想存就存,摆脱内存不足困扰!iQOO 7带来全新8GB+256GB版本摩飞榨汁杯又升级了!这次是榨汁、打气二合一的气泡果汁杯这届年轻人流行“弹幕聊天” 打开弹幕的《小舍得》成了教育反思的一面镜子想做乘风破浪的潮流运动达人?先来京东一站式购齐装备这届年轻人流行“弹幕聊天” 打开弹幕的《小舍得》成了教育反思的一面镜子夯实西安高新区企业基本功 清科创业学院打造“企业财税必修课”难以抵挡糖的诱惑,但这些关于糖的知识你应该知道摩飞气泡果汁杯新品上市 让你随时随地实现“汽水自由”德国莫勒手表助力万表414手表节火热启动,低价秒杀竟然比双十一还划算?国美“买遍中国”重庆直播间好物揭秘 精品家电掀起低价风我是戴小乐|想花掉老板1000万,该怎么跟他谈?谁才是年轻潮流运动家?京东这些潮流运动装备给你不一样的体验极米H3S、大眼橙X11、当贝X3、坚果O1,投影新品推荐,最近新机有点多MAXHUB新品发布会重磅发布多个“首创”:用智慧协作平台定义未来Insta360推出的第一代小巧体积GO相机魅族十八,一场艰难的成人礼洪记大石头与ZEEKR 001“极氪”出发!共创智能出行新生活山东科技创新大会召开,海信7个项目获奖和硕将在德克萨斯州建厂 为特斯拉提供零部件荣耀商城 X 爱回收 以旧换新全新上线 最高补贴1888元!
  • 首页 > 产业频道 > 网络安全

    腾讯安全正式发布《IoT安全能力图谱》

    2021年04月07日 13:13:48   来源:中文科技资讯

      IoT技术,正在融合物理和数字世界的边界。

      近年来,智能家居、智慧城市、工业互联网、智慧医疗等领域快速发展。IoT技术以联结为基础、数据作核心,在提升公众生活质量、增加企业生产效率、优化政府公共管理等场景中实现了突破性的价值创造,逐步成为新时代不可或缺的基础设施。

      但技术和安全永远是一体两面。任何新技术的应用,都不可避免地会带来全新的安全风险和挑战。IoT技术也不例外,由之带来的安全风险亦呈现出全新特征:

      1.IoT的攻击难度更低:攻击者可以从分布式的物联网终端获得更多的攻击入口和对象。

      2.IoT的防守成本更高:物联终端因其功耗和计算能力限制,往往难以直接应用现有的防御技术。

      3.IoT攻击的危害更大:物理和数字的融合,使得恶意攻击者能够真正给物理世界带来更巨大的破坏。

      对企业的安全管理者来说,在业务快速拥抱IoT技术变革的时代,如何使其安全能力快速匹配新业务场景,延续有效的安全控制水平,正在成为其核心的目标和关注点。

      腾讯安全专家咨询中心,结合IoT相关标准和国内外IoT**佳实践,针对企业如何构建IoT安全能力体系,发布整体能力清单和指导框架,绘制成通用性的IoT安全能力图谱,旨在帮助企业面向万物互联时代进行安全能力转型和升级。

    图片3.jpg

      关注腾讯安全(公众号:TXAQ2019)

      回复【IoT安全能力图谱】获取原图

      腾讯IoT安全能力图谱提出了六大能力:IoT安全治理能力、信任链构建能力、价值链保护能力、IoT系统“管边端”安全管控能力、IoT系统生命周期管理能力、IoT系统安全运营能力。

      IoT安全治理能力,是高阶的风险治理能力和组织、流程保障机制,以建立对IoT风险的有效分析、评价、处置和监控能力。

      贯穿“云管边端”的信任链构建能力和贯穿数据生命周期的价值链保护能力,主要强调从全局视角,在IoT系统各能力组件和参与方之间,建立起可信的网络和业务联结,并基于其核心业务价值保护,对IoT系统采集和处理数据建立完整的全生命周期管控能力,这两个能力的构建需要充分打通IT和OT技术的边界,从企业治理视角进行综合考量。

      IoT系统“管边端”安全管控能力,聚焦IoT技术不同于传统IT技术的特点,针对其“管边端”业务场景特点给出了针对性的控制能力特化要求。

      IoT系统生命周期管理能力和IoT系统安全运营能力,定位于对IoT安全治理要求和上述三项能力在IoT系统建设中的有效执行落地、以及运营过程中的持续监控和处置。

      一、IoT安全治理能力

      任何信息安全治理能力的核心,都是对风险的有效识别和持续管控,IoT安全同样并不例外。该能力构建的重点在于建立企业层面针对IoT风险的管控体系,并匹配相应的组织、人员、流程和监督保障。这些能力的构建,是独立于特定IoT系统的,但却是做好特定系统IoT安全所必不可少的基础支撑。

      此外,IoT安全治理能力无需独立于IT安全治理,其高阶风险管理、方针政策均应保持统一,但在规范与流程层面,则应建立基于各自业务特点的差异化要求和融合支撑机制。

      二、贯穿“云管边端”的信任链构建能力

      以联结为基础的IoT系统,往往涉及了云、管、边、端、人之间复杂和灵活的业务交互场景,且其核心能力的构建,很多情况下还需要与其他IoT系统或第三方之间建立更多业务和数据交互。这些复杂联结关系和业务逻辑,是恶意攻击者**关注的对象,仿冒、控制、窃密、篡改等等手段不一而足。

      所以,通过有效的身份治理、可信计算、认证鉴权和AI行为分析能力构建的贯穿“云管边端”信任链,就必然成为IoT安全的**核心能力要求,只有确保可以信赖IoT系统的各个能力组件和服务,其上构建的复杂业务才能够获得基础的安全保障。

      三、贯穿数据生命周期的价值链保护能力

      IoT系统的核心价值创造,高度依赖于数字化联结之上的信息和数据采集、传输、分析和处置,而这也是另一个被恶意攻击者密切关注的对象。对核心业务价值的保护,离不开基于业务场景的数据资产梳理和数据流分析。只有清楚确定了保护对象,以及基于数据流分析所识别的安全与合规风险,才能有效保障这些数据及其承载的业务。

      价值链保护能力围绕数据生命周期,并重点关注CII和PII数据合规,从IoT系统设计阶段,就应将安全与合规的要求整合到业务和场景当中,而不是依赖后加的数据安全产品来提供相应的保护。

      四、IoT系统“管边端”安全管控能力

      IoT系统“管边端”安全管控能力聚焦于IoT系统不同于传统IT系统的特点,对其散布在非可控空间的端侧和管道侧组件,提出针对性的能力要求。不同于前两点的全局性能力,IoT系统“管边端”安全管控能力往往内嵌在IoT终端或网络服务供应商的产品解决方案中。

      对于企业管理者来说,更重要能力的是基于实际IoT业务场景的安全风险,参照本图谱建议评估厂商方案的完备性。中长期来看,IoT安全能力体系的建设中,可以由监管和测评机构建立对IoT系统“管边端”安全管控能力的评价和背书,以降低企业安全管理者在具体技术细节评估层面的投入。

      五、IoT系统生命周期管理能力

      IoT系统生命周期管理能力是一项过程能力,它强调的是安全管理者应该在IoT系统设计、建设、使用和废弃的全生命周期中,建立持续的安全风险识别、跟踪和处置能力。

      特别是在系统设计和建设阶段,充分将安全控制措施内建在IoT系统自身逻辑中,而不过分依赖外加的安全产品。此外,多数IoT系统冗长和复杂的上下游生态和供应链,则提出了更严格的供应链安全管理能力要求。

      六、IoT系统安全运营能力

      与治理能力类似,IoT系统安全运营能力同样不隶属于特定的IoT系统,且同样建议和IT运营能力同步建设,是上述其他安全能力有效和持续运作的基础支撑,重要程度不容忽视。

      IoT系统安全运营能力中,除了基础的安全运营监测、威胁与脆弱性管理外,非常重要的一个特点是,应特别关注对核心业务的隔离与保护能力,避免信息安全事件延伸到重大人身、生产和国家安全事件。

      出品人:

      腾讯安全专家咨询中心——吕一平、陈颢明、曹静、田立、张康、朱新新、董林楠

      腾讯安全IoT安全沙龙参会专家——柯皓仁、林志泳、苏洪江、李津、谭艺、吴鹏、乔冠霖、孙雪莱、周智坚、张金池、罗科峰、杨祥骏、陈凯、傅鹏君、孙强、李锋、孙晓奇、陈贤平、张富川、庞健荣(排名不分先后)

      欢迎业内技术专家加入腾讯IoT技术讨论群,共同探讨IoT能力和技术实践。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

    [编号: S099]
    分享到微信

    推荐

    科技、家电巨头混战AIoT:谁是未来十年的新入口

    在5G时代的召唤下,传统家电企业、互联网科技公司纷纷布局智能家居,打造家电AIoT生态。2022年中国AIoT市场规模预计将超过7500亿元。

    新闻

    机器人创造恐惧,人类会丢掉地球主导权吗?

    在一些电影以及模拟的视频中,我们常常能看到“机器人举着机关枪或者火箭筒向人类开火”的镜头,但在现实世界,这些都尚未发生。

    互联网+

    企业纷纷盯上“成套智慧家电”,这会是一片新蓝海吗

    而这样的最终走向,也将给家电企业带来更大的协同挑战,是从理念到技术到产品到服务的“综合素质”考验,这是比过去单品时代更严峻的挑战,当然,也意味着全新的竞争机会。

    融合

    前方到站,虚拟现实

    如果说人类正面临着多种未来的可能,那么在一个共同的想象里,VR和AR必然是建构起未来的钢筋水泥。而想要催生出范式转移下的新兴市场业态,技术永远要走在厚积薄发的道路上。

    创投

    又一巨无霸奔赴IPO:两位大学室友合伙,做出2000亿估

    美国当地时间11月16日,全球民宿短租公寓预订平台Airbnb正式向纳斯达克提交了招股书。