网络安全目录快速链接:
饮用水办公室强烈鼓励水厂评估其网络安全实践并实施适合其所用技术的网络安全控制。对于刚接触网络安全的水厂来说,只需实施基本的网络安全措施就可以大大减少其遭受可能威胁其供水系统、计费/财务软件或其他关键系统的网络攻击的风险。基本网络安全实践的例子包括使用防病毒和恶意软件、定期更新软件、设置强密码、使用多因素身份验证、定期备份数据、进行网络安全意识培训以及保护无线网络。为确保网络安全实践的实施,水务公司应为组织指定一名网络安全负责人。
应对网络安全事件
如果自来水厂遭遇网络安全事件,ODW 建议自来水厂采取以下措施:
- 通过网络事件表格将该事件告知弗吉尼亚融合中心网络情报团队。《弗吉尼亚州法典》要求公共机构向弗吉尼亚融合中心报告网络事件。
自来水厂可能希望使用EPA 网络事件报告情况说明书来协助他们向联邦政府报告网络事件。
评估网络安全
自来水厂应定期评估其现有的网络安全措施,以确定哪些地方需要采取额外的控制措施来解决漏洞。在实施新的监控和数据采集 (SCADA) 系统、计费/财务软件或其他容易受到网络攻击且对水务至关重要的技术时,也应进行网络安全评估。
对于希望进行网络安全自我评估的水务厂,美国水务协会 (AWWA) 开发了一种评估工具,用于评估公用事业公司如何使用各种技术,并生成最适合公用事业公司技术应用的定制化、优先控制列表。AWWA 还制定了小型系统指南,帮助小型农村公用事业改善其网络安全实践。有关 AWWA 网络安全资源的更多信息,请访问https://www.awwa.org/Resources-Tools/Resource-Topics/Risk-Resilience/Cyber security-Guidance
对于寻求帮助进行网络安全评估的水厂,美国环境保护署 (EPA) 通过其水务部门网络安全评估计划向水厂提供免费的网络安全评估。该计划将使用美国环保署在《PWS 卫生调查网络安全评估指南》中的清单进行网络安全评估,并制定确定建议的网络安全控制措施的风险缓解计划。要获得 EPA 的帮助,请在此处填写 EPA 水务部门网络安全评估计划申请表。
其他资源
- 美国环保署水网络安全评估工具和风险缓解计划- 此33问题表旨在供没有 IT 背景、但具有中等计算机水平的人员填写。除了作为针对 EPA 认为优先考虑的项目的网络安全评估之外,该工具还可以帮助制定风险缓解计划,以解决评估中发现的差距。
- CIS RAM v 2 . 1 (适用于 CIS 关键安全控制 v 8和NIST 网络安全框架 v 1 . 1是网络安全行业使用的附加评估工具,其应用范围不仅限于饮用水系统。与 AWWA 评估工具或 USEPA 水网络安全评估工具和风险缓解计划相比,这些工具需要更高程度的信息技术专业知识。
- EPA - EPA 水务部门网络安全 | 美国环保署
- AWWA网络安全与指导 | 美国水务协会 (awwa.org)
- CISA主页 | CISA - CISA 的网络安全警报和公告
- WaterISAC工具 | WaterISAC
- NIST网络安全 | NIST
- 爱达荷国家实验室关键基础设施保护 - 爱达荷国家实验室(inl.gov)
- MS-ISAC - MS-ISAC (cisecurity.org)
实施网络安全控制
为州、地方和领土政府提供拨款:国土安全部 (DHS) 通过其州和地方网络安全拨款计划 (SLCGP) 为州、地方、部落和领土政府提供资金,以应对这些实体拥有或运营的信息系统面临的网络安全风险和威胁。该拨款由弗吉尼亚州 IT 机构 (VITA)、弗吉尼亚州应急管理部 (VDEM) 和弗吉尼亚州网络安全规划委员会 (VCPC) 在弗吉尼亚州管理。有关此项拨款的更多信息,请访问https://www.vita.virginia.gov/security/cybersecurity-grants/
其他网络安全资源
EPA 事件行动清单- EPA 提供了一份行动清单,用于准备应对网络事件、响应网络事件以及从网络事件中恢复。
弗吉尼亚融合中心水务和废水处理行业参与指南- 为水务和废水处理行业提供网络安全指导和资源
网络安全和应急管理调查结果
饮用水办公室向所有自来水厂发送了一份关于网络安全和应急管理的调查问卷。超过660 个自来水厂做出了回应。主要调查结果见此处。