压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

上個月，工業(yè)互聯(lián)網聯(lián)盟(IIC)發(fā)布了其兩篇論文中的第一篇：《物聯(lián)網安全成熟度模型：描述和預期用途》，其主要是針對技術水平低下的物聯(lián)網利益相關者的高級概述。

微軟物聯(lián)網標準首席策略師 Ron Zahavi在接受采訪時表示，“這第一篇主要是為商務人員準備的，旨在幫助他們了解安全所需的東西，并協(xié)助他們將其轉化為自己業(yè)務所需的成熟度等級?！?/p>

此外，第二篇為安全從業(yè)人員提供更多技術觀點的論文預計將在今年夏季發(fā)布。Zahavi表示，“將兩篇文章分開發(fā)布，是允許不同的組織和垂直行業(yè)有時間來開發(fā)可以與第二份技術文件一起發(fā)布的特定配置文件?！?/p>

這種新型物聯(lián)網安全成熟度模型(SMM)的目的，是為所有行業(yè)部門（無論個人安全需求如何）提供單一的物聯(lián)網安全成熟度模型，并將其與所有物聯(lián)網實施關聯(lián)起來，無論是家庭、辦公室還是工廠。工業(yè)互聯(lián)網聯(lián)盟的指導原則是開發(fā)一種適用于所有行業(yè)的新模式——涵蓋流程和技術，利用NIST和ISA-62443等現(xiàn)有框架而不是試圖去替代它們，簡單且可擴展，并且適合供所有現(xiàn)有的安全評估公司使用。

它從成熟度建模所需的三個主要維度開始：治理(Governance)、支持(Enablement)和強化(hardening)。每個維度包含不同的領域。

治理涵蓋戰(zhàn)略、實踐和流程的運作和管理，如威脅建模和風險評估以及供應鏈管理。支持包括傳統(tǒng)安全技術的操作和管理，如身份和訪問管理、數(shù)據(jù)保護、資產管理以及物理管理等。強化則涵蓋漏洞和補丁管理的運營、事件響應以及審計等方面。

概括而言，它就是流程、技術和操作。

然后在兩個軸線上——“全面性”和“范圍”——對每個領域和實踐進行評估。Zahavi表示，“全面性”是關于將安全措施應用于維度、領域和實踐的深度和一致性的程度。其可以分為四個級別（如果加上“沒有”的話就是五個級別）：最小的；臨時性的（安全性往往是對被宣傳的事件或問題的反應）；一致的（使用最佳做法和標準，可能是集中管理解決方案而不是現(xiàn)場解決方案）；以及形式化的（包括一個定義明確的流程來管理一切，并隨著時間的推移將其持續(xù)改進）。

“范圍”被定義為適合行業(yè)或系統(tǒng)需求的程度。主要分為三個層次：一般（沒有具體評估與特定物聯(lián)網部門的相關性）；行業(yè)特定（根據(jù)行業(yè)特定需求實施安全錯略-例如醫(yī)療保健行業(yè)可能與制造業(yè)不同）；以及系統(tǒng)特定（安全實施與特定組織中特定系統(tǒng)的特定需求和風險保持一致）。Zahavi 評論道，對于系統(tǒng)特定的范圍，零售組織可能希望在其PoS傳感器和其供應鏈傳感器之間進行細化。

將不同實踐的“全面性”和“范圍”相結合，使得組織能夠在實際和目標級別，以及安全實施的細粒度級別上定義其物聯(lián)網安全成熟度。

成熟的目標水平幾乎是風險偏好的體現(xiàn)。這是一個業(yè)務功能，而不是安全功能。多年來，安全團隊一直盲目運營，以致業(yè)務和安全之間的溝通很少?，F(xiàn)在，這種情況正在發(fā)生改變。工業(yè)數(shù)字化和運營技術（簡稱OT，物聯(lián)網設備的主要發(fā)源地）與信息技術的融合，以及隨后發(fā)生的將物聯(lián)網設備暴露于互聯(lián)網上，正在改變安全故障的底線。

信息的丟失可能會造成高昂的代價，并損害品牌信譽，而其對制造業(yè)造成的損失更可能是災難性的。針對工控系統(tǒng)攻擊的日益增長，以及攻擊對工業(yè)盈利造成的巨大影響已經引起了董事會的注意，董事會現(xiàn)在要求安全人員對其實施的物聯(lián)網安全措施是否能夠保障安全給出解釋。如今，通過使用工業(yè)互聯(lián)網聯(lián)盟發(fā)布的物聯(lián)網安全成熟度模型可以幫助更好地將安全性與業(yè)務優(yōu)先級結合起來，并且有助于實現(xiàn)業(yè)務和安全的一致性。

工業(yè)互聯(lián)網聯(lián)盟建議稱，可以讓業(yè)務負責人指定成熟度目標，而安全團隊則進行當前的成熟度評估。兩個級別之間的差異可以通過差距分析來評估，從中可以制定彌合差距的路線圖。該路線圖的目標是讓任何所需的安全性增強，從而進行成熟度級別的重新評估以及流程的重復。

完成這一過程所需的一個輔助工具是成熟度模板。工業(yè)互聯(lián)網聯(lián)盟希望不同行業(yè)的不同公司開發(fā)和發(fā)布可供其他組織使用的高級 IIC SMM 成熟度模型。

IIC采用這種新型物聯(lián)網安全成熟度模型的意圖是增強而不是替代現(xiàn)有的安全框架。

已經存在可以接受安全控制機制的公認框架。但是，舉例而言，如果你看一下NIST所采用的控制表和映射表，你會發(fā)現(xiàn)，它們并沒有達到評估“我為我的行業(yè)做了什么，以及我需要達到什么級別？”的水平。

他繼續(xù)說道，“‘我們正在做什么？’答案是，我們正在為其創(chuàng)造更高層次的成熟度，這一點在所有其他框架中都沒有得到滿足—我們正在強化現(xiàn)有的安全框架，而不是想要取代它。例如，我們并沒有建議特定的所需安全控制，而是映射SMM，而且我們將繼續(xù)這樣做（例如，NIST也是IIC成員），將實踐和適當?shù)某墒於鹊燃売成涞浆F(xiàn)有的框架和安全控制中。所以，其目的是，如果您擁有零售或醫(yī)療保健或制造業(yè)的配置文件，那么您應該能夠定位自己的行業(yè)領域，然后回到那些現(xiàn)有的框架中，以更狹窄的視角來看待您需要部署哪些機制和控制以在自己的領域實現(xiàn)自己公司的目標成熟度。”

IIC物聯(lián)網安全成熟度模型有助于企業(yè)利用現(xiàn)有的安全框架達到他們自己定義的物聯(lián)網安全成熟目標水平。

完整論文：

http://www.iiconsortium.org/pdf/SMM_Description_and_Intended_Use_2018-04-09.pdf