物联网安全控制框架指南.docx

物联网平安控制框架指南 第二版cloud security GREATER CHINA RECIONa///ance 参考（K列）：本列提供了专业来源的信息，包括政府出版物、法律法规信息和其他便于充分理 解和实施控制规范所需的参考资料等。 实施指南（L、M、N歹!J） 当为企业实施平安计划时，请使用框架中的“实施指南”局部来帮助确定企业特有环境所需的控 制类型（L歹U）,该组织将如何实施控制措施（M歹U）,以及每项平安控制措施的实施频率（N列）。 平安控制措施的类型（L列） 物联网框架的平安控制措施根据这些措施在何时、何地，以及如何提高平安性分为三种类型。预 防性控制：阻止某些平安事件发生，例如：通过锁门或使用更高级别的生物识别来限制进入房 间的权限。 检测性控制：识别并提取事件特征。如通过盘点发现库存差异、录制视频、并使用运动传感器检 测非法入侵。 纠错性控制：减轻平安事故造成的损害。例如：灭火器可以减少火灾的潜在影响，或者在主数据 中心发生故障时可以切换至备用的数据中心。 控制实施指南（M歹!J） 平安控制措施根据自动化程度，可以分成三种方式进行实施。 手动控制：手动控制由人员执行。例如在风险管理流程审核中，通过人员评估来确认流程是否按 照策略进行执行。 自动控制：自动控制由系统进行执行，无需人员干涉。例如在用户访问检查中，用户使用用户名 和密码进行登录。系统在验证其组合正确后授予访问权限。 控制频率（N列） 一些组织需要根据内部风险优先级或监管合规要求进行更频繁的控制。针对不同情况推荐以下频 率（视个别企业需求而定）。 • 每年•季度 •每月 •每周 • 日常的 • 事件：不规那么执行的控制（例如，软件更新） • 连续：每天执行屡次控制（例如，用户访问）设备、网络、网关和云服务（0、P、Q、R） 物联网框架指导物联网系统中架构元素控制的应用。这些架构元素代表物联网架构中的标准层, 如下列图所示。 0PQR 架构分配 设备网络网关云服务图7 实施者应查阅这些文档局部以确定控制是否适用于每一层。每列都描述了在IoT架构中创立信任 边界的机会。应在每一层应用离散控制。 设备（0歹IJ） 直接应用于设备层的控件，专注于设备处理、存储和/或生成的数据。通用物联网设备将包含传感 器、执行器和可能的最小用户界面。该设备还可以使用必须受到完整性保护的配置文件来收集和存储事 件或平安日志。 网络（P列） 在网络层面上，通信模组是最常见和必需的构成模块之一，帮助设备实现入网连接功能，如无线访 问接入点（WAPs）类模块，可支持设备实现WiFi入网连接。其他网络构成模块还包括密钥管理服务器, 常和特定网络协议绑定着，用于保障网络协议实现的平安性。此外，为加强网络平安控制，零信任设 计，虚拟局域网（VLAN）划分，防火墙和入侵检测设备等技术都可被使用，用来加强网络平安层面的访 问和接入平安。数据保护层面，建议采取机密性和完整性保护措施，保障业务传输过程中的数据平安性。 网关（Q列） 网关作为IoT设备入网前的汇聚接入点，经常被视为攻击者的潜在物联网网络入口点。与普通 IoT设备相比，由于其本身计算、存储能力较强，网关通常应用了更多的平安控制措施，如链路AES 加密、访问控制措施等。 云服务(R歹U) 大多数物联网设备需要云环境才能运行。设备可以将数据直接发送到云，也可以通过云服务进行 管理。传输到云的数据必须在传输过程中受到保护，并且必须在云提供商的存储中永久保存。在某些 情况下，必须在云中应用匿名保护，以确保身份不能被关联到相应IoT数据，造成隐私泄露。 下列图提供了这些体系结构层的直观描述。 网络(P) 协议转换 通信 无线 网关(Q) 无线 数据存储 可信边界 数据存储 数据流I 其他参考资料 Fagan, Michael. Megas, Katerina N. Scarfone, Karen. Smith, Matthew. “物联网设备制造商网络平安指南”, 2020-05, NISTIR 8259,美国国家标准与技术研究所. s:〃 Fagan, Michael. Megas, Katerina N. Scarfone, Karen. Smith, Matthew."物联网设备网络平安能力核心基 准”,2020-05, NISTIR 8259A,美国国家标准与技术研究所. s:〃 8259A.pdfBoeckl, Katie. Fagan, Michael. Fisher, William. Lefkovitz, Naomi. Megas, Katerina N. Nadeau, Ellen. Piccarreta, Ben. Gabel O9Rourke, Danna. Scarfone, Karen.”管理物联网网络平安和隐私风险的考前须知”, 2019-06, NISTIR 8228,美国国家标准与技术研究所. 1 根据全球移动通信系统协会(GSMA)统计数据显示，2010〜2020年全球物联网设备数量高速增长， 复合增长率达19%。随着5G的大规模商用，以及云计算、AI等不断地成熟和应用，万物物联成为全球网 络未来开展的重要方向，在工业领域、智慧城市、车联网、智能家居、智慧穿戴等领域发挥重要作用。 在一片物联网蓬勃开展的局面下，我们也不能忽视，物联网平安是物联网能够广泛应用的先决条 件。随着越来越多的物联网终端接入到网络中，大量的数据接入点被添加到物联网系统中，这为企业 的整体物联网平安防护提出严峻的挑战。因此CSA云平安联盟推出了物联网平安关键技术白皮书，旨 在帮助广大的企业面对物联网的平安挑战时能够有所参考和依据，本白皮书的内容对于如何做好物联 网的平安防护、平安检测有现实的参考作用。在使用中可以根据自己的实际情况进行适配。 本次的编写工作由CSA大中华区物联网平安工作组共同完成，在工作过程中如有疏漏、错误等问 题，还请读者及时指出。 李雨航Yale LiCSA大中华区主席兼研究院院长 目录介绍6 目标6目标受众6 版本管理6如何使用IoT平安控制框架 8 平安控制目标（A、B、C、D、E.F歹！J）8 IoT系统风险影响等级（G、H、I歹！J） 10 控制指南补充（J、K列）11 实施指南（L、M、N列）12 设备、网络、网关和云服务（0、P、Q、R） 13其他参考资料14 介乡 物联网（IoT）市场随着工业领域在连接和自动化方面的进步在不断扩大。企业对物联网生成的 数据和功能的依赖正在迅速增加，要求采用这些新技术的企业不断增多，这些企业组织需要规划可访 问、平安和弹性的部署形式。鉴于互联技术的迅速革新和新威胁的持续出现，这些愿景具有很大挑战 性。创立平安的物联网环境需要平安工程来解决特定风险，并采用适当的缓解措施。云平安联盟（CSA） 物联网平安控制框架为希望更好的理解和实施其物联网体系结构中平安控制项的组织提供了一个起点。框 架随附的本指南解释了企业组织如何使用该框架平安的评估和实施物联网系统。 物联网平安控制框架用于部署各种互联设备和相关云服务、网络技术和应用软件的企业物联网系 统。该框架在许多物联网领域都具有效用，从只处理影响力有限的“低价值”数据系统到支持关键服 务的高敏感系统。系统所有者根据存储和处理的数据价值以及各种潜在的物理平安威胁影响对组件进 行分类。 该框架帮助用户确定适当的平安控制项，并将其分配给特定的体系架构组件，包括： 设备 网络 网关 云服务 在这个架构中，分配给每一层的控制项代表最正确情况的平安布局。在某些情况下，架构组件无法实 现此框架中实现建议的某些控制项。在这种情况下，系统平安架构师应识别这些缺陷，并制定计划，使 用替代措施降低剩余风险。 目标 物联网平安控制框架提供了一个工具，用于评估实施在贯穿开发生命周期的平安性，以确保他们 符合行业指限定的最正确实践。 目标受众 物联网平安控制框架是系统架构师、开发人员和平安工程师的一个资源，用来设计平安的物联网 生态系统。物联网系统评估人员（如审计师和渗透测试人员）可以利用该框架来验证控制及其部署的 实施情况。 版本管理 物联网平安控制框架第1版 引入了 155个基本级别的平安控制措施，以减轻物联网系统在各种威胁环境中面临的许多风险。 物联网平安控制框架第2版 改进了第1版框架，以便更好地将控制措施归类到一组全新的域中，并最大限度地减少了分配给物 联网架构内的组件的控制措施。重要的变化包括开发了全新的域结构和基础设施，后面会予以解释。 • 更新的控制:为了保证技术清晰，所有的控制措施都经过了审核和更新。 • 全新的域结构:审查和更新了控制域，以更好地分类控制措施。 • 新的法律领域:引入相关的法律控制措施。 • 新的平安测试域:引入架构分配的平安测试。 • 简化基础设施分配:将设备类型合并到一个单一类别，简化对架构组件分配控制措施。 未来的变更-第3版将包括以下值得注意的改进： • 物联网框架的共享责任矩阵平安所特定的控制措施 • 受损指标物联网框架到欧盟网络和信息平安局(European Union Agency for Network and Information Security, ENISA)制定的物联网平安指南的映射物联网框架到美国国家标准与技术研究所(National Institute of Standards and Technology, NIST)网络平安框架(CSF)和800-53的映射如何使用IoT平安控制框 架 下面图1详细说明用户使用CSA IoT安 全控制框架对独特的环境进行评估和实施安 全控制时应遵循的流程。图中的字母对应于 框架（电子表格）中的列。 评估始于对系统架构平安性和数据影响 级别的了解。他们的特点是基于标准过程， 如美国联邦信息处理标准出版（FIPS） 199o 一旦确定了系统机密性、完整性和可用性的 影响级别，就可以对框架进行筛选，仅显示 适用于这些影响级别的控制措施。 审查F列中的每个结果控制措施，并查 看J列中的任何附加指南。0、P、Q和R列 包括用于将控制措施分配给不同架构组件的 工具。 这些列允许用户根据控制措施是用于设备、 L 识别和缓解剩余风 险 承载设备的网络、网关还是云服务进行筛选。 用户还可以了解如何使用L、M和N列实现控制措施。这些列提供了控件类型的建议，控制措施应 该是手动的、自动的和两者结合，以及控制措施的执行频率。 遵循这一初始流程，该框架提供了为物联网系统架构量身定制的平安基线的理想版本。。物联网 架构中的某些组件可能无法满足局部控制措施。在这种情况下，平安架构师必须了解剩余风险并确定 补偿性控制措施以缓解风险。 平安控制目标（A、B、C、D、E. F列）要获取该框架的更多详细信息,请下载“物联网OoT）平安控制框架指南V2 s://cloudsecuntyalliance.org/artifacts/guide-to-the-internet-of-things-iot-security-controls-framework-v2/ 控制域控制2 吼 CCM域/ID 3.tg控制措施 控制域（A歹！J）：由各个平安控制措施的逻辑分组（请参见下表）组成，并在F列（控制）中进 行了详细说明，每个控制规范的名称均在“控制域”类别下用斜体字表示。 控制域（B歹！J）：按域进行分类。 控制子域（C列）：子域以更细的粒度进行分类。 # 控制域名称 缩写 子域 1 资产管理 ASM 命名约定，库存资产，监控资产 2 配置管理 CCM 配置文件、固件更新、配置控制、报废计划 3 通信平安 COM 可信通信，消息队列遥测传输（MQTT）平安，加密通信 4 数据平安 DAT 数据分级和分类，数据清理，静态加密数据 5 治理 GVN 治理框架，法规和法律要求，合规管理，隐私权， 业务连续性，平安性 6 身份与访问控制「 1AM 口令管理、身份验证，授权，访问控制，证书管理，密钥管 理，信任锚管理，引导程序，账户审核 7 事件管理 IMT 事件响应 8 物联网设备平安 IOT 认证的设备，平安平台，平安配置 9 法律 LGL 法律评估，法律实施计划，法律目的，条款和条件以及隐私 政策的文件措施，合同，免责声明，披露，通知弃权，责 任，数据传输 10 监控和记录 MON 威胁情报，威胁搜寻，自动恶意软件日志管理，分析，事态 定义，射频（RF）监控 11 运营可用性 OPA 维护，故障恢复，分布式拒绝服务（DDoS）保护，服务水平 协议 12 物理平安 PHY 物理访问控制 13 政策 POL 策略定义、采集平安策略、平安处置 14 风险管理 RSM 风险管理策略、风险管理执行、限制责任 红队、第三方评估、漏洞赏金、物联网 应用程序和服务（内部开发） 15 平安应用 SAP 移动应用程序、云服务、自治系统 16 平安系统 开发生命周期 SDV 流程平安、供应链/采购、平安开发实践、平安测试 17 平安网络 SNT 平安发现、网络强化、零信任、网络可视化 18 平安无线网络 SWS RF架构、蓝牙平安、近场通信（NFC）平安、Zigbee平安 19 培训 TRN 管理员培训、用户培训 20 漏洞管理 VLN 负责任的披露计划、漏洞扫描、更新和补丁 21 平安测试 SET 评估范围和规划，渗透测试， 控制ID （D歹！J）：控制标识（ID）是特定平安控制的官方标识符。ID （例如，"RSM-01"）允 许通过控件在框架中的位置在别处引用控件。 CCM ID （E歹!J）：框架中的平安控制在此列中关联或映射到来自CSA云平安控制矩阵（CCM）的 标识符。当IoT平安控制衍生或链接到CCM控制时、将识别一个或多个条目。相关控制涉及局部或 全部覆盖每个框架中的控制规范。 控制规范（F歹！J）：规范被编写为解决物联网系统特定风险领域的缓解或对策。为了可用性，每 个控件都被分成一个简化的操作，以解决独特的IoT环境。 IoT系统风险影响等级（G、H、I列） 从第G列到第I列：这些信息允许根据用户的独特环境对平安措施进行初始裁剪，在开始定制单 个平安控制措施之前，用户应参阅两份美国商务部的出版物：《联邦信息和信息系统平安分类标准》 （FIPS 199） 1和《联邦信息和信息系统最低平安要求》（FIPS 200） 2。FIPS 199和FIPS 200这两 份出版物从机密性、完整性和可用性三个平安目标方面，将风险影响级别划分为“低”、“中”或 ，，高，，三个水平。 "gh r 物联网（IOT）系统影响级别 机密性完整性 可用性 机密性（G歹!J）：物联网（IoT）系统中的某些数据，比方个人隐私和专有信息，需要通过各种安 全 控制措施进行限制访问，以保持适当的机密性。为了评估物联网（IoT）系统内各组件的机密性风险，有 必要估计系统数据被公开或被某些攻击者泄露的潜在影响（低、中或高）。 完整性（H歹（］）：为了保护数据的完整性，企业必须防止数据被不适当修改或破坏，确保信息的真 实性。要评估物联网（IoT）系统的完整性方面的风险，需要评估系统数据被破坏或不适当修改时的影 响（低、中或高）。 可用性（I歹！J）：为了确保及时可靠地获取和使用系统信息，需耍评估系统在任何一段持续时间 内不可用时的潜在风险。 评估系统数据的机密性、完整性和可用性的特定风险是低风险、中风险还是高风险，请参阅出版 物FIPS 199第6页表1 “平安目标的潜在影响定义”。 在确定这些风险影响级别后，物联网（IoT）平安控制框架就可以识别特定环境所需的所有平安控 制措施。 请注意，当风险影响级别较高时，应中选用所有可用的平安控制措施，包括低、中、高风险级别 的所有平安控制。当风险影响水平为中等时，应中选用中等和低风险水平的所有控制措施。下表是三 种影响等级和所需的平安控制措施例如。 平安风险类别二风险影响级别 _所需平安控制措施高高、中、低 高高、中、低 机密性 完整性 可用性 中、低额外指导（J列）：在评估或实施物联网平安控制框架中的任何单个平安协议时，请务必查看这 额外指导（J列）：在评估或实施物联网平安控制框架中的任何单个平安协议时，请务必查看这 低 份详细说明了特殊需求、术语解释、以及相关操作提示的补充信息。