美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟(簡稱IIC)在其安全框架和相關架構的基礎上制定出一套新的物聯(lián)網(wǎng)安全成熟度模型(SMM)���,并于2018年4月9日發(fā)布其中一份白皮書《物聯(lián)網(wǎng)安全成熟度模型:描述和預期用途》��。
IIC 安全適應性小組聯(lián)合主席兼微軟物聯(lián)網(wǎng)(IoT)標準首席策略師羅恩·扎哈維表示�����,這套標準專門為企業(yè)制定����,以幫助其了解安全要求���,并將其轉化為自身業(yè)務所需的成熟度水平�����。另一份白皮書將為安全從業(yè)人員提供了更多技術的觀點���,將于2018年夏天發(fā)布,其允許不同的組織和垂直行業(yè)制定可隨這份技術白皮書一起發(fā)布的特定描述文件���。
IIC 的這份白皮書旨在為所有行業(yè)提供一套通用的物聯(lián)網(wǎng)安全成熟度模型�。IIC 的指導原則是利用現(xiàn)有的框架(例如NIST 和ISA-62443)制定一套適用于所有行業(yè)����、涵蓋流程和技術的新模型。IIC的初衷是希望這套模型簡單�����、可擴展,并適用于現(xiàn)有的安全評估公司�����。
扎哈維解釋稱����,這套安全成熟度模型基于三大核心要素:治理����、實現(xiàn)與強化。每個要素均包含不同的指標:
治理:包含策略以及實踐和流程的運作管理���,例如威脅建模��、風險評估和供應鏈管理��。
實現(xiàn):包含對傳統(tǒng)安全技術的運作與管理�,如身份與訪問管理���、數(shù)據(jù)保護���、資產(chǎn)管理和物理管理等�。
強化:涉及漏洞和補丁管理����、事件響應與審計等方面。
簡而言之��,這套模型涵蓋了流程����、技術和操作。
扎哈維指出���,每個要素和實踐通過“綜合性”和“范圍”兩大標準來進行評估�。
綜合性
“綜合性”指的是將安全措施應用到具體方面�、領域和實踐的深度和一致性,分為4個水平:
最差�;
臨時性:往往是被動響應公開的事件或問題);
一致性:采用最佳實踐和標準�,可能更傾向于集中化);
正規(guī)化:(具有定義明確的管理程序��,并持續(xù)改進)。
范圍
“范圍”指的是滿足行業(yè)或系統(tǒng)需求的程度,包含3個水平:
普遍:未具體評估特定的物聯(lián)網(wǎng)行業(yè)���;
特定于行業(yè):采用特定于行業(yè)的安全措施,比如醫(yī)療保健可能與制造業(yè)不同�;
特定于系統(tǒng):根據(jù)特定組織機構特定系統(tǒng)的特定需求和風險落實安全。
對于特定系統(tǒng)的范圍����,扎哈維評論指出,零售企業(yè)可能希望對PoS傳感器和供應鏈傳感器進行劃分�����。
企業(yè)可將不同的實踐與這兩大評估標準結合�,以此定義實際的物聯(lián)網(wǎng)安全成熟度水平和目標水平���。
目標成熟水平幾乎算是一種風險偏好���,它屬于業(yè)務功能而非安全功能。多年來�,企業(yè)的安全團隊一直在盲目運營,在業(yè)務與安全之間極度缺乏溝通����。這一點正在發(fā)生改變,工業(yè)數(shù)字化���、運營技術(OT)和信息技術(IT)的融合以及物聯(lián)網(wǎng)設備暴露在互聯(lián)網(wǎng)上的現(xiàn)狀正在改變安全問題的底線���。
雖然數(shù)據(jù)泄露的代價昂貴且有損聲譽���,而生產(chǎn)中斷可能會帶來災難性的后果。工業(yè)控制系統(tǒng)(ICS)攻擊增多���,此類事件對企業(yè)的影響已經(jīng)引起了董事會的關注��。如今�����,企業(yè)董事會開始要求報告物聯(lián)網(wǎng)部署是否安全�。這套安全成熟度模型可幫助企業(yè)更好地將安全�。
美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟(簡稱IIC)在其安全框架和相關架構的基礎上制定出一套新的物聯(lián)網(wǎng)安全成熟度模型(SMM),并于2018年4月9日發(fā)布其中一份白皮書《物聯(lián)網(wǎng)安全成熟度模型:描述和預期用途》��。
IIC 安全適應性小組聯(lián)合主席兼微軟物聯(lián)網(wǎng)(IoT)標準首席策略師羅恩·扎哈維表示����,這套標準專門為企業(yè)制定,以幫助其了解安全要求,并將其轉化為自身業(yè)務所需的成熟度水平���。另一份白皮書將為安全從業(yè)人員提供了更多技術的觀點����,將于2018年夏天發(fā)布�,其允許不同的組織和垂直行業(yè)制定可隨這份技術白皮書一起發(fā)布的特定描述文件。
IIC 的這份白皮書旨在為所有行業(yè)提供一套通用的物聯(lián)網(wǎng)安全成熟度模型����。IIC 的指導原則是利用現(xiàn)有的框架(例如NIST 和ISA-62443)制定一套適用于所有行業(yè)、涵蓋流程和技術的新模型����。IIC的初衷是希望這套模型簡單、可擴展����,并適用于現(xiàn)有的安全評估公司�����。
扎哈維解釋稱���,這套安全成熟度模型基于三大核心要素:治理����、實現(xiàn)與強化。每個要素均包含不同的指標:
治理:包含策略以及實踐和流程的運作管理����,例如威脅建模、風險評估和供應鏈管理����。
實現(xiàn):包含對傳統(tǒng)安全技術的運作與管理,如身份與訪問管理�、數(shù)據(jù)保護、資產(chǎn)管理和物理管理等�。
強化:涉及漏洞和補丁管理、事件響應與審計等方面�����。
簡而言之�,這套模型涵蓋了流程、技術和操作�。
扎哈維指出,每個要素和實踐通過“綜合性”和“范圍”兩大標準來進行評估��。
綜合性
“綜合性”指的是將安全措施應用到具體方面、領域和實踐的深度和一致性��,分為4個水平:
最差�;
臨時性:往往是被動響應公開的事件或問題);
一致性:采用最佳實踐和標準����,可能更傾向于集中化);
正規(guī)化:(具有定義明確的管理程序����,并持續(xù)改進)。
范圍
“范圍”指的是滿足行業(yè)或系統(tǒng)需求的程度��,包含3個水平:
普遍:未具體評估特定的物聯(lián)網(wǎng)行業(yè)����;
特定于行業(yè):采用特定于行業(yè)的安全措施,比如醫(yī)療保健可能與制造業(yè)不同�;
特定于系統(tǒng):根據(jù)特定組織機構特定系統(tǒng)的特定需求和風險落實安全。
對于特定系統(tǒng)的范圍��,扎哈維評論指出��,零售企業(yè)可能希望對PoS傳感器和供應鏈傳感器進行劃分����。
企業(yè)可將不同的實踐與這兩大評估標準結合,以此定義實際的物聯(lián)網(wǎng)安全成熟度水平和目標水平��。
目標成熟水平幾乎算是一種風險偏好�,它屬于業(yè)務功能而非安全功能。多年來�,企業(yè)的安全團隊一直在盲目運營,在業(yè)務與安全之間極度缺乏溝通�����。這一點正在發(fā)生改變����,工業(yè)數(shù)字化、運營技術(OT)和信息技術(IT)的融合以及物聯(lián)網(wǎng)設備暴露在互聯(lián)網(wǎng)上的現(xiàn)狀正在改變安全問題的底線���。
雖然數(shù)據(jù)泄露的代價昂貴且有損聲譽��,而生產(chǎn)中斷可能會帶來災難性的后果����。工業(yè)控制系統(tǒng)(ICS)攻擊增多�����,此類事件對企業(yè)的影響已經(jīng)引起了董事會的關注。如今���,企業(yè)董事會開始要求報告物聯(lián)網(wǎng)部署是否安全�����。這套安全成熟度模型可幫助企業(yè)更好地將安全����。美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟(簡稱IIC)在其安全框架和相關架構的基礎上制定出一套新的物聯(lián)網(wǎng)安全成熟度模型(SMM)�����,并于2018年4月9日發(fā)布其中一份白皮書《物聯(lián)網(wǎng)安全成熟度模型:描述和預期用途》����。
IIC 安全適應性小組聯(lián)合主席兼微軟物聯(lián)網(wǎng)(IoT)標準首席策略師羅恩·扎哈維表示,這套標準專門為企業(yè)制定���,以幫助其了解安全要求���,并將其轉化為自身業(yè)務所需的成熟度水平。另一份白皮書將為安全從業(yè)人員提供了更多技術的觀點��,將于2018年夏天發(fā)布�,其允許不同的組織和垂直行業(yè)制定可隨這份技術白皮書一起發(fā)布的特定描述文件。
IIC 的這份白皮書旨在為所有行業(yè)提供一套通用的物聯(lián)網(wǎng)安全成熟度模型�。IIC 的指導原則是利用現(xiàn)有的框架(例如NIST 和ISA-62443)制定一套適用于所有行業(yè)、涵蓋流程和技術的新模型����。IIC的初衷是希望這套模型簡單、可擴展�,并適用于現(xiàn)有的安全評估公司。
扎哈維解釋稱����,這套安全成熟度模型基于三大核心要素:治理、實現(xiàn)與強化�����。每個要素均包含不同的指標:
治理:包含策略以及實踐和流程的運作管理�����,例如威脅建模���、風險評估和供應鏈管理��。
實現(xiàn):包含對傳統(tǒng)安全技術的運作與管理�,如身份與訪問管理、數(shù)據(jù)保護���、資產(chǎn)管理和物理管理等�。
強化:涉及漏洞和補丁管理�����、事件響應與審計等方面�����。
簡而言之���,這套模型涵蓋了流程��、技術和操作�。
扎哈維指出���,每個要素和實踐通過“綜合性”和“范圍”兩大標準來進行評估��。
綜合性
“綜合性”指的是將安全措施應用到具體方面�����、領域和實踐的深度和一致性�,分為4個水平:
最差�����;
臨時性:往往是被動響應公開的事件或問題)�;
一致性:采用最佳實踐和標準,可能更傾向于集中化)���;
正規(guī)化:(具有定義明確的管理程序���,并持續(xù)改進)。
范圍
“范圍”指的是滿足行業(yè)或系統(tǒng)需求的程度����,包含3個水平:
普遍:未具體評估特定的物聯(lián)網(wǎng)行業(yè);
特定于行業(yè):采用特定于行業(yè)的安全措施����,比如醫(yī)療保健可能與制造業(yè)不同���;
特定于系統(tǒng):根據(jù)特定組織機構特定系統(tǒng)的特定需求和風險落實安全。
對于特定系統(tǒng)的范圍�,扎哈維評論指出,零售企業(yè)可能希望對PoS傳感器和供應鏈傳感器進行劃分�。
企業(yè)可將不同的實踐與這兩大評估標準結合,以此定義實際的物聯(lián)網(wǎng)安全成熟度水平和目標水平�。
目標成熟水平幾乎算是一種風險偏好,它屬于業(yè)務功能而非安全功能��。多年來���,企業(yè)的安全團隊一直在盲目運營���,在業(yè)務與安全之間極度缺乏溝通。這一點正在發(fā)生改變�,工業(yè)數(shù)字化、運營技術(OT)和信息技術(IT)的融合以及物聯(lián)網(wǎng)設備暴露在互聯(lián)網(wǎng)上的現(xiàn)狀正在改變安全問題的底線�����。
雖然數(shù)據(jù)泄露的代價昂貴且有損聲譽�,而生產(chǎn)中斷可能會帶來災難性的后果。工業(yè)控制系統(tǒng)(ICS)攻擊增多,此類事件對企業(yè)的影響已經(jīng)引起了董事會的關注�����。如今��,企業(yè)董事會開始要求報告物聯(lián)網(wǎng)部署是否安全�。這套安全成熟度模型可幫助企業(yè)更好地將安全。
陜公網(wǎng)安備 61019102000282號
