|
IoT设备 |
传统IT设备 |
|
|
与物理世界的交互 |
和物理系统进行交互 |
一般不和物理系统交互 |
|
管理功能 |
根据设备能力的不同,可能有一小部分或者完全没有相关功能。可能需要人工去接入、管理和监控。 |
一般而言,一个被授权的管理员可以在设备的全生命周期直接管理设备。 |
|
界面 |
部分设备没有设备管理界面。 |
可能会有多个用户交互界面。 |
|
软件管理 |
软件管理复杂,同时也受到配置和补丁管理影响。 |
软件管理有系统化方式。 |
|
安全功能 |
组织可能需要从可用性、效率和安全能力有效性进行选择、应用、以及管理。 |
组织可以有效地使用中心化安全管理能力。 |
|
售后功能附加 |
大部分物联网设备无法进行安装 |
可以安全新功能 |
|
监管 |
没有监管框架 |
IT设备能够通过和框架单元进行连接被监管。 |
NISTIR 8259概要
NISTIR 8259的报告中有专门一节讲述如何识别网络安全能力,让物联网厂商能够更好识别他们客户面临的风险。但是,由于不同客户都会因为各种各样的因素,面临独特的危险,因此厂商是无法完全理解他们客户相关的风险,以及危险系数。因此,通过一些物联网设备的用例,能让厂商给他们的客户提供最低限度的安全能力。所谓的“最低安全限度”,是指能帮助客户,根据他们的需求以及需要缓解的风险,修改他们的安全控制能力。最终,客户基于他们希望和他们的物联网设备集成的控制能力,对自己的系统进行安全保护。
这个基线有关于功能、必要元素、基本原理、相关案例的详细信息。网络安全功能识别已经是现有的风险管理中的一部分,而物联网设备厂商已经作为设计流程的一部分在进行实践。这些都是额外需要考虑的内容,不应该和风险管理流程混淆。
网络安全功能设计包括设备管理、配置、网络属性、设备数据以及接入权限等。除了识别这些功能外,该报告也介绍了如何应用这些功能。功能的应用需要定义物联网设备专门的硬件、软件、固件需求,同时还要理解在部署在特定物理环境时的网络安全内在能力。
报告还包括了保护软件开发过程,从而确保物联网设备确实满足了安全能力的建设。物联网设备可能在他们发布的时候带有大量漏洞,从而成为系统和网络被攻击的根本原因。因此,物联网设备的设计安全,以及在制造时期仔细加入安全控制,能够减轻因未被发现的漏洞产生的影响。NIST还提供了一些其他的指导、标准和报告等,供厂商作为起步。
两个高等级的风险缓解目标
NISTIR 8259中基于NIST网络安全框架以及NIST SP 800-53设置了两个关键的高等级缓解目标:
-
保护设备安全:防止设备被用于进行攻击。物联网设备容易被利用作为攻击的发起点,会对网络流量进行窃听,或者实施DDoS攻击。这一点的目标是防止任何物联网设备成为“僵尸设备”。 -
保护数据安全:物联网设备收集了大量的信息,可能包含了个人身份识别信息等敏感信息。该目标是保护由物联网设备收集、储存、处理或者进行传输数据的保密性、完整性以及可用性。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论