许多现代建筑都经过精心设计,旨在保护居住者免受人身伤害,但对可能损害其无形资产的数字入侵的防范却远远不够。即使网络防御到位,但通常也只是针对个人电脑和服务器,而不是将建筑变成“智能建筑”的物联网终端和传统控制系统。
需要围绕网络安全基础设施展开更深入的讨论,以防止广泛报道的网络事件增加,例如零售商Target数据泄露和臭名昭著的赌场鱼缸攻击。讨论的一部分首先要认识到保护现代建筑中各种互连系统的安全是一项非常现实的挑战。因此,安全IP和工具开发商Veridify创建了设备所有权管理和注册(DOME)平台,以提供全面的安全解决方案来解决建筑物面临的一系列挑战。
智能建筑安全: BITW技术
保护具有数千个潜在易受攻击的边缘设备的建筑物范围内的异构网络的任务非常艰巨,甚至几乎不可能。提供电梯、照明、消防监控和暖通空调设备的不同供应商都有自己的系统。
添加目前在许多企业部署的专用物联网平台,就可拥有广泛的资产,每个资产都有自己的标准、通信协议和支持的功能。
当然,不同系统和设备的数量越多,为每个系统和设备实施独特的安全措施就越不切实际。一种替代方案是使用单一安全毯来覆盖智能建筑中的所有连接系统。在这种情况下,可以在制造时将能够在系统和安全即服务(SaaS)解决方案之间建立安全通信隧道的小型软件代理加载到设备上。
不幸的是,智能建筑中的大多数联网安全系统在建筑变得“智能”之前就已存在。这意味着这样的代理可能必须单独添加到每个系统中,然后与更大的安全平台集成,这是一项艰巨的工作。
但智能建筑运营商无需尝试单独保护每个边缘设备,而是可以使用BITW技术来保护连接设备本身的通信线路。
BITW是一种安全工具,可以插入两个或多个设备之间的通信通道,而不会影响性能。在网络安全环境中,BITW将位于一组端点或边缘设备与构建网络的其余部分之间,在消息经过时对其进行身份验证。
为了有效工作,BITW可以驻留在与多种网络协议兼容的智能建筑系统中,支持物联网安全的行业标准,并在不影响延迟的情况下实施强大的加密技术。其可以通过与建筑物网络内每个设备的唯一标识符数据库协同工作,确保用于访问建筑物网络的任何设备都具有这样做的权限。
DOME安全即服务解决方案
Veridify的DOME解决方案类似于VPN服务和设备身份验证平台的组合:端点不需要直接连接到云、BACnet或任何其他类型的操作技术(OT)网络,只需连接到各自的BITW所有者。
通过这些协议,DOME通过一系列协议,包括BLE、BACnet、KNX、OBIX、Wi-Fi等,为智能建筑设备身份验证提供安全、加密的隧道。
平台安全性始于已配置安全库的设备,包括公钥凭证。这些凭证在不可变的区块链中进行签名,该区块链为每个端点提供了验证其所有者和不可更改身份的能力,并由DOME接口设备(DIA)存储和管理。
DIA可以支持这些端点、楼宇自动化控制器和中央楼宇管理系统使用的传统协议和抗量子协议。这使得其能够提供安全的固件更新、建筑物的特定配置更改、设备状态报告以及对网络基础设施的任何尝试。
对于尚未部署的较新系统,DOME客户端库可以安装在端点上,同时仅消耗12 KB ROM。这使得其甚至可以部署在资源严重受限的系统上。
但某些设备不属于DOME直接保护的对象,因为其无法更新,是传统系统或出于其他原因。在这些情况下,DOME可以通过BITW架构和硬件安全控制器进行扩展,例如位于端点和网络之间的通信路径上的英特尔®Max®10 FPGA。
DOME+BITW拓扑允许传统控制器和传统系统与更现代的智能建筑系统共存,而不会受到攻击。得益于MAX 10设备的性能和灵活性,即使在负载情况下,也可以通过各种通信传输以超低延迟提供安全性。
让智能安全成为标准
当然,这只是整个智能建筑网络安全讨论的一方面。其他讨论包括威胁建模和评估、物理设备安全和云安全访问控制等。
从长远来看,需要定义建筑物的网络安全标准,其方式可能类似于当今使用的领先能源与环境设计(LEED)认证流程。这可以提供一个保护智能建筑系统的框架,并通过网络保护的程度来对设施进行评级,就像对物理安全和环境标准进行评级一样。
当这些标准出现时,BITW和DOME等技术将为拥有一系列自动化系统的传统设施提供一条途径,以满足不断变化的安全要求,而无需更换整个系统。
来源:千家网