美國海岸警衛(wèi)隊(duì)在《聯(lián)邦公報(bào)》上發(fā)布了海事領(lǐng)域最新網(wǎng)絡(luò)安全法規(guī)，為懸掛美國國旗船只、外大陸架設(shè)施和受《2002年海上運(yùn)輸安全法》管轄的設(shè)施制定了最低網(wǎng)絡(luò)安全要求。

該法規(guī)通過增加最低網(wǎng)絡(luò)安全要求來幫助檢測風(fēng)險(xiǎn)、應(yīng)對(duì)網(wǎng)絡(luò)安全事件并從中恢復(fù)，從而保護(hù)海上運(yùn)輸系統(tǒng)免受網(wǎng)絡(luò)安全威脅。法規(guī)專門針對(duì)海上運(yùn)輸系統(tǒng)日益互聯(lián)化和數(shù)字化所帶來的風(fēng)險(xiǎn)，以應(yīng)對(duì)當(dāng)前和新出現(xiàn)的海事網(wǎng)絡(luò)安全威脅。

法規(guī)內(nèi)容包括制定和維護(hù)網(wǎng)絡(luò)安全計(jì)劃，任命網(wǎng)絡(luò)安全官員以及采取各種措施維護(hù)海上運(yùn)輸系統(tǒng)的網(wǎng)絡(luò)安全。針對(duì)懸掛美國國旗的船舶、設(shè)施或外大陸架設(shè)施的所有者或運(yùn)營商，網(wǎng)絡(luò)安全計(jì)劃必須包含七項(xiàng)帳戶安全措施：

• 在所有受密碼保護(hù)的IT系統(tǒng)上多次登錄失敗后自動(dòng)鎖定帳戶
• 在使用任何 IT 或運(yùn)營技術(shù)(OT)系統(tǒng)之前更改默認(rèn)密碼（或在不可行時(shí)實(shí)施其他補(bǔ)償安全控制）
• 在技術(shù)上能夠進(jìn)行密碼保護(hù)的IT和OT系統(tǒng)上保持最低密碼強(qiáng)度
• 在受密碼保護(hù)的IT和可遠(yuǎn)程訪問的OT系統(tǒng)上實(shí)施多因素身份驗(yàn)證
• 在IT和OT系統(tǒng)上對(duì)管理員或其他特權(quán)帳戶應(yīng)用最小權(quán)限原則
• 在關(guān)鍵IT和OT系統(tǒng)上維護(hù)單獨(dú)的用戶憑證
• 在用戶離開組織時(shí)刪除或撤銷用戶憑證

美國海岸警衛(wèi)隊(duì)概述稱，網(wǎng)絡(luò)安全計(jì)劃必須包括四項(xiàng)設(shè)備安全措施要求。它們是：制定并維護(hù)一份經(jīng)所有者或運(yùn)營商批準(zhǔn)的，可能安裝在IT或OT系統(tǒng)上的任何硬件、固件和軟件的清單；確保在關(guān)鍵IT和OT系統(tǒng)上默認(rèn)禁用運(yùn)行可執(zhí)行代碼的應(yīng)用程序；維護(hù)網(wǎng)絡(luò)連接系統(tǒng)（包括關(guān)鍵IT和OT系統(tǒng)）的準(zhǔn)確清單；開發(fā)并記錄網(wǎng)絡(luò)映射和OT設(shè)備的配置信息。

此外，網(wǎng)絡(luò)安全計(jì)劃還必須包括兩項(xiàng)數(shù)據(jù)安全措施要求，以確保日志得到安全記錄、存儲(chǔ)和保護(hù)，并且只有特權(quán)用戶才能訪問，并在技術(shù)可行的情況下部署有效的加密技術(shù)以維護(hù)敏感數(shù)據(jù)的機(jī)密性和IT、OT流量的完整性。

美國海岸警衛(wèi)隊(duì)規(guī)定，船東或運(yùn)營商還必須制定并記錄網(wǎng)絡(luò)事件響應(yīng)計(jì)劃，該計(jì)劃概述了如何應(yīng)對(duì)網(wǎng)絡(luò)事件的說明，并確定了人員中的關(guān)鍵角色、職責(zé)和決策者。

此外，船東或運(yùn)營商還必須任命一名網(wǎng)絡(luò)安全員（ Cybersecurity Officer），以確保執(zhí)行網(wǎng)絡(luò)安全計(jì)劃和網(wǎng)絡(luò)事件響應(yīng)計(jì)劃。網(wǎng)絡(luò)安全員必須確保網(wǎng)絡(luò)安全計(jì)劃是最新的，并接受年度審核；還必須安排網(wǎng)絡(luò)安全檢查，確保人員接受足夠的網(wǎng)絡(luò)安全培訓(xùn)，記錄并向船東或運(yùn)營商報(bào)告網(wǎng)絡(luò)安全事件，并采取措施減少網(wǎng)絡(luò)安全事件。

法規(guī)還規(guī)定，船東和運(yùn)營商要限制對(duì)IT和OT設(shè)備的物理訪問，保護(hù)、監(jiān)控和記錄所有人員的訪問，并建立例外情況授予訪問權(quán)限的程序。

該法規(guī)將于2025年7月16日生效。