工业互联网联盟发布新物联网安全成熟度模型

简介:

上个月,工业互联网联盟(IIC)发布了其两篇论文中的第一篇:《物联网安全成熟度模型:描述和预期用途》,其主要是针对技术水平低下的物联网利益相关者的高级概述。

844ace0ac808048e2ca535fa68c908e7e35c6d52

微软物联网标准首席策略师 Ron Zahavi在接受采访时表示,“这第一篇主要是为商务人员准备的,旨在帮助他们了解安全所需的东西,并协助他们将其转化为自己业务所需的成熟度等级。”

此外,第二篇为安全从业人员提供更多技术观点的论文预计将在今年夏季发布。Zahavi表示,“将两篇文章分开发布,是允许不同的组织和垂直行业有时间来开发可以与第二份技术文件一起发布的特定配置文件。”

这种新型物联网安全成熟度模型(SMM)的目的,是为所有行业部门(无论个人安全需求如何)提供单一的物联网安全成熟度模型,并将其与所有物联网实施关联起来,无论是家庭、办公室还是工厂。工业互联网联盟的指导原则是开发一种适用于所有行业的新模式——涵盖流程和技术,利用NIST和ISA-62443等现有框架而不是试图去替代它们,简单且可扩展,并且适合供所有现有的安全评估公司使用。

它从成熟度建模所需的三个主要维度开始:治理(Governance)、支持(Enablement)和强化(hardening)。每个维度包含不同的领域。

治理涵盖战略、实践和流程的运作和管理,如威胁建模和风险评估以及供应链管理。支持包括传统安全技术的操作和管理,如身份和访问管理、数据保护、资产管理以及物理管理等。强化则涵盖漏洞和补丁管理的运营、事件响应以及审计等方面。

概括而言,它就是流程、技术和操作。

21a328a7b38328e4872a34c24d1d5db99dda831c

然后在两个轴线上——“全面性”和“范围”——对每个领域和实践进行评估。Zahavi表示,“全面性”是关于将安全措施应用于维度、领域和实践的深度和一致性的程度。其可以分为四个级别(如果加上“没有”的话就是五个级别):最小的;临时性的(安全性往往是对被宣传的事件或问题的反应);一致的(使用最佳做法和标准,可能是集中管理解决方案而不是现场解决方案);以及形式化的(包括一个定义明确的流程来管理一切,并随着时间的推移将其持续改进)。

“范围”被定义为适合行业或系统需求的程度。主要分为三个层次:一般(没有具体评估与特定物联网部门的相关性);行业特定(根据行业特定需求实施安全错略-例如医疗保健行业可能与制造业不同);以及系统特定(安全实施与特定组织中特定系统的特定需求和风险保持一致)。Zahavi 评论道,对于系统特定的范围,零售组织可能希望在其PoS传感器和其供应链传感器之间进行细化。

将不同实践的“全面性”和“范围”相结合,使得组织能够在实际和目标级别,以及安全实施的细粒度级别上定义其物联网安全成熟度。

成熟的目标水平几乎是风险偏好的体现。这是一个业务功能,而不是安全功能。多年来,安全团队一直盲目运营,以致业务和安全之间的沟通很少。现在,这种情况正在发生改变。工业数字化和运营技术(简称OT,物联网设备的主要发源地)与信息技术的融合,以及随后发生的将物联网设备暴露于互联网上,正在改变安全故障的底线。

信息的丢失可能会造成高昂的代价,并损害品牌信誉,而其对制造业造成的损失更可能是灾难性的。针对工控系统攻击的日益增长,以及攻击对工业盈利造成的巨大影响已经引起了董事会的注意,董事会现在要求安全人员对其实施的物联网安全措施是否能够保障安全给出解释。如今,通过使用工业互联网联盟发布的物联网安全成熟度模型可以帮助更好地将安全性与业务优先级结合起来,并且有助于实现业务和安全的一致性。

工业互联网联盟建议称,可以让业务负责人指定成熟度目标,而安全团队则进行当前的成熟度评估。两个级别之间的差异可以通过差距分析来评估,从中可以制定弥合差距的路线图。该路线图的目标是让任何所需的安全性增强,从而进行成熟度级别的重新评估以及流程的重复。

完成这一过程所需的一个辅助工具是成熟度模板。工业互联网联盟希望不同行业的不同公司开发和发布可供其他组织使用的高级 IIC SMM 成熟度模型。

IIC采用这种新型物联网安全成熟度模型的意图是增强而不是替代现有的安全框架。

已经存在可以接受安全控制机制的公认框架。但是,举例而言,如果你看一下NIST所采用的控制表和映射表,你会发现,它们并没有达到评估“我为我的行业做了什么,以及我需要达到什么级别?”的水平。

他继续说道,“‘我们正在做什么?’答案是,我们正在为其创造更高层次的成熟度,这一点在所有其他框架中都没有得到满足—我们正在强化现有的安全框架,而不是想要取代它。例如,我们并没有建议特定的所需安全控制,而是映射SMM,而且我们将继续这样做(例如,NIST也是IIC成员),将实践和适当的成熟度等级映射到现有的框架和安全控制中。所以,其目的是,如果您拥有零售或医疗保健或制造业的配置文件,那么您应该能够定位自己的行业领域,然后回到那些现有的框架中,以更狭窄的视角来看待您需要部署哪些机制和控制以在自己的领域实现自己公司的目标成熟度。”

IIC物联网安全成熟度模型有助于企业利用现有的安全框架达到他们自己定义的物联网安全成熟目标水平。


原文发布时间为:2018-05-21

本文作者:Jasmine

本文来自云栖社区合作伙伴“安全牛”,了解相关信息可以关注“安全牛”。

相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
相关文章
|
10天前
|
安全 物联网 网络安全
智能设备的安全隐患:物联网(IoT)安全指南
智能设备的安全隐患:物联网(IoT)安全指南
34 12
|
17天前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第26天】随着物联网(IoT)技术的快速发展,智能设备已广泛应用于智能家居、工业控制和智慧城市等领域。然而,设备数量的激增也带来了严重的安全问题,如黑客攻击、数据泄露和恶意控制,对个人隐私、企业运营和国家安全构成威胁。因此,加强物联网设备的安全防护至关重要。
42 7
|
18天前
|
监控 安全 物联网
确保互联世界中物联网设备安全的三个技巧
确保互联世界中物联网设备安全的三个技巧
|
16天前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第27天】随着物联网技术的快速发展,智能设备已广泛应用于生活和工业领域。然而,物联网设备的安全问题日益凸显,主要威胁包括中间人攻击、DDoS攻击和恶意软件植入。本文探讨了物联网设备的安全防护策略和最佳实践,包括设备认证和加密、定期更新、网络隔离以及安全标准的制定与实施,旨在确保设备安全和数据保护。
34 0
|
1月前
|
安全 物联网 物联网安全
探索未来网络:物联网安全的最佳实践
随着物联网设备的普及,我们的世界变得越来越互联。然而,这也带来了新的安全挑战。本文将探讨在设计、实施和维护物联网系统时,如何遵循一些最佳实践来确保其安全性。通过深入分析各种案例和策略,我们将揭示如何保护物联网设备免受潜在威胁,同时保持其高效运行。
49 5
|
2月前
|
机器学习/深度学习 安全 物联网安全
探索未来网络:物联网安全的最佳实践与创新策略
本文旨在深入探讨物联网(IoT)的安全性问题,分析其面临的主要威胁与挑战,并提出一系列创新性的解决策略。通过技术解析、案例研究与前瞻展望,本文不仅揭示了物联网安全的复杂性,还展示了如何通过综合手段提升设备、数据及网络的安全性。我们强调了跨学科合作的重要性,以及在快速发展的技术环境中保持敏捷与适应性的必要性,为业界和研究者提供了宝贵的参考与启示。
|
2月前
|
存储 安全 物联网
探索未来网络:物联网安全的挑战与对策
本文深入探讨了物联网(IoT)技术的基本概念、发展现状以及面临的主要安全挑战,并提出了相应的解决策略。通过对当前物联网设备的安全漏洞和攻击手段的分析,文章强调了加强设备认证、数据加密和隐私保护等措施的重要性。同时,呼吁业界共同努力,制定统一的安全标准和规范,以促进物联网技术的健康发展。
|
1月前
|
存储 安全 物联网
|
2月前
|
存储 安全 物联网
智能家居安全:物联网设备的风险与防护
在智能家居的浪潮中,物联网技术让生活更加便捷。然而,随之而来的安全问题也不容忽视。本文将揭示智能家居设备可能面临的安全风险,并提供实用的防护措施,帮助用户构建一个更安全的智能生活环境。
|
2月前
|
存储 安全 物联网
探索未来网络:物联网安全的最佳实践与挑战
在数字化浪潮中,物联网作为连接万物的关键技术,已深刻改变我们的工作与生活方式。然而,随着其应用的广泛化,安全问题日益凸显,成为制约物联网发展的重要瓶颈。本文旨在深入探讨物联网的安全架构、风险点及应对策略,通过分析当前技术趋势和实际案例,提出一套切实可行的安全防护方案,以促进物联网技术的健康发展。

相关产品

  • 物联网平台