在RIoT Control第六章摘錄中，作者Tyson Macaulay討論了物聯(lián)網(wǎng)的安全風險要求如何與安全要求相關(guān)。

以下是RIoT Control的摘錄：Tyson Macaulay的理解和管理風險和物聯(lián)網(wǎng)，由Elsevier / Morgan Kaufmann出版。 本章從第六章描述了物聯(lián)網(wǎng)中的安全風險要求以及它們與安全要求的關(guān)系。

Safety is not exactly the same as security

要求任何工業(yè)控制系統(tǒng)（ICS）工程師，無論企業(yè)IT安全標準和流程在其環(huán)境中是否有用，他/她很可能會說“部分但絕對不完全”。 ICS安全執(zhí)業(yè)者多年來一直拒絕IT安全專家和標準的提出，聲稱ICS不一樣，具有不同的要求。

他們是對的他們是對的！從ICS和IT之間的早期遇到的經(jīng)驗教訓現(xiàn)在擴展到物聯(lián)網(wǎng) - 將兩種做法相結(jié)合：

ICS + IT = IoT

RIoT控制

嘗試總結(jié)一下：ICS和IT具有不同的性能和可靠性要求。 ICS特別使用可能被認為是非常規(guī)的IT支持人員的操作系統(tǒng)和應用程序。此外，安全和效率的目標有時可能與控制系統(tǒng)的設(shè)計和操作中的安全性相沖突（例如，要求密碼認證和授權(quán)不應妨礙或干擾ICS的緊急行動）。

在典型的IT系統(tǒng)中，數(shù)據(jù)的機密性和完整性通常是主要的關(guān)注點。對于ICS，人類或財產(chǎn)安全和容錯，以防止生命損失或危害公共衛(wèi)生或信心，遵守法規(guī)，損失設(shè)備，知識產(chǎn)權(quán)損失或丟失或損壞的產(chǎn)品是主要關(guān)切。負責運營，保護和維護ICS的人員必須了解安全與安全之間的重要聯(lián)系。

在典型的IT系統(tǒng)中，與環(huán)境有著甚至沒有物理的交互作用。 ICS可以在物理過程中產(chǎn)生非常復雜的交互作用，并在物理事件中表現(xiàn)出ICS域中的后果。

安全作為物聯(lián)網(wǎng)要求還涉及系統(tǒng)行為的一個關(guān)鍵方面：保護無意的性質(zhì)的熵（隨機）故障。

以下安全要求可能會與本書中其他要求相互重疊并相互依賴，但由于物聯(lián)網(wǎng)的安全性至關(guān)重要，因此，它們是值得獨立理解的。

性能

信息技術(shù)（IT）充滿了虛假的索賠性能，這將代表一個大的安全風險的物聯(lián)網(wǎng)。供應商的IT硬件和軟件都將發(fā)布有關(guān)性能指標，根本無法復制的索賠。這是很常見的；然而，行業(yè)已經(jīng)學會通過貼現(xiàn)供應商要求適應這種慢性的夸張的性能要求（昂貴的）試驗和概念證明演示，一般在提供基礎(chǔ)設(shè)施。

客戶經(jīng)常購買一個網(wǎng)絡(luò)設(shè)備，期望它將在1 Gbps的，例如，只發(fā)現(xiàn)，一旦他們配置它的方式，他們需要它的性能下降到一半甚至更少！同樣，組織投資軟件期望它會處理（再次，只是一個例子）每毫秒100次交易，只發(fā)現(xiàn)供應商的性能要求只支持非常具體的硬件配置，不適合客戶的環(huán)境。

在物聯(lián)網(wǎng)，其中的邏輯動力學/網(wǎng)絡(luò)物理接口占主導地位，性能將是有關(guān)的功能和指標，如：時間的關(guān)鍵性，延遲，或抖動-性能的可靠性，而一些與IT相關(guān)的指標，如最大吞吐量可能不重要。我們將在本節(jié)中討論這些性能指標。

在物聯(lián)網(wǎng)，端點，網(wǎng)關(guān)，網(wǎng)絡(luò)和云/數(shù)據(jù)中心元素的性能需要作為廣告的產(chǎn)品和服務供應商。

清晰的性能在產(chǎn)品和服務是物聯(lián)網(wǎng)的基本要求。當涉及到物聯(lián)網(wǎng)的性能，產(chǎn)品和服務供應商需要知道捏造數(shù)據(jù)或故意含糊的或欺騙性的驅(qū)動器不為人知的風險。

可靠性和一致性

ICS包括安全儀表系統(tǒng)（SIS），它們是高可靠性建立的硬化信息元素，與安全和可預測的失敗相關(guān)。這就是物聯(lián)網(wǎng)所需要的。

相反，來自企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)中心（DC）環(huán)境的IT元素通常不是為了實現(xiàn)高可靠性而建立的;它們被集成到高可用性（HA）對和集群中。 HA是硬件和軟件可靠性的便宜替代品，因為假設(shè)即使可靠性差，大多數(shù)（或至少一半）元素在一個元素發(fā)生故障后仍將保持有效。

與高可用性和集群相關(guān)的IT設(shè)計規(guī)則不能很好地擴展到物聯(lián)網(wǎng)的更偏遠的部分，例如網(wǎng)關(guān)和端點，其中經(jīng)濟（業(yè)務情況）不合理，并且基于安全技術(shù)無法部署服務依靠基礎(chǔ)設(shè)施加倍。

許多ICS過程本質(zhì)上是連續(xù)的，因此必須是可靠的。控制工業(yè)過程的意外中斷系統(tǒng)是不可接受的。 ICS中斷通常必須提前幾天或幾周進行計劃和安排。徹底的部署前測試對于確保ICS的可靠性至關(guān)重要。

除了意外停電之外，許多控制系統(tǒng)都不能容易地停止和啟動，而不會影響生產(chǎn)和安全。在某些情況下，正在生產(chǎn)的產(chǎn)品或正在使用的設(shè)備比被傳送的信息更為重要。因此，由于對ICS的高可用性，可靠性和可維護性的要求的不利影響，使用典型的IT策略（例如重新啟動組件）通常是不可接受的解決方案。

與性能要求類似，物聯(lián)網(wǎng)的可靠性需要在可靠性方面提供更為重要和可靠的規(guī)范。在網(wǎng)絡(luò)和DC世界中常見的平均替代時間（MTTR）或平均故障時間（MTTF）的措施將需要向網(wǎng)絡(luò)邊緣擴展，其中設(shè)備不能部署在HA或聚類設(shè)計。

總的來說，物聯(lián)網(wǎng)的安全性將要求網(wǎng)關(guān)元件尤其是終端，在獨立性能方面變得更加可靠和一致。

無毒和生物兼容

很像今天關(guān)于電池，緊湊型熒光燈，汞恒溫器和消耗臭氧層空調(diào)裝置的關(guān)注點，物聯(lián)網(wǎng)的重大安全風險將與建立物聯(lián)網(wǎng)設(shè)備所用材料的影響有關(guān)。

在許多情況下，物聯(lián)網(wǎng)將關(guān)注注定要被吸收到環(huán)境中或嵌入到活組織和體內(nèi)的裝置。例如，環(huán)境傳感器可能會部署在期望和業(yè)務假設(shè)之中，一旦停止工作，它們將被放置到位，以便簡單地衰減和消失?；蛘?，當前的可穿戴技術(shù)的產(chǎn)生將不可避免地演變成將被更直接地放置在皮膚上較長時間段或?qū)⒈磺度氲钠渌b置。今天的植入物肯定會相互聯(lián)系，以便更好地監(jiān)測，診斷和管理。

IoT設(shè)備需要考慮到環(huán)境安全性。由有毒物質(zhì)制成的裝置可能會對其分配，使用和處理造成更嚴格的監(jiān)管和監(jiān)督，從而提高成本。

物聯(lián)網(wǎng)的安全性不僅與設(shè)備如何作用和響應命令有關(guān)，而且與其使用壽命期間和之后的操作環(huán)境有關(guān)。

使用更新的，特別開發(fā)的生物相容性材料啟動工程設(shè)備的需求可能意味著其他安全功能（如可靠性和可預測性）可能會受到損害，因為信息處理和計算的世界在物理應力方面非?？量?。在建立物聯(lián)網(wǎng)端點時，向更環(huán)保，安全的材料轉(zhuǎn)移將絕對對這些設(shè)備的數(shù)據(jù)處理和管理保證產(chǎn)生影響，如果沒有其他原因，它將反映系統(tǒng)的變化。

理解與在物聯(lián)網(wǎng)中使用和采用新的安全材料相關(guān)的安全和風險取舍對于風險管理者至關(guān)重要。

可處理

與物聯(lián)網(wǎng)安全毒性問題相關(guān)的是安全和一次性的問題。當設(shè)備達到使用壽命，過時，不再需要或有缺陷，無法修復時會發(fā)生什么？從安全的角度來看，環(huán)境問題是明確的 - 但與一次性使用相關(guān)的安全和信息安全之間的聯(lián)系可能并不明顯。

在安全領(lǐng)域，硬件和軟件處理是一個很好理解的安全流程和要求。 IoT中的設(shè)備，系統(tǒng)和服務所有者必須確保在處理IoT設(shè)備的過程中銷毀信息，未授權(quán)的訪問不會授予個人或?qū)Ｓ行畔ⅲú僮飨到y(tǒng)，配置，設(shè)計等） 。發(fā)生了許多壯觀的信息安全漏洞，因為處理不善或缺乏行為。

在安全方面也存在處理問題，這將對物聯(lián)網(wǎng)安全和風險管理產(chǎn)生一定的影響。

一次性將影響物聯(lián)網(wǎng)中關(guān)于物聯(lián)網(wǎng)端點和邊緣設(shè)備的生物和環(huán)境毒性等元素的安全性。他們會毒害用戶嗎？一旦達到垃圾填埋場或焚化爐，數(shù)千或數(shù)百萬，或一旦它們已經(jīng)退役但已經(jīng)到位，無論是嵌入瀝青還是嵌入生命的肉，它們會變得危險嗎？

例如，在可能嵌入物體或人體的可穿戴設(shè)備或設(shè)備的情況下，會對機械和環(huán)境穩(wěn)定的材料形成明確的要求，例如：

電池和能量收集和轉(zhuǎn)換部件

導體/導線

處理器和內(nèi)存

絕緣子

包裝，住房和監(jiān)控與控制界面

基材和功能材料

雖然安全可能規(guī)定使用某些材料和其他材料，但對信息安全的影響可能難以平衡。例如，信息處理或存儲部件的防篡改或防篡改可能需要不符合安全性和可處理性標準的材料！或者，一次性電池類型可能不支持信息安全的可用性要求和服務級別。

物聯(lián)網(wǎng)的安全和變更管理

變更管理對維護IT和IoT系統(tǒng)的安全至關(guān)重要，也適用于硬件和固件。每個信息安全學生都知道，修復漏洞和其他安全影響的缺陷所需的補丁管理是變更管理流程的主要懇求者。

未分配系統(tǒng)代表了IT系統(tǒng)最大的漏洞之一。 IT系統(tǒng)上的軟件更新（包括安全補?。┩ǔＪ腔谥荚跐M足合規(guī)（組織）要求的安全策略和過程及時應用的。這些程序通常在企業(yè)IT中自動化，使用基于服務器的工具和自動更新過程。

然而，物聯(lián)網(wǎng)中的軟件更新無法始終在自動化的基礎(chǔ)上實施。在物聯(lián)網(wǎng)中，每個軟件更新可能具有與之相關(guān)的安全關(guān)鍵依賴性，無論是否與修補后的停機時間或物聯(lián)網(wǎng)系統(tǒng)的基本穩(wěn)定性和性能相關(guān)聯(lián)。 IoT更新將需要由潛在的多個利益相關(guān)者（如各種設(shè)備，應用程序和服務供應商）以及應用程序的用戶進行徹底測試和批準。

作為整體的物聯(lián)網(wǎng)系統(tǒng)也可能需要重新驗證和認證，作為服務水平協(xié)議（SLA）的一部分，以及與政府或銀行等高度保證客戶的合同中規(guī)定的合規(guī)流程。

來自IT的變更管理過程可能是物聯(lián)網(wǎng)變更管理的基礎(chǔ)，但批發(fā)采用是不適當?shù)?，這種做法將代表物聯(lián)網(wǎng)系統(tǒng)或服務的風險。

泰森·麥考利（Tyson Macaulay）是首席技術(shù)官兼首席安全策略顧問，在安全行業(yè)有超過20年的經(jīng)驗，以及Fortinet，Intel和Bell Canada等公司的經(jīng)驗?？偛课挥诩永Ｄ醽喼萆Ｄ峋S爾，他還是1993年以來的研究員，書籍，期刊出版物和專利。泰森通過國際標準組織（ISO）和安大略省專業(yè)工程師支持開發(fā)工程和安全標準。他的專長是電信級安全設(shè)計，企業(yè)風險管理，技術(shù)風險管理，安全架構(gòu)，安全方法，安全審計與合規(guī)，安全計劃制定和治理，國際標準制定，物聯(lián)網(wǎng)（IoT）和國際安全標準。