账号:
密码:
智动化 / 文章 /

BACnet/SC--让建筑技术如同网路金融一样安全
[作者 Alina Matyukhina]   2020年12月18日 星期五 浏览人次: [5210]

网路安全的标准不断演进,今天的安全保障,未必适用于明天。建筑技术更是如此。不久之前,建筑装置和其管理系统各自独立运作,安全风险微乎其微。当时,只要对IT网路进行实体或虚拟分段和隔离,就足以为建筑物管理系统提供必要的安全。随着物联网(IoT)问世,这种情况开始发生变化,也对建筑技术产生了深远的影响。


如今凭借物联网,建筑装置可以连线上网,并且不再与建筑管理系统相互隔离。装置连上网路后,甚至还能从全球各地存取和控制。它们彼此以及与组织 IT系统之间皆可通讯,进而形成更大规模的企业网路。如此可带来强大功能,但也带来了其他挑战。


IT部门对此顾虑日深。由于建筑物装置透过网路通讯,许多IT主管担心骇客会经由建筑管理系统攻击组织,这份恐惧其来有自。在2014年的大型连锁零售商攻击事件中,冷冻空调系统遭骇客入侵,并用于渗透金融系统。超过4000 万客户的信用卡资讯遭窃。三年后,网路犯罪分子从北美一座赌场窃取一名富豪赌客的资料库,他们的手法是经由大厅水族箱中的网路恒温器获得存取权限。


如今,建筑物的业主、营运商与IT部门都有相同的顾虑。在2019上半年,资料外泄导致超过41亿笔纪录曝光。一如以往,骇客透过垃圾邮件网路钓鱼来存取建筑物管理系统,并使用冷冻空调系统入侵企业IT网路和资料中心。



图1 : 不肖分子犯行猖獗,也造成日益严重的後果。
图1 : 不肖分子犯行猖獗,也造成日益严重的後果。

33年成功故事延续至今

1987年,早在网路安全的概念普及之前,美国冷冻空调协会(ASHRAE)就着手研拟一项通讯协定,称为「建筑自动化和控制网路」(BACnet)。 BACnet具有革命性的意义,因为它使不同厂商的设备能够彼此通讯,进而实现装置之间无缝整合的互通性。如今,其已成为领先的建筑自动化协定,在商办市场占有60%的比例。超过1,000家制造商将BACnet通讯规则纳入各种建筑相关产品和系统,包括冷冻空调、照明、门禁、电梯和安全系统。


BACnet的最新发展-BACnet安全连线(BACnet Secure Connect;BACnet/SC)-是重要的网路安全革新成果。这项机制具备智慧型设计,既可回溯相容于既有的BACnet设备,同时高度支援各种IT环境。



图2 :  BACnet和西门子
图2 : BACnet和西门子

物联网普及的影响

BACnet的成长同时伴随着全球资讯网扩增以及物联网的问世。市场对于物联网功能需求成倍增加,互通性和网路存取也成为建筑装置和系统的重要功能。


实际上,商办建筑广泛采用物联网的趋势改写了游戏规则。这加快了IT和营运技术(OT)的融合,前者负责管理数位资讯或资料流,后者包括建筑系统,如冷冻空调、监控和门禁系统。 IT和OT共同撷取关键营运资料,使用者(例如建筑业主和管理人员)借此使其设施更加舒适、安全有保障。物联网使系统和装置更加智慧且密切相连,为制造商和服务组织创造了提升价值的新契机。



图3 : 物联网━更直接互连的装置
图3 : 物联网━更直接互连的装置

提高OT安全的需求

随着产业和连线能力改变,资料外泄相关风险上升,促使人们要求改善OT安全性。如今,BACnet/IP装置可以轻松加入任何采用网际协定(IP)的网路中。这有利于灵活、轻松交换资料,但也可能导致潜在的风险。当这些装置与企业共用同一个网路,就可以开启整个企业系统以进行资料探勘、窜改或未经核准的重新配置。由于具有损坏建筑设备的潜在风险,因此系统安全性成为不可或缺的条件,而且客户也愈来愈常提出相关要求。


BACnet/IP的现况如何?此系统可与IT部门进行协调,以确保网路妥善分段和隔离。可以使用虚拟区域网路(VLAN)、防火墙或虚拟专用网(VPN)等措施来保护其装置。但是,这种安全措施可能既复杂且昂贵。


从建筑自动化的角度来看,装置和建筑网路层级都必须设置身份验证及加密等安全机制。直接在 BACnet协定堆叠中建构更出色的安全性,是一种标准化且功能强大的逻辑解决方案。如果骇客透过OT系统攻击组织,那么可靠的BACnet安全解决方案将是最后一道防线。


BACnet/SC的优势

BACnet/SC是强大的防御机制。 BACnet/SC采用与网路银行同样可靠的技术,使建筑自动化网路中的通讯安全达到金融交易的严格等级。 ASHRAE并未发明新的独立安全措施,而是采用了IT界公认的网路安全技术。由于 BACnet/SC本身高度支援IT环境,因此不需要额外的VPN设备或软体,即可可以轻易与IT基础架构整合。但是,BACnet/SC最重要的优势在于能够为装置层级提供安全性,进而使用传输层安全性(TLS)和X.509认证来保护跨云端和设施内装置之间的通讯,此机制与网路银行连线和其他关键应用程式相同。


目前已经定义BACnet/SC的标准,但目前尚未有认证测试。 BACnet/SC可相容于一切既有和未来的BACnet部署和装置。 BACnet/SC与现有IT标准和实物的结合,为组织的建筑自动化基础架构提供了更强大的安全解决方案;同时还可支援组织开发新的云端应用程式,并运用安全性创新成果来确保建筑自动化投资的未来效益。


(本文作者Alina Matyukhina为西门子智慧基础建设网路安全经理)


相关文章
无线技术应用的智慧工厂
加速导入感测方案握数据
制造业市场采用数位化转型迎接新挑战
净零转型浪潮来袭 能源管理数位化新挑战
智慧边缘当道为工业电脑加值
comments powered by Disqus
  相关新闻
» RIN国际研发高峰会手举行 金属中心展出亮眼成果
» 台达子公司泰达8厂及研发中心开幕 扩大电动车研发及产能布局
» Fortinet SASE台湾网路连接点今年落成 全台巡??落实云地零信任资安
» 大同呈现光充储应用一站式服务 抢占智慧净零城市商机
» GTC 2024:宜鼎以智慧工厂解决方案秀边缘AI整合实力
  相关产品
» 明纬推出NGE100(U)系列:100W环球通用4埠USB氮化??快速充电器
» 凌华全新IP69K全防水不锈钢工业电脑专为严苛环境设计
» 凌华支援第14代 Intel处理器用於先进工业与 AI 解决方案
» 智慧监测良方 泓格微型气象站提供资讯面面俱到
» 凌华新款5G IIoT远端边缘网路闸道器采用Arm架构


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 / E-Mail: webmaster@hope.com.tw