上個月，工業互聯網聯盟(IIC)發布了其兩篇論文中的第一篇：《物聯網安全成熟度模型：描述和預期用途》，其主要是針對技術水平低下的物聯網利益相關者的高級概述。

[[229967]]

微軟物聯網標準首席策略師 Ron Zahavi在接受采訪時表示，“這第一篇主要是為商務人員準備的，旨在幫助他們了解安全所需的東西，并協助他們將其轉化為自己業務所需的成熟度等級。”

此外，第二篇為安全從業人員提供更多技術觀點的論文預計將在今年夏季發布。Zahavi表示，“將兩篇文章分開發布，是允許不同的組織和垂直行業有時間來開發可以與第二份技術文件一起發布的特定配置文件。”

這種新型物聯網安全成熟度模型(SMM)的目的，是為所有行業部門(無論個人安全需求如何)提供單一的物聯網安全成熟度模型，并將其與所有物聯網實施關聯起來，無論是家庭、辦公室還是工廠。工業互聯網聯盟的指導原則是開發一種適用于所有行業的新模式——涵蓋流程和技術，利用NIST和ISA-62443等現有框架而不是試圖去替代它們，簡單且可擴展，并且適合供所有現有的安全評估公司使用。

它從成熟度建模所需的三個主要維度開始：治理(Governance)、支持(Enablement)和強化(hardening)。每個維度包含不同的領域。

概括而言，它就是流程、技術和操作。

然后在兩個軸線上——“全面性”和“范圍”——對每個領域和實踐進行評估。Zahavi表示，“全面性”是關于將安全措施應用于維度、領域和實踐的深度和一致性的程度。其可以分為四個級別(如果加上“沒有”的話就是五個級別)：最小的;臨時性的(安全性往往是對被宣傳的事件或問題的反應);一致的(使用最佳做法和標準，可能是集中管理解決方案而不是現場解決方案);以及形式化的(包括一個定義明確的流程來管理一切，并隨著時間的推移將其持續改進)。

“范圍”被定義為適合行業或系統需求的程度。主要分為三個層次：一般(沒有具體評估與特定物聯網部門的相關性);行業特定(根據行業特定需求實施安全錯略-例如醫療保健行業可能與制造業不同);以及系統特定(安全實施與特定組織中特定系統的特定需求和風險保持一致)。Zahavi 評論道，對于系統特定的范圍，零售組織可能希望在其PoS傳感器和其供應鏈傳感器之間進行細化。

將不同實踐的“全面性”和“范圍”相結合，使得組織能夠在實際和目標級別，以及安全實施的細粒度級別上定義其物聯網安全成熟度。

成熟的目標水平幾乎是風險偏好的體現。這是一個業務功能，而不是安全功能。多年來，安全團隊一直盲目運營，以致業務和安全之間的溝通很少。現在，這種情況正在發生改變。工業數字化和運營技術(簡稱OT，物聯網設備的主要發源地)與信息技術的融合，以及隨后發生的將物聯網設備暴露于互聯網上，正在改變安全故障的底線。

信息的丟失可能會造成高昂的代價，并損害品牌信譽，而其對制造業造成的損失更可能是災難性的。針對工控系統攻擊的日益增長，以及攻擊對工業盈利造成的巨大影響已經引起了董事會的注意，董事會現在要求安全人員對其實施的物聯網安全措施是否能夠保障安全給出解釋。如今，通過使用工業互聯網聯盟發布的物聯網安全成熟度模型可以幫助更好地將安全性與業務優先級結合起來，并且有助于實現業務和安全的一致性。

工業互聯網聯盟建議稱，可以讓業務負責人指定成熟度目標，而安全團隊則進行當前的成熟度評估。兩個級別之間的差異可以通過差距分析來評估，從中可以制定彌合差距的路線圖。該路線圖的目標是讓任何所需的安全性增強，從而進行成熟度級別的重新評估以及流程的重復。

完成這一過程所需的一個輔助工具是成熟度模板。工業互聯網聯盟希望不同行業的不同公司開發和發布可供其他組織使用的高級 IIC SMM 成熟度模型。

IIC采用這種新型物聯網安全成熟度模型的意圖是增強而不是替代現有的安全框架。

他繼續說道，“‘我們正在做什么?’答案是，我們正在為其創造更高層次的成熟度，這一點在所有其他框架中都沒有得到滿足—我們正在強化現有的安全框架，而不是想要取代它。例如，我們并沒有建議特定的所需安全控制，而是映射SMM，而且我們將繼續這樣做(例如，NIST也是IIC成員)，將實踐和適當的成熟度等級映射到現有的框架和安全控制中。所以，其目的是，如果您擁有零售或醫療保健或制造業的配置文件，那么您應該能夠定位自己的行業領域，然后回到那些現有的框架中，以更狹窄的視角來看待您需要部署哪些機制和控制以在自己的領域實現自己公司的目標成熟度。”

IIC物聯網安全成熟度模型有助于企業利用現有的安全框架達到他們自己定義的物聯網安全成熟目標水平。