账号:
密码:
CTIMES / 文章 /   
BACnet/SC--让建筑技术如同网路金融一样安全
 

【作者: Alina Matyukhina】2020年12月18日 星期五

浏览人次:【2028】
  

网路安全的标准不断演进,今天的安全保障,未必适用於明天。建筑技术更是如此。不久之前,建筑装置和其管理系统各自独立运作,安全风险微??其微。当时,只要对IT网路进行实体或虚拟分段和隔离,就足以为建筑物管理系统提供必要的安全。随着物联网(IoT)问世,这种情况开始发生变化,也对建筑技术产生了深远的影响。


如今凭藉物联网,建筑装置可以连线上网,并且不再与建筑管理系统相互隔离。装置连上网路後,甚至还能从全球各地存取和控制。它们彼此以及与组织 IT系统之间皆可通讯,进而形成更大规模的企业网路。如此可带来强大功能,但也带来了其他挑战。


IT部门对此顾虑日深。由於建筑物装置透过网路通讯,许多IT主管担心骇客会经由建筑管理系统攻击组织,这份恐惧其来有自。在2014年的大型连锁零售商攻击事件中,冷冻空调系统遭骇客入侵,并用於渗透金融系统。超过4000 万客户的信用卡资讯遭窃。三年後,网路犯罪分子从北美一座赌场窃取一名富豪赌客的资料库,他们的手法是经由大厅水族箱中的网路恒温器获得存取权限。


如今,建筑物的业主、营运商与IT部门都有相同的顾虑。在2019上半年,资料外泄导致超过41亿笔纪录曝光。一如以往,骇客透过垃圾邮件网路钓鱼来存取建筑物管理系统,并使用冷冻空调系统入侵企业IT网路和资料中心。



图1 : 不肖分子犯行猖獗,也造成日益严重的後果。
图1 : 不肖分子犯行猖獗,也造成日益严重的後果。

33年成功故事延续至今

1987年,早在网路安全的概念普及之前,美国冷冻空调协会(ASHRAE)就着手研拟一项通讯协定,称为「建筑自动化和控制网路」(BACnet)。BACnet具有革命性的意义,因为它使不同厂商的设备能够彼此通讯,进而实现装置之间无缝整合的互通性。如今,其已成为领先的建筑自动化协定,在商办市场占有60%的比例。超过1,000家制造商将BACnet通讯规则纳入各种建筑相关产品和系统,包括冷冻空调、照明、门禁、电梯和安全系统。


BACnet的最新发展━BACnet安全连线(BACnet Secure Connect;BACnet/SC)━是重要的网路安全革新成果。这项机制具备智慧型设计,既可回溯相容於既有的BACnet设备,同时高度支援各种IT环境。



图2 :  BACnet和西门子
图2 : BACnet和西门子

物联网普及的影响

BACnet的成长同时伴随着全球资讯网扩增以及物联网的问世。市场对於物联网功能需求成倍增加,互通性和网路存取也成为建筑装置和系统的重要功能。


实际上,商办建筑广泛采用物联网的趋势改写了游戏规则。这加快了IT和营运技术(OT)的融合,前者负责管理数位资讯或资料流,後者包括建筑系统,如冷冻空调、监控和门禁系统。IT和OT共同撷取关键营运资料,使用者(例如建筑业主和管理人员)藉此使其设施更加舒适、安全有保障。物联网使系统和装置更加智慧且密切相连,为制造商和服务组织创造了提升价值的新契机。



图3 : 物联网━更直接互连的装置
图3 : 物联网━更直接互连的装置

提高OT安全的需求

随着产业和连线能力改变,资料外泄相关风险上升,促使人们要求改善OT安全性。如今,BACnet/IP装置可以轻松加入任何采用网际协定(IP)的网路中。这有利於灵活、轻松交换资料,但也可能导致潜在的风险。当这些装置与企业共用同一个网路,就可以开启整个企业系统以进行资料探勘、窜改或未经核准的重新配置。由於具有损坏建筑设备的潜在风险,因此系统安全性成为不可或缺的条件,而且客户也愈来愈常提出相关要求。


BACnet/IP的现况如何?此系统可与IT部门进行协调,以确保网路妥善分段和隔离。可以使用虚拟区域网路(VLAN)、防火墙或虚拟专用网(VPN)等措施来保护其装置。但是,这种安全措施可能既复杂且昂贵。


从建筑自动化的角度来看,装置和建筑网路层级都必须设置身份验证及加密等安全机制。直接在 BACnet协定堆叠中建构更出色的安全性,是一种标准化且功能强大的逻辑解决方案。如果骇客透过OT系统攻击组织,那麽可靠的BACnet安全解决方案将是最後一道防线。


BACnet/SC的优势

BACnet/SC是强大的防御机制。BACnet/SC采用与网路银行同样可靠的技术,使建筑自动化网路中的通讯安全达到金融交易的严格等级。ASHRAE并未发明新的独立安全措施,而是采用了IT界公认的网路安全技术。由於 BACnet/SC本身高度支援IT环境,因此不需要额外的VPN设备或软体,即可可以轻易与IT基础架构整合。但是,BACnet/SC最重要的优势在於能够为装置层级提供安全性,进而使用传输层安全性(TLS)和X.509认证来保护跨云端和设施内装置之间的通讯,此机制与网路银行连线和其他关键应用程式相同。


目前已经定义BACnet/SC的标准,但目前尚未有认证测试。BACnet/SC可相容於一切既有和未来的BACnet部署和装置。BACnet/SC与现有IT标准和实物的结合,为组织的建筑自动化基础架构提供了更强大的安全解决方案;同时还可支援组织开发新的云端应用程式,并运用安全性创新成果来确保建筑自动化投资的未来效益。


(本文作者Alina Matyukhina为西门子智慧基础建设网路安全经理)


相关文章
庞大商机触动设计巧思 电动车充电环境渐趋完整
工业用机器人2020市场现况与发展趋势
工具机从云端共同提升韧性
马达与减速机预兆诊断技术先行
数位分身在工业应用大显身手
comments powered by Disqus
相关讨论
  相关新闻
» 大同唐荣双强联手 进军国际电动巴士市场
» 西门子携手日月光 开发次世代高密度先进封装设计方案
» 达梭3DEXPERIENCE World 2021推云端新品 促进创客协作与学子就业能力
» 励进研究船入坞保养作业完成 奔向大洋探测航行
» TXOne Networks获亚太区10大最隹资安解决方案 协助制造业ICS网路资安防护
  相关产品
» 安勤推出ATX工业级主机板EAX-W480P
» 中美万泰推出医用电脑电源内装设计WMP-24G-PIS
» 中美万泰推出新款Intel第八代Whisky Lake工业级触控电脑
» 安勤触控双萤幕AIO POS终端机RiVar模组化扩充快速
» 大昌华嘉在台韩推广DataPhysics量测设备 投入表面和介面科学领域

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2021 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw