工业互联网联盟发布新物联网安全成熟度模型
上个月,工业互联网联盟(IIC)发布了其两篇论文中的第一篇:《物联网安全成熟度模型:描述和预期用途》,其主要是针对技术水平低下的物联网利益相关者的高级概述。
微软物联网标准首席策略师 Ron Zahavi在接受采访时表示,“这第一篇主要是为商务人员准备的,旨在帮助他们了解安全所需的东西,并协助他们将其转化为自己业务所需的成熟度等级。”
此外,第二篇为安全从业人员提供更多技术观点的论文预计将在今年夏季发布。Zahavi表示,“将两篇文章分开发布,是允许不同的组织和垂直行业有时间来开发可以与第二份技术文件一起发布的特定配置文件。”
这种新型物联网安全成熟度模型(SMM)的目的,是为所有行业部门(无论个人安全需求如何)提供单一的物联网安全成熟度模型,并将其与所有物联网实施关联起来,无论是家庭、办公室还是工厂。工业互联网联盟的指导原则是开发一种适用于所有行业的新模式——涵盖流程和技术,利用NIST和ISA-62443等现有框架而不是试图去替代它们,简单且可扩展,并且适合供所有现有的安全评估公司使用。
它从成熟度建模所需的三个主要维度开始:治理(Governance)、支持(Enablement)和强化(hardening)。每个维度包含不同的领域。
治理涵盖战略、实践和流程的运作和管理,如威胁建模和风险评估以及供应链管理。支持包括传统安全技术的操作和管理,如身份和访问管理、数据保护、资产管理以及物理管理等。强化则涵盖漏洞和补丁管理的运营、事件响应以及审计等方面。
概括而言,它就是流程、技术和操作。
然后在两个轴线上——“全面性”和“范围”——对每个领域和实践进行评估。Zahavi表示,“全面性”是关于将安全措施应用于维度、领域和实践的深度和一致性的程度。其可以分为四个级别(如果加上“没有”的话就是五个级别):最小的;临时性的(安全性往往是对被宣传的事件或问题的反应);一致的(使用最佳做法和标准,可能是集中管理解决方案而不是现场解决方案);以及形式化的(包括一个定义明确的流程来管理一切,并随着时间的推移将其持续改进)。
“范围”被定义为适合行业或系统需求的程度。主要分为三个层次:一般(没有具体评估与特定物联网部门的相关性);行业特定(根据行业特定需求实施安全错略-例如医疗保健行业可能与制造业不同);以及系统特定(安全实施与特定组织中特定系统的特定需求和风险保持一致)。Zahavi 评论道,对于系统特定的范围,零售组织可能希望在其PoS传感器和其供应链传感器之间进行细化。
将不同实践的“全面性”和“范围”相结合,使得组织能够在实际和目标级别,以及安全实施的细粒度级别上定义其物联网安全成熟度。
成熟的目标水平几乎是风险偏好的体现。这是一个业务功能,而不是安全功能。多年来,安全团队一直盲目运营,以致业务和安全之间的沟通很少。现在,这种情况正在发生改变。工业数字化和运营技术(简称OT,物联网设备的主要发源地)与信息技术的融合,以及随后发生的将物联网设备暴露于互联网上,正在改变安全故障的底线。
信息的丢失可能会造成高昂的代价,并损害品牌信誉,而其对制造业造成的损失更可能是灾难性的。针对工控系统攻击的日益增长,以及攻击对工业盈利造成的巨大影响已经引起了董事会的注意,董事会现在要求安全人员对其实施的物联网安全措施是否能够保障安全给出解释。如今,通过使用工业互联网联盟发布的物联网安全成熟度模型可以帮助更好地将安全性与业务优先级结合起来,并且有助于实现业务和安全的一致性。
工业互联网联盟建议称,可以让业务负责人指定成熟度目标,而安全团队则进行当前的成熟度评估。两个级别之间的差异可以通过差距分析来评估,从中可以制定弥合差距的路线图。该路线图的目标是让任何所需的安全性增强,从而进行成熟度级别的重新评估以及流程的重复。
完成这一过程所需的一个辅助工具是成熟度模板。工业互联网联盟希望不同行业的不同公司开发和发布可供其他组织使用的高级 IIC SMM 成熟度模型。
IIC采用这种新型物联网安全成熟度模型的意图是增强而不是替代现有的安全框架。
已经存在可以接受安全控制机制的公认框架。但是,举例而言,如果你看一下NIST所采用的控制表和映射表,你会发现,它们并没有达到评估“我为我的行业做了什么,以及我需要达到什么级别?”的水平。
他继续说道,“‘我们正在做什么?’答案是,我们正在为其创造更高层次的成熟度,这一点在所有其他框架中都没有得到满足—我们正在强化现有的安全框架,而不是想要取代它。例如,我们并没有建议特定的所需安全控制,而是映射SMM,而且我们将继续这样做(例如,NIST也是IIC成员),将实践和适当的成熟度等级映射到现有的框架和安全控制中。所以,其目的是,如果您拥有零售或医疗保健或制造业的配置文件,那么您应该能够定位自己的行业领域,然后回到那些现有的框架中,以更狭窄的视角来看待您需要部署哪些机制和控制以在自己的领域实现自己公司的目标成熟度。”
IIC物联网安全成熟度模型有助于企业利用现有的安全框架达到他们自己定义的物联网安全成熟目标水平。
原文发布时间为:2018-05-21
本文作者:Jasmine
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
金雅拓电子护照的读取速度在行业测试中排名第一
数字安全领域全球领导者金雅拓(泛欧证券交易所 NL0000400653 GTO)日前宣布,在近期于伦敦举行的Security Document World会议的独立互操作性测试中,金雅拓集成在Sealys电子护照中的操作系统实现了最快的读取速度。Sealys ePassport嵌入式软件是金雅拓最新一代的ICAO兼容操作系统。该系统满足严格的Common Criteria EAL5+增强认证标准。这一标准代表已知的最高认证级别,针对当今电子旅行证件的攻击,能够提供最高安全性。 今年5月,在与来自其他公司的一系列电子护照的评估中,金雅拓的软件展示出高于行业平均值两倍的数据吞吐量速率。 速度对于发证机构来说非常关键,因为这意味着个人化和质控产量的提高。对于寻求尽可能快速高效地处理数百万乘客信息,同时需要确保安全性的机构来说,能够在边境口岸更快读取电子和生物特征的护照是决定他们选择的重要因素。 金雅拓政府计划副总裁Youzec Kurp表示:“随着国际旅行人数的持续快速增长[ Total passengers set to double to 7 billion by 2034 – IATA...
- 下一篇
AbleCloud与鸿雁电器携手,领跑智能家居,打造智慧城市
近 日,建筑电气领域领跑者鸿雁电器正式发布智能家居思远2.0系统(以下简称“思远2.0”),标志着智能家居行业的发展跨入了新的时代。 “思远2.0”由物联网PaaS平台AbleCloud为其提供物联网云平台技术与服务,现已推出“智慧客厅”、“智慧会议室”“智慧养老”三大智能家居 解决方案。 关于AbleCloud AbleCloud提供业内领先的一站式云服务开发引擎和大数据分析引擎,提供设备联网与管理、远程查看控制、定制化云端功能开发、海量硬件数据存储与分析等基础设施,加速硬件实现联网智能化。 AbleCloud拥有业界优秀的技术团队,核心技术人员来自百度、阿里、腾讯、小米、微软等知名互联网公司,是国内发展速度最快的IoT领域云服务企业。 关于鸿雁电器 鸿雁电器全称杭州鸿雁电器有限公司,隶属于中国普天公司,在建筑电气领域有多年深耕,拥有电工电气、照明电气、智能电气、水电管道四大产业族群,从各个渠道积极布局智能家居生态圈,以完成由智能家居到智慧城市的战略升级。 AbleCloud 作为物联网云平台服务的提供者,与鸿雁电器一直保持良好的合作关系,此次针对鸿雁电器基于“将智能面板(开关插座)...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS关闭SELinux安全模块
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Mario游戏-低调大师作品
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Windows10,CentOS7,CentOS8安装Nodejs环境
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS8编译安装MySQL8.0.19
- MySQL8.0.19开启GTID主从同步CentOS8