IoT技术,正在交融物理和数字世界的边界。

近年来,智能家居、智慧城市、工业互联网、智慧医疗等畛域疾速倒退。IoT技术以联结为根底、数据作外围,在晋升公众生存品质、减少企业生产效率、优化政府公共治理等场景中实现了突破性的价值发明,逐渐成为新时代不可或缺的基础设施。

但技术和平安永远是一体两面。任何新技术的利用,都不可避免地会带来全新的平安危险和挑战。IoT技术也不例外,由之带来的平安危险亦呈现出全新特色:

  • IoT的攻打难度更低:攻击者能够从分布式的物联网终端取得更多的攻打入口和对象。
  • IoT的防守老本更高:物联终端因其功耗和计算能力限度,往往难以间接利用现有的进攻技术。
  • IoT攻打的危害更大:物理和数字的交融,使得歹意攻击者可能真正给物理世界带来更微小的毁坏。

对企业的平安管理者来说,在业务疾速拥抱IoT技术改革的时代,如何使其平安能力疾速匹配新业务场景,连续无效的安全控制程度,正在成为其外围的指标和关注点。

腾讯平安专家咨询中心,联合IoT相干规范和国内外IoT最佳实际,针对企业如何构建IoT平安能力体系,公布整体能力清单和领导框架,绘制成通用性的IoT平安能力图谱,旨在帮忙企业面向万物互联时代进行平安能力转型和降级。

关注腾讯平安(公众号:TXAQ2019)

回复【IoT平安能力图谱】获取原图

腾讯IoT平安能力图谱提出了六大能力:IoT平安治理能力、信赖链构建能力、价值链爱护能力、IoT零碎“管边端”平安管控能力、IoT零碎生命周期治理能力、IoT系统安全经营能力。

  • IoT平安治理能力,是高阶的危险治理能力和组织、流程保障机制,以建设对IoT危险的无效剖析、评估、处理和监控能力。
  • 贯通“云管边端”的信赖链构建能力和贯通数据生命周期的价值链爱护能力,次要强调从全局视角,在IoT零碎各能力组件和参与方之间,建设起可信的网络和业务联结,并基于其外围业务价值爱护,对IoT零碎采集和解决数据建设残缺的全生命周期管控能力,这两个能力的构建须要充沛买通IT和OT技术的边界,从企业治理视角进行综合考量。
  • IoT零碎“管边端”平安管控能力,聚焦IoT技术不同于传统IT技术的特点,针对其“管边端”业务场景特点给出了针对性的控制能力特化要求。
  • IoT零碎生命周期治理能力和IoT系统安全经营能力,定位于对IoT平安治理要求和上述三项能力在IoT零碎建设中的无效执行落地、以及经营过程中的继续监控和处理。

一、IoT平安治理能力

任何信息安全治理能力的外围,都是对危险的无效辨认和继续管控,IoT平安同样并不例外。该能力构建的重点在于建设企业层面针对IoT危险的管控体系,并匹配相应的组织、人员、流程和监督保障。这些能力的构建,是独立于特定IoT零碎的,但却是做好特定零碎IoT平安所必不可少的根底撑持。

此外,IoT平安治理能力无需独立于IT平安治理,其高阶风险管理、方针政策均应放弃对立,但在标准与流程层面,则应建设基于各自业务特点的差异化要求和交融撑持机制。

二、贯通“云管边端”的信赖链构建能力

以联结为根底的IoT零碎,往往波及了云、管、边、端、人之间简单和灵便的业务交互场景,且其外围能力的构建,很多状况下还须要与其余IoT零碎或第三方之间建设更多业务和数据交互。这些简单联结关系和业务逻辑,是歹意攻击者最关注的对象,仿冒、管制、窃密、篡改等等伎俩不一而足。

所以,通过无效的身份治理、可信计算、认证鉴权和AI行为剖析能力构建的贯通“云管边端”信赖链,就必然成为IoT平安的最外围能力要求,只有确保可以信赖IoT零碎的各个能力组件和服务,其上构建的简单业务才可能取得根底的平安保障。

三、贯通数据生命周期的价值链爱护能力

IoT零碎的外围价值发明,高度依赖于数字化联结之上的信息和数据采集、传输、剖析和处理,而这也是另一个被歹意攻击者亲密关注的对象。对外围业务价值的爱护,离不开基于业务场景的数据资产梳理和数据流剖析。只有分明确定了爱护对象,以及基于数据流剖析所辨认的平安与合规危险,能力无效保障这些数据及其承载的业务。

价值链爱护能力围绕数据生命周期,并重点关注CII和PII数据合规,从IoT零碎设计阶段,就应将平安与合规的要求整合到业务和场景当中,而不是依赖后加的数据安全产品来提供相应的爱护。

四、IoT零碎“管边端”平安管控能力

IoT零碎“管边端”平安管控能力聚焦于IoT零碎不同于传统IT零碎的特点,对其分布在非可控空间的端侧和管道侧组件,提出针对性的能力要求。不同于前两点的全局性能力,IoT零碎“管边端”平安管控能力往往内嵌在IoT终端或网络服务供应商的产品解决方案中。

对于企业管理者来说,更重要能力的是基于理论IoT业务场景的平安危险,参照本图谱倡议评估厂商计划的齐备性。中长期来看,IoT平安能力体系的建设中,能够由监管和测评机构建设对IoT零碎“管边端”平安管控能力的评估和背书,以升高企业平安管理者在具体技术细节评估层面的投入。

五、IoT零碎生命周期治理能力

IoT零碎生命周期治理能力是一项过程能力,它强调的是平安管理者应该在IoT零碎设计、建设、应用和废除的全生命周期中,建设继续的平安危险辨认、跟踪和处理能力。

特地是在零碎设计和建设阶段,充沛将安全控制措施内建在IoT零碎本身逻辑中,而不过分依赖外加的平安产品。此外,少数IoT零碎简短和简单的上下游生态和供应链,则提出了更严格的供应链平安治理能力要求。

六、IoT系统安全经营能力

与治理能力相似,IoT系统安全经营能力同样不隶属于特定的IoT零碎,且同样倡议和IT经营能力同步建设,是上述其余平安能力无效和继续运作的根底撑持,重要水平不容忽视。

IoT系统安全经营能力中,除了根底的平安经营监测、威逼与脆弱性治理外,十分重要的一个特点是,应特地关注对外围业务的隔离与爱护能力,防止信息安全事件延长到重大人身、生产和国家安全事件。

出品人:腾讯平安专家咨询中心——吕一平、陈颢明、曹静、田立、张康、朱新新、董林楠

腾讯平安IoT平安沙龙参会专家——柯皓仁、林志泳、苏洪江、李津、谭艺、吴鹏、乔冠霖、孙雪莱、周智坚、张金池、罗科峰、杨祥骏、陈凯、傅鹏君、孙强、李锋、孙晓奇、陈贤平、张富川、庞健荣(排名不分先后)

欢送业内技术专家退出腾讯IoT技术探讨群,独特探讨IoT能力和技术实际。

扫描二维码进群

或增加小助手微信【 tencent_security

发送【IoT平安】进群