美国发布首份物联网风险管理指南报告
2019年6月27日,美国国家标准与技术研究院(NIST)发布了首份物联网风险管理指南报告《NISTIR 8228 管理物联网(IOT)网络安全和隐私风险的注意事项》,提出了针对联邦机构和其他将物联网设备纳入其工作场所的大型组织的物联网网络安全和隐私风险的考虑事项、目标和建议,以帮助这些机构更好地了解和管理其个人物联网设备在整个生命周期内的网络安全和隐私风险[1]。该报告由NIST网络安全物联网项目组制定,是NIST为帮助物联网用户保护自身、数据和网络免受潜在危害而制定的一系列计划文件中的第一个。
一、影响物联网设备网络安全和隐私风险管理的主要事项
报告首先确定了与传统的IT设备相比,可能影响物联网设备网络安全和隐私风险管理的三种情况。
1、物联网设备以传统IT设备通常不具备的方式与物理世界交互
一些物联网设备对物理系统进行更改从而改变物理世界的潜在影响,需要从网络安全和隐私的角度得到明确认识和解决。此外,对性能、可靠性、弹性和安全性的操作要求可能与传统IT设备的常见网络安全和隐私做法不一致。
2、物联网设备不能以传统IT设备的方式访问、管理或监控
这可能需要为大量的物联网设备手动执行任务,扩展员工知识和工具,以包括更广泛的物联网设备软件,并解决制造商和对物联网设备具有远程访问或控制权的其他第三方带来的风险。
3、物联网设备网络安全和隐私能力的可用性、效率和有效性通常与传统IT设备不同
这意味着有关机构可能必须选择、实施和管理与传统IT不同的额外控制措施,并在没有足够的风险缓解控制措施时做出风险应对决策。
二、物联网设备的网络安全和隐私风险工作目标
1、保护设备安全
防止设备被恶意利用进行攻击,包括参与针对其他组织的分布式拒绝服务(DDoS)攻击,以及窃听网络流量或危害同一网段上的其他设备。此目标适用于所有物联网设备。
2、保护数据安全
保护由物联网设备收集、存储、处理或传输至物联网设备或从物联网设备传输的数据(包括个人识别信息)的机密性、完整性和可用性。这一目标适用于每个物联网设备,除了那些没有任何需要保护的数据的设备。
3、保护个人隐私
保护受个人识别信息处理影响的个人隐私,不受通过设备和数据安全保护管理风险的影响。此目标适用于所有处理个人识别信息或直接或间接影响个人的物联网设备。
三、未来工作建议
1、了解物联网设备的风险,及其在降低物联网设备网络安全和隐私风险时带来的挑战
风险因素包括:物联网设备与物理世界的交互可能以多种方式影响网络安全和隐私;物联网设备的不透明性;物联网设备使用前和使用后的网络安全和隐私能力通常与传统IT不同。
挑战涉及:资产管理、漏洞管理、访问管理、事故检测、数据保护、解除关联的数据管理、知情决策、PII处理权限管理、信息流管理。
2、调整组织政策和流程,以应对整个物联网设备生命周期中的网络安全和隐私风险挑战
有关组织应确保其网络安全、供应链和隐私风险管理计划适当考虑了物联网,包括:确定哪些设备具有物联网设备功能;识别物联网设备类型;评估物联网设备风险;通过接受、避免、减轻、分享或转移风险来确定如何应对风险。
3、对组织的物联网设备实施最新的风险缓解措施
由于物联网设备数量巨大、类型多样,建议有关组织对网络安全和隐私风险缓解实践进行大幅度更新,这有助于有关组织确定如何管理每种类型设备的风险,并针对特定设备进行相应自定义。 (邓阿妹)
[1] Before Connecting an IoT Device, Check Out a New NIST Report for Cybersecurity Advice. https://csrc.nist.gov/publications/detail/nistir/8228/final