和复杂数字系统的集成可能会引入无法防护的新攻击向量和存在漏洞的其他网络组件。对人工智能系统或其他复杂系统的依赖或会降低网络设备操作的整体透明度，因为这些系统基于算法而非人工判断来做出和执行操作决策。

三、建议

安全规划和设计

撰稿组织强烈建议社区在将智慧城市技术集成到基础设施系统时，要具有战略眼光，将主动的网络安全风险管理流程纳入到相关计划和设计。新技术融入传统基础设施设计时应慎之又慎。在新基础设施中添加任何“智能”或联网功能时，社区应确保这些功能具有安全设计，可安全接入老旧系统。此外，社区应意识到，老旧基础设施可能需要改造，保证智慧城市系统可以安全部署。安全规划应侧重于深度防御，提升韧性，同时考虑物理和网络风险以及物联网和工业物联网（IIoT）系统引入的信息-物理融合环境。下列文档综合介绍了基线实践，各规模组织可参考相关信息降低已知IT和OT风险的概率和影响。

跨部门网络安全绩效目标（CISA）
有关信息、物理和融合环境中的风险应对指南，另见以下文档：
通过深度防御提升ICS网络安全（CISA）
网络安全与物理安全融合（CISA）
结果驱动的网络信息工程（INL）

应用最小权限原则

在实施智慧城市技术时，组织应在全网应用最小权限原则。根据美国国家标准与技术研究院（NIST）的定义，最小权限原则是指“设计安全架构时，应确保各实体只具有执行职能所必需的最少系统资源和最低授权。”管理员应检视默认配置和现有配置以及厂商的加固指南，确保软硬件只能访问执行功能所需的其他系统和数据。在管理角色发生变更或因系统集成新增用户或管理员时，管理员应立即更新权限。应使用分层模式，根据工作要求提供不同级别的管理访问权限。管理员应限制权限，只有加固后的专用特权访问工作站（PAW）才能访问对整个企业具有完全权限的账号。还应使用基于时间的或即时的（just-in-time）权限，识别高风险设备、服务和用户，最大限度地限制其访问。详细指导，可参阅如下文件：

权限和账号保护（NSA）
限制管理权限（ACSC）
管理和控制管理权限（CCCS）

强制实施多因素身份认证

实施智慧城市技术时，组织应确保远程访问应用程序的安全，尽可能对本地和远程账号和设备强制执行多因素身份认证（MFA），增强支撑网络和系统访问的基础设施的安全。当用户执行特权操作或访问重要（敏感或高可用）数据存储库时，组织应明确要求采用MFA。有证据表明，受政府支持的俄罗斯APT组织现已能够利用默认的MFA协议。智慧城市实施者应审查配置策略，防止出现“故障时打开”（fail open）和重新注册的情况。有关如何实施MFA，见如下文件：

#不止是密码（CISA）
政府支持的俄罗斯网络攻击者利用默认的多因素身份认证协议和“打印噩梦”（PrintNightmare）漏洞入侵网络（FBI、CISA）
向多因素身份认证过渡(NSA)
在线服务MFA（NCSC-UK）
实施MFA（ACSC）
零信任架构设计原则—身份认证和授权（NCSC-UK）

实施零信任架构

零信任网络设计原则通过深度防御的分层安全方法对每个新连接进行身份认证和授权，更好地保护网络环境的安全。零信任还可以提高网络活动的可见性，通过分析识别趋势，通过自动化和协调解决问题，提高网络安全治理的效率。有关如何实施零信任，见如下文件：

零信任架构设计原则（NCSC-UK）
零信任成熟度模型(CISA)
采用零信任安全模型（NSA）
安全架构的零信任方法（CCCS）
零信任安全模型(CCCS)

说明：根据端点信任关系要求，尽可能采用零信任架构和MFA。部分OT网络可能要求采用“默认信任”（trust-by-default）架构，组织应对此类网络加以隔离，同时使用零信任等原则来保护与该网络的所有连接。

管理内部架构变更风险

实施智慧城市技术的组织应了解自己的网络环境，认真管理子网之间的通信，包括连接基础设施系统的新子网之间的通信。网络管理员应了解本组织网络架构的每一变化，还要明确对整体安全和各单元安全负责的人员。管理员应识别、分组和隔离关键业务系统，应用适当的网络安全控制和监控系统，降低入侵对整个社区的影响。详细指导，参阅以下文件：

CISA漏洞扫描（CISA）
漏洞扫描工具和服务（NCSC-UK）
安全架构反模式（NCSC-UK）
预防横向移动（NCSC-UK）
网络分段及应用程序感知防御（NSA）

安全管理智慧城市资产

保护智慧城市资产，防止盗窃和未经授权的物理更改。考虑实施物理和逻辑安全控制，保护传感器和监视器，防止被操控、盗窃、故意破坏或受到环境威胁。

提高脆弱设备的安全性

可通过保护远程访问来保护设备，具体参见以下文件：

如何选择和加固远程访问VPN方案（CISA、NSA）
使用虚拟专用网络（ACSC）
虚拟专用网络(CCCS)

保护互联网服务

就如何保护互联网服务，参见以下文件：

保护基于公共服务CNI的互联网服务（NCSC-UK）
保护Web应用系统，防止凭证填充攻击（CCCS）
隔离面向Web的应用程序（CCCS）

及时修补系统和应用程序

所有软件和硬件设备尽可能开启自动修补，包括真实性和完整性验证。利用威胁情报实时发现威胁，保护受影响系统和基础设施。使用资产管理程序（包括产品生命周期流程）保护软件资产。产品生命周期流程中，更换临期或过期组件和软件应纳入规划，因为制造商或开发人员可能会停止为此类产品开发补丁。可通过资产管理保护系统和网络，具体参见以下文件：

已知利用漏洞目录（CISA）
网络安全资产管理（NCSC-UK）

评审与部署相关的法律、安全和隐私风险。

采用流程，持续评估和管理与部署方案相关的法律和隐私风险。

主动管理供应链风险

实施智慧城市技术时，所有组织都应积极管理新技术的ICT供应链风险，包括支持智慧城市系统的软硬件，或支持实施和运营的服务提供商。各组织应仅使用可信ICT厂商和组件。ICT供应链风险管理流程需要组织上下各级参与其中，并得到智慧城市系统项目负责人的全力支持。智慧城市系统的采购管理人还应向厂商传达最低安全要求，明示对于违反此类要求会采取什么样的行动。智慧城市系统会收集和处理公民数据，因而，相关供应链应该对公民透明。

有关详细的供应链安全指南，参阅如下文件：

俄罗斯国家支持的针对关键基础设施的网络威胁组织（CISA、ACSC、NCSC-NZ、NCSC-UK、CCCS）
供应链安全指南（NCSC-UK）
ICT供应链资源库(CISA)
电力子行业的信息物理安全考虑因素（CISA）
网络供应链风险管理（ACSC）

软件供应链

实施智慧城市技术的组织应为软件供应商设定安全要求或控制，确保潜在厂商在软件开发生命周期内采用安全开发实践，按流程主动发现和披露漏洞，对补丁进行管理。

厂商还应承担部分产品风险，根据安全设计和预设安全原则开发智慧城市技术，主动维护自己的产品。厂商遵守了这些原则，负责采购和实施智慧城市技术的组织才能更有信心地将产品接入网络。

详细指导，可参阅如下文件：

改变网络安全风险的平衡：安全设计和预设安全的原则和方法(CISA、NSA、FBI、 ACSC、NCSC-UK、CCCS、BSI、NCSC-NL、CERT NZ、NCSC-NZ)
软件材料清单（CISA）
供应链网络安全：安全掌控（NCSC-NZ）
保护软件供应链安全：客户建议实践指南(ODNI、NSA、CISA、CSCC、 DIBSCC、 ITSCC)
协调漏洞披露过程（CISA）
保护组织，防范软件供应链威胁（CCCS）

硬件和物联网设备供应链

实施智慧城市技术时，组织应明确实现“智能”功能的物联网设备和硬件是否需要第三方或外部服务支持，应该进行尽职调查，了解产品零件的遴选和组装方式，还应了解设备如何存储和共享数据，以及如何保护静态、传输和在用数据。组织应制定、维护风险记录，列示本组织及其供应商对云计算支持、外购组件等的依赖。详细指导，可参阅如下文件：

网络供应链：风险评估方法（CCCS）
物联网项目的网络安全（NIST）
防范软件供应链攻击（CISA、NIST）

托管服务提供商和云服务提供商

组织应对支持智慧城市技术实施和运营的托管服务提供商和其他厂商提出明确的安全要求，应在总体风险管理规划中考虑第三方厂商风险，确保与外部各方签订的合同协议中包含组织安全标准。同时，组织应认真审查云服务协议，包括数据安全条款和责任共享模式。详细指导，可参阅如下文件：

改变网络安全风险的平衡：安全设计和预设安全的原则与方法（CISA、NSA、FBI、ACSC、NCSC-UK、CCCS、BSI、NCSC-NL、CERT NZ、NCC-NZ）
保护托管服务提供商及其客户，防范网络威胁（NCSC-UK、CCCS、NCSC-NZ、CISA、NSA、FBI）
云计算安全六步法（FTC）
为组织选择最佳网络安全解决方案（CCCS）

运营韧性

智慧城市技术实施组织应为所有关键基础设施功能制定、评估和维护手动操作应急措施，为员工提供相应培训。此类应急措施应包含相关计划，说明如何在必要时中断基础设施系统之间的连接或与公共互联网断连以保证自主运行。出现入侵后，组织应做好充分准备，隔离受影响系统，尽可能保证其他基础设施的正常运行。

备份系统和数据

智慧城市技术实施组织应创建、维护和测试备份，一方面作为IT系统记录，另一方面用于支持对智慧城市网络中的物理系统进行手动操作。组织应确定数据的收集、处理、存储和传输方式及位置，确保数据生命周期中的每个节点都受到保护。系统管理员应单独存储并隔离IT备份，以控制勒索软件的传播——许多勒索软件变种会试图查找和加密/删除可访问的备份。备份隔离后，即使遭受了勒索软件攻击，也可以将系统/数据恢复到以前的状态。

智慧城市技术实施组织应该制定计划并对员工进行培训，让运营经理了解如何断开正常连接的基础设施系统，进行“离线”操作，保持基本服务水平。详细指导，可参阅如下文件：

联网环境中的离线备份（NCSC-UK）

进行人力培训

尽管智慧城市技术的实施存在大量自动化，负责管理基础设施运营的员工仍应做好准备，将被入侵的IT系统与OT隔离开来，在必要时手动操作核心功能。

组织应为新员工和现有员工提供培训，介绍集成自动化操作以及独立的手动备份程序，包括重启后如何恢复服务。组织应定期更新培训，纳入新技术和新组件内容。详细指导，可参阅如下文件：

通过CISA提供的ICS培训（CISA）

制定并实施事件响应和恢复计划

事件响应和恢复计划应涵盖所有利益相关者的角色和责任，包括智慧城市实施团队内外的行政领导、技术负责人和采购经理。无法访问网络时（例如，遭受勒索软件攻击时），智慧城市技术实施组织应及时更新这些计划，妥善保管纸质版本，方便网络中断时响应人员使用。组织应每年进行计划演练，并与连续性经理协调，确保业务的连续性。详细指导可参阅如下文件：

事件响应计划基础知识（CISA）
如何有效开展网络演习（NCSC-UK）
事件管理：增强韧性，做好准备（NCSC-NZ）
提前准备，应对网络安全事件（ACSC）
制定事件响应计划（CCCS）
制定IT恢复计划（CCCS）

免责声明

该文章原文版权归原作者所有。文章内容仅代表原作者个人观点。本译文仅以分享先进网络安全理念为目的，为业内人士提供参考，促进思考与交流，不作任何商用。如有侵权事宜沟通，请联系[email protected]邮箱。

文章信息

发布机构：五眼联盟

发布日期：2023年4月

原文链接：https://www.cisa.gov/resources-tools/resources/cybersecurity-best-practices-smart-cities

小蜜蜂翻译组公益译文项目，旨在分享国外先进网络安全理念、规划、框架、技术标准与实践，将网络安全战略性文档翻译为中文，为网络安全从业人员提供参考，促进国内安全组织在相关方面的思考和交流。