在信息社会中,物联网作为新兴产业已经演变成个体寻常生活体系不可缺少的成分。现阶段,物联网信息安全性问题受到社会高度重视,同时其也与物联网事业可持续发展相关联。企业对物联网生成的数据和功能的依赖正在迅速增加,要求采用这些新技术的企业不断增多,这些企业组织需要规划可访问、安全和弹性的部署形式。
2022年3月9日,CSA 大中华区正式颁布了《物联网安全控制框架》及配套《物联网控制框架指南》成果。《物联网安全控制框架指南》解释了企业组织如何使用《物联网安全控制框架》安全的评估和实施物联网系统。为希望更好地理解和实施其物联网体系结构中安全控制项的组织提供了一个起点。
《物联网安全控制框架指南》解释了企业组织如何使用《物联网安全控制框架》安全的评估和实施物联网系统。希望架构建设以及关键技术应用,在维护与强化物联网安全性方面有所帮助。
框架适用场景
《物联网安全控制框架》用于部署各种互联设备和相关云服务、网络技术和应用软件的企业物联网系统。该框架在许多物联网领域都具有效用,从只处理影响力有限的“低价值”数据系统到支持关键服务的高敏感系统。系统所有者根据存储和处理的数据价值以及各种潜在的物理安全威胁影响对组件进行分类。
该框架帮助用户确定适当的安全控制项,并将其分配给特定的体系架构组件,包括:设备、网络、网关、云服务。 在这个架构中,分配给每一层的控制项代表最佳情况的安全布局。
在某些情况下,架构组件无法实现此框架中实现建议的某些控制项。在这种情况下,系统安全架构师应识别这些缺陷,并制定计划,使用替代措施降低剩余风险。
实现目标
《物联网安全控制框架》提供了一个工具,用于评估实施在贯穿开发生命周期的安全性,以确保他们符合行业指限定的最佳实践。
目标受众
《物联网安全控制框架》是系统架构师、开发人员和安全工程师的一个资源,用来设计安全的物联网生态系统。物联网系统评估人员(如审计师和渗透测试人员)可以利用该框架来验证控制及其部署的实施情况。
版本说明
- 历史版本:《物联网安全控制框架》第1版
引入了155个基本级别的安全控制措施,以减轻物联网系统在各种威胁环境中面临的许多风险。 - 当前版本:《物联网安全控制框架》第2版
对比第1版框架,优化控制措施归类到一组全新的域中,并最大限度地减少了分配给物联网架构内的组件的控制措施。 - 重要的变化:包括开发了全新的域结构和基础设施。
- 更新的控制:为了保证技术清晰,所有的控制措施都经过了审核和更新。
- 全新的域结构:审查和更新了控制域,以 更好地分类控制措施。
- 新的法律领域:引入相关的法律控制措施。
- 新的安全测试域:引入架构分配的安全测试。
- 简化基础设施分配:将设备类型合并到一个单一类别,简化对架构组件分配控制措施。
延展方向
《物联网安全控制框架》第3版将包括以下值得注意的改进:
- 物联网框架的共享责任矩阵
- 安全所特定的控制措施
最新研发动向,敬请持续关注云安全联盟CSA公众号新闻动态。
1827
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
