許多企業(yè)正在采用數字孿生模型來模擬其物理基礎設施中的活動和預測事件。然而，與許多技術項目一樣，安全性通常是事后才考慮的。然而，數字孿生可能受到大規(guī)模形式的惡意活動或數據泄露。

為了滿足與數字孿生相關的日益增長的需求，工業(yè)物聯網聯盟和數字孿生聯盟制定了一系列指導方針來解決數字孿生的安全問題。風險必須考慮到系統(tǒng)的各個方面，包括各種技術、治理和運營。

并非所有物聯網系統(tǒng)都需要相同強度的保護機制和相同的程序才能被視為“足夠安全”。相反，它旨在幫助企業(yè)決定其安全目標狀態(tài)應該是什么，以及當前狀態(tài)是什么。反復比較目標和當前狀態(tài)可以確定哪些地方可以進一步改進。

應對數字孿生安全問題的四個準備級別：

最低要求：安全實踐實施沒有任何保證活動。威脅模型是靜態(tài)的。孿生和資產有不同的威脅模型。企業(yè)使用現成的安全實踐，而不是為自己的需求、系統(tǒng)或企進行定制。

特別要求：實踐的需求包括主要用例和眾所周知的類似環(huán)境中的安全事件。這些需求增加了所考慮環(huán)境的準確性和粒度級別。保證措施支持對實踐實施的特別審查，以確保已知風險的基線緩解措施。為了保證這一點，可以應用通過成功的參考資料所學到的措施。威脅模型包含孿生對資產的影響，反之亦然。企業(yè)在使用數字孿生模型時考慮自身的風險，并分別考慮資產操作技術和數字孿生IT安全。

一致性要求：這些需求考慮最佳實踐、標準、法規(guī)、分類、軟件和其他工具。使用這些工具有助于建立一致的實踐部署的方法。實施的保證驗證了針對安全模式實現，設計時考慮到安全性開始和已知的保護方法和機制。這包括創(chuàng)建系統(tǒng)在體系結構和設計上都考慮了安全性設計定義默認值。威脅模型同時包含物理和虛擬。

也就是說，它們攻擊跨物理環(huán)境漏洞的威脅模型和虛擬。企業(yè)在使用自己的數據時，會考慮數據對其他企業(yè)的風險管理跨企業(yè)的訪問控制。企業(yè)考慮的相互關系不同的孿生，不同的供應商實現。

正式化要求：一個完善的過程形成實踐實施的基礎，提供持續(xù)的支持和安全增強。實施保障的重點是覆蓋安全需求，及時解決似乎威脅利益系統(tǒng)的問題。為了保證這一點，采用了一種更復雜的方法，使用半正式到正式的方法。威脅模型包括多個行業(yè)，即來自物理和虛擬或來自使用虛擬孿生系統(tǒng)的其他行業(yè)。

企業(yè)在設計其策略和程序時，不斷考慮對其他企業(yè)的安全合規(guī)性的影響。企業(yè)不斷更新與環(huán)境相關的安全合規(guī)性。企業(yè)定期審查有關自身資產、其他企業(yè)及其環(huán)境的安全政策和程序。

值得注意的是，網絡安全越先進，就越能解決實體和團隊之間相互作用、跨越企業(yè)邊界的復雜性。孿生可以被認為是系統(tǒng)的系統(tǒng)，無論是作為單個孿生和資產，還是幾個相互關聯的孿生和相應的資產。

對于孿生，特別是對于多個相互作用的孿生，當數字孿生在不同的國家，甚至當他們屬于不同行業(yè)的監(jiān)管范圍時，數據主權可能會發(fā)揮作用。

當涉及實物資產時，考慮到安全和其他問題，地方法律和條例的作用可能特別值得關注。當多個數字孿生一起使用時，多個企業(yè)的問題、不同的管理邊界、治理的變化和不同的技術也可能在評估安全成熟度方面發(fā)揮作用。