工业互联网联盟发布新物联网安全成熟度模型

简介:

上个月,工业互联网联盟(IIC)发布了其两篇论文中的第一篇:《物联网安全成熟度模型:描述和预期用途》,其主要是针对技术水平低下的物联网利益相关者的高级概述。

844ace0ac808048e2ca535fa68c908e7e35c6d52

微软物联网标准首席策略师 Ron Zahavi在接受采访时表示,“这第一篇主要是为商务人员准备的,旨在帮助他们了解安全所需的东西,并协助他们将其转化为自己业务所需的成熟度等级。”

此外,第二篇为安全从业人员提供更多技术观点的论文预计将在今年夏季发布。Zahavi表示,“将两篇文章分开发布,是允许不同的组织和垂直行业有时间来开发可以与第二份技术文件一起发布的特定配置文件。”

这种新型物联网安全成熟度模型(SMM)的目的,是为所有行业部门(无论个人安全需求如何)提供单一的物联网安全成熟度模型,并将其与所有物联网实施关联起来,无论是家庭、办公室还是工厂。工业互联网联盟的指导原则是开发一种适用于所有行业的新模式——涵盖流程和技术,利用NIST和ISA-62443等现有框架而不是试图去替代它们,简单且可扩展,并且适合供所有现有的安全评估公司使用。

它从成熟度建模所需的三个主要维度开始:治理(Governance)、支持(Enablement)和强化(hardening)。每个维度包含不同的领域。

治理涵盖战略、实践和流程的运作和管理,如威胁建模和风险评估以及供应链管理。支持包括传统安全技术的操作和管理,如身份和访问管理、数据保护、资产管理以及物理管理等。强化则涵盖漏洞和补丁管理的运营、事件响应以及审计等方面。

概括而言,它就是流程、技术和操作。

21a328a7b38328e4872a34c24d1d5db99dda831c

然后在两个轴线上——“全面性”和“范围”——对每个领域和实践进行评估。Zahavi表示,“全面性”是关于将安全措施应用于维度、领域和实践的深度和一致性的程度。其可以分为四个级别(如果加上“没有”的话就是五个级别):最小的;临时性的(安全性往往是对被宣传的事件或问题的反应);一致的(使用最佳做法和标准,可能是集中管理解决方案而不是现场解决方案);以及形式化的(包括一个定义明确的流程来管理一切,并随着时间的推移将其持续改进)。

“范围”被定义为适合行业或系统需求的程度。主要分为三个层次:一般(没有具体评估与特定物联网部门的相关性);行业特定(根据行业特定需求实施安全错略-例如医疗保健行业可能与制造业不同);以及系统特定(安全实施与特定组织中特定系统的特定需求和风险保持一致)。Zahavi 评论道,对于系统特定的范围,零售组织可能希望在其PoS传感器和其供应链传感器之间进行细化。

将不同实践的“全面性”和“范围”相结合,使得组织能够在实际和目标级别,以及安全实施的细粒度级别上定义其物联网安全成熟度。

成熟的目标水平几乎是风险偏好的体现。这是一个业务功能,而不是安全功能。多年来,安全团队一直盲目运营,以致业务和安全之间的沟通很少。现在,这种情况正在发生改变。工业数字化和运营技术(简称OT,物联网设备的主要发源地)与信息技术的融合,以及随后发生的将物联网设备暴露于互联网上,正在改变安全故障的底线。

信息的丢失可能会造成高昂的代价,并损害品牌信誉,而其对制造业造成的损失更可能是灾难性的。针对工控系统攻击的日益增长,以及攻击对工业盈利造成的巨大影响已经引起了董事会的注意,董事会现在要求安全人员对其实施的物联网安全措施是否能够保障安全给出解释。如今,通过使用工业互联网联盟发布的物联网安全成熟度模型可以帮助更好地将安全性与业务优先级结合起来,并且有助于实现业务和安全的一致性。

工业互联网联盟建议称,可以让业务负责人指定成熟度目标,而安全团队则进行当前的成熟度评估。两个级别之间的差异可以通过差距分析来评估,从中可以制定弥合差距的路线图。该路线图的目标是让任何所需的安全性增强,从而进行成熟度级别的重新评估以及流程的重复。

完成这一过程所需的一个辅助工具是成熟度模板。工业互联网联盟希望不同行业的不同公司开发和发布可供其他组织使用的高级 IIC SMM 成熟度模型。

IIC采用这种新型物联网安全成熟度模型的意图是增强而不是替代现有的安全框架。

已经存在可以接受安全控制机制的公认框架。但是,举例而言,如果你看一下NIST所采用的控制表和映射表,你会发现,它们并没有达到评估“我为我的行业做了什么,以及我需要达到什么级别?”的水平。

他继续说道,“‘我们正在做什么?’答案是,我们正在为其创造更高层次的成熟度,这一点在所有其他框架中都没有得到满足—我们正在强化现有的安全框架,而不是想要取代它。例如,我们并没有建议特定的所需安全控制,而是映射SMM,而且我们将继续这样做(例如,NIST也是IIC成员),将实践和适当的成熟度等级映射到现有的框架和安全控制中。所以,其目的是,如果您拥有零售或医疗保健或制造业的配置文件,那么您应该能够定位自己的行业领域,然后回到那些现有的框架中,以更狭窄的视角来看待您需要部署哪些机制和控制以在自己的领域实现自己公司的目标成熟度。”

IIC物联网安全成熟度模型有助于企业利用现有的安全框架达到他们自己定义的物联网安全成熟目标水平。


原文发布时间为:2018-05-21

本文作者:Jasmine

本文来自云栖社区合作伙伴“安全牛”,了解相关信息可以关注“安全牛”。

相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
相关文章
|
6天前
|
机器学习/深度学习 安全 物联网安全
探索未来网络:物联网安全的最佳实践与创新策略
本文旨在深入探讨物联网(IoT)的安全性问题,分析其面临的主要威胁与挑战,并提出一系列创新性的解决策略。通过技术解析、案例研究与前瞻展望,本文不仅揭示了物联网安全的复杂性,还展示了如何通过综合手段提升设备、数据及网络的安全性。我们强调了跨学科合作的重要性,以及在快速发展的技术环境中保持敏捷与适应性的必要性,为业界和研究者提供了宝贵的参考与启示。
|
9天前
|
存储 安全 物联网
探索未来网络:物联网安全的挑战与对策
本文深入探讨了物联网(IoT)技术的基本概念、发展现状以及面临的主要安全挑战,并提出了相应的解决策略。通过对当前物联网设备的安全漏洞和攻击手段的分析,文章强调了加强设备认证、数据加密和隐私保护等措施的重要性。同时,呼吁业界共同努力,制定统一的安全标准和规范,以促进物联网技术的健康发展。
|
22天前
|
存储 安全 物联网
智能家居安全:物联网设备的风险与防护
在智能家居的浪潮中,物联网技术让生活更加便捷。然而,随之而来的安全问题也不容忽视。本文将揭示智能家居设备可能面临的安全风险,并提供实用的防护措施,帮助用户构建一个更安全的智能生活环境。
|
25天前
|
监控 安全 物联网
智能家居安全:物联网设备的风险与防护
在智能家居的便捷背后,潜藏着不容忽视的安全风险。本文旨在揭示物联网设备可能遭遇的网络攻击类型,并探讨如何通过合理的预防措施来加固我们的智能家园。从技术角度出发,我们将深入分析黑客入侵的途径,并提出有效的防御策略,以期为打造一个更安全的智能家居环境提供指导。
35 1
|
1月前
|
传感器 安全 物联网
物联网安全实战:保护你的智能设备免受攻击
【9月更文挑战第3天】物联网安全是一项复杂而艰巨的任务,需要我们共同努力来应对。通过采取上述实战措施,我们可以有效保护智能设备免受攻击,保障用户的数据隐私和网络安全。在未来的物联网发展中,我们将继续面临新的安全挑战和威胁,但只要我们保持警惕和不断创新,就一定能够构建一个更加安全、可靠的物联网生态系统。
|
2月前
|
机器学习/深度学习 安全 物联网
智能家居安全:物联网设备的双刃剑
【8月更文挑战第28天】 随着物联网技术的飞速发展,智能家居已成为现代生活的一部分。然而,随之而来的安全问题也日益凸显。本文将深入探讨智能家居中的安全挑战,分析物联网设备如何成为一把双刃剑,既带来便利也可能引发风险。通过案例分析和专家建议,为读者提供实用的防护措施和未来趋势的展望。
|
2月前
|
Rust 安全 物联网
解锁物联网安全新纪元!Rust如何悄然革新系统级编程,让智能设备“零风险”连接未来?
【8月更文挑战第31天】随着物联网(IoT)技术的发展,设备安全与效率成为关键挑战。Rust语言凭借其内存安全、高性能和并发优势,逐渐成为物联网开发的新宠。本文通过智能门锁案例,展示Rust如何确保生物识别数据的安全传输,并高效处理多用户请求。Rust的应用不仅限于智能家居,还广泛用于工业自动化和智慧城市等领域,为物联网开发带来革命性变化。
50 1
|
15天前
|
存储 安全 物联网
探索未来网络:物联网安全的最佳实践与挑战
在数字化浪潮中,物联网作为连接万物的关键技术,已深刻改变我们的工作与生活方式。然而,随着其应用的广泛化,安全问题日益凸显,成为制约物联网发展的重要瓶颈。本文旨在深入探讨物联网的安全架构、风险点及应对策略,通过分析当前技术趋势和实际案例,提出一套切实可行的安全防护方案,以促进物联网技术的健康发展。
|
2月前
|
监控 UED 开发者
从设计到监控:用Xamarin打造高可用性移动应用的实战策略与案例深度剖析
【8月更文挑战第31天】在数字化时代,移动应用成为生活工作的重要组成部分,其稳定性和可靠性至关重要。Xamarin作为跨平台开发框架,已广受认可,但如何确保应用高可用性是开发者面临的挑战。本文以电商应用“SmartShop”为例,从设计、异常处理、性能优化、多线程及测试监控五个方面探讨构建高可用性Xamarin应用的最佳实践。通过模块化设计、有效异常处理、性能优化、多线程技术和全面测试监控,确保应用稳定高效,提升用户体验。
29 0
|
2月前
|
存储 安全 物联网
物联网中的通信模型
【8月更文挑战第23天】
32 0

相关产品

  • 物联网平台
  • 下一篇
    无影云桌面