網絡安全目錄快速鏈接:
飲用水辦公室強烈鼓勵水務廠評估其網絡安全實踐,並實施適合其使用的技術的網絡安全控制。對於網絡安全新的水務廠,只需實施基本的網絡安全實踐就可以大大減少他們受到可能威脅其水系統、帳單/金融軟件或其他關鍵系統的網絡攻擊的暴露。基本網絡安全實踐的例子包括使用防毒軟件和惡意軟件,定期更新軟件,設置強大的密碼,使用多因素身份驗證,定期備份數據,進行網絡安全意識培訓以及保護無線網絡。為確保網絡安全實踐的實施,水務廠應為組織指定網絡安全主管。
應對網路安全事件
如果自來水廠發生網路安全事故,ODW 建議自來水廠採取下列行動:
- 通過其網絡事件表格通知弗吉尼亞融合中心網絡情報團隊有關事件。弗吉尼亞法規要求公共機構向弗吉尼亞融合中心報告網絡事件。
- 請聯絡區域 ODW 現場辦公室,通知他們有關事件。聯繫信息可以在這裡找到。
- 通過其事件報告系統通知網絡安全和基礎設施安全局(CISA)有關事件。
水務廠可能希望使用 EPA 網絡事件報告資料表來協助他們向聯邦政府舉報網絡事件的努力。
評估網路安全
水務廠應定期評估其現有的網絡安全措施,以確定在哪些地方需要額外的控制來解決漏洞。在實施新的監督控制和數據採集(SCADA)系統、帳單/金融軟件或其他受到網路攻擊且對水廠至關重要的技術時,也應進行網絡安全評估。
對於希望進行網絡安全自我評估的水務廠,美國水務協會(AWWA)開發了一個評估工具,以評估公用事業如何使用各種技術,並產生最適用於公用事業的技術應用程序的自定義的優先順序控制清單。AWWA 還制定了小型系統指南,以幫助小型農村公用事業改善其網絡安全實踐。有關 AWWA 網絡安全資源的更多信息,請參閱 https://www.awwa.org/Resources-Tools/Resource-Topics/Risk-Resilience/Cybersecurity-Guidance
對於尋求協助進行網絡安全評估的水務廠,美國環境保護局(EPA)通過其水產業網絡安全評估計劃為水廠提供免費的網絡安全評估。該計劃將使用 EPA 的檢查清單中進行網絡安全評估 PWS 衛生調查指南中進行網絡安全評估,並制定一個可識別推薦的網絡安全控制措施的風險緩解計劃。要從 EPA 獲得此協助,請在此處填寫 EPA 的水產業網絡安全評估計劃申請表。
其他資源
- 美國環保署水網路安全評估工具與風險緩解計畫- 此33問題表旨在供沒有 IT 背景、但具有中等電腦等級的人員填寫。除了作為針對環保署認為優先項目的網路安全評估外,此工具還有助於制定風險緩解計劃,以解決評估所發現的缺口。
- CIS 記憶體 v 2.1 適用於 CIS 關鍵安全控制對 8 和 NIST 網絡安全框架 v 1。1 是網絡安全行業使用的其他評估工具,並具有飲用水系統以外的應用。這些工具需要資訊科技方面的專業知識,比 AWWA 評估工具或 USEPA 水資安網絡安全評估工具和風險緩解計劃更高。
- EPA-水產業環保署網絡安全 | 美國環保署
- AWWA 網絡安全 & 指南 | 美國水道工程協會 (awwa.org)
- CISA 首頁 | CISA-CISA 的網絡安全警報和建議
- 水晶工具 | 沃特瑞薩克
- 尼斯特網絡安全 | NIS T
- 愛達荷州國家實驗室關鍵基礎設施保護-愛達荷州國家實驗室 (inl.gov)
- 密斯安全管理系統-系統安全管理系統 (資訊安全網)
實施網路安全控制
為州、地方和領土政府提供撥款:國土安全部 (DHS) 透過其州和地方網路安全撥款計劃 (SLCGP) 為州、地方、部落和領土政府提供資金,以應對這些實體擁有或運營的資訊系統面臨的網路安全風險和威脅。該撥款由維吉尼亞州 IT 機構 (VITA)、維吉尼亞州緊急管理部 (VDEM) 和維吉尼亞州網路安全規劃委員會 (VCPC) 在維吉尼亞州管理。有關此補助金的更多信息,請訪問 https://www.vita.virginia.gov/security/cybersecurity-grants/
其他網路安全資源
EPA 事件行動清單-EPA 提供了一份準備網絡事件、應對網絡事件以及從網絡事件中恢復的行動清單。
弗吉尼亞融合中心水 & 廢水部門參與指南-水和廢水部門的網絡安全指導和資源
網路安全與緊急管理調查結果
飲用水辦公室向所有自來水廠發送了一份有關網路安全和緊急管理的調查。超過660 水廠回應。主要調查結果請見此處。