指南为IOT网络安全提供了模板
文章:Richard Quinnell
这些指南形成了一个非常好的模板,用于改善任何IOT设计中的网络安全。
2020年12月下旬,美国创造了一项新法律要求国家标准和技术研究所(NIST)创建在向美国政府销售的内部设备设备中实施网络安全的准则。现在可以使用涉及流程的文件,许多文件的文件。最近完成了文件草案的公众评论阶段意味着NIST指南将很快成为因目的开发人员寻求销售到联邦市场的要求。
概述文档 -NIST特刊800-213,联邦政府的IOT设备网络安全指导- 提供帮助联邦机构的背景和建议考虑他们寻求利用的IOT设备如何集成到其信息系统中。该文档在组织和系统风险管理的背景下提供了IOT设备及其对安全控制的支持,提供了根据设备视角考虑系统安全性的指导。目标是识别设备网络安全要求的机构,他们应该期望的设备和制造商或第三方的能力和行动,即他们的系统需要确保适当的安全功能。
SP 800-213提供的指导提供从定义的框架开始NISTIR 8259,IOT设备制造商的基础网络安全活动从5月2020年5月开始提供的.NISTIR 8259描述了六个推荐的活动,制造商应考虑执行以改进其新的IOT设备的基础网络安全。如图所示图1,这些活动构成了制造商在开始设备开发之前应执行的决定和行动的一部分,以及他们应该在设备销售后计划执行的活动。
图1NIST建议IOT开发人员在将其设备销售到联邦市场之前履行这六项活动。来源:NIST
作为NISTIR 8259中概述的活动的改进,NIST创建了四份额外的文件,为执行六项活动提供更全面的指导。前两个,NISTIR 8259A,IOT设备网络安全能力核心基线和草案Nistir 8259B,IOT非技术支持能力核心基线,形成一个互补的对,在技术(设备)和非技术(支持)要求上进行阐述。Nistir 8259A提供了设备的网络安全核心基线,而Nistir 8259B详细介绍了通常需要制造商和相关的第三方的活动,例如文档,培训,客户反馈等。
第三个文件,草稿Nistir 8259C,使用IoT核心基线和非技术基准创建配置文件,描述了一种由任何组织可用的过程,用于开发适合特定物联网设备客户或应用程序的IOT网络安全配置文件。从Nistir 8259a和8259b提供的核心基线开始,本文档介绍了如何将这些基线与特定于组织或应用程序特定要求集成,参考NIST特刊800-53修订版5,信息系统和组织的安全和隐私控制。Nistir 8259C帮助指导组织创建一个详细的设备和支持功能,这些设备和支持功能响应特定部门的问题,并通过寻求采购IOT技术的组织和寻求将其产品与客户要求相匹配的组织可以使用。
第四个文件,NISTIR 8259D草案,概况使用联邦政府的IOT核心基线和非技术基准,显示在联邦政府客户空间中应用NISTIR 8259C过程的结果。此联邦简介提供了联邦用例中最小的物联网设备安全功能的标准的示例。具有需求的组织此配置文件不会解决,可以在SP 800-213中应用指南,以清楚地定义自己的安全要求,然后执行Nistir 8259c中描述的进程来开发IoT网络安全要求配置文件。
过程参考的文件之一NIST的IOT网络安全功能目录。这是IoT设备可能需要拥有的各种功能的定义列表。与8259捆绑包中的其他文档一样,它将这些能力分为技术和非技术元素。例如,技术元素包括设备识别,设备配置和数据保护功能,而非技术元素包括文档,客户教育和提供设备网络安全状态信息。
文件全部挂在一起如图所示图2.。他们组合在一起,为开发商及其客户在美国政府内实施的综合指南,即对联邦申请实施合适的物联网网络安全。但是,虽然,指导可以应用于联邦市场之外的应用。对于许多组织而言,避免拥有物联网部署损害信息安全性的需要与政府项目一样敏锐。
图2.NIST提供了一套完整的指导原则,用于定义要求,以确保IOT设备部署中的网络安全。来源:NIST
如上所述,许多这些文件仍处于草案表格中,但他们现在已完成其公众评论阶段,并正在为最终版本准备作为完整的NIST互动报告。通过最终版本,他们将成为IOT网络安全的官方指导方针2020年的IOT网络安全法必需的。这仍可能需要更多几个月的修订和批准,但基本框架应保持完整。寻求将其IOT设备销售到美国政府市场的开发人员可能希望开始熟悉SP 800-213中定义的流程,但即使是那些未定位联邦市场的过程可能希望研究这些指导方针。它们形成了一个非常好的模板,用于改善任何物联网设计中的网络安全。
本文最初发布edn.。
丰富的Quinnell.是一个退休的工程师和作家,以及Edn的前任主编。
相关文章: