CSA 物联网安全控制框架指南(第二版）在线下载,免费下载

第二版 m o h t i g b u c . 5 云安全联盟物联网工作组官方网址： https://cloudsecurityalliance.org/working-groups/internet-of-things/ m o c . 5 b u h t i g @2022 云安全联盟大中华区-保留所有权利。本文档英文版本发布在云安全联盟官网（https://cloudsecurityalliance.org），中文版本发布在云安全联盟大中华区官网(http://www.c-csa.cn)。您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b) 本文内容不得篡改; (c)不得对本文进行转发散布; (d)不得删除文中商标、版权声明或其他声明。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟。 © 2022 云安全联盟大中华区版权所有 2 致谢本文档《CSA 物联网安全控制框架指南》第二版(CSA Guide to the IoT Security Controls Framework v2)由 CSA 物联网工作组专家编写，CSA 大中华区物联网工作组专家翻译并审校。中文版翻译专家： m o 组织者：余晓光贡献者：余晓光、刘宇馨、陈皓、姚凯、赵锐、何国锋、卢佐华、李腾飞、于继万、任永 c . 5 攀、薛伟佳、雷慧桃、刘洪森、姚博龙 b u 主要审核者：余晓光贡献单位：华为、奇安信、中国电信、浙江大华、启明星辰英文版原创作者： h t i g 发起人:Aaron Guzman、Michael Roza、Brian Russell 主要贡献者:Renu Bedi、Ramon Codina、 Umesh Jaiswal、Raj Sachdev、Ashish Vashishtha CSA 员工:Hillary Baron、AnnMarie Ulskey (Graphic Design) 在此感谢以上专家。如译文有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱：info@c-csa.cn; 云安全联盟 CSA 公众号 © 2022 云安全联盟大中华区版权所有 3 序言根据全球移动通信系统协会（GSMA）统计数据显示，2010～2020 年全球物联网设备数量高速增长，复合增长率达 19%。随着 5G 的大规模商用，以及云计算、AI 等不断地成熟和应用，万物物联成为全球网络未来发展的重要方向，在工业领域、智慧城市、车联网、智能家居、智慧穿戴等领域发挥重要作用。在一片物联网蓬勃发展的局面下，我们也不能忽视，物联网安全是物联网能够广泛应用的先决条件。随着越来越多的物联网终端接入到网络中，大量的数据接入点被添加到物联网系统中，这为企业的整体物联网安全防护提出严峻的挑战。因此 CSA 云安全联盟推出了物联网安全关键技术白皮书，旨 m o 在帮助广大的企业面对物联网的安全挑战时能够有所参考和依据，本白皮书的内容对于如何做好物联网的安全防护、安全检测有现实的参考作用。在使用中可以根据自己的实际情况进行适配。 c . 5 本次的编写工作由 CSA 大中华区物联网安全工作组共同完成，在工作过程中如有疏漏、错误等问题，还请读者及时指出。 b u h t i g 李雨航 Yale Li CSA 大中华区主席兼研究院院长 © 2022 云安全联盟大中华区版权所有 4 目录介绍................................................................................................................................................................................ 6 目标................................................................................................................................................................................ 6 目标受众........................................................................................................................................................................ 6 版本管理........................................................................................................................................................................ 6 如何使用 IoT 安全控制框架........................................................................................................................................ 8 安全控制目标(A、B、C、D、E、F 列)................................................................................................................ 8 IoT 系统风险影响等级（G、H、I 列）............................................................................................................. 10 控制指南补充（J、K 列）.................................................................................................................................. 11 m o 实施指南（L、M、N 列）.................................................................................................................................... 12 设备、网络、网关和云服务（O、P、Q、R）................................................................................................... 13 c . 5 其他参考资料.............................................................................................................................................................. 14 b u h t i g © 2022 云安全联盟大中华区版权所有 5 介绍物联网（IoT）市场随着工业领域在连接和自动化方面的进步在不断扩大。企业对物联网生成的数据和功能的依赖正在迅速增加，要求采用这些新技术的企业不断增多，这些企业组织需要规划可访问、安全和弹性的部署形式。鉴于互联技术的迅速革新和新威胁的持续出现，这些愿景具有很大挑战性。创建安全的物联网环境需要安全工程来解决特定风险，并采用适当的缓解措施。云安全联盟（CSA）物联网安全控制框架为希望更好的理解和实施其物联网体系结构中安全控制项的组织提供了一个起点。框架随附的本指南解释了企业组织如何使用该框架安全的评估和实施物联网系统。物联网安全控制框架用于部署各种互联设备和相关云服务、网络技术和应用软件的企业物联网系统。该框架在许多物联网领域都具有效用，从只处理影响力有限的“低价值”数据系统到支持关键服 m o 务的高敏感系统。系统所有者根据存储和处理的数据价值以及各种潜在的物理安全威胁影响对组件进行分类。 c . 5 该框架帮助用户确定适当的安全控制项，并将其分配给特定的体系架构组件，包括: • 设备 • 网络 • 网关 • 云服务 b u h t i g 在这个架构中，分配给每一层的控制项代表最佳情况的安全布局。在某些情况下，架构组件无法实现此框架中实现建议的某些控制项。在这种情况下，系统安全架构师应识别这些缺陷，并制定计划，使用替代措施降低剩余风险。目标物联网安全控制框架提供了一个工具，用于评估实施在贯穿开发生命周期的安全性，以确保他们符合行业指限定的最佳实践。目标受众物联网安全控制框架是系统架构师、开发人员和安全工程师的一个资源，用来设计安全的物联网生态系统。物联网系统评估人员（如审计师和渗透测试人员）可以利用该框架来验证控制及其部署的实施情况。版本管理  物联网安全控制框架第 1 版 © 2022 云安全联盟大中华区版权所有 6 引入了 155 个基本级别的安全控制措施，以减轻物联网系统在各种威胁环境中面临的许多风险。  物联网安全控制框架第 2 版改进了第 1 版框架，以便更好地将控制措施归类到一组全新的域中，并最大限度地减少了分配给物联网架构内的组件的控制措施。重要的变化包括开发了全新的域结构和基础设施，后面会予以解释。  • 更新的控制:为了保证技术清晰，所有的控制措施都经过了审核和更新。 • 全新的域结构:审查和更新了控制域，以更好地分类控制措施。 • 新的法律领域:引入相关的法律控制措施。 • 新的安全测试域:引入架构分配的安全测试。 • 简化基础设施分配:将设备类型合并到一个单一类别，简化对架构组件分配控制措施。 m o 未来的变更-第 3 版将包括以下值得注意的改进: c . 5 • 物联网框架的共享责任矩阵 •