如何保护融合智能建筑?
智能建筑技术的出现彻底改变了从家庭到商业建筑、工厂、仓库以及两者之间的一切。它改变了大型和小型设施的管理方式,主要是向好的方面发展。虽然我们已经拥有“智能”建筑系统和BMS/EMS几十年了,但通过将照明、暖通空调、安全和访问控制等脱节的系统集成到一个网络上,允许在这些孤岛之间使用数据来推动更好的洞察力和行动,从而看到未来的效率提升。这种融合带来了新的挑战,尤其是在网络安全和互操作性方面。
在传统的楼宇管理系统中,每个系统都是独立运行的。然而,融合或“统一”的智能建筑打破了这些孤岛,允许不同的系统进行通信和共享数据。这种融合创建了一个统一的平台,使设施管理人员能够从集中的“单一事实来源”监控和控制建筑物的各个方面。鉴于网络的性质,这种互连性提供了前所未有的好处,但也带来了扩大攻击面的新风险。
IT标准在智能建筑安全中的关键作用
IT长期以来一直处于建筑系统的范围之外。然而,这个互联互通的生态系统现在需要IT标准和专业知识才能高效、安全地运行,并在现在和未来保护融合智能建筑方面发挥关键作用。通过采用IT行业公认的标准,设施管理人员可以确保其系统强大、有弹性并抵御网络攻击。IT标准为网络设计、数据安全和访问控制方面的最佳实践提供了框架,同时促进了互操作性(尤其是在 TCP/IP 堆栈上),允许不同的系统无缝通信。
尽管IT标准在不断发展,但IT空间已经习惯了这种演变,并拥有确保“最佳实践”更新的流程和程序,以满足这些不断变化的需求。因此,在构建生态系统的过程中,IT现在需要在从采购到系统设计再到部署的每一步中发挥重要作用。有趣的是,建筑标准随着行业的发展而发展,BACnet/SC 表明,设施运营是在考虑IT标准的情况下创建的。
现在,应该从建筑的角度来看待的常见标准包括:
BACnet(楼宇自动化和控制网络):一种广泛采用的楼宇自动化和控制系统标准,它定义了一种通用语言,用于不同设备之间的通信,而不受制造商的影响。通过遵守BACnet,设施管理人员可以确保他们的系统可互操作,并与其他符合BACnet标准的设备轻松集成。此外,最近通过BACnet/SC对此的附录是一个安全、加密的通信数据链路层,可满足安全 IP 基础设施的需求。
NIST网络安全框架:为管理和降低网络安全风险提供全面指南。它概述了一组用于识别、检测、响应、保护和从网络安全攻击中恢复的最佳实践。恢复部分尤为重要,因为没有任何安全性可以被视为100%安全。该框架适用于各种规模的组织,并可应用于智能建筑系统以增强其安全态势。
ISO/IEC 27001:是一个国际信息安全管理体系 (ISMS) 系统,为管理敏感信息并确保其机密性、完整性和可用性提供了一种系统的方法。通过实施基于ISO/IEC 27001的ISMS,设施管理人员可以展示他们对信息安全的承诺并降低数据泄露的风险。
实施 IT 标准:分步指南
1、进行风险评估
在实施任何IT标准之前,进行全面的风险评估以识别潜在的漏洞和威胁至关重要。这需要包括存在的每个设施相关系统的清单,即使它尚未连接到网络。此评估将帮助您了解智能建筑面临的具体风险,并相应地定制您的安全措施。此外,它可以指导您了解数据角度缺少什么,以及必须添加哪些系统或设备才能实现全面和统一的智能建筑。较旧的系统通常需要从传统协议到以太网的某种形式的桥接。
2、制定安全策略
安全策略概述了保护智能建筑系统的规则和程序。它应包括密码管理、访问控制、数据加密和事件响应的指南。确保所有员工都了解该政策并了解他们的责任。这可能很耗时,但记录此内容提供了一个框架。这应该与IT组织一起完成,以解释系统的范围以及每个系统对数据的需求。
3、实施安全控制
根据您的风险评估和安全策略,实施适当的安全控制。这些可能包括防火墙、入侵检测系统、防病毒软件和多因素身份验证。重要的是,这些需要定期更新以应对新的威胁。这里需要做出一个重要的选择,即将来谁将管理这些政策。强烈建议IT组织在此处进行控制,因为他们将是第一个识别风险的人。
4、培训员工
对员工进行网络安全最佳实践和遵守IT标准的重要性的教育。大多数泄露并不复杂。它们可以像网络钓鱼电子邮件一样简单。未受过安全教育的人是组织面临的最大威胁。
5、监控和审查:IT组织应持续监控基础设施中的补丁、软件更新和可疑活动的迹象。定期检查您的安全措施和参数,并定期更新它们以应对新的威胁。
解决连接和通信问题
连接和通信问题可能会阻碍融合智能建筑系统的无缝运行。为了消除这些问题,应考虑网络分段、安全远程访问和冗余。如前所述,通常需要从旧系统和协议进行桥接,并且这些桥接设备应保持最新状态。物联网平台可以在将这些传统解决方案无缝桥接到一个安全的生态系统中发挥作用,以限制所需的专有设备的数量。
网络分段通常是IT专业人员的一种选择,涉及将网络划分为不同的区域,以将关键系统与不太敏感的系统隔离开来,从而限制漏洞的影响并防止攻击者在网络中横向移动。这有时是福也是祸,因为有时需要允许跨这些段进行访问。这通常可以通过适当的路由和防火墙设置以及安全的远程访问解决方案(例如虚拟专用网络 (VPN))来解决。
远程访问智能建筑系统时应使用VPN,以防止通过不安全的公共Wi-Fi网络进行未经授权的访问。最后,IT将带来孤立系统中通常不存在的冗余解决方案。这些可以包括备用电源系统(UPS)、冗余网络链路和故障转移机制,确保即使组件或服务出现故障,系统也能保持运行。这些措施共同增强了融合智能建筑系统的连接和通信能力,确保了其可靠性和安全性。
总结
护融合智能建筑系统需要一种主动的方法,该方法结合了IT标准、最佳实践和持续监控。最重要的是,这是关于设施经理和IT专业人员之间的协作和共享知识,以创造强大的安全态势,保护他们的建筑物免受网络威胁,消除连接和通信问题,并确保其互连系统的无缝运行。