在RIoT Control第六章摘錄中，作者Tyson Macaulay討論了物聯網的安全風險要求如何與安全要求相關。

以下是RIoT Control的摘錄：Tyson Macaulay的理解和管理風險和物聯網，由Elsevier / Morgan Kaufmann出版。 本章從第六章描述了物聯網中的安全風險要求以及它們與安全要求的關系。

Safety is not exactly the same as security

要求任何工業控制系統（ICS）工程師，無論企業IT安全標準和流程在其環境中是否有用，他/她很可能會說“部分但絕對不完全”。 ICS安全執業者多年來一直拒絕IT安全專家和標準的提出，聲稱ICS不一樣，具有不同的要求。

他們是對的他們是對的！從ICS和IT之間的早期遇到的經驗教訓現在擴展到物聯網 - 將兩種做法相結合：

ICS + IT = IoT

RIoT控制

嘗試總結一下：ICS和IT具有不同的性能和可靠性要求。 ICS特別使用可能被認為是非常規的IT支持人員的操作系統和應用程序。此外，安全和效率的目標有時可能與控制系統的設計和操作中的安全性相沖突（例如，要求密碼認證和授權不應妨礙或干擾ICS的緊急行動）。

在典型的IT系統中，數據的機密性和完整性通常是主要的關注點。對于ICS，人類或財產安全和容錯，以防止生命損失或危害公共衛生或信心，遵守法規，損失設備，知識產權損失或丟失或損壞的產品是主要關切。負責運營，保護和維護ICS的人員必須了解安全與安全之間的重要聯系。

在典型的IT系統中，與環境有著甚至沒有物理的交互作用。 ICS可以在物理過程中產生非常復雜的交互作用，并在物理事件中表現出ICS域中的后果。

安全作為物聯網要求還涉及系統行為的一個關鍵方面：保護無意的性質的熵（隨機）故障。

以下安全要求可能會與本書中其他要求相互重疊并相互依賴，但由于物聯網的安全性至關重要，因此，它們是值得獨立理解的。

性能

信息技術（IT）充滿了虛假的索賠性能，這將代表一個大的安全風險的物聯網。供應商的IT硬件和軟件都將發布有關性能指標，根本無法復制的索賠。這是很常見的；然而，行業已經學會通過貼現供應商要求適應這種慢性的夸張的性能要求（昂貴的）試驗和概念證明演示，一般在提供基礎設施。

客戶經常購買一個網絡設備，期望它將在1 Gbps的，例如，只發現，一旦他們配置它的方式，他們需要它的性能下降到一半甚至更少！同樣，組織投資軟件期望它會處理（再次，只是一個例子）每毫秒100次交易，只發現供應商的性能要求只支持非常具體的硬件配置，不適合客戶的環境。

在物聯網，其中的邏輯動力學/網絡物理接口占主導地位，性能將是有關的功能和指標，如：時間的關鍵性，延遲，或抖動-性能的可靠性，而一些與IT相關的指標，如最大吞吐量可能不重要。我們將在本節中討論這些性能指標。

在物聯網，端點，網關，網絡和云/數據中心元素的性能需要作為廣告的產品和服務供應商。

清晰的性能在產品和服務是物聯網的基本要求。當涉及到物聯網的性能，產品和服務供應商需要知道捏造數據或故意含糊的或欺騙性的驅動器不為人知的風險。

可靠性和一致性

ICS包括安全儀表系統（SIS），它們是高可靠性建立的硬化信息元素，與安全和可預測的失敗相關。這就是物聯網所需要的。

相反，來自企業網絡和數據中心（DC）環境的IT元素通常不是為了實現高可靠性而建立的;它們被集成到高可用性（HA）對和集群中。 HA是硬件和軟件可靠性的便宜替代品，因為假設即使可靠性差，大多數（或至少一半）元素在一個元素發生故障后仍將保持有效。

與高可用性和集群相關的IT設計規則不能很好地擴展到物聯網的更偏遠的部分，例如網關和端點，其中經濟（業務情況）不合理，并且基于安全技術無法部署服務依靠基礎設施加倍。

許多ICS過程本質上是連續的，因此必須是可靠的。控制工業過程的意外中斷系統是不可接受的。 ICS中斷通常必須提前幾天或幾周進行計劃和安排。徹底的部署前測試對于確保ICS的可靠性至關重要。

除了意外停電之外，許多控制系統都不能容易地停止和啟動，而不會影響生產和安全。在某些情況下，正在生產的產品或正在使用的設備比被傳送的信息更為重要。因此，由于對ICS的高可用性，可靠性和可維護性的要求的不利影響，使用典型的IT策略（例如重新啟動組件）通常是不可接受的解決方案。

與性能要求類似，物聯網的可靠性需要在可靠性方面提供更為重要和可靠的規范。在網絡和DC世界中常見的平均替代時間（MTTR）或平均故障時間（MTTF）的措施將需要向網絡邊緣擴展，其中設備不能部署在HA或聚類設計。

總的來說，物聯網的安全性將要求網關元件尤其是終端，在獨立性能方面變得更加可靠和一致。

無毒和生物兼容

很像今天關于電池，緊湊型熒光燈，汞恒溫器和消耗臭氧層空調裝置的關注點，物聯網的重大安全風險將與建立物聯網設備所用材料的影響有關。

在許多情況下，物聯網將關注注定要被吸收到環境中或嵌入到活組織和體內的裝置。例如，環境傳感器可能會部署在期望和業務假設之中，一旦停止工作，它們將被放置到位，以便簡單地衰減和消失。或者，當前的可穿戴技術的產生將不可避免地演變成將被更直接地放置在皮膚上較長時間段或將被嵌入的其他裝置。今天的植入物肯定會相互聯系，以便更好地監測，診斷和管理。

IoT設備需要考慮到環境安全性。由有毒物質制成的裝置可能會對其分配，使用和處理造成更嚴格的監管和監督，從而提高成本。

物聯網的安全性不僅與設備如何作用和響應命令有關，而且與其使用壽命期間和之后的操作環境有關。

使用更新的，特別開發的生物相容性材料啟動工程設備的需求可能意味著其他安全功能（如可靠性和可預測性）可能會受到損害，因為信息處理和計算的世界在物理應力方面非常苛刻。在建立物聯網端點時，向更環保，安全的材料轉移將絕對對這些設備的數據處理和管理保證產生影響，如果沒有其他原因，它將反映系統的變化。

理解與在物聯網中使用和采用新的安全材料相關的安全和風險取舍對于風險管理者至關重要。

可處理

與物聯網安全毒性問題相關的是安全和一次性的問題。當設備達到使用壽命，過時，不再需要或有缺陷，無法修復時會發生什么？從安全的角度來看，環境問題是明確的 - 但與一次性使用相關的安全和信息安全之間的聯系可能并不明顯。

在安全領域，硬件和軟件處理是一個很好理解的安全流程和要求。 IoT中的設備，系統和服務所有者必須確保在處理IoT設備的過程中銷毀信息，未授權的訪問不會授予個人或專有信息（操作系統，配置，設計等） 。發生了許多壯觀的信息安全漏洞，因為處理不善或缺乏行為。

在安全方面也存在處理問題，這將對物聯網安全和風險管理產生一定的影響。

一次性將影響物聯網中關于物聯網端點和邊緣設備的生物和環境毒性等元素的安全性。他們會毒害用戶嗎？一旦達到垃圾填埋場或焚化爐，數千或數百萬，或一旦它們已經退役但已經到位，無論是嵌入瀝青還是嵌入生命的肉，它們會變得危險嗎？

例如，在可能嵌入物體或人體的可穿戴設備或設備的情況下，會對機械和環境穩定的材料形成明確的要求，例如：

電池和能量收集和轉換部件

導體/導線

處理器和內存

絕緣子

包裝，住房和監控與控制界面

基材和功能材料

雖然安全可能規定使用某些材料和其他材料，但對信息安全的影響可能難以平衡。例如，信息處理或存儲部件的防篡改或防篡改可能需要不符合安全性和可處理性標準的材料！或者，一次性電池類型可能不支持信息安全的可用性要求和服務級別。

物聯網的安全和變更管理

變更管理對維護IT和IoT系統的安全至關重要，也適用于硬件和固件。每個信息安全學生都知道，修復漏洞和其他安全影響的缺陷所需的補丁管理是變更管理流程的主要懇求者。

未分配系統代表了IT系統最大的漏洞之一。 IT系統上的軟件更新（包括安全補丁）通常是基于旨在滿足合規（組織）要求的安全策略和過程及時應用的。這些程序通常在企業IT中自動化，使用基于服務器的工具和自動更新過程。

然而，物聯網中的軟件更新無法始終在自動化的基礎上實施。在物聯網中，每個軟件更新可能具有與之相關的安全關鍵依賴性，無論是否與修補后的停機時間或物聯網系統的基本穩定性和性能相關聯。 IoT更新將需要由潛在的多個利益相關者（如各種設備，應用程序和服務供應商）以及應用程序的用戶進行徹底測試和批準。

作為整體的物聯網系統也可能需要重新驗證和認證，作為服務水平協議（SLA）的一部分，以及與政府或銀行等高度保證客戶的合同中規定的合規流程。

來自IT的變更管理過程可能是物聯網變更管理的基礎，但批發采用是不適當的，這種做法將代表物聯網系統或服務的風險。

泰森·麥考利（Tyson Macaulay）是首席技術官兼首席安全策略顧問，在安全行業有超過20年的經驗，以及Fortinet，Intel和Bell Canada等公司的經驗。總部位于加利福尼亞州桑尼維爾，他還是1993年以來的研究員，書籍，期刊出版物和專利。泰森通過國際標準組織（ISO）和安大略省專業工程師支持開發工程和安全標準。他的專長是電信級安全設計，企業風險管理，技術風險管理，安全架構，安全方法，安全審計與合規，安全計劃制定和治理，國際標準制定，物聯網（IoT）和國際安全標準。