美国海岸警卫队在《联邦公报》上发布了海事领域最新网络安全法规,为悬挂美国国旗船只、外大陆架设施和受《2002年海上运输安全法》管辖的设施制定了最低网络安全要求。
该法规通过增加最低网络安全要求来帮助检测风险、应对网络安全事件并从中恢复,从而保护海上运输系统免受网络安全威胁。法规专门针对海上运输系统日益互联化和数字化所带来的风险,以应对当前和新出现的海事网络安全威胁。
法规内容包括制定和维护网络安全计划,任命网络安全官员以及采取各种措施维护海上运输系统的网络安全。针对悬挂美国国旗的船舶、设施或外大陆架设施的所有者或运营商,网络安全计划必须包含七项帐户安全措施:
- 在所有受密码保护的IT系统上多次登录失败后自动锁定帐户
- 在使用任何 IT 或运营技术(OT)系统之前更改默认密码(或在不可行时实施其他补偿安全控制)
- 在技术上能够进行密码保护的IT和OT系统上保持最低密码强度
- 在受密码保护的IT和可远程访问的OT系统上实施多因素身份验证
- 在IT和OT系统上对管理员或其他特权帐户应用最小权限原则
- 在关键IT和OT系统上维护单独的用户凭证
- 在用户离开组织时删除或撤销用户凭证
美国海岸警卫队概述称,网络安全计划必须包括四项设备安全措施要求。它们是:制定并维护一份经所有者或运营商批准的,可能安装在IT或OT系统上的任何硬件、固件和软件的清单;确保在关键IT和OT系统上默认禁用运行可执行代码的应用程序;维护网络连接系统(包括关键IT和OT系统)的准确清单;开发并记录网络映射和OT设备的配置信息。
此外,网络安全计划还必须包括两项数据安全措施要求,以确保日志得到安全记录、存储和保护,并且只有特权用户才能访问,并在技术可行的情况下部署有效的加密技术以维护敏感数据的机密性和IT、OT流量的完整性。
美国海岸警卫队规定,船东或运营商还必须制定并记录网络事件响应计划,该计划概述了如何应对网络事件的说明,并确定了人员中的关键角色、职责和决策者。
此外,船东或运营商还必须任命一名网络安全员( Cybersecurity Officer),以确保执行网络安全计划和网络事件响应计划。网络安全员必须确保网络安全计划是最新的,并接受年度审核;还必须安排网络安全检查,确保人员接受足够的网络安全培训,记录并向船东或运营商报告网络安全事件,并采取措施减少网络安全事件。
法规还规定,船东和运营商要限制对IT和OT设备的物理访问,保护、监控和记录所有人员的访问,并建立例外情况授予访问权限的程序。
该法规将于2025年7月16日生效。
