智能建筑安全：超越訪問控制

　　許多現(xiàn)代建筑都經(jīng)過精心設(shè)計(jì)，旨在保護(hù)居住者免受人身傷害，但對可能損害其無形資產(chǎn)的數(shù)字入侵的防范卻遠(yuǎn)遠(yuǎn)不夠。即使網(wǎng)絡(luò)防御到位，但通常也只是針對個(gè)人電腦和服務(wù)器，而不是將建筑變成“智能建筑”的物聯(lián)網(wǎng)終端和傳統(tǒng)控制系統(tǒng)。

　　需要圍繞網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施展開更深入的討論，以防止廣泛報(bào)道的網(wǎng)絡(luò)事件增加，例如零售商Target數(shù)據(jù)泄露和臭名昭著的賭場魚缸攻擊。討論的一部分首先要認(rèn)識到保護(hù)現(xiàn)代建筑中各種互連系統(tǒng)的安全是一項(xiàng)非常現(xiàn)實(shí)的挑戰(zhàn)。因此，安全I(xiàn)P和工具開發(fā)商Veridify創(chuàng)建了設(shè)備所有權(quán)管理和注冊(DOME)平臺，以提供全面的安全解決方案來解決建筑物面臨的一系列挑戰(zhàn)。

　　智能建筑安全： BITW技術(shù)

　　保護(hù)具有數(shù)千個(gè)潛在易受攻擊的邊緣設(shè)備的建筑物范圍內(nèi)的異構(gòu)網(wǎng)絡(luò)的任務(wù)非常艱巨，甚至幾乎不可能。提供電梯、照明、消防監(jiān)控和暖通空調(diào)設(shè)備的不同供應(yīng)商都有自己的系統(tǒng)。

　　添加目前在許多企業(yè)部署的專用物聯(lián)網(wǎng)平臺，就可擁有廣泛的資產(chǎn)，每個(gè)資產(chǎn)都有自己的標(biāo)準(zhǔn)、通信協(xié)議和支持的功能。

　　當(dāng)然，不同系統(tǒng)和設(shè)備的數(shù)量越多，為每個(gè)系統(tǒng)和設(shè)備實(shí)施獨(dú)特的安全措施就越不切實(shí)際。一種替代方案是使用單一安全毯來覆蓋智能建筑中的所有連接系統(tǒng)。在這種情況下，可以在制造時(shí)將能夠在系統(tǒng)和安全即服務(wù)(SaaS)解決方案之間建立安全通信隧道的小型軟件代理加載到設(shè)備上。

　　不幸的是，智能建筑中的大多數(shù)聯(lián)網(wǎng)安全系統(tǒng)在建筑變得“智能”之前就已存在。這意味著這樣的代理可能必須單獨(dú)添加到每個(gè)系統(tǒng)中，然后與更大的安全平臺集成，這是一項(xiàng)艱巨的工作。

　　但智能建筑運(yùn)營商無需嘗試單獨(dú)保護(hù)每個(gè)邊緣設(shè)備，而是可以使用BITW技術(shù)來保護(hù)連接設(shè)備本身的通信線路。

　　BITW是一種安全工具，可以插入兩個(gè)或多個(gè)設(shè)備之間的通信通道，而不會影響性能。在網(wǎng)絡(luò)安全環(huán)境中，BITW將位于一組端點(diǎn)或邊緣設(shè)備與構(gòu)建網(wǎng)絡(luò)的其余部分之間，在消息經(jīng)過時(shí)對其進(jìn)行身份驗(yàn)證。

　　為了有效工作，BITW可以駐留在與多種網(wǎng)絡(luò)協(xié)議兼容的智能建筑系統(tǒng)中，支持物聯(lián)網(wǎng)安全的行業(yè)標(biāo)準(zhǔn)，并在不影響延遲的情況下實(shí)施強(qiáng)大的加密技術(shù)。其可以通過與建筑物網(wǎng)絡(luò)內(nèi)每個(gè)設(shè)備的唯一標(biāo)識符數(shù)據(jù)庫協(xié)同工作，確保用于訪問建筑物網(wǎng)絡(luò)的任何設(shè)備都具有這樣做的權(quán)限。

　　DOME安全即服務(wù)解決方案

　　Veridify的DOME解決方案類似于VPN服務(wù)和設(shè)備身份驗(yàn)證平臺的組合：端點(diǎn)不需要直接連接到云、BACnet或任何其他類型的操作技術(shù)(OT)網(wǎng)絡(luò)，只需連接到各自的BITW所有者。

　　通過這些協(xié)議，DOME通過一系列協(xié)議，包括BLE、BACnet、KNX、OBIX、Wi-Fi等，為智能建筑設(shè)備身份驗(yàn)證提供安全、加密的隧道。

　　平臺安全性始于已配置安全庫的設(shè)備，包括公鑰憑證。這些憑證在不可變的區(qū)塊鏈中進(jìn)行簽名，該區(qū)塊鏈為每個(gè)端點(diǎn)提供了驗(yàn)證其所有者和不可更改身份的能力，并由DOME接口設(shè)備(DIA)存儲和管理。

　　DIA可以支持這些端點(diǎn)、樓宇自動化控制器和中央樓宇管理系統(tǒng)使用的傳統(tǒng)協(xié)議和抗量子協(xié)議。這使得其能夠提供安全的固件更新、建筑物的特定配置更改、設(shè)備狀態(tài)報(bào)告以及對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的任何嘗試。

　　對于尚未部署的較新系統(tǒng)，DOME客戶端庫可以安裝在端點(diǎn)上，同時(shí)僅消耗12 KB ROM。這使得其甚至可以部署在資源嚴(yán)重受限的系統(tǒng)上。

　　但某些設(shè)備不屬于DOME直接保護(hù)的對象，因?yàn)槠錈o法更新，是傳統(tǒng)系統(tǒng)或出于其他原因。在這些情況下，DOME可以通過BITW架構(gòu)和硬件安全控制器進(jìn)行擴(kuò)展，例如位于端點(diǎn)和網(wǎng)絡(luò)之間的通信路徑上的英特爾?Max?10 FPGA。

　　DOME+BITW拓?fù)湓试S傳統(tǒng)控制器和傳統(tǒng)系統(tǒng)與更現(xiàn)代的智能建筑系統(tǒng)共存，而不會受到攻擊。得益于MAX 10設(shè)備的性能和靈活性，即使在負(fù)載情況下，也可以通過各種通信傳輸以超低延遲提供安全性。

　　讓智能安全成為標(biāo)準(zhǔn)

　　當(dāng)然，這只是整個(gè)智能建筑網(wǎng)絡(luò)安全討論的一方面。其他討論包括威脅建模和評估、物理設(shè)備安全和云安全訪問控制等。

　　從長遠(yuǎn)來看，需要定義建筑物的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，其方式可能類似于當(dāng)今使用的領(lǐng)先能源與環(huán)境設(shè)計(jì)(LEED)認(rèn)證流程。這可以提供一個(gè)保護(hù)智能建筑系統(tǒng)的框架，并通過網(wǎng)絡(luò)保護(hù)的程度來對設(shè)施進(jìn)行評級，就像對物理安全和環(huán)境標(biāo)準(zhǔn)進(jìn)行評級一樣。

　　當(dāng)這些標(biāo)準(zhǔn)出現(xiàn)時(shí)，BITW和DOME等技術(shù)將為擁有一系列自動化系統(tǒng)的傳統(tǒng)設(shè)施提供一條途徑，以滿足不斷變化的安全要求，而無需更換整個(gè)系統(tǒng)。

來源：千家網(wǎng)