工业互联网联盟发布新物联网安全成熟度模型

Posted wushangguo

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了工业互联网联盟发布新物联网安全成熟度模型相关的知识,希望对你有一定的参考价值。

工业互联网联盟(IIC)基于其自身的安全框架和参考架构开发了一种新型物联网安全成熟度模型(SMM),有助于企业利用现有的安全框架达到他们自己定义的物联网安全成熟度目标级别。本周 IIC 发布了两篇报告中的第一篇 — 《物联网安全成熟度模型:描述和预期用途》,该篇主要是针对较少技术的物联网利益相关者的高级概述。微软物联网标准首席策略师 Ron Zahavi 预计第二篇为安全从业人员提供更多技术观点的白皮书将会在夏季发布。

根据 Ron Zahavi 的说法,《物联网安全成熟度模型:描述和预期用途》是为商人准备的,因为可以帮助他们了解安全所需要的东西,并帮助他们将其转化为自己业务所需的成熟度等级(所需的成熟度级别成为目标成熟度级别)。

Zahavi 表示,这种新型物联网安全成熟度模型的目的是为所有行业部门提供单一的物联网 SMM 和所有与物联网实施相关的,无论个人安全需求如何,也无论是家庭、办公室还是工厂。IIC 的指导原则是开发一种适用于所有行业的新模式,涵盖流程和技术、合理利用 NIST 和 ISA-62443 等现有框架,而不是试图去替代它们、简单和可扩展的、并且可供所有现有的安全评估公司使用等方面。

该模式从成熟度建立在三个主要维度上的基础开始:治理、支持和强化。每个维度包含不同的领域,Zahavi 解释说:

“治理涵盖战略、实践和流程的运作和管理,如威胁建模和风险评估以及供应链管理。支持包括传统安全技术的操作和管理,如身份和访问管理、数据保护、资产管理、物理管理等。强化则是关于漏洞和补丁管理的运营方面,以及事件响应和审计等。”

技术分享图片

然后在两个轴线上(“综合性”和“范围”)对每个领域和实践进行评估。

综合性是关于将安全措施应用于维度、领域和实践的深度和一致性的程度。分为四个等级(如果包含’没有’,则为五个):

–   最低限度;

–  临时性(安全性往往是对被宣传的事件或问题的反应);

–  一致(使用最佳做法和标准,可能集中而不是现场解决方案);

–  形式化(包括一个定义明确的流程,用于管理一切随着时间的推移并将其持续改进)

范围被定义为适合行业或系统需求的程度,分为三种层次:

* 一般(没有具体评估与物联网部门的相关性);

* 针对特定行业(如果针对行业特定要求实施安全 , 医疗保健可能与制造业不同);

* 和系统特定的(安全实施与特定组织中特定系统的特定需求和风险相一致)。对于系统特定的范围,Zahavi 评论说,零售组织可能希望在其 PoS 传感器和其供应链传感器之间进行划分。

将不同实践的综合性和范围相结合,使组织能够在实际和目标级别以及安全实施级别上精细地定义其物联网安全成熟度。

成熟的目标水平几乎是风险偏好的体现,这是一个业务功能,而不是安全功能。多年来,安全团队一直盲目运营,以致业务和安全之间的沟通很少。目前这种情况正在改变,并且工业数字化和操作技术(物联网设备的主要发源地)与信息技术的融合以及将物联网设备在互联网上的曝光正在改变安全失效的底线。

虽然信息的损失可能会造成会损害品牌或者造成惨痛的代价,但是制造业的损失可能是灾难性的。而使用 IIC SMM 则可以帮助更好地将安全性与业务优先级结合起来,并有助于业务和安全性的结合。

IIC 给出的具体建议是:

让业务负责人指定成熟度目标,而安全团队则进行当前的成熟度评估。两个级别之间的差异可以通过差距分析来评估,从中可以制定弥合差距的路线图。路线图可以让任何所需的安全性增强 ,从而引起成熟度级别的重新评估以及流程的重复。

这个过程的一个辅助工具是成熟度模板,当然 IIC 采用这种新的物联网安全成熟度模型的意图是增强而不是替代现有的安全框架,并且 IIC 也希望不同行业的不同公司开发和发布可供其他组织使用的高级 IIC SMM 成熟度模型。

以上是关于工业互联网联盟发布新物联网安全成熟度模型的主要内容,如果未能解决你的问题,请参考以下文章

2021乌镇互联网大会,数字联盟解读网络安全与信息保护

产业观察|区块链如何与工业互联网相辅相成

赋能工业互联网融合发展 | 北京信息化和工业化融合服务联盟平台化设计专业委员会中国仿真学会CAE仿真专业委员会成立

木鱼小铺受邀出席长三角互联网峰会,助推工业企业新零售升级

阿里云腾讯云浪潮云华为云,工业互联网新阶段谁将更胜一筹?

工业发展 安全护航 2021年工业互联网安全发展峰会成功召开