美国工业互联网联盟制定出一套新的物联网安全成熟度模型

6月10日讯 美国工业互联网联盟（简称 IIC）在其安全框架和相关架构的基础上制定出一套新的物联网安全成熟度模型（SMM），并于2018年4月9日发布其中一份白皮书《物联网安全成熟度模型：描述和预期用途》。

IIC 安全适应性小组联合主席兼微软物联网（IoT）标准首席策略师罗恩·扎哈维表示，这套标准专门为企业制定，以帮助其了解安全要求，并将其转化为自身业务所需的成熟度水平。另一份白皮书将为安全从业人员提供了更多技术的观点，将于2018年夏天发布，其允许不同的组织和垂直行业制定可随这份技术白皮书一起发布的特定描述文件。

IIC 的这份白皮书旨在为所有行业提供一套通用的物联网安全成熟度模型。IIC 的指导原则是利用现有的框架（例如 NIST 和 ISA-62443）制定一套适用于所有行业、涵盖流程和技术的新模型。IIC 的初衷是希望这套模型简单、可扩展，并适用于现有的安全评估公司。

扎哈维解释称，这套安全成熟度模型基于三大核心要素：治理、实现与强化。每个要素均包含不同的指标：

治理：包含策略以及实践和流程的运作管理，例如威胁建模、风险评估和供应链管理。

实现：包含对传统安全技术的运作与管理，如身份与访问管理、数据保护、资产管理和物理管理等。

强化：涉及漏洞和补丁管理、事件响应与审计等方面。

简而言之，这套模型涵盖了流程、技术和操作。

扎哈维指出，每个要素和实践通过“综合性”和“范围”两大标准来进行评估。

综合性

“综合性”指的是将安全措施应用到具体方面、领域和实践的深度和一致性，分为4个水平：

最差；

临时性：往往是被动响应公开的事件或问题）；

一致性：采用最佳实践和标准，可能更倾向于集中化）；

正规化：（具有定义明确的管理程序，并持续改进）。

范围

“范围”指的是满足行业或系统需求的程度，包含3个水平：

普遍：未具体评估特定的物联网行业；

特定于行业：采用特定于行业的安全措施，比如医疗保健可能与制造业不同；

特定于系统：根据特定组织机构特定系统的特定需求和风险落实安全。

对于特定系统的范围，扎哈维评论指出，零售企业可能希望对PoS传感器和供应链传感器进行划分。

企业可将不同的实践与这两大评估标准结合，以此定义实际的物联网安全成熟度水平和目标水平。

目标成熟水平几乎算是一种风险偏好，它属于业务功能而非安全功能。多年来，企业的安全团队一直在盲目运营，在业务与安全之间极度缺乏沟通。这一点正在发生改变，工业数字化、运营技术（OT）和信息技术（IT）的融合以及物联网设备暴露在互联网上的现状正在改变安全问题的底线。

虽然数据泄露的代价昂贵且有损声誉，而生产中断可能会带来灾难性的后果。工业控制系统（ICS）攻击增多，此类事件对企业的影响已经引起了董事会的关注。如今，企业董事会开始要求报告物联网部署是否安全。这套安全成熟度模型可帮助企业更好地将安全。