近日,美国国家标准技术研究所(NIST)发布酒店业实用网络安全指南,可帮助酒店经营者降低黑客最常攻击的酒店系统的脆弱性和风险,这些系统包括酒店财产管理系统(PMS),该系统可存储客人的个人信息和信用卡数据。
该指南分为三部分,介绍了保护PMS的方法、产品的操作指南、帮助酒店经营者控制和限制对PMS的访问,并保护客人的隐私和支付卡信息。
NIST美国国家网络安全卓越中心(NCCoE)的Bill Newhouse解释说:“我们已经证明,使用当今的技术可以减轻财产管理系统内部和周围的网络安全风险。”
“我们的实践指南给出来一个网络安全和隐私风险的参考设计,并融入了一些网络安全概念,例如零信任体系结构、移动目标防御、信用卡数据令牌化和基于角色的身份验证等。我们还提供特定的用例来展示这种设计的功能。”
1. 酒店业是2019年受攻击最严重的行业之一(排名第三)
近年来,攻击者已经入侵了多家大型连锁酒店的网络,暴露泄漏了数亿客人的信息。根据最近的行业报告,在2019年因网络安全漏洞而受到影响的行业中,酒店业排名第三,该行业遭受的攻击事件占总数的13%。
这些漏洞中约有三分之二是对酒店企业服务器的攻击,因为这些服务器通常存储来宾信息并与现场财产管理系统进行通信。此类网络攻击行为可能损害酒店企业声誉,破坏运营并造成巨大的财务损失。
2. 用零信任加固酒店PMS和联网IT基础架构
NCCoE与酒店业和网络安全技术提供商合作,开发了一个示例系统——“PMS参考设计”,该系统可模拟酒店的PMS和联网IT基础设施,包括电子支付系统和电子门锁。该设计可保护在此环境中移动的数据,并防止用户访问各种系统和服务。
尽管该设计使用了商用技术来实现目标,但该指南并未推荐任何特定安全产品。该解决方案中使用的所有技术均支持NIST网络安全框架的安全标准和准则,并且该设计与NIST隐私框架的隐私保护预期保持一致。
该实践指南还介绍了最新的NIST出版物零信任体系结构,该体系是专注于资源保护的网络安全范式。其前提是永不信任、始终验证(评估)。
“零信任原则意味着不能仅根据设备或用户的物理或网络位置,或设备拥有者身份来授予访问权限。取而代之的是,在用户可以访问网络资源之前,需要同时对主体和设备进行身份验证和授权;
洛杉矶律师事务所Jeffer Mangels Butler&Mitchell LLP的合伙人罗伯特·布劳恩(Robert Braun)指出:“该指南分析并解决了几乎所有酒店业开发安全数据系统所面临的共同挑战。”
参考资料:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-27.pdf
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】