美國海岸警衛(wèi)隊在《聯(lián)邦公報》上發(fā)布了海事領(lǐng)域最新網(wǎng)絡(luò)安全法規(guī)，為懸掛美國國旗船只、外大陸架設(shè)施和受《2002年海上運輸安全法》管轄的設(shè)施制定了最低網(wǎng)絡(luò)安全要求。

該法規(guī)通過增加最低網(wǎng)絡(luò)安全要求來幫助檢測風(fēng)險、應(yīng)對網(wǎng)絡(luò)安全事件并從中恢復(fù)，從而保護(hù)海上運輸系統(tǒng)免受網(wǎng)絡(luò)安全威脅。法規(guī)專門針對海上運輸系統(tǒng)日益互聯(lián)化和數(shù)字化所帶來的風(fēng)險，以應(yīng)對當(dāng)前和新出現(xiàn)的海事網(wǎng)絡(luò)安全威脅。

法規(guī)內(nèi)容包括制定和維護(hù)網(wǎng)絡(luò)安全計劃，任命網(wǎng)絡(luò)安全官員以及采取各種措施維護(hù)海上運輸系統(tǒng)的網(wǎng)絡(luò)安全。針對懸掛美國國旗的船舶、設(shè)施或外大陸架設(shè)施的所有者或運營商，網(wǎng)絡(luò)安全計劃必須包含七項帳戶安全措施：

• 在所有受密碼保護(hù)的IT系統(tǒng)上多次登錄失敗后自動鎖定帳戶
• 在使用任何 IT 或運營技術(shù)(OT)系統(tǒng)之前更改默認(rèn)密碼（或在不可行時實施其他補償安全控制）
• 在技術(shù)上能夠進(jìn)行密碼保護(hù)的IT和OT系統(tǒng)上保持最低密碼強度
• 在受密碼保護(hù)的IT和可遠(yuǎn)程訪問的OT系統(tǒng)上實施多因素身份驗證
• 在IT和OT系統(tǒng)上對管理員或其他特權(quán)帳戶應(yīng)用最小權(quán)限原則
• 在關(guān)鍵IT和OT系統(tǒng)上維護(hù)單獨的用戶憑證
• 在用戶離開組織時刪除或撤銷用戶憑證

美國海岸警衛(wèi)隊概述稱，網(wǎng)絡(luò)安全計劃必須包括四項設(shè)備安全措施要求。它們是：制定并維護(hù)一份經(jīng)所有者或運營商批準(zhǔn)的，可能安裝在IT或OT系統(tǒng)上的任何硬件、固件和軟件的清單；確保在關(guān)鍵IT和OT系統(tǒng)上默認(rèn)禁用運行可執(zhí)行代碼的應(yīng)用程序；維護(hù)網(wǎng)絡(luò)連接系統(tǒng)（包括關(guān)鍵IT和OT系統(tǒng)）的準(zhǔn)確清單；開發(fā)并記錄網(wǎng)絡(luò)映射和OT設(shè)備的配置信息。

此外，網(wǎng)絡(luò)安全計劃還必須包括兩項數(shù)據(jù)安全措施要求，以確保日志得到安全記錄、存儲和保護(hù)，并且只有特權(quán)用戶才能訪問，并在技術(shù)可行的情況下部署有效的加密技術(shù)以維護(hù)敏感數(shù)據(jù)的機密性和IT、OT流量的完整性。

美國海岸警衛(wèi)隊規(guī)定，船東或運營商還必須制定并記錄網(wǎng)絡(luò)事件響應(yīng)計劃，該計劃概述了如何應(yīng)對網(wǎng)絡(luò)事件的說明，并確定了人員中的關(guān)鍵角色、職責(zé)和決策者。

此外，船東或運營商還必須任命一名網(wǎng)絡(luò)安全員（ Cybersecurity Officer），以確保執(zhí)行網(wǎng)絡(luò)安全計劃和網(wǎng)絡(luò)事件響應(yīng)計劃。網(wǎng)絡(luò)安全員必須確保網(wǎng)絡(luò)安全計劃是最新的，并接受年度審核；還必須安排網(wǎng)絡(luò)安全檢查，確保人員接受足夠的網(wǎng)絡(luò)安全培訓(xùn)，記錄并向船東或運營商報告網(wǎng)絡(luò)安全事件，并采取措施減少網(wǎng)絡(luò)安全事件。

法規(guī)還規(guī)定，船東和運營商要限制對IT和OT設(shè)備的物理訪問，保護(hù)、監(jiān)控和記錄所有人員的訪問，并建立例外情況授予訪問權(quán)限的程序。

該法規(guī)將于2025年7月16日生效。