ENISA报告：物联网安全需求与现行标准差距分析

2019工业互联网峰会于2月21日在京召开，工业互联网作为新一代信息技术与制造业深度融合的产物，其安全保障引发广泛关注。此前，欧洲网络与信息安全局（ENISA）曾发布《物联网安全标准差距分析》（IoT Security Standards Gap Analysis），将物联网领域的安全和隐私要求对标现有标准，旨在确定潜在可改进领域以及进一步的发力点，以此确保物联网安全。

一、报告概述

2017年，ENISA为物联网应用定义了一套安全基线指南，旨在洞悉关键基础设施（CII）中的物联网安全需求，明晰关键设施与相关威胁的关系，评估潜在攻击，为保护物联网系统定义可行的优秀实践和安全举措。同年，ENISA还发布过报告“网络与信息安全（NIS）标准化的差距——在欧盟标准化政策中促进网络与信息安全的指南”。本次研究的任务是将物联网领域的安全和隐私需求对标已颁布的标准，明确差距，总体目标是希望为欧盟在网络与信息安全领域中，开发调适标准、促进标准应用及标准化治理等方面提供指引。

本研究尤为关注欧盟即将颁布的网络安全认证方案，该方案将是欧洲网络安全认证框架的一部分。目前该框架暂未通过，但预计2019年年底可完成。标准及技术规范构成认证的基础，因此迫切需要在安全评估模型、方法、技术及工具等方面的欧洲物联网标准，来补充物联网安全的现行举措、优秀实践和行业指引。

本次研究主要选择了如下组织和机构的标准或阶段性建议作为分析对象：

• 欧洲三大标准化组织：CEN、CENELEC和ETSI（主要是其中的网络安全技术委员会，即TC Cyber）；

• 国际标准化组织（ISO）/国际电工委员会（IEC）：联合技术委员会（JTC1）第27分委员会（IT安全技术组，即SC27）和第41分委员会（物联网及相关技术，即SC41）；

• 国际电信联盟电信标准化部门（ITU-T）:Y系列建议书，即“全球信息基础设施、互联网的协议问题和下一代网络”；

二、标准与安全需求之间差距的分析

安全需求以ENISA报告“关键信息基础设施环境中的物联网安全基线指南”为蓝本，在该报告中列出的需求已对应到现行的可识别标准，如果遵循标准将满足安全需求。

简化分析结果表明不存在明显的标准差距，亦即现有标准可以满足每项需求。虽然有着针对设备或服务中不同要素的安全标准，但在物联网中，人们往往说的是整个生态系统，而不局限于设备和服务。物联网的应用具有高可扩展性及其他特性要求，这类特性使安全问题更复杂，需要更通用和灵活的方法来保障安全性。因此，物联网设备安全标准的差距在于标准缺乏大局观。市面上的设备可能对用户进行身份验证、也可对其传输的数据进行加密、解密收到的数据，或者可验证数据的完整性，但仍然是不安全的。类似地，开发物联网产品或服务的厂商可能符合管理指南（如ISO-27000）中定义的开发流程，但仍然会提供不安全的产品。

监管机构和供应商共同面临的挑战是只向市场提供安全的物联网设备，由于物联网生态系统的动态性，因此需要采用有弹性的方法来适应。设想社会未来几年后的发展并预估届时所面临的威胁很难，可行的办法是对未来进行宽泛的假设，即ICT促进社会普遍连接，强化日常生活的便捷性，这必将要求ICT和网络更为安全。然而，未来几年的关注点势必远超出讨论安全技术的范围，因此本文中的多数建议还是关于加深对ICT技术社会性的理解，明了ICT，尤其是安全的ICT如何影响日常生活。

虽然物联网安全的检查清单及与特定标准进行对标，可大大促进物联网安全的总体有效性，还应谨记物联网生态系统的复杂性需要灵活的方法来应对。不仅只是用易适应的、基于环境及风险的解决方案来应对潜在的技术挑战，还应考虑物联网市场的约束因素，不应阻碍竞争和创新。

部分“设计即安全”安全需求与现行标准对应

部分“设计即隐私”安全需求与现行标准对应

部分“组织、人员和流程措施”安全需求与现行标准对应

三、认证事务的机遇

从市场角度来看，订立标准是为了实现：1）互操作性；2）信心。提到物联网，不应只考虑单个部件，考虑到设备、服务、人员、流程和数据的内在连接性和相互依赖性等，要求采用整体方法，因此，要全面地看待部件，而不只限于考虑应遵循哪些标准。标准可用于开发特定产品类型时设定技术规格，并为产品的安全评估提供框架，方法如下图所示：

作为代表性用例，主要讨论ISO / IEC 15408 IT安全评估这一国际标准，该标准被广泛认为是“通用准则”（Common Criteria，CC）。CC由3部分组成，包括：

• 第1部分：简介和一般模型

• 第2部分：安全功能要求

• 第3部分：安全保证要求

基于第1部分中讨论的安全模型，可以开发技术规范，在CC中，针对产品类型，称为“保护轮廓”（protection profiles，PP）；针对给定产品，称为“安全目标”（security target，ST）。此类规范包含根据CC第2部分中给出的正式分类法的安全需求，同时使用CC第3部分中给出的安全保证要求创建评估需求。

CC已经从PP / ST到cPPs（合作性保护轮廓，collaborative Protection Profiles）、再到通用准则小组提出的“直接理由”（Direct Rationale）方法的演变，为更广泛、更全面的安全观提供了框架，进而增强信心。“直接理由”方法是指为产品总体安全设定规格的方法，比传统方法更简洁，可用于物联网环境中设定完善的技术规范，亦即为用户信任此类产品符合安全需求而夯实基础和提供佐证。

基于通用准则的演化可推动市场对物联网安全的信心，建议ICT安全领域实施SDO，努力实现cPP，并最终达成“直接理由”cPP。对于开发标准的机遇就是，一方面标准可被验证，另一方面是作为安全保证在认证链中被引用。好处就是，只要遵循某一个妥善维护的标准，并且表里如一，就无需操心其他标准。

声明：本文来自赛博安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。