NIST发布酒店业网络安全指南这包括存储客人个人信息和信用卡数据的酒店物业管理系统(PMS)。该指南分为三个部分,描述了如何保护PMS、产品操作指南、帮助酒店经营者控制和限制对PMS的访问以及保护客人的隐私和支付卡信息。NIST国家网络安全卓越中心(NCCoE)的BillNewhouse解释说:“我们已经证明,使用当今的技术可以减轻物业管理系统内部和周围的网络安全风险。”隐私风险的参考设计,结合了一些网络安全概念,例如零信任架构、移动目标防御、信用卡数据标记化和基于角色的身份验证等。我们还提供了具体的用例来演示此设计1的功能。酒店业是2019年受攻击最严重的行业之一(排名第三)。近年来,攻击者入侵了多家大型连锁酒店的网络,暴露和泄露了数亿客人的信息。根据最近的一份行业报告,酒店业在2019年受网络安全漏洞影响的行业中排名第三,占事件总数的13%。这些违规行为中约有三分之二是对酒店企业服务器的攻击,因为这些服务器通常存储客人信息并与现场物业管理系统通信。此类网络攻击可能会损害酒店企业的声誉、扰乱运营并造成巨大的财务损失。2.使用零信任加强酒店PMS和网络IT基础设施NCCoE与酒店业和网络安全技术提供商合作,开发了一个示例系统——“PMS参考设计”,模拟酒店的PMS和网络IT基础设施,包括电子支付系统和电子门锁。该设计保护在此环境中移动的数据,并防止用户访问各种系统和服务。尽管设计使用了商业技术来实现目标,但指南并未推荐任何特定的安全产品。方案中使用的所有技术均支持NISTCyber??securityFramework的安全标准和指南,设计符合NISTPrivacyFramework的隐私保护预期。本实践指南还描述了最新的NIST出版物零信任架构,这是一种专注于资源保护的网络安全范例。前提是永远不信任,永远验证(评估)。“零信任原则意味着不能仅根据设备或用户的物理或网络位置,或者谁拥有设备来授予访问权限。取而代之的是,在用户访问网络资源之前,主体和设备都需要进行身份验证和身份验证。授权;洛杉矶律师事务所JefferMangelsButler&MitchellLLP的合伙人RobertBraun指出:“该指南分析并解决了几乎所有酒店业在开发安全数据系统方面的共同挑战。”参考资料:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-27.pdf【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】点此查看作者更多好文
