6月10日訊 美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟（簡稱 IIC）在其安全框架和相關(guān)架構(gòu)的基礎(chǔ)上制定出一套新的物聯(lián)網(wǎng)安全成熟度模型（SMM），并于2018年4月9日發(fā)布其中一份白皮書《物聯(lián)網(wǎng)安全成熟度模型：描述和預(yù)期用途》。

IIC 安全適應(yīng)性小組聯(lián)合主席兼微軟物聯(lián)網(wǎng)（IoT）標(biāo)準(zhǔn)首席策略師羅恩·扎哈維表示，這套標(biāo)準(zhǔn)專門為企業(yè)制定，以幫助其了解安全要求，并將其轉(zhuǎn)化為自身業(yè)務(wù)所需的成熟度水平。另一份白皮書將為安全從業(yè)人員提供了更多技術(shù)的觀點(diǎn)，將于2018年夏天發(fā)布，其允許不同的組織和垂直行業(yè)制定可隨這份技術(shù)白皮書一起發(fā)布的特定描述文件。

IIC 的這份白皮書旨在為所有行業(yè)提供一套通用的物聯(lián)網(wǎng)安全成熟度模型。IIC 的指導(dǎo)原則是利用現(xiàn)有的框架（例如 NIST 和 ISA-62443）制定一套適用于所有行業(yè)、涵蓋流程和技術(shù)的新模型。IIC 的初衷是希望這套模型簡單、可擴(kuò)展，并適用于現(xiàn)有的安全評估公司。

扎哈維解釋稱，這套安全成熟度模型基于三大核心要素：治理、實(shí)現(xiàn)與強(qiáng)化。每個(gè)要素均包含不同的指標(biāo)：

治理：包含策略以及實(shí)踐和流程的運(yùn)作管理，例如威脅建模、風(fēng)險(xiǎn)評估和供應(yīng)鏈管理。

實(shí)現(xiàn)：包含對傳統(tǒng)安全技術(shù)的運(yùn)作與管理，如身份與訪問管理、數(shù)據(jù)保護(hù)、資產(chǎn)管理和物理管理等。

強(qiáng)化：涉及漏洞和補(bǔ)丁管理、事件響應(yīng)與審計(jì)等方面。

簡而言之，這套模型涵蓋了流程、技術(shù)和操作。

扎哈維指出，每個(gè)要素和實(shí)踐通過“綜合性”和“范圍”兩大標(biāo)準(zhǔn)來進(jìn)行評估。

綜合性

“綜合性”指的是將安全措施應(yīng)用到具體方面、領(lǐng)域和實(shí)踐的深度和一致性，分為4個(gè)水平：

最差；

臨時(shí)性：往往是被動(dòng)響應(yīng)公開的事件或問題）；

一致性：采用最佳實(shí)踐和標(biāo)準(zhǔn)，可能更傾向于集中化）；

正規(guī)化：（具有定義明確的管理程序，并持續(xù)改進(jìn)）。

范圍

“范圍”指的是滿足行業(yè)或系統(tǒng)需求的程度，包含3個(gè)水平：

普遍：未具體評估特定的物聯(lián)網(wǎng)行業(yè)；

特定于行業(yè)：采用特定于行業(yè)的安全措施，比如醫(yī)療保健可能與制造業(yè)不同；

特定于系統(tǒng)：根據(jù)特定組織機(jī)構(gòu)特定系統(tǒng)的特定需求和風(fēng)險(xiǎn)落實(shí)安全。

對于特定系統(tǒng)的范圍，扎哈維評論指出，零售企業(yè)可能希望對PoS傳感器和供應(yīng)鏈傳感器進(jìn)行劃分。

企業(yè)可將不同的實(shí)踐與這兩大評估標(biāo)準(zhǔn)結(jié)合，以此定義實(shí)際的物聯(lián)網(wǎng)安全成熟度水平和目標(biāo)水平。

目標(biāo)成熟水平幾乎算是一種風(fēng)險(xiǎn)偏好，它屬于業(yè)務(wù)功能而非安全功能。多年來，企業(yè)的安全團(tuán)隊(duì)一直在盲目運(yùn)營，在業(yè)務(wù)與安全之間極度缺乏溝通。這一點(diǎn)正在發(fā)生改變，工業(yè)數(shù)字化、運(yùn)營技術(shù)（OT）和信息技術(shù)（IT）的融合以及物聯(lián)網(wǎng)設(shè)備暴露在互聯(lián)網(wǎng)上的現(xiàn)狀正在改變安全問題的底線。

雖然數(shù)據(jù)泄露的代價(jià)昂貴且有損聲譽(yù)，而生產(chǎn)中斷可能會(huì)帶來災(zāi)難性的后果。工業(yè)控制系統(tǒng)（ICS）攻擊增多，此類事件對企業(yè)的影響已經(jīng)引起了董事會(huì)的關(guān)注。如今，企業(yè)董事會(huì)開始要求報(bào)告物聯(lián)網(wǎng)部署是否安全。這套安全成熟度模型可幫助企業(yè)更好地將安全。