在RIoT Control第六章摘錄中，作者Tyson Macaulay討論了物聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)要求如何與安全要求相關(guān)。

以下是RIoT Control的摘錄：Tyson Macaulay的理解和管理風(fēng)險(xiǎn)和物聯(lián)網(wǎng)，由Elsevier / Morgan Kaufmann出版。 本章從第六章描述了物聯(lián)網(wǎng)中的安全風(fēng)險(xiǎn)要求以及它們與安全要求的關(guān)系。

Safety is not exactly the same as security

要求任何工業(yè)控制系統(tǒng)（ICS）工程師，無論企業(yè)IT安全標(biāo)準(zhǔn)和流程在其環(huán)境中是否有用，他/她很可能會說“部分但絕對不完全”。 ICS安全執(zhí)業(yè)者多年來一直拒絕IT安全專家和標(biāo)準(zhǔn)的提出，聲稱ICS不一樣，具有不同的要求。

他們是對的他們是對的！從ICS和IT之間的早期遇到的經(jīng)驗(yàn)教訓(xùn)現(xiàn)在擴(kuò)展到物聯(lián)網(wǎng) - 將兩種做法相結(jié)合：

ICS + IT = IoT

RIoT控制

嘗試總結(jié)一下：ICS和IT具有不同的性能和可靠性要求。 ICS特別使用可能被認(rèn)為是非常規(guī)的IT支持人員的操作系統(tǒng)和應(yīng)用程序。此外，安全和效率的目標(biāo)有時(shí)可能與控制系統(tǒng)的設(shè)計(jì)和操作中的安全性相沖突（例如，要求密碼認(rèn)證和授權(quán)不應(yīng)妨礙或干擾ICS的緊急行動）。

在典型的IT系統(tǒng)中，數(shù)據(jù)的機(jī)密性和完整性通常是主要的關(guān)注點(diǎn)。對于ICS，人類或財(cái)產(chǎn)安全和容錯(cuò)，以防止生命損失或危害公共衛(wèi)生或信心，遵守法規(guī)，損失設(shè)備，知識產(chǎn)權(quán)損失或丟失或損壞的產(chǎn)品是主要關(guān)切。負(fù)責(zé)運(yùn)營，保護(hù)和維護(hù)ICS的人員必須了解安全與安全之間的重要聯(lián)系。

在典型的IT系統(tǒng)中，與環(huán)境有著甚至沒有物理的交互作用。 ICS可以在物理過程中產(chǎn)生非常復(fù)雜的交互作用，并在物理事件中表現(xiàn)出ICS域中的后果。

安全作為物聯(lián)網(wǎng)要求還涉及系統(tǒng)行為的一個(gè)關(guān)鍵方面：保護(hù)無意的性質(zhì)的熵（隨機(jī)）故障。

以下安全要求可能會與本書中其他要求相互重疊并相互依賴，但由于物聯(lián)網(wǎng)的安全性至關(guān)重要，因此，它們是值得獨(dú)立理解的。

性能

信息技術(shù)（IT）充滿了虛假的索賠性能，這將代表一個(gè)大的安全風(fēng)險(xiǎn)的物聯(lián)網(wǎng)。供應(yīng)商的IT硬件和軟件都將發(fā)布有關(guān)性能指標(biāo)，根本無法復(fù)制的索賠。這是很常見的；然而，行業(yè)已經(jīng)學(xué)會通過貼現(xiàn)供應(yīng)商要求適應(yīng)這種慢性的夸張的性能要求（昂貴的）試驗(yàn)和概念證明演示，一般在提供基礎(chǔ)設(shè)施。

客戶經(jīng)常購買一個(gè)網(wǎng)絡(luò)設(shè)備，期望它將在1 Gbps的，例如，只發(fā)現(xiàn)，一旦他們配置它的方式，他們需要它的性能下降到一半甚至更少！同樣，組織投資軟件期望它會處理（再次，只是一個(gè)例子）每毫秒100次交易，只發(fā)現(xiàn)供應(yīng)商的性能要求只支持非常具體的硬件配置，不適合客戶的環(huán)境。

在物聯(lián)網(wǎng)，其中的邏輯動力學(xué)/網(wǎng)絡(luò)物理接口占主導(dǎo)地位，性能將是有關(guān)的功能和指標(biāo)，如：時(shí)間的關(guān)鍵性，延遲，或抖動-性能的可靠性，而一些與IT相關(guān)的指標(biāo)，如最大吞吐量可能不重要。我們將在本節(jié)中討論這些性能指標(biāo)。

在物聯(lián)網(wǎng)，端點(diǎn)，網(wǎng)關(guān)，網(wǎng)絡(luò)和云/數(shù)據(jù)中心元素的性能需要作為廣告的產(chǎn)品和服務(wù)供應(yīng)商。

清晰的性能在產(chǎn)品和服務(wù)是物聯(lián)網(wǎng)的基本要求。當(dāng)涉及到物聯(lián)網(wǎng)的性能，產(chǎn)品和服務(wù)供應(yīng)商需要知道捏造數(shù)據(jù)或故意含糊的或欺騙性的驅(qū)動器不為人知的風(fēng)險(xiǎn)。

可靠性和一致性

ICS包括安全儀表系統(tǒng)（SIS），它們是高可靠性建立的硬化信息元素，與安全和可預(yù)測的失敗相關(guān)。這就是物聯(lián)網(wǎng)所需要的。

相反，來自企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)中心（DC）環(huán)境的IT元素通常不是為了實(shí)現(xiàn)高可靠性而建立的;它們被集成到高可用性（HA）對和集群中。 HA是硬件和軟件可靠性的便宜替代品，因?yàn)榧僭O(shè)即使可靠性差，大多數(shù)（或至少一半）元素在一個(gè)元素發(fā)生故障后仍將保持有效。

與高可用性和集群相關(guān)的IT設(shè)計(jì)規(guī)則不能很好地?cái)U(kuò)展到物聯(lián)網(wǎng)的更偏遠(yuǎn)的部分，例如網(wǎng)關(guān)和端點(diǎn)，其中經(jīng)濟(jì)（業(yè)務(wù)情況）不合理，并且基于安全技術(shù)無法部署服務(wù)依靠基礎(chǔ)設(shè)施加倍。

許多ICS過程本質(zhì)上是連續(xù)的，因此必須是可靠的。控制工業(yè)過程的意外中斷系統(tǒng)是不可接受的。 ICS中斷通常必須提前幾天或幾周進(jìn)行計(jì)劃和安排。徹底的部署前測試對于確保ICS的可靠性至關(guān)重要。

除了意外停電之外，許多控制系統(tǒng)都不能容易地停止和啟動，而不會影響生產(chǎn)和安全。在某些情況下，正在生產(chǎn)的產(chǎn)品或正在使用的設(shè)備比被傳送的信息更為重要。因此，由于對ICS的高可用性，可靠性和可維護(hù)性的要求的不利影響，使用典型的IT策略（例如重新啟動組件）通常是不可接受的解決方案。

與性能要求類似，物聯(lián)網(wǎng)的可靠性需要在可靠性方面提供更為重要和可靠的規(guī)范。在網(wǎng)絡(luò)和DC世界中常見的平均替代時(shí)間（MTTR）或平均故障時(shí)間（MTTF）的措施將需要向網(wǎng)絡(luò)邊緣擴(kuò)展，其中設(shè)備不能部署在HA或聚類設(shè)計(jì)。

總的來說，物聯(lián)網(wǎng)的安全性將要求網(wǎng)關(guān)元件尤其是終端，在獨(dú)立性能方面變得更加可靠和一致。

無毒和生物兼容

很像今天關(guān)于電池，緊湊型熒光燈，汞恒溫器和消耗臭氧層空調(diào)裝置的關(guān)注點(diǎn)，物聯(lián)網(wǎng)的重大安全風(fēng)險(xiǎn)將與建立物聯(lián)網(wǎng)設(shè)備所用材料的影響有關(guān)。

在許多情況下，物聯(lián)網(wǎng)將關(guān)注注定要被吸收到環(huán)境中或嵌入到活組織和體內(nèi)的裝置。例如，環(huán)境傳感器可能會部署在期望和業(yè)務(wù)假設(shè)之中，一旦停止工作，它們將被放置到位，以便簡單地衰減和消失。或者，當(dāng)前的可穿戴技術(shù)的產(chǎn)生將不可避免地演變成將被更直接地放置在皮膚上較長時(shí)間段或?qū)⒈磺度氲钠渌b置。今天的植入物肯定會相互聯(lián)系，以便更好地監(jiān)測，診斷和管理。

IoT設(shè)備需要考慮到環(huán)境安全性。由有毒物質(zhì)制成的裝置可能會對其分配，使用和處理造成更嚴(yán)格的監(jiān)管和監(jiān)督，從而提高成本。

物聯(lián)網(wǎng)的安全性不僅與設(shè)備如何作用和響應(yīng)命令有關(guān)，而且與其使用壽命期間和之后的操作環(huán)境有關(guān)。

使用更新的，特別開發(fā)的生物相容性材料啟動工程設(shè)備的需求可能意味著其他安全功能（如可靠性和可預(yù)測性）可能會受到損害，因?yàn)樾畔⑻幚砗陀?jì)算的世界在物理應(yīng)力方面非常苛刻。在建立物聯(lián)網(wǎng)端點(diǎn)時(shí)，向更環(huán)保，安全的材料轉(zhuǎn)移將絕對對這些設(shè)備的數(shù)據(jù)處理和管理保證產(chǎn)生影響，如果沒有其他原因，它將反映系統(tǒng)的變化。

理解與在物聯(lián)網(wǎng)中使用和采用新的安全材料相關(guān)的安全和風(fēng)險(xiǎn)取舍對于風(fēng)險(xiǎn)管理者至關(guān)重要。

可處理

與物聯(lián)網(wǎng)安全毒性問題相關(guān)的是安全和一次性的問題。當(dāng)設(shè)備達(dá)到使用壽命，過時(shí)，不再需要或有缺陷，無法修復(fù)時(shí)會發(fā)生什么？從安全的角度來看，環(huán)境問題是明確的 - 但與一次性使用相關(guān)的安全和信息安全之間的聯(lián)系可能并不明顯。

在安全領(lǐng)域，硬件和軟件處理是一個(gè)很好理解的安全流程和要求。 IoT中的設(shè)備，系統(tǒng)和服務(wù)所有者必須確保在處理IoT設(shè)備的過程中銷毀信息，未授權(quán)的訪問不會授予個(gè)人或?qū)Ｓ行畔ⅲú僮飨到y(tǒng)，配置，設(shè)計(jì)等） 。發(fā)生了許多壯觀的信息安全漏洞，因?yàn)樘幚聿簧苹蛉狈π袨椤?/p>

在安全方面也存在處理問題，這將對物聯(lián)網(wǎng)安全和風(fēng)險(xiǎn)管理產(chǎn)生一定的影響。

一次性將影響物聯(lián)網(wǎng)中關(guān)于物聯(lián)網(wǎng)端點(diǎn)和邊緣設(shè)備的生物和環(huán)境毒性等元素的安全性。他們會毒害用戶嗎？一旦達(dá)到垃圾填埋場或焚化爐，數(shù)千或數(shù)百萬，或一旦它們已經(jīng)退役但已經(jīng)到位，無論是嵌入瀝青還是嵌入生命的肉，它們會變得危險(xiǎn)嗎？

例如，在可能嵌入物體或人體的可穿戴設(shè)備或設(shè)備的情況下，會對機(jī)械和環(huán)境穩(wěn)定的材料形成明確的要求，例如：

電池和能量收集和轉(zhuǎn)換部件

導(dǎo)體/導(dǎo)線

處理器和內(nèi)存

絕緣子

包裝，住房和監(jiān)控與控制界面

基材和功能材料

雖然安全可能規(guī)定使用某些材料和其他材料，但對信息安全的影響可能難以平衡。例如，信息處理或存儲部件的防篡改或防篡改可能需要不符合安全性和可處理性標(biāo)準(zhǔn)的材料！或者，一次性電池類型可能不支持信息安全的可用性要求和服務(wù)級別。

物聯(lián)網(wǎng)的安全和變更管理

變更管理對維護(hù)IT和IoT系統(tǒng)的安全至關(guān)重要，也適用于硬件和固件。每個(gè)信息安全學(xué)生都知道，修復(fù)漏洞和其他安全影響的缺陷所需的補(bǔ)丁管理是變更管理流程的主要懇求者。

未分配系統(tǒng)代表了IT系統(tǒng)最大的漏洞之一。 IT系統(tǒng)上的軟件更新（包括安全補(bǔ)丁）通常是基于旨在滿足合規(guī)（組織）要求的安全策略和過程及時(shí)應(yīng)用的。這些程序通常在企業(yè)IT中自動化，使用基于服務(wù)器的工具和自動更新過程。

然而，物聯(lián)網(wǎng)中的軟件更新無法始終在自動化的基礎(chǔ)上實(shí)施。在物聯(lián)網(wǎng)中，每個(gè)軟件更新可能具有與之相關(guān)的安全關(guān)鍵依賴性，無論是否與修補(bǔ)后的停機(jī)時(shí)間或物聯(lián)網(wǎng)系統(tǒng)的基本穩(wěn)定性和性能相關(guān)聯(lián)。 IoT更新將需要由潛在的多個(gè)利益相關(guān)者（如各種設(shè)備，應(yīng)用程序和服務(wù)供應(yīng)商）以及應(yīng)用程序的用戶進(jìn)行徹底測試和批準(zhǔn)。

作為整體的物聯(lián)網(wǎng)系統(tǒng)也可能需要重新驗(yàn)證和認(rèn)證，作為服務(wù)水平協(xié)議（SLA）的一部分，以及與政府或銀行等高度保證客戶的合同中規(guī)定的合規(guī)流程。

來自IT的變更管理過程可能是物聯(lián)網(wǎng)變更管理的基礎(chǔ)，但批發(fā)采用是不適當(dāng)?shù)模@種做法將代表物聯(lián)網(wǎng)系統(tǒng)或服務(wù)的風(fēng)險(xiǎn)。

泰森·麥考利（Tyson Macaulay）是首席技術(shù)官兼首席安全策略顧問，在安全行業(yè)有超過20年的經(jīng)驗(yàn)，以及Fortinet，Intel和Bell Canada等公司的經(jīng)驗(yàn)。總部位于加利福尼亞州桑尼維爾，他還是1993年以來的研究員，書籍，期刊出版物和專利。泰森通過國際標(biāo)準(zhǔn)組織（ISO）和安大略省專業(yè)工程師支持開發(fā)工程和安全標(biāo)準(zhǔn)。他的專長是電信級安全設(shè)計(jì)，企業(yè)風(fēng)險(xiǎn)管理，技術(shù)風(fēng)險(xiǎn)管理，安全架構(gòu)，安全方法，安全審計(jì)與合規(guī)，安全計(jì)劃制定和治理，國際標(biāo)準(zhǔn)制定，物聯(lián)網(wǎng)（IoT）和國際安全標(biāo)準(zhǔn)。