《中华人民共和国网络安全法(草案)》,于2015年7月6日起在中国人大网上全文公布,并向社会公开征求意见。其中指出“国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。关键信息基础设施安全保护办法由国务院制定。”但没有明确指出机场的网络安全保护问题。
然而,机场安全事件一直以来却屡见不鲜、且愈发严重。为此,美国联邦航空管理局(FAA)发起了关于机场网络安全保护的研究,于2018年1月发布《机场网络空间安全快速指南》,该指南共48页,提供很多资源清单、最佳案例和问询问题案例,具有很强的操作性,占知智库为大家做简要介绍。
该指南包括快速指导文件和自动评估工具。指南指出,机场各级领导和管理者必须清楚其在信息系统网络安全方面的职责,以及在信息安全风险方面承担的责任。快速指南从技术层面讲解了与网络空间安全相关的概念、风险、威胁,以及降低各种风险的方法;提供了一系列切实可行的措施,供机场管理层评价和改进网络安全;一份详细的问题清单,供机场首席执行官(CEO)/董事询问机场网络安全相关问题。
自动评估工具旨在帮助机场管理部门识别、评估和处理机场信息化网络的运行风险。适用于各种规模和复杂度的机场,供有机场运营背景和信息化基础的人员使用,可帮助美国各机场的管理层和技术层,评估其网络安全风险,评价当前所采取的风险降低措施。
本指南和评估工具所涉及的关键机场信息系统包括:高端超级计算机和工作站、个人计算机、平板电脑和智能电话,以及专业系统(如面向客户的系统和服务)、电信系统、工业/过程控制系统和环境控制系统。
指南主要内容包括:
第1部分:概述
第2部分:针对机场CEO和高级管理人员的综合教程
第3部分:NIST网络安全框架(NIST CSF)简要说明,本指南中使用的方法以及附带的评估工具。
第4部分:网络安全评估工具使用教程,评估与网络空间相关的安全风险。该工具可根据机场的特殊需求和要求,运用分阶段、优先化的方法来识别和降低风险。
第5部分:最佳商业实践,用于减轻已知威胁和漏洞。
附录A:机场潜在威胁综合清单。
附录B:机场运营商使用的资源清单和可定制文稿,介绍网络安全重要性和适用性。
附录C:CEO询问其IT和网络安全人员的问题示例
附录D:项目组通过对全美各机场样本进行访谈的结果,得出的一般性意见。
附录E:首席信息安全官(CISO)角色和职责说明
声明:本文来自占知智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。