RIoT控制:了解和管理风险以及物联网
以下摘自RIoT Control:由Tyson Macaulay 理解和管理风险和物联网,由Elsevier / Morgan Kaufmann出版。第6章的这一部分描述了物联网中的安全风险要求以及它们与安全要求之间的关系。
Safety与security不完全相同
译者注: safety and security 常被译为“安全与防护”(如2016年慕尼黑电子展主题)。前者指芯片(如微控制器)自身运行的安全特性,由访问许可系统、安全管理单元、时钟和电压监测等保障;后者则包括防盗,防止欺诈和篡改等功能,通过硬件加密等技术实现。
询问任何工业控制系统(ICS)工程师企业IT安全标准和流程是否适用于他们的环境,他/她可能会说“部分但绝对不完全”。ICS安全从业者多年来一直拒绝IT安全专家和标准的提议,声称ICS不同并且有不同的要求。
他们是对的。他们是对的!从工业控制系统(ICS)和IT之间早期遭遇的经验中吸取的教训现在扩展到物联网 - 将两种做法不可分割地结合在一起:
ICS + IT = IoT
(工业控制系统+信息技术=物联网)
试着总结一下:ICS和IT有不同的性能和可靠性要求。ICS经常被用于可能被认为对传统IT支持人员非常规的操作系统和应用程序。此外,安全和效率的目标有时会与控制系统的设计和运行中的安全性相冲突(例如,要求密码认证和授权不应妨碍或干扰ICS的紧急操作)。
在典型的IT系统中,数据机密性和完整性通常是主要问题。对于ICS,人员或财产安全和容错以防止生命损失或危害公共健康或信心,法规遵从性,设备损失,知识产权损失或产品丢失或损坏是主要问题。负责操作,保护和维护ICS的人员必须了解安全与安全之间的重要联系。
在典型的IT系统中,与环境的物理交互是有限的,甚至没有。ICS可以与ICS域中的物理过程和后果发生非常复杂的相互作用,可以在物理事件中体现出来。
作为物联网需求的安全性也解决了系统行为的一个关键方面:防止无意识性的熵(随机)故障。
以下安全要求可能会与本书中的其他要求重叠并相互依赖,但由于物联网安全的关键性质,它们是值得独立理解的。
性能
信息技术(IT)充满了对性能的虚假声明,这将对物联网构成巨大的安全风险。IT硬件和软件供应商将发布关于性能指标的声明,这些指标无法复制。这太常见了; 然而,业界已经学会了适应这种长期的夸大的表现,通过折扣供应商的索赔,要求(昂贵的)试验和概念验证的演示,以及一般的供应基础设施。
客户通常购买一台网络设备,希望它能够以1 Gbps的速度运行,例如,只有当他们按照需要配置它的性能时,才会发现它的性能降低了一半甚至更少!同样,企业对软件进行投资,期望它能够处理每毫秒100笔交易(仅作为例子),但仅仅发现供应商性能声明仅支持非特定硬件配置,而这些配置不适合客户环境。
在IoT中,逻辑-动态/网络物理接口占主导地位,性能将与特性和指标类似:时间临界、延迟或抖动——性能的可靠性;然而,一些与IT相关的指标(比如最大吞吐量)可能并不重要。我们将在本节中讨论这些性能指标。
在物联网中,端点,网关,网络和云/数据中心元素的性能需要像产品和服务供应商所宣传的那样。
产品和服务的性能清晰是物联网的基本要求。谈到物联网的性能,产品和服务供应商都需要意识到,篡改数字或故意含糊或欺骗性会带来无法估量的风险。
可靠性和一致性
ICS包括安全仪表系统(SIS),这些系统是为高可靠性而构建的强化信息元素,并且与安全和可预测性相关。这就是物联网所需要的。
相反,来自企业网络和数据中心(DC)环境的IT元素通常不是为高可靠性而构建的; 它们被集成到高可用性(HA)对和集群中。HA是硬件和软件可靠性的廉价替代品,因为假定即使可靠性较差,大多数(或至少一半)元素在一个元素发生故障后仍然可以正常工作。
与高可用性和集群有关的IT设计惯例不能很好地扩展到IoT的更偏远的地方,例如网关和端点,在这些地方经济(商业案例)没有意义,服务也不能基于安全技术部署依靠双倍的基础设施。
许多ICS过程本质上是连续的,因此必须是可靠的。控制工业过程的系统出现意外中断是不可接受的。ICS中断通常必须提前几天或几周进行计划和安排。彻底的部署前测试对于确保ICS的可靠性至关重要。
除了意外中断,许多控制系统不能轻易停止和启动,而不会影响生产和安全。在某些情况下,正在生产的产品或正在使用的设备比传递的信息更重要。因此,由于对ICS的高可用性,可靠性和可维护性的要求产生不利影响,因此使用典型的IT策略(例如重启组件)通常是不可接受的解决方案。
与对性能的要求类似,物联网的可靠性需要在可靠性方面提供更为重要和可靠的规范。措施,如平均时间更换(MTTR)或平均无故障时间(MTTF),这是网络和DC世界共通之处,都需要对网络的边缘,在这种设备不能在HA或部署到扩展出集群设计。
总的来说,IoT的安全性要求网关元件尤其是终端在单机性能方面更加可靠和一致。
无毒且具有生物相容性
就像今天关于电池,紧凑型荧光灯,汞恒温器和臭氧消耗型空调设备的担忧一样,物联网的实质安全风险将与用于构建物联网设备的材料的影响相关联。
在许多情况下,物联网将是关于注定要被吸收到环境中或嵌入到活体组织和身体中的设备。例如,环境传感器可能会根据预期和业务假设进行部署,一旦停止工作,它们将留在原地以简单衰减并消失。或者,目前这一代可穿戴技术将不可避免地演变为其他设备,这些设备将更长时间地直接放置在皮肤上或将被嵌入。为了更好的监测,诊断和管理,今天的植入物肯定会相互连接。
物联网设备需要设计时考虑到环境安全。由有毒材料制成的设备可能会对其分配,使用和处置成本进行更严格的监管。
物联网的安全性不仅与设备如何操作和响应命令有很大关系,而且与设备在使用期间和使用后的运行环境有关。
用更新的,特别开发的生物相容性材料开始工程设备的需求可能意味着其他安全特性,如可靠性和可预测性可能受到影响,因为信息处理和计算领域对物理应力的要求非常高。在构建物联网终端时转向更环保,更安全的材料将绝对会影响这些设备的数据处理和管理保证,如果没有其他原因,它将反映系统的变化。
了解与在物联网中使用和采用新的安全材料相关的安全和风险权衡对风险管理人员至关重要。
可处理
与物联网安全中的毒性问题有关的是安全性和可处置性。当设备达到使用寿命时,会发生什么情况,是否已经过时,不再需要,还是有缺陷且无法修复?从安全角度来看,环境问题非常明确 - 但乍看之下,与可处置性相关的安全和信息安全之间的联系可能并不明显。
阅读整章
下载第六章的PDF以了解更多信息!
在安全领域,硬件和软件处置是一个很好理解的安全过程和要求。物联网中的设备,系统和服务所有者必须确保信息在物联网设备处置过程中被破坏,未授权访问个人或专有信息(操作系统,配置,设计等) 。由于处置措施不佳或缺失,导致许多严重的信息安全漏洞。
安全方面也存在处置问题,这将对整体物联网安全和风险管理产生层次影响。
与IoT端点和边缘设备的生物和环境毒性等要素相关的可丢弃性将影响物联网的安全性。他们会毒害用户吗?一旦他们在数千或数百万的垃圾填埋场或焚化炉中,或者一旦他们被拆除,却留在原地,无论是埋在沥青里,还是被留在生物体内,他们会变得危险吗?
例如,对于可能嵌入物体或人体内的可穿戴设备或设备而言,对于机械和环境稳定的材料将产生明确的要求,例如:
- 电池和能量收集和转换部分
- 导体/导线
- 处理器和内存
- 绝缘体
- 包装,住房和监控和控制接口
- 基材和功能材料
虽然安全可能规定使用某些材料和其他材料,但对信息安全的影响可能很难平衡。例如,信息处理或存储部件的防篡改或篡改阻力可能需要不符合安全和可处理标准的材料!或者,一次性电池类型可能不支持信息安全的可用性要求和服务级别。
物联网中的安全和变更管理
变更管理对维护IT和物联网系统的安全性至关重要,同时也适用于硬件和固件。每个信息安全专业的学生都知道,修复漏洞和其他影响安全性的漏洞所需的补丁管理是变更管理流程的主要恳求者。
未修补的系统是IT系统最大的漏洞之一。IT系统上的软件更新(包括安全补丁)通常会基于旨在满足合规(组织)要求的安全策略和过程及时应用。这些过程通常在企业IT中自动执行,使用基于服务器的工具和自动更新过程。
然而,物联网中的软件更新并不总是能够自动实施。在物联网中,每个软件更新都可能具有与其相关的安全关键依赖关系,无论它是否与打补丁的停机时间或修补后的物联网系统的基本稳定性和性能相关联。IoT更新将需要由潜在的多个利益相关者(例如各种设备,应用程序,服务供应商以及应用程序的用户)进行彻底测试和批准。
物联网系统作为一个整体,也可能需要重新验证和认证,作为服务级别协议(SLA)的一部分,以及与政府或银行等高保证客户合同中规定的合规流程。
变更管理流程可能是IoT中变更管理的基础,但是大规模的采用将是不合适的,这种做法将会对物联网系统或服务带来风险。
Tyson Macaulay是首席技术官兼首席安全策略师,在安全行业拥有超过20年的经验,曾在Fortinet,Intel和Bell Canada等公司工作。他的总部位于加利福尼亚州桑尼维尔,同时也是一位研究员,他在1993年开始从事讲师、书籍、期刊出版物和专利的研究。泰森公司通过国际标准组织(ISO)和安大略省的专业工程师,支持工程和安全标准的发展。他的专长是电信级安全设计,企业风险管理,技术风险管理,安全体系结构,安全方法学,安全审计和合规性,安全程序开发和治理,国际标准开发,物联网(IoT)和国际安全标准。
转载Elsevier / Morgan Kaufmann许可,版权所有©2016