對于樓宇控制和自動化系統(tǒng)的設(shè)計和安裝����,沒有一套單一的網(wǎng)絡(luò)安全標準。相反����,網(wǎng)絡(luò)安全策略歷來因開發(fā)商、設(shè)計師和供應(yīng)商如何滿足每棟建筑的要求而有所不同����。但智慧建筑中使用的聯(lián)網(wǎng)IoT設(shè)備極易受到網(wǎng)絡(luò)攻擊�。根據(jù)2020年的報告:
57%的IoT設(shè)備容易受到中度或高度嚴重度的攻擊
41%的攻擊利用設(shè)備漏洞
隨著智慧建筑愈來愈依賴IoT技術(shù)�,了解和遵循可用的IoT網(wǎng)絡(luò)安全標準對于防止網(wǎng)絡(luò)入侵和保護有價值的數(shù)據(jù)十分關(guān)鍵。
智慧建筑的IoT網(wǎng)絡(luò)安全標準
IT安全標準系列ISO 27000和IEC 62443是用于智慧建筑中IT和OT網(wǎng)絡(luò)的兩個很常見的國際網(wǎng)絡(luò)安全標準系列�。智慧建筑環(huán)境中的利益相關(guān)者需要確保用于樓宇自動化和控制的設(shè)備和流程符合這些標準,以避免安全漏洞�����。
ISO 27000
ISO 27000系列包括60個信息安全管理系統(tǒng)子標準��。該系列為智慧建筑設(shè)備提供了具體的網(wǎng)絡(luò)安全指南����,包括:
數(shù)字控制器和自動化組件,比如傳感器
建筑能源管理系統(tǒng)
智能電網(wǎng)環(huán)境的分布式組件��,比如能源網(wǎng)
樓宇系統(tǒng)遠程維護平臺
IEC 62443
IEC 62443標準特別關(guān)注OT網(wǎng)絡(luò)的安全風險����,包括智慧建筑中的安全風險�����。該系列概述了服務(wù)提供商應(yīng)遵守的樓宇自動化系統(tǒng)的具體技術(shù)要求�����,并為自動化組件制造商提供指導(dǎo)。
通過智慧建筑中的IoT網(wǎng)絡(luò)安全標準提高安全性并確保穩(wěn)健的風險管理的好處包括:
一致的安全要求:穩(wěn)健的標準為所有建筑系統(tǒng)創(chuàng)建了共同的安全要求���,并使安全解決方案成為可能�����。
技術(shù)一致性:安全術(shù)語的通用定義可以節(jié)省時間并減少技術(shù)變化����。
對關(guān)鍵用戶的更多控制訪問:只允許用戶訪問他們需要的信息和功能��。
避免設(shè)備之間的潛在停機時間:網(wǎng)絡(luò)安全措施降低了安全漏洞的可能性和設(shè)備之間代價高昂的計劃外停機時間��。
向用戶保證:通過一致性測試的樓宇自動化和控制系統(tǒng)向用戶保證�,它們是根據(jù)新要求開發(fā)的。
實踐的知識共享和實施:對網(wǎng)絡(luò)安全概念����、術(shù)語和定義的共同理解可以防止錯誤并支持互操作性。
最后一點是關(guān)鍵:實施標準化的IT安全流程和遵守網(wǎng)絡(luò)安全實踐對于智慧建筑十分重要�。
實施實踐
與傳統(tǒng)安全模型相比,現(xiàn)代網(wǎng)絡(luò)安全架構(gòu)建立在零信任方法之上����,強調(diào)消除對組織內(nèi)部網(wǎng)絡(luò)的隱含信任���。由于缺乏細粒度的安全控制,隱式信任使組織網(wǎng)絡(luò)中的所有用戶都可以橫向移動并訪問敏感數(shù)據(jù)��。當前的網(wǎng)絡(luò)安全實踐植根于應(yīng)驗證數(shù)字交互的每個階段的原則����。
比如,美國國家標準與技術(shù)研究院(NIST)是一家非監(jiān)管性聯(lián)邦機構(gòu)���,是網(wǎng)絡(luò)安全行業(yè)知名的機構(gòu)之一���。NIST網(wǎng)絡(luò)安全框架提供了有關(guān)網(wǎng)絡(luò)安全實踐的指南和建議,以幫助組織防止網(wǎng)絡(luò)入侵其網(wǎng)絡(luò)����。當應(yīng)用于智慧建筑環(huán)境時,這些實踐將網(wǎng)絡(luò)安全風險降至極低�。
智慧建筑中的網(wǎng)絡(luò)安全實踐包括:
使用零信任方法:在授予訪問權(quán)限之前�,必須驗證所有內(nèi)部和外部用戶、設(shè)備和應(yīng)用�����。
庫存控制網(wǎng)絡(luò):定期掃描建筑物的控制網(wǎng)絡(luò)有助于識別可能構(gòu)成風險的未知設(shè)備。
創(chuàng)建唯一的用戶帳戶:唯一的用戶帳戶對于跟蹤用戶活動十分重要�。
實施低權(quán)限訪問:應(yīng)根據(jù)低權(quán)限原則控制用戶訪問權(quán)限,該原則規(guī)定用戶只應(yīng)獲得完成工作所需的訪問級別�。
監(jiān)控網(wǎng)絡(luò)流量:除了監(jiān)控前端/應(yīng)用服務(wù)器,還應(yīng)監(jiān)控網(wǎng)絡(luò)流量以檢測任何異常的設(shè)備到設(shè)備流量����。
記錄響應(yīng)計劃:明確定義利益相關(guān)者的角色和責任的詳細記錄和實踐的響應(yīng)計劃可以極大限度地減少網(wǎng)絡(luò)攻擊的影響。
制定恢復(fù)計劃:大多數(shù)網(wǎng)絡(luò)攻擊受害者沒有可行的系統(tǒng)備份��。制定完善的數(shù)據(jù)備份策略可以幫助您在發(fā)生安全漏洞時恢復(fù)關(guān)鍵的建筑數(shù)據(jù)�。
在確定建筑中的安全漏洞并遵守IoT網(wǎng)絡(luò)安全標準時,需要定制策略來保護建筑系統(tǒng)和設(shè)備�����。因此����,對于很多建筑運營商而言,需要選擇專業(yè)的合作伙伴���,幫助在整個產(chǎn)品組合中納入行業(yè)規(guī)定的安全標準�����,并保護資產(chǎn)免受網(wǎng)絡(luò)威脅�。
沃卡惠
