在RIoT Control第六章摘录中，讨论了物联网的安全风险要求如何与安全要求相关。

以下是RIoT Control的摘录：理解和管理风险和物联网。本章从第六章描述了物联网中的安全风险要求以及它们与安全要求的关系。

Safety is not exactly the same as security

要求任何工业控制系统（ICS）工程师，无论企业IT安全标准和流程在其环境中是否有用，他/她很可能会说“部分但绝对不完全”。ICS安全执业者多年来一直拒绝IT安全专家和标准的提出，声称ICS不一样，具有不同的要求。

他们是对的他们是对的！从ICS和IT之间的早期遇到的经验教训现在扩展到物联网 - 将两种做法相结合：

ICS + IT = IoT

RIoT控制

尝试总结一下：ICS和IT具有不同的性能和可靠性要求。ICS特别使用可能被认为是非常规的IT支持人员的操作系统和应用程序。此外，安全和效率的目标有时可能与控制系统的设计和操作中的安全性相冲突（例如，要求密码认证和授权不应妨碍或干扰ICS的紧急行动）。

在典型的IT系统中，数据的机密性和完整性通常是主要的关注点。对于ICS，人类或财产安全和容错，以防止生命损失或危害公共卫生或信心，遵守法规，损失设备，知识产权损失或丢失或损坏的产品是主要关切。负责运营，保护和维护ICS的人员必须了解安全与安全之间的重要联系。

在典型的IT系统中，与环境有着甚至没有物理的交互作用。ICS可以在物理过程中产生非常复杂的交互作用，并在物理事件中表现出ICS域中的后果。

安全作为物联网要求还涉及系统行为的一个关键方面：保护无意的性质的熵（随机）故障。

以下安全要求可能会与本书中其他要求相互重叠并相互依赖，但由于物联网的安全性至关重要，因此，它们是值得独立理解的。

性能

信息技术（IT）充满了虚假的索赔性能，这将代表一个大的安全风险的物联网。供应商的IT硬件和软件都将发布有关性能指标，根本无法复制的索赔。这是很常见的；然而，行业已经学会通过贴现供应商要求适应这种慢性的夸张的性能要求（昂贵的）试验和概念证明演示，一般在提供基础设施。

客户经常购买一个网络设备，期望它将在1 Gbps的，例如，只发现，一旦他们配置它的方式，他们需要它的性能下降到一半甚至更少！同样，组织投资软件期望它会处理（再次，只是一个例子）每毫秒100次交易，只发现供应商的性能要求只支持非常具体的硬件配置，不适合客户的环境。

在物联网，其中的逻辑动力学/网络物理接口占主导地位，性能将是有关的功能和指标，如：时间的关键性，延迟，或抖动-性能的可靠性，而一些与IT相关的指标，如最大吞吐量可能不重要。我们将在本节中讨论这些性能指标。

在物联网，端点，网关，网络和云/数据中心元素的性能需要作为广告的产品和服务供应商。

清晰的性能在产品和服务是物联网的基本要求。当涉及到物联网的性能，产品和服务供应商需要知道捏造数据或故意含糊的或欺骗性的驱动器不为人知的风险。

可靠性和一致性

ICS包括安全仪表系统（SIS），它们是高可靠性建立的硬化信息元素，与安全和可预测的失败相关。这就是物联网所需要的。

相反，来自企业网络和数据中心（DC）环境的IT元素通常不是为了实现高可靠性而建立的;它们被集成到高可用性（HA）对和集群中。HA是硬件和软件可靠性的便宜替代品，因为假设即使可靠性差，大多数（或至少一半）元素在一个元素发生故障后仍将保持有效。

与高可用性和集群相关的IT设计规则不能很好地扩展到物联网的更偏远的部分，例如网关和端点，其中经济（业务情况）不合理，并且基于安全技术无法部署服务依靠基础设施加倍。

许多ICS过程本质上是连续的，因此必须是可靠的。控制工业过程的意外中断系统是不可接受的。ICS中断通常必须提前几天或几周进行计划和安排。彻底的部署前测试对于确保ICS的可靠性至关重要。

除了意外停电之外，许多控制系统都不能容易地停止和启动，而不会影响生产和安全。在某些情况下，正在生产的产品或正在使用的设备比被传送的信息更为重要。因此，由于对ICS的高可用性，可靠性和可维护性的要求的不利影响，使用典型的IT策略（例如重新启动组件）通常是不可接受的解决方案。

与性能要求类似，物联网的可靠性需要在可靠性方面提供更为重要和可靠的规范。在网络和DC世界中常见的平均替代时间（MTTR）或平均故障时间（MTTF）的措施将需要向网络边缘扩展，其中设备不能部署在HA或聚类设计。

总的来说，物联网的安全性将要求网关元件尤其是终端，在独立性能方面变得更加可靠和一致。

无毒和生物兼容

很像今天关于电池，紧凑型荧光灯，汞恒温器和消耗臭氧层空调装置的关注点，物联网的重大安全风险将与建立物联网设备所用材料的影响有关。

在许多情况下，物联网将关注注定要被吸收到环境中或嵌入到活组织和体内的装置。例如，环境传感器可能会部署在期望和业务假设之中，一旦停止工作，它们将被放置到位，以便简单地衰减和消失。或者，当前的可穿戴技术的产生将不可避免地演变成将被更直接地放置在皮肤上较长时间段或将被嵌入的其他装置。今天的植入物肯定会相互联系，以便更好地监测，诊断和管理。

IoT设备需要考虑到环境安全性。由有毒物质制成的装置可能会对其分配，使用和处理造成更严格的监管和监督，从而提高成本。

物联网的安全性不仅与设备如何作用和响应命令有关，而且与其使用寿命期间和之后的操作环境有关。

使用更新的，特别开发的生物相容性材料启动工程设备的需求可能意味着其他安全功能（如可靠性和可预测性）可能会受到损害，因为信息处理和计算的世界在物理应力方面非常苛刻。在建立物联网端点时，向更环保，安全的材料转移将绝对对这些设备的数据处理和管理保证产生影响，如果没有其他原因，它将反映系统的变化。

理解与在物联网中使用和采用新的安全材料相关的安全和风险取舍对于风险管理者至关重要。

可处理

与物联网安全毒性问题相关的是安全和一次性的问题。当设备达到使用寿命，过时，不再需要或有缺陷，无法修复时会发生什么？从安全的角度来看，环境问题是明确的 - 但与一次性使用相关的安全和信息安全之间的联系可能并不明显。

在安全领域，硬件和软件处理是一个很好理解的安全流程和要求。IoT中的设备，系统和服务所有者必须确保在处理IoT设备的过程中销毁信息，未授权的访问不会授予个人或专有信息（操作系统，配置，设计等） 。发生了许多壮观的信息安全漏洞，因为处理不善或缺乏行为。

在安全方面也存在处理问题，这将对物联网安全和风险管理产生一定的影响。

一次性将影响物联网中关于物联网端点和边缘设备的生物和环境毒性等元素的安全性。他们会毒害用户吗？一旦达到垃圾填埋场或焚化炉，数千或数百万，或一旦它们已经退役但已经到位，无论是嵌入沥青还是嵌入生命的肉，它们会变得危险吗？

例如，在可能嵌入物体或人体的可穿戴设备或设备的情况下，会对机械和环境稳定的材料形成明确的要求，例如：

• 电池和能量收集和转换部件
  
• 导体/导线
  
• 处理器和内存
  
• 绝缘子
  
• 包装，住房和监控与控制界面
  
• 基材和功能材料
  

虽然安全可能规定使用某些材料和其他材料，但对信息安全的影响可能难以平衡。例如，信息处理或存储部件的防篡改或防篡改可能需要不符合安全性和可处理性标准的材料！或者，一次性电池类型可能不支持信息安全的可用性要求和服务级别。

物联网的安全和变更管理

变更管理对维护IT和IoT系统的安全至关重要，也适用于硬件和固件。每个信息安全学生都知道，修复漏洞和其他安全影响的缺陷所需的补丁管理是变更管理流程的主要恳求者。

未分配系统代表了IT系统最大的漏洞之一。IT系统上的软件更新（包括安全补丁）通常是基于旨在满足合规（组织）要求的安全策略和过程及时应用的。这些程序通常在企业IT中自动化，使用基于服务器的工具和自动更新过程。

然而，物联网中的软件更新无法始终在自动化的基础上实施。在物联网中，每个软件更新可能具有与之相关的安全关键依赖性，无论是否与修补后的停机时间或物联网系统的基本稳定性和性能相关联。IoT更新将需要由潜在的多个利益相关者（如各种设备，应用程序和服务供应商）以及应用程序的用户进行彻底测试和批准。

作为整体的物联网系统也可能需要重新验证和认证，作为服务水平协议（SLA）的一部分，以及与政府或银行等高度保证客户的合同中规定的合规流程。

来自IT的变更管理过程可能是物联网变更管理的基础，但批发采用是不适当的，这种做法将代表物联网系统或服务的风险。

泰森·麦考利（Tyson Macaulay）是首席技术官兼首席安全策略顾问，在安全行业有超过20年的经验，以及Fortinet，Intel和Bell Canada等公司的经验。总部位于加利福尼亚州桑尼维尔，他还是1993年以来的研究员，书籍，期刊出版物和专利。泰森通过国际标准组织（ISO）和安大略省专业工程师支持开发工程和安全标准。他的专长是电信级安全设计，企业风险管理，技术风险管理，安全架构，安全方法，安全审计与合规，安全计划制定和治理，国际标准制定，物联网（IoT）和国际安全标准。