智能建筑安全：超越訪問控制

　　許多現代建筑都經過精心設計，旨在保護居住者免受人身傷害，但對可能損害其無形資產的數字入侵的防范卻遠遠不夠。即使網絡防御到位，但通常也只是針對個人電腦和服務器，而不是將建筑變成“智能建筑”的物聯網終端和傳統控制系統。

　　需要圍繞網絡安全基礎設施展開更深入的討論，以防止廣泛報道的網絡事件增加，例如零售商Target數據泄露和臭名昭著的賭場魚缸攻擊。討論的一部分首先要認識到保護現代建筑中各種互連系統的安全是一項非常現實的挑戰。因此，安全IP和工具開發商Veridify創建了設備所有權管理和注冊(DOME)平臺，以提供全面的安全解決方案來解決建筑物面臨的一系列挑戰。

　　智能建筑安全： BITW技術

　　保護具有數千個潛在易受攻擊的邊緣設備的建筑物范圍內的異構網絡的任務非常艱巨，甚至幾乎不可能。提供電梯、照明、消防監控和暖通空調設備的不同供應商都有自己的系統。

　　添加目前在許多企業部署的專用物聯網平臺，就可擁有廣泛的資產，每個資產都有自己的標準、通信協議和支持的功能。

　　當然，不同系統和設備的數量越多，為每個系統和設備實施獨特的安全措施就越不切實際。一種替代方案是使用單一安全毯來覆蓋智能建筑中的所有連接系統。在這種情況下，可以在制造時將能夠在系統和安全即服務(SaaS)解決方案之間建立安全通信隧道的小型軟件代理加載到設備上。

　　不幸的是，智能建筑中的大多數聯網安全系統在建筑變得“智能”之前就已存在。這意味著這樣的代理可能必須單獨添加到每個系統中，然后與更大的安全平臺集成，這是一項艱巨的工作。

　　但智能建筑運營商無需嘗試單獨保護每個邊緣設備，而是可以使用BITW技術來保護連接設備本身的通信線路。

　　BITW是一種安全工具，可以插入兩個或多個設備之間的通信通道，而不會影響性能。在網絡安全環境中，BITW將位于一組端點或邊緣設備與構建網絡的其余部分之間，在消息經過時對其進行身份驗證。

　　為了有效工作，BITW可以駐留在與多種網絡協議兼容的智能建筑系統中，支持物聯網安全的行業標準，并在不影響延遲的情況下實施強大的加密技術。其可以通過與建筑物網絡內每個設備的唯一標識符數據庫協同工作，確保用于訪問建筑物網絡的任何設備都具有這樣做的權限。

　　DOME安全即服務解決方案

　　Veridify的DOME解決方案類似于VPN服務和設備身份驗證平臺的組合：端點不需要直接連接到云、BACnet或任何其他類型的操作技術(OT)網絡，只需連接到各自的BITW所有者。

　　通過這些協議，DOME通過一系列協議，包括BLE、BACnet、KNX、OBIX、Wi-Fi等，為智能建筑設備身份驗證提供安全、加密的隧道。

　　平臺安全性始于已配置安全庫的設備，包括公鑰憑證。這些憑證在不可變的區塊鏈中進行簽名，該區塊鏈為每個端點提供了驗證其所有者和不可更改身份的能力，并由DOME接口設備(DIA)存儲和管理。

　　DIA可以支持這些端點、樓宇自動化控制器和中央樓宇管理系統使用的傳統協議和抗量子協議。這使得其能夠提供安全的固件更新、建筑物的特定配置更改、設備狀態報告以及對網絡基礎設施的任何嘗試。

　　對于尚未部署的較新系統，DOME客戶端庫可以安裝在端點上，同時僅消耗12 KB ROM。這使得其甚至可以部署在資源嚴重受限的系統上。

　　但某些設備不屬于DOME直接保護的對象，因為其無法更新，是傳統系統或出于其他原因。在這些情況下，DOME可以通過BITW架構和硬件安全控制器進行擴展，例如位于端點和網絡之間的通信路徑上的英特爾?Max?10 FPGA。

　　DOME+BITW拓撲允許傳統控制器和傳統系統與更現代的智能建筑系統共存，而不會受到攻擊。得益于MAX 10設備的性能和靈活性，即使在負載情況下，也可以通過各種通信傳輸以超低延遲提供安全性。

　　讓智能安全成為標準

　　當然，這只是整個智能建筑網絡安全討論的一方面。其他討論包括威脅建模和評估、物理設備安全和云安全訪問控制等。

　　從長遠來看，需要定義建筑物的網絡安全標準，其方式可能類似于當今使用的領先能源與環境設計(LEED)認證流程。這可以提供一個保護智能建筑系統的框架，并通過網絡保護的程度來對設施進行評級，就像對物理安全和環境標準進行評級一樣。

　　當這些標準出現時，BITW和DOME等技術將為擁有一系列自動化系統的傳統設施提供一條途徑，以滿足不斷變化的安全要求，而無需更換整個系統。

來源：千家網