近日，美國國家標準技術研究所（NIST）發布酒店業實用網絡安全指南，可幫助酒店經營者降低黑客最常攻擊的酒店系統的脆弱性和風險，這些系統包括酒店財產管理系統（PMS），該系統可存儲客人的個人信息和信用卡數據。

　　該指南分為三部分，介紹了保護PMS的方法、產品的操作指南、幫助酒店經營者控制和限制對PMS的訪問，并保護客人的隱私和支付卡信息。

　　NIST美國國家網絡安全卓越中心（NCCoE）的Bill Newhouse解釋說：“我們已經證明，使用當今的技術可以減輕財產管理系統內部和周圍的網絡安全風險。”

　　“我們的實踐指南給出來一個網絡安全和隱私風險的參考設計，并融入了一些網絡安全概念，例如零信任體系結構、移動目標防御、信用卡數據令牌化和基于角色的身份驗證等。我們還提供特定的用例來展示這種設計的功能。”

　　01 酒店業是2019年受攻擊最嚴重的行業之一（排名第三）

　　近年來，攻擊者已經入侵了多家大型連鎖酒店的網絡，暴露泄漏了數億客人的信息。根據最近的行業報告，在2019年因網絡安全漏洞而受到影響的行業中，酒店業排名第三，該行業遭受的攻擊事件占總數的13％。

　　這些漏洞中約有三分之二是對酒店企業服務器的攻擊，因為這些服務器通常存儲來賓信息并與現場財產管理系統進行通信。此類網絡攻擊行為可能損害酒店企業聲譽，破壞運營并造成巨大的財務損失。

　　02 用零信任加固酒店PMS和聯網IT基礎架構

　　NCCoE與酒店業和網絡安全技術提供商合作，開發了一個示例系統——“PMS參考設計”，該系統可模擬酒店的PMS和聯網IT基礎設施，包括電子支付系統和電子門鎖。該設計可保護在此環境中移動的數據，并防止用戶訪問各種系統和服務。

　　盡管該設計使用了商用技術來實現目標，但該指南并未推薦任何特定安全產品。該解決方案中使用的所有技術均支持NIST網絡安全框架的安全標準和準則，并且該設計與NIST隱私框架的隱私保護預期保持一致。

　　該實踐指南還介紹了最新的NIST出版物零信任體系結構，該體系是專注于資源保護的網絡安全范式。其前提是永不信任、始終驗證（評估）。

　　“零信任原則意味著不能僅根據設備或用戶的物理或網絡位置，或設備擁有者身份來授予訪問權限。取而代之的是，在用戶可以訪問網絡資源之前，需要同時對主體和設備進行身份驗證和授權；

　　洛杉磯律師事務所Jeffer Mangels Butler＆Mitchell LLP的合伙人羅伯特·布勞恩（Robert Braun）指出：”該指南分析并解決了幾乎所有酒店業開發安全數據系統所面臨的共同挑戰。“