如何管理物联网网络安全

该出版物旨在帮助联邦机构和其他组织管理与个人物联网(IoT)设备相关的网络安全和隐私风险。

由美国国家标准与技术研究院(NIST)发布的这份44页的出版物的目的是帮助组织更好地理解和管理与物联网设备在整个设备生命周期内相关的网络安全和隐私风险。

物联网是一个不断发展和扩展的与物理世界交互的各种技术的集合。物联网设备是信息技术(IT)和操作技术(OT)相结合的产物。

最重要的是，相当多的物联网设备是云计算、移动计算、嵌入式系统、大数据、低价硬件和其他技术进步融合的结果。物联网设备可以为以前缺乏这些功能的设备提供计算功能、数据存储和网络连接，从而为设备带来新的效率和技术功能，例如用于监控、配置和故障排除的远程访问。物联网还可以增加分析物理世界数据的能力，并使用结果更好地为决策提供信息，改变物理环境，并预测未来的事件。

虽然物联网的全部范围还没有被精确定义，但它是巨大的。

相当多的组织不一定意识到他们正在使用大量的物联网设备。重要的是组织了解他们对物联网的使用，因为物联网设备对网络安全和隐私风险的影响与传统It设备不同。一旦组织意识到他们现有的物联网使用情况和未来可能的使用情况，他们就需要了解物联网的特征如何影响管理网络安全和隐私风险，特别是在风险响应方面——接受、避免、减轻、分担或转移风险。

与传统IT设备相比，本出版物确定了三个可能影响物联网设备网络安全和隐私风险管理的高层考虑因素:

1.物联网设备与物理世界的交互方式是传统IT设备通常无法做到的。一些物联网设备改变物理系统，从而影响物理世界的潜在影响需要从网络安全和隐私角度明确认识和解决。此外，对性能、可靠性、弹性和安全性的操作需求可能与传统IT设备的常见网络安全和隐私实践不一致。

2.物联网设备无法像传统IT设备那样被访问、管理或监控。这可能需要为大量物联网设备手动执行任务，扩展员工的知识和工具，以包括更广泛的物联网设备软件，并解决与制造商和其他第三方远程访问或控制物联网设备的风险。

3.物联网设备的网络安全和隐私功能的可用性、效率和有效性通常与传统IT设备不同。这意味着组织可能不得不选择、实施和管理额外的控制，以及在没有足够的控制来降低风险时决定如何应对风险。

物联网设备的网络安全和隐私风险可以从三个高级别风险缓解目标来考虑:

1.维护设备安全。防止设备被用来进行攻击，包括参与对其他组织的DDoS (distributed denial of service)攻击、窃听网络流量或危及同一网段的其他设备。

2.保护数据安全。保护由物联网设备收集、存储、处理或传输到物联网设备或从物联网设备传输的数据(包括个人身份信息[PII])的机密性、完整性和/或可用性。

3.保护个人隐私。保护受PII处理影响的个人隐私，超越通过设备和数据安全保护管理的风险。

每个目标都建立在前一个目标的基础上，而不是取代它或否定它的必要性。实现每一个降低风险的目标都涉及解决一系列降低风险的领域。每个风险缓解领域都定义了网络安全或隐私风险缓解的一个方面，这些方面被认为是受风险考虑因素影响最显著或最意外的。对于每个风险缓解领域，组织通常对传统IT设备如何帮助缓解该领域的网络安全和隐私风险有一个或多个期望。

该出版物为组织提供了三项建议，以确保他们在整个物联网设备生命周期中解决网络安全和隐私风险考虑因素和挑战:

1.了解物联网设备的风险考虑因素以及它们可能在适当的风险缓解领域为物联网设备减轻网络安全和隐私风险带来的挑战。

2.调整组织政策和流程解决物联网设备整个生命周期内的网络安全和隐私风险缓解挑战。本出版物列举了许多可能面临挑战的例子，但每个组织都需要根据其任务要求和其他组织特有的特征对这些挑战进行定制。

3.实施最新的缓解措施对于组织的物联网设备，就像您对实践的任何其他更改一样。

本内容最初出现在ISSSource.com。ISSSource是CFE Media的内容合作伙伴。由CFE媒体制作编辑克里斯·瓦夫拉编辑，cvavra@cfemedia.com．

原始内容可以在isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。