工業網際網路聯盟(Industrial Internet Consortium,IIC)公佈了工業物聯網(industrial Internet of Things,IIoT)安全性架構(Security Framework),該架構是IIC去年公佈之IIoT參考架構(Reference Architecture)的附屬,旨在推動一個過程,讓產業界對於如何保障IIoT系統安全達成共識。IIC的目標是確保安全性成為IIoT系統架構的基礎元素,而不只是簡單地綁在一起,並涵蓋包括終端裝置以及系統元件之間連結的整個IIoT系統。

IIC是一個開放性組織,在2014年成立,目標是加速具備智慧分析功能的互連工業設備/裝置的開發、採用以及普及;該聯盟創始成員包括AT&T、Cisco、General Electric、IBM與Intel,目前成員數已經超過160家,來自24個國家。目前聯盟事務由標準組織Object Management Group負責管理。

「安全性架構由三個不同的角度來看IIoT的安全性,」IIC安全性工作小組主席Hamed Soroush接受EE Times訪問時表示:「晶片製造商、設備開發商以及終端使用者都在IIoT安全性上面扮演重要角色,但往往在不了解彼此觀點的情況下行事;」他表示,該架構將有助於三方對話,此外也為IIoT安全性提供指南已進行風險管理。

Soroush解釋,IIC建立該架構的動機之一,是考量到工業物聯網與消費性物聯網的需求差異,呼籲產業界應針對工業物聯網需求進行討論,因為工業物聯網的安全性需要比消費性物聯網更強韌,才能降低例如發電廠等關鍵基礎設施所面臨的風險;此外,不同於消費性系統,IIoT的安全性需要支援長達十年以上的佈署時間(會影響到修補軟體程式的管理),以保持高度使用系統的完整性,並避免與運作安全性需求相衝突。

Soroush指出,該架構建立了一個討論如何因應IIoT需求之討論的基礎,還定義了與現有標準與最佳實作相關的附錄,以做為開發者的指南;此外,該架構提供了安全性(security)、隱私權(privacy)、復原力(resilience)、可靠度(reliability)防護性(safety)五大特性的細節,有助於定義在IIoT中重疊的IT與OT (Operational Technology)系統,以及風險、評估、威脅、評量與性能指標等,有助於企業管理與保護旗下組織。

IIoT安全性架構目前是第一版,IIC預期該架構將隨著時間持續演進;Soroush 表示:「我們已經討論到下一版本的需求,例如對關鍵點的更進一步闡述,不過得根據來自使用者的回饋;」他也指出,技術、標準、法規以及安全性威脅等領域是持續變動的,那些改變也將會影響未來該架構的後續版本。

該架構版本的修訂將包含來自於測試平台架構的運作經驗,以觀察在不同應用類別中的實際狀況;Soroush表示:「IIC與其他組織的差異之一,就是擁有評估建議規格實作的測試平台;」該聯盟已經有不少評估IIoT設計的測試平台,應用包括智慧供水管理、精密計時網路、連網醫療照護、終端智慧等:「該架構將為安全系統的測試平台建立者提供指南,並為架構的後續版本提供回饋。」

目前該IIoT安全性架構以PDF檔案的形式(參考連結)提供有興趣的各方人士參閱,不限於IIC成員。

編譯:Judith Cheng

(參考原文: Consortium Forms Framework for Industrial Cybersecurity,by Rich Quinnell)