物联网安全控制框架指南

©2019云安全联盟–版权所有 遵循下列要求，你可以下载、存储、显示在你的电脑上、浏览、打印并链接到云安全联盟网站https://cloudsecurityalliance.org：(a)该草案仅为个人使用、供参考、不用于商业用途；(b)该草案不得以任何方式修改或改变；(c)该草案不得分发；以及(d)不得删除商标、版权或其他通知。根据美国版权法合理使用的条款，在承认引用的部分属于云安全联盟的前提下，你可以引用的该草案的部分内容。 物联网安全控制 框架指南 致谢 发起人: BrianRussellMichaelRoza 关键贡献者: HillaryBaronLucianoFerrariAaronGuzmanAnkurGargiSabriKhemissa DouglasMcdormanToddNelson EricPalmer J.R.SantosTheodorosStergiouSrinivasTatipamulaJohnYeoh CSA大中华区专家翻译： 余晓光、何国锋、刘德林、薛永刚、郭鹏程、吕浩、刘宇馨、乔思远、姚凯、刘洪森、石新美、张振国 C-CSA工作人员： 史晓婧、胡锦涵 关于CSA物联网工作组： 设备互联和赛博物理系统在企业环境中变得越来越普遍。随着云端环境的扩展到包含这些技术，万物互联的世界依赖于通过设备来管理、编排和同步数据。CSA物联网工作组开发框架、流程和最知名的方法来保护这些连接的系统。物联网工作组致力于研究的专题包括数据隐私、雾计算、智慧城市等。从这里了解更多。 序言 云安全联盟CSA已经成立了十年，过去的十年是云计算从萌芽到茁壮成长的时代，CSA通过云安全指南和云控制矩阵等重要安全白皮书引领业界在技术，标准，认证等方面发展。未来的十年，物联网设备将使连接各种云平台的终端增长数十倍达到上千亿台，可以说下个十年是物联网时代，安全将受到更大的挑战，物联网安全威胁从数字世界延伸到物理世界，危及人身安全。在这项新兴技术和新兴威胁来临之际，CSAIoT工作组通过前瞻性的研究取得了多项成果，发布过《物联网安全指南》，《用区块链技术保障物联网》等内容，这次CSA物联网工作组发布《物联网控制框架》及《物联网安全控制框架指南》，它在物联网时代的重要意义相当于云计算时代的云控制矩阵，将成为业界的物联网系统设计、部署、检测基石，有望再次被誉为CSA贡献的安全黄金标准。 在此，感谢CSA大中华区研究院与C-CSA专家委员会的专家们及时地把白皮书翻译成中文，供大家学习。 李雨航YaleLi云安全联盟大中华区主席 中国云安全与新兴技术安全创新联盟执行理事 术语 原文 翻译 access 访问 edgedevice 边缘设备 Administrator 管理员 encrytion 加密 assessment 评估 firmware 固件 audit 审计 firmwareimage 固件镜像 auditlog 审计日志 fog 雾 Authenticate 认证 forward-secrecy 前向安全性 authorize 授权 Framework 框架 authorizedroles 授权角色 gateway 网关 availability 可用性 governance 治理 baselines 基线 Identify 识别 Certificate 证书 integrity 一致性/完整性 certificaterevocation证书撤销cloud云 Component组件compromised受损的confidentiality保密性configuration配置 credential身份凭据dataclassification数据分类datatype数据类型 datavalue数据价值 IoTdevice物联网设备 IoTsystem物联网系统keyderivation密钥派生keylifetime密钥周期keymanagement密钥管理keyupdate密钥升级 Keys密钥 levelofcontrol控制水平maliciouscode恶意代码organization组织 minimumaccesssecurity最低安全要求 password密码 patch补丁 policies策略 privilege特权 Procedure过程/程序/步骤 process处理remoteaccess远程访问risk风险 riskimpact风险影响 RTOS实时操作系统 securitylog安全日志 sensitivity敏感性 service服务 signature签名 tamper篡改 thirdparty第三方 thirdpartycomponent第三方组件thirdpartylibrary第三方库trustedmode可信模式unauthorizedactors/users非法用户validate验证 zeroizate归零化 OpertionalCertificates操作 目录 致谢目录序言 内容介绍 目标读者版本控制 如何使用CSA物联网安全控制框架 安全控制目标（参照A,B,C,D列） 物联网系统风险影响分级（E,F,G列）控制指南的补充项（H,I列） 实施指南（J,K,L列） 安全控制措施类型（J列）控制措施的实现（K列） 控制措施的实现频率（L列） 边缘计算，雾计算和云计算物联网系统组件（M列到S列）边缘侧的组件（M,N,Q列） 网络侧组件（P,Q,R列）云端组件（S列） 其他资源 简介 《云安全联盟(CSA)物联网(IoT)安全控制指南》提供了CSA物联网安全控制框架的使用指导。本指南用于指导您如何使用框架对您的组织进行IoT系统的评估和实施。欧洲网络与信息安全署 （ENISA）1将物联网系统定义为“互联传感器和执行器的赛博物理生态系统，可实现智能决策。" 物联网安全控制框架与企业物联网系统相关，包括多种接入设备、云服务和网络技术。无论是处理只有有限影响潜力的“低价值”数据还是支持关键业务的高度敏感系统。该框架在许多物联网领域有实用价值，从系系统的划分是由系统所有者根据存储和处理的数据的价值以及各种物理安全威胁的潜在影响而分配的。 该框架帮助用户识别合适的安全控制，并将其分配给其物联网系统中的特定组件，包括但不限于以下组件： •简单传感器 •简易执行器 •边缘设备 •雾计算 •移动设备/应用 •前置中间设备 •云网关 •云应用/服务 目标读者 设计和开发人员经常被要求创建安全的物联网系统，或者对其它物联网系统进行评估。物联网安全控制框架是为这些设计人员和开发人员所提供的资源。设计人员和开发人员可以使用这个工具，在整个物联网系统实施开发的周期中不断评估实现的安全性。通过对物联网系统的整体评估，确保物联网系统满足业界最佳实践。 版本 物联网安全控制框架的第一版引入了基础级别的安全控制，以减轻在一系列威胁环境中运行的物联网系统所带来的诸多风险。CSA对本框架后续版本的计划包括开发适用的测试指导以及其他领先的物联网安全组织同步业界最佳实践。 1https://www.enisa.europa.eu/news/enisa-news/defining-and-securing-the-internet-of-things/ 自动化 K 过滤影响级别 EF G 实施控制 确定可用性和影响级别 L 确定频率 根据系统进行定制 MNO PQRS 确定机密性和影响级别 检查FIPS199/200 确定完整性和影响级别 CSA物联网安全控制矩阵流程 如何使用CSA 物联网安全控制框架 图一详细说明了CSA物联网安全控制框架的用户在评估并实施其特定环境的安全控制时应遵循的流程。此插图中的圆圈字母与框架(电子表格)中的列相对应。 安全控制的目标 (A,B,C,D列) 控制域 控制ID 云控制矩阵标识 控制域(A列):对D列（控制规范）中详细描述的个人安全控制根据逻辑进行分组，每一个相应的控制规范的名称在控制领域的类别下面用斜体字标示。 控制ID(B列):特定安全控制的官方标识、关联的字母和编号（例如“RSM-01”）允许控制项在其他地方通过控制项在框架中的位置进行引用。 CCMID(C列):框架中的安全控制在此列中被关联或映射到CSA云控制矩阵(CCM)中的标识符。当IoT安全控制被派生或链接到一个CCM控制时，就会识别一个或多个条目。关联控制涉及到对每个框架中控制规范的部分覆盖或完全覆盖。 控制规格范(D列)：规范作为应对物联网特定风险区域的消除措施或应对措施。从可用性出发，为了应对特有的物联网环境，每个控制措施被分解成一个简化的动作。 物联网系统风险影响级别 (E,F,G列) 物联网系统风险影响水平 机密性 完整性 可用性 E到G列:允许用户根据特定环境制定安全控制措施。用户制定安全控制措施时，应参照美国商务部的两个标准：“联邦信息和信息系统安全分类标准”（FIPS199）和“联邦信息和信息系统的最低安全要求” （FIPS200）这两个标准2。FIPS199和200将风险影响级别分为低、中或高三个等级： 机密性（E列）：物联网系统中的某些数据，如个人隐私信息和专有信息，需要通过各种安全控制进行访问控制，保证适当的机密性。评估物联网系统组成部分的机密性风险，需要评估该系统数据被公开或被攻击者破坏时可能会产生的影响（低、中或高）。 完整性（F列）：为保护数据完整性，企业必须防止对数据进行不正确的修改或破坏，并确保信息真实性。评估物联网系统不同组成部分的完整性风险，需要评估流经系统的数据被破坏或不当修改后的影响（低、中或高）。 可用性（G列）：评估系统中需实时可靠访问信息的可用性程度，需要评估系统如果无法运行时的的潜在风险。 评估有关系统数据的机密性，完整性和可用性采用低中高三个等级，请参阅FIPS199第6页的表1：“对安全目标的潜在影响的定义”。 确定这些风险影响级别后，可以使用IoT安全控制框架来确定需要在环境中实施的所需安全控制措施。 2FIPS199：“联邦信息和信息系统安全分类标准”，联邦信息处理标准出版物，计算机安全部，美国商务部;2004年2月.https：//nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.199.pdf FIPS200：“联邦信息和信息系统的最低安全要求”，联邦信息处理标准出版物，计算机安全部，美国商务部;2006年3月.https：//nvl-pubs.nist.gov/nistpubs/FIPS/NIST.FIPS.200.pdf 注意，当影响级别为高时，必须应用所有的安全控制，包括针对低、中和高风险级别的安全控制措施在内的所有安全控制措施。当影响级别为中等时，需要采用所有针对中和低风险级别的安全控制措施。 以下是三个影响级别和对应安全控制措施的示例。 安全风险类型 风险影响级别 必要安全控制 机密性 高 高、中、低 完整性 中 中、低 可用性 低 低 补充控制措施指导 （H列，I列） 补充控制指南 附件说明 引用/解释 附加说明（H列）：在物联网安全控制框架中评估或实施任何单个安全协议时，请务必查看该项详细说明特殊要求的补充信息，术语解释，相关操作提示等的补充信息。 参考文献/解释（I列）：本列提供包括官方出版物，法规信息以及便于完全理解控制规范所需的其他参考资料的相关专业来源的信息。 实施指南 （J，K，L列） 实施指南 安全控制类型 控制实施 控制频率 如果为企业实施安全计划，请使用“实施指南框架”中的部分来帮助确定企业特有环境所需的控制类型（J列）;该组织将如何实施控制措施（K列）;以及每种安全控制措施的必要频度（L列）。 安全控制措施的类型（J列） 物联网框架中的安全控制措施根据何时、何地以及措施如何提高安全性分为三种类型。 预防性措施：可以阻止某些安全事件的发生，例如通过锁门或使用更高