随着世界各地智慧城市建设的快速推进,数字技术在城市各场景中广泛、深度渗透,城市数字化程度越来越高,与此同时,潜在的数字安全风险同步甚至超速增长。2023年4月20日,“五眼联盟”国家的美国关键基础设施局(CISA)、国家安全局(NSA)、联邦调查局(FBI)及英国国家网络安全中心(NCSC-UK)、澳大利亚澳大利亚网络安全中心(ACSC)、加拿大加拿大网络安全中心(CCCS)和新西兰新西兰国家网络安全中心(NCSC-NZ)联合发布《智慧城市网络安全最佳实践》指南,旨在应对上述数字安全风险,保护智慧城市中数字资产的安全。
指南主体重点包括两个部分:描述智慧城市面临的数字风险,提出相关应对建议。
指南指出智慧城市主要存在三方面风险:
一是不断扩展和互联的攻击面加剧了智慧城市的脆弱性。城市的智慧化将更多以前相互独立的基础设施系统集成到单个网络环境中,结果使每个互联组织的数字攻击面都在无意中扩大。这种扩大的攻击面增加了威胁行为者利用漏洞进行初始访问、跨网横向移动并导致基础设施运营的级联、跨部门中断,或以其他方式威胁组织数据、系统和网络的机密性、完整性和可用性的机会。例如,如果系统相互连接,访问当地政府物联网传感器网络的恶意行为者可能能够横向访问紧急警报系统。
同时,由于智慧城市集成了更多系统并增加了子网之间的连接,网络管理员和安全人员可能会失去对整体风险的可见性。至关重要的是,系统所有者难以保持对不断发展的网络拓扑以及负责整个系统和每个网段的个人/供应商的了解和控制。角色和责任的模棱两可可能会降低系统的网络安全态势和事件应对能力。
二是ICT供应链和供应商带来新风险。构建智能基础设施系统的社区通常依靠供应商来采购和集成硬件和软件,通过数据连接基础设施运营。利用信息和通信技术供应链中的漏洞可以盗窃数据和知识产权,影响可用性中断而导致系统或网络故障,甚至摧毁人们对智慧城市系统完整性的信心。另外,考虑到技术与基本或重要服务之间的相互依赖性增加,单一智慧城市供应商的风险可能比其他ICT供应链或基础设施运营中的风险高得多。
通过脆弱的ICT供应链获得的非法访问可能导致基础设施业务的降级或中断,以及公用事业业务、紧急服务通信或视频监控技术的敏感数据受损或被盗。智慧城市IT供应商还可能访问来自多个社区的大量敏感数据,以支持基础设施服务的集成-包括敏感政府信息和个人身份信息(PII)-这都是恶意行为者的诱人目标。敏感数据的聚合可能会为恶意行为者提供信息,这些信息可能会暴露关键基础设施中的漏洞,并将人们置于危险之中。
三是关键基础设施的自动化运营引入额外的风险。智慧城市可以通过自动化操作来提升效率,自动化降低了对这些系统的直接人工控制的要求。自动化还可以为标准化操作提供更好的一致性、可靠性和速度。然而,自动化会增加网络中的远程入口点(例如物联网传感器和远程接入点)的数量。自动化操作的数据量和复杂性-包括依赖第三方供应商监控和管理操作,可能会降低对系统操作的可见性,并可能阻碍实时的事件响应。
另外,智慧城市环境中基础设施运营的自动化可能需要使用传感器和执行器,这会增加易受危害的终端和网络连接的数量。人工智能和复杂数字系统的集成可能会引入新的完全没有缓解的攻击载体和更多易受攻击的网络组件。对人工智能系统或其他复杂系统的依赖可能会降低联网设备操作的总体透明度,因为这些系统基于算法而不是人类判断来做出和执行操作决策。
针对智慧城市这种网络、物理以及融合的复杂“系统”所面临的风险,指南提出了19条建议,每条建议均给出了相应的参考指南和实施途径。一是进行安全的规划和设计。强烈建议在智慧城市基础设施系统规划和设计中考虑战略前瞻性和主动的网络安全风险管理流程。新技术应刻意并谨慎地融入传统的基础设施设计。应确保计划包含在新基础设施中的任何“智慧”或连接功能在设计上是安全的,并纳入与任何剩余遗留系统的安全连接。此外,还应意识到,遗留基础设施可能需要重新设计才能安全地部署智慧城市系统。安全规划应侧重于通过深度防御来创建弹性,并考虑到物联网和工业物联网(IIoT)系统带来的物理和网络风险以及融合的网络物理环境。二是应用最小特权原则。最小特权原则是安全体系结构的设计原则,管理员应审查默认和现有配置以及供应商提供的强化指导,以确保仅允许硬件和软件访问执行其功能所需的其他系统和数据。三是实施多因素身份验证(MFA)。负责实施智慧城市技术的组织应确保远程访问应用的安全,并在可能的情况下对本地和远程帐户和设备实施多因素身份验证,以加强支持网络和系统访问的基础设施。四是实施零信任架构。这将创建一个更安全的网络环境,该环境需要对每个新连接进行身份验证和授权,并采用分层、深度的安全防御方法。零信任还允许更好地了解网络活动、通过分析识别趋势、通过自动化和协调解决问题以及更高效的网络安全治理。需要指出的是,零信任架构和MFA都应该在操作上可行的地方应用,以平衡对端点信任关系的要求。一些OT网络可能需要默认信任架构,但组织应隔离此类网络,并确保使用零信任和相关原则保护与该网络的所有互连。五是管理对内部架构风险的更改。智慧城市安全管理者应了解他们的环境,并仔细管理子网络之间的通信,包括连接基础设施系统的新互联的子网络。网络管理员应保持对其不断发展的网络架构以及负责集成整体和每个单独网段安全的人员的认识。管理员应对关键业务系统进行识别、分组和隔离,并应用适当的网络安全控制和监控系统,以减少危害对整个社区的影响。六是安全管理智慧城市资产。保护智慧城市资产免受盗窃和未经授权的物理更改。考虑实施物理和逻辑安全控制,以保护传感器和监视器免受操纵、盗窃、破坏和环境威胁。其他13条建议包括提高易受攻击设备的安全性;保护面向互联网的服务;及时修补系统和应用程序;审查与部署相关的法律、安全和隐私风险;主动式供应链风险管理;软件供应链保护;硬件和IoT设备供应链;托管服务提供商和云服务提供商;运营弹性;备份系统和数据;离线备份;开展劳动力培训;制定和执行事件响应和恢复计划。指南强调,没有一种完全安全的技术解决方案。因此,指南平衡了效率和创新与网络安全、隐私保护和国家安全等因素给出了上面的建议。智慧城市数字安全管理者应根据其特定的网络安全要求实施这些最佳实践,以确保基础设施系统的安全运行、保护公民的私人数据以及敏感政府和企业数据的安全。
参考文献:
[1]https://statescoop.com/smart-city-cybersecurity-guidance/[2]https://www.cyber.gov.au/about-us/view-all-content/publications/cybersecurity-best-practices-smart-cities