亚洲成a人片在线观看无码专区,永久免费AV网站,亚洲AV区无码字幕中文色,亚洲欧美综合区丁香五月小说

 

銳研機電

專注于電阻焊及自動化設備

廣州銳研商標

133-1623-2298 徐

133-1623-2698 蔡

手機圖標
020-29876631
電話圖標
新聞中心NEWS CENTER
熱門關鍵詞點焊機   無痕點焊機 自動化專機 縫焊機
您所在的位置 :
   
工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)發(fā)布新型物聯(lián)網(wǎng)安全成熟度模型(SMM)
來源:HackerNews.cc | 作者:HackerNews.cc | 發(fā)布時間: 2018-04-19 | 2162 次瀏覽 | 分享到:
工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)基于其自身的安全框架和參考架構開發(fā)了一種新型物聯(lián)網(wǎng)安全成熟度模型(SMM),有助于企業(yè)利用現(xiàn)有的安全框架達到他們自己定義的物聯(lián)網(wǎng)安全成熟度目標級別。

工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)基于其自身的安全框架和參考架構開發(fā)了一種新型物聯(lián)網(wǎng)安全成熟度模型(SMM),有助于企業(yè)利用現(xiàn)有的安全框架達到他們自己定義的物聯(lián)網(wǎng)安全成熟度目標級別。本周 IIC 發(fā)布了兩篇報告中的第一篇 — 《物聯(lián)網(wǎng)安全成熟度模型:描述和預期用途》,該篇主要是針對較少技術的物聯(lián)網(wǎng)利益相關者的高級概述。微軟物聯(lián)網(wǎng)標準首席策略師 Ron Zahavi 預計第二篇為安全從業(yè)人員提供更多技術觀點的白皮書將會在夏季發(fā)布。


??根據(jù) Ron Zahavi 的說法,《物聯(lián)網(wǎng)安全成熟度模型:描述和預期用途》是為商人準備的,因為可以幫助他們了解安全所需要的東西,并幫助他們將其轉化為自己業(yè)務所需的成熟度等級(所需的成熟度級別成為目標成熟度級別)。


??Zahavi 表示,這種新型物聯(lián)網(wǎng)安全成熟度模型的目的是為所有行業(yè)部門提供單一的物聯(lián)網(wǎng) SMM 和所有與物聯(lián)網(wǎng)實施相關的,無論個人安全需求如何,也無論是家庭、辦公室還是工廠。IIC 的指導原則是開發(fā)一種適用于所有行業(yè)的新模式,涵蓋流程和技術、合理利用 NIST 和 ISA-62443 等現(xiàn)有框架,而不是試圖去替代它們、簡單和可擴展的、并且可供所有現(xiàn)有的安全評估公司使用等方面。


??該模式從成熟度建立在三個主要維度上的基礎開始:治理、支持和強化。每個維度包含不同的領域,Zahavi 解釋說:


??“治理涵蓋戰(zhàn)略、實踐和流程的運作和管理,如威脅建模和風險評估以及供應鏈管理。支持包括傳統(tǒng)安全技術的操作和管理,如身份和訪問管理、數(shù)據(jù)保護、資產(chǎn)管理、物理管理等。強化則是關于漏洞和補丁管理的運營方面,以及事件響應和審計等?!?


工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)發(fā)布新型物聯(lián)網(wǎng)安全成熟度模型(SMM)


然后在兩個軸線上(“綜合性”和“范圍”)對每個領域和實踐進行評估。


??綜合性是關于將安全措施應用于維度、領域和實踐的深度和一致性的程度。分為四個等級(如果包含’沒有’,則為五個):


??– 最低限度;

??– 臨時性(安全性往往是對被宣傳的事件或問題的反應);

??– 一致(使用最佳做法和標準,可能集中而不是現(xiàn)場解決方案);

??– 形式化(包括一個定義明確的流程,用于管理一切隨著時間的推移并將其持續(xù)改進)


??范圍被定義為適合行業(yè)或系統(tǒng)需求的程度,分為三種層次:


??* 一般(沒有具體評估與物聯(lián)網(wǎng)部門的相關性);

??* 針對特定行業(yè)(如果針對行業(yè)特定要求實施安全,醫(yī)療保健可能與制造業(yè)不同);

??* 和系統(tǒng)特定的(安全實施與特定組織中特定系統(tǒng)的特定需求和風險相一致)。對于系統(tǒng)特定的范圍,Zahavi 評論說,零售組織可能希望在其 PoS 傳感器和其供應鏈傳感器之間進行劃分。


??將不同實踐的綜合性和范圍相結合,使組織能夠在實際和目標級別以及安全實施級別上精細地定義其物聯(lián)網(wǎng)安全成熟度。


??成熟的目標水平幾乎是風險偏好的體現(xiàn),這是一個業(yè)務功能,而不是安全功能。多年來,安全團隊一直盲目運營,以致業(yè)務和安全之間的溝通很少。目前這種情況正在改變,并且工業(yè)數(shù)字化和操作技術(物聯(lián)網(wǎng)設備的主要發(fā)源地)與信息技術的融合以及將物聯(lián)網(wǎng)設備在互聯(lián)網(wǎng)上的曝光正在改變安全失效的底線。


??雖然信息的損失可能會造成會損害品牌或者造成慘痛的代價,但是制造業(yè)的損失可能是災難性的。而使用 IIC SMM 則可以幫助更好地將安全性與業(yè)務優(yōu)先級結合起來,并有助于業(yè)務和安全性的結合。


??IIC 給出的具體建議是:


??讓業(yè)務負責人指定成熟度目標,而安全團隊則進行當前的成熟度評估。兩個級別之間的差異可以通過差距分析來評估,從中可以制定彌合差距的路線圖。路線圖可以讓任何所需的安全性增強,從而引起成熟度級別的重新評估以及流程的重復。


??這個過程的一個輔助工具是成熟度模板,當然 IIC 采用這種新的物聯(lián)網(wǎng)安全成熟度模型的意圖是增強而不是替代現(xiàn)有的安全框架,并且 IIC 也希望不同行業(yè)的不同公司開發(fā)和發(fā)布可供其他組織使用的高級 IIC SMM 成熟度模型。