技術(shù)
導(dǎo)讀:隨著智能建筑越來(lái)越依賴物聯(lián)網(wǎng)技術(shù),了解和遵循可用的最佳物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對(duì)于防止網(wǎng)絡(luò)入侵和保護(hù)有價(jià)值的數(shù)據(jù)至關(guān)重要。
對(duì)于樓宇控制和自動(dòng)化系統(tǒng)的設(shè)計(jì)和安裝,沒(méi)有一套單一的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。相反,網(wǎng)絡(luò)安全策略歷來(lái)因開(kāi)發(fā)商、設(shè)計(jì)師和供應(yīng)商如何滿足每棟建筑的要求而有所不同。但智能建筑中使用的聯(lián)網(wǎng)物聯(lián)網(wǎng)設(shè)備極易受到網(wǎng)絡(luò)攻擊。根據(jù)2020 年的報(bào)告:
57% 的物聯(lián)網(wǎng)設(shè)備容易受到中度或高度嚴(yán)重度的攻擊41% 的攻擊利用設(shè)備漏洞
隨著智能建筑越來(lái)越依賴物聯(lián)網(wǎng)技術(shù),了解和遵循可用的最佳物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對(duì)于防止網(wǎng)絡(luò)入侵和保護(hù)有價(jià)值的數(shù)據(jù)至關(guān)重要。
智能建筑的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)
IT 安全標(biāo)準(zhǔn)系列ISO 27000 和 IEC 62443是用于智能建筑中 IT 和 OT 網(wǎng)絡(luò)的兩個(gè)最常見(jiàn)的國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)系列。智能建筑環(huán)境中的利益相關(guān)者需要確保用于樓宇自動(dòng)化和控制的設(shè)備和流程符合這些標(biāo)準(zhǔn),以避免安全漏洞。
ISO 27000
ISO 27000 系列包括 60 個(gè)信息安全管理系統(tǒng)子標(biāo)準(zhǔn)。該系列為智能建筑設(shè)備提供了具體的網(wǎng)絡(luò)安全指南,包括:
數(shù)字控制器和自動(dòng)化組件,例如傳感器建筑能源管理系統(tǒng)智能電網(wǎng)環(huán)境的分布式組件,例如能源網(wǎng)樓宇系統(tǒng)遠(yuǎn)程維護(hù)平臺(tái)
IEC 62443
IEC 62443 標(biāo)準(zhǔn)特別關(guān)注 OT 網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),包括智能建筑中的安全風(fēng)險(xiǎn)。該系列概述了服務(wù)提供商應(yīng)遵守的樓宇自動(dòng)化系統(tǒng)的具體技術(shù)要求,并為自動(dòng)化組件制造商提供指導(dǎo)。
通過(guò)智能建筑中的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)提高安全性并確保穩(wěn)健的風(fēng)險(xiǎn)管理的好處包括:
一致的安全要求:穩(wěn)健的標(biāo)準(zhǔn)為所有建筑系統(tǒng)創(chuàng)建了共同的安全要求,并使安全解決方案成為可能。
技術(shù)一致性:安全術(shù)語(yǔ)的通用定義可以節(jié)省時(shí)間并減少技術(shù)變化。
對(duì)關(guān)鍵用戶的更多控制訪問(wèn):只允許用戶訪問(wèn)他們需要的信息和功能。
避免設(shè)備之間的潛在停機(jī)時(shí)間:網(wǎng)絡(luò)安全措施降低了安全漏洞的可能性和設(shè)備之間代價(jià)高昂的計(jì)劃外停機(jī)時(shí)間。
向用戶保證:通過(guò)一致性測(cè)試的樓宇自動(dòng)化和控制系統(tǒng)向用戶保證,它們是根據(jù)最新要求開(kāi)發(fā)的。
最佳實(shí)踐的知識(shí)共享和實(shí)施:對(duì)網(wǎng)絡(luò)安全概念、術(shù)語(yǔ)和定義的共同理解可以防止錯(cuò)誤并支持互操作性。
最后一點(diǎn)是關(guān)鍵:實(shí)施標(biāo)準(zhǔn)化的 IT 安全流程和遵守網(wǎng)絡(luò)安全最佳實(shí)踐對(duì)于智能建筑至關(guān)重要。
實(shí)施最佳實(shí)踐
與傳統(tǒng)安全模型相比,現(xiàn)代網(wǎng)絡(luò)安全架構(gòu)建立在零信任方法之上,強(qiáng)調(diào)消除對(duì)組織內(nèi)部網(wǎng)絡(luò)的隱含信任。由于缺乏細(xì)粒度的安全控制,隱式信任使組織網(wǎng)絡(luò)中的所有用戶都可以橫向移動(dòng)并訪問(wèn)敏感數(shù)據(jù)。當(dāng)前的網(wǎng)絡(luò)安全最佳實(shí)踐植根于應(yīng)驗(yàn)證數(shù)字交互的每個(gè)階段的原則。
例如,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 是一家非監(jiān)管性聯(lián)邦機(jī)構(gòu),是網(wǎng)絡(luò)安全行業(yè)最知名的機(jī)構(gòu)之一。NIST 網(wǎng)絡(luò)安全框架提供了有關(guān)網(wǎng)絡(luò)安全最佳實(shí)踐的指南和建議,以幫助組織防止網(wǎng)絡(luò)入侵其網(wǎng)絡(luò)。當(dāng)應(yīng)用于智能建筑環(huán)境時(shí),這些最佳實(shí)踐將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降至最低。
智能建筑中的最佳網(wǎng)絡(luò)安全實(shí)踐包括:
使用零信任方法:在授予訪問(wèn)權(quán)限之前,必須驗(yàn)證所有內(nèi)部和外部用戶、設(shè)備和應(yīng)用。
庫(kù)存控制網(wǎng)絡(luò):定期掃描建筑物的控制網(wǎng)絡(luò)有助于識(shí)別可能構(gòu)成風(fēng)險(xiǎn)的未知設(shè)備。
創(chuàng)建唯一的用戶帳戶:唯一的用戶帳戶對(duì)于跟蹤用戶活動(dòng)至關(guān)重要。
實(shí)施最低權(quán)限訪問(wèn):應(yīng)根據(jù)最低權(quán)限原則控制用戶訪問(wèn)權(quán)限,該原則規(guī)定用戶只應(yīng)獲得完成工作所需的訪問(wèn)級(jí)別。
監(jiān)控網(wǎng)絡(luò)流量:除了監(jiān)控前端/應(yīng)用服務(wù)器,還應(yīng)監(jiān)控網(wǎng)絡(luò)流量以檢測(cè)任何異常的設(shè)備到設(shè)備流量。
記錄響應(yīng)計(jì)劃:明確定義利益相關(guān)者的角色和責(zé)任的詳細(xì)記錄和實(shí)踐的響應(yīng)計(jì)劃可以最大限度地減少網(wǎng)絡(luò)攻擊的影響。
制定恢復(fù)計(jì)劃:大多數(shù)網(wǎng)絡(luò)攻擊受害者沒(méi)有可行的系統(tǒng)備份。制定完善的數(shù)據(jù)備份策略可以幫助您在發(fā)生安全漏洞時(shí)恢復(fù)關(guān)鍵的建筑數(shù)據(jù)。
在確定建筑中的安全漏洞并遵守物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)時(shí),需要定制策略來(lái)保護(hù)建筑系統(tǒng)和設(shè)備。因此,對(duì)于許多建筑運(yùn)營(yíng)商而言,需要選擇專業(yè)的合作伙伴,幫助在整個(gè)產(chǎn)品組合中納入行業(yè)規(guī)定的安全標(biāo)準(zhǔn),并保護(hù)資產(chǎn)免受網(wǎng)絡(luò)威脅。