網路安全的標準不斷演進，今天的安全保障，未必適用於明天。建築技術更是如此。不久之前，建築裝置和其管理系統各自獨立運作，安全風險微乎其微。當時，只要對IT網路進行實體或虛擬分段和隔離，就足以為建築物管理系統提供必要的安全。隨著物聯網（IoT）問世，這種情況開始發生變化，也對建築技術產生了深遠的影響。

如今憑藉物聯網，建築裝置可以連線上網，並且不再與建築管理系統相互隔離。裝置連上網路後，甚至還能從全球各地存取和控制。它們彼此以及與組織 IT系統之間皆可通訊，進而形成更大規模的企業網路。如此可帶來強大功能，但也帶來了其他挑戰。

IT部門對此顧慮日深。由於建築物裝置透過網路通訊，許多IT主管擔心駭客會經由建築管理系統攻擊組織，這份恐懼其來有自。在2014年的大型連鎖零售商攻擊事件中，冷凍空調系統遭駭客入侵，並用於滲透金融系統。超過4000 萬客戶的信用卡資訊遭竊。三年後，網路犯罪分子從北美一座賭場竊取一名富豪賭客的資料庫，他們的手法是經由大廳水族箱中的網路恆溫器獲得存取權限。

如今，建築物的業主、營運商與IT部門都有相同的顧慮。在2019上半年，資料外洩導致超過41億筆紀錄曝光。一如以往，駭客透過垃圾郵件網路釣魚來存取建築物管理系統，並使用冷凍空調系統入侵企業IT網路和資料中心。

圖1 : 不肖分子犯行猖獗，也造成日益嚴重的後果。

33年成功故事延續至今

1987年，早在網路安全的概念普及之前，美國冷凍空調協會（ASHRAE）就著手研擬一項通訊協定，稱為「建築自動化和控制網路」（BACnet）。BACnet具有革命性的意義，因為它使不同廠商的設備能夠彼此通訊，進而實現裝置之間無縫整合的互通性。如今，其已成為領先的建築自動化協定，在商辦市場佔有60％的比例。超過1,000家製造商將BACnet通訊規則納入各種建築相關產品和系統，包括冷凍空調、照明、門禁、電梯和安全系統。

BACnet的最新發展－BACnet安全連線（BACnet Secure Connect；BACnet/SC）－是重要的網路安全革新成果。這項機制具備智慧型設計，既可回溯相容於既有的BACnet設備，同時高度支援各種IT環境。

圖2 : BACnet和西門子

物聯網普及的影響

BACnet的成長同時伴隨著全球資訊網擴增以及物聯網的問世。市場對於物聯網功能需求成倍增加，互通性和網路存取也成為建築裝置和系統的重要功能。

實際上，商辦建築廣泛採用物聯網的趨勢改寫了遊戲規則。這加快了IT和營運技術（OT）的融合，前者負責管理數位資訊或資料流，後者包括建築系統，如冷凍空調、監控和門禁系統。IT和OT共同擷取關鍵營運資料，使用者（例如建築業主和管理人員）藉此使其設施更加舒適、安全有保障。物聯網使系統和裝置更加智慧且密切相連，為製造商和服務組織創造了提升價值的新契機。

圖3 : 物聯網－更直接互連的裝置

提高OT安全的需求

隨著產業和連線能力改變，資料外洩相關風險上升，促使人們要求改善OT安全性。如今，BACnet/IP裝置可以輕鬆加入任何採用網際協定（IP）的網路中。這有利於靈活、輕鬆交換資料，但也可能導致潛在的風險。當這些裝置與企業共用同一個網路，就可以開啟整個企業系統以進行資料探勘、竄改或未經核准的重新配置。由於具有損壞建築設備的潛在風險，因此系統安全性成為不可或缺的條件，而且客戶也愈來愈常提出相關要求。

BACnet/IP的現況如何？此系統可與IT部門進行協調，以確保網路妥善分段和隔離。可以使用虛擬區域網路（VLAN）、防火牆或虛擬專用網（VPN）等措施來保護其裝置。但是，這種安全措施可能既複雜且昂貴。

從建築自動化的角度來看，裝置和建築網路層級都必須設置身份驗證及加密等安全機制。直接在 BACnet協定堆疊中建構更出色的安全性，是一種標準化且功能強大的邏輯解決方案。如果駭客透過OT系統攻擊組織，那麼可靠的BACnet安全解決方案將是最後一道防線。

BACnet/SC的優勢

BACnet/SC是強大的防禦機制。BACnet/SC採用與網路銀行同樣可靠的技術，使建築自動化網路中的通訊安全達到金融交易的嚴格等級。ASHRAE並未發明新的獨立安全措施，而是採用了IT界公認的網路安全技術。由於 BACnet/SC本身高度支援IT環境，因此不需要額外的VPN設備或軟體，即可可以輕易與IT基礎架構整合。但是，BACnet/SC最重要的優勢在於能夠為裝置層級提供安全性，進而使用傳輸層安全性（TLS）和X.509認證來保護跨雲端和設施內裝置之間的通訊，此機制與網路銀行連線和其他關鍵應用程式相同。

目前已經定義BACnet/SC的標準，但目前尚未有認證測試。BACnet/SC可相容於一切既有和未來的BACnet部署和裝置。BACnet/SC與現有IT標準和實物的結合，為組織的建築自動化基礎架構提供了更強大的安全解決方案；同時還可支援組織開發新的雲端應用程式，並運用安全性創新成果來確保建築自動化投資的未來效益。

（本文作者Alina Matyukhina為西門子智慧基礎建設網路安全經理）