網路安全的標準不斷演進,今天的安全保障,未必適用於明天。建築技術更是如此。不久之前,建築裝置和其管理系統各自獨立運作,安全風險微乎其微。當時,只要對IT網路進行實體或虛擬分段和隔離,就足以為建築物管理系統提供必要的安全。隨著物聯網(IoT)問世,這種情況開始發生變化,也對建築技術產生了深遠的影響。
如今憑藉物聯網,建築裝置可以連線上網,並且不再與建築管理系統相互隔離。裝置連上網路後,甚至還能從全球各地存取和控制。它們彼此以及與組織 IT系統之間皆可通訊,進而形成更大規模的企業網路。如此可帶來強大功能,但也帶來了其他挑戰。
IT部門對此顧慮日深。由於建築物裝置透過網路通訊,許多IT主管擔心駭客會經由建築管理系統攻擊組織,這份恐懼其來有自。在2014年的大型連鎖零售商攻擊事件中,冷凍空調系統遭駭客入侵,並用於滲透金融系統。超過4000 萬客戶的信用卡資訊遭竊。三年後,網路犯罪分子從北美一座賭場竊取一名富豪賭客的資料庫,他們的手法是經由大廳水族箱中的網路恆溫器獲得存取權限。
如今,建築物的業主、營運商與IT部門都有相同的顧慮。在2019上半年,資料外洩導致超過41億筆紀錄曝光。一如以往,駭客透過垃圾郵件網路釣魚來存取建築物管理系統,並使用冷凍空調系統入侵企業IT網路和資料中心。
圖1 : 不肖分子犯行猖獗,也造成日益嚴重的後果。 |
|
33年成功故事延續至今
1987年,早在網路安全的概念普及之前,美國冷凍空調協會(ASHRAE)就著手研擬一項通訊協定,稱為「建築自動化和控制網路」(BACnet)。BACnet具有革命性的意義,因為它使不同廠商的設備能夠彼此通訊,進而實現裝置之間無縫整合的互通性。如今,其已成為領先的建築自動化協定,在商辦市場佔有60%的比例。超過1,000家製造商將BACnet通訊規則納入各種建築相關產品和系統,包括冷凍空調、照明、門禁、電梯和安全系統。
BACnet的最新發展-BACnet安全連線(BACnet Secure Connect;BACnet/SC)-是重要的網路安全革新成果。這項機制具備智慧型設計,既可回溯相容於既有的BACnet設備,同時高度支援各種IT環境。
物聯網普及的影響
BACnet的成長同時伴隨著全球資訊網擴增以及物聯網的問世。市場對於物聯網功能需求成倍增加,互通性和網路存取也成為建築裝置和系統的重要功能。
實際上,商辦建築廣泛採用物聯網的趨勢改寫了遊戲規則。這加快了IT和營運技術(OT)的融合,前者負責管理數位資訊或資料流,後者包括建築系統,如冷凍空調、監控和門禁系統。IT和OT共同擷取關鍵營運資料,使用者(例如建築業主和管理人員)藉此使其設施更加舒適、安全有保障。物聯網使系統和裝置更加智慧且密切相連,為製造商和服務組織創造了提升價值的新契機。
提高OT安全的需求
隨著產業和連線能力改變,資料外洩相關風險上升,促使人們要求改善OT安全性。如今,BACnet/IP裝置可以輕鬆加入任何採用網際協定(IP)的網路中。這有利於靈活、輕鬆交換資料,但也可能導致潛在的風險。當這些裝置與企業共用同一個網路,就可以開啟整個企業系統以進行資料探勘、竄改或未經核准的重新配置。由於具有損壞建築設備的潛在風險,因此系統安全性成為不可或缺的條件,而且客戶也愈來愈常提出相關要求。
BACnet/IP的現況如何?此系統可與IT部門進行協調,以確保網路妥善分段和隔離。可以使用虛擬區域網路(VLAN)、防火牆或虛擬專用網(VPN)等措施來保護其裝置。但是,這種安全措施可能既複雜且昂貴。
從建築自動化的角度來看,裝置和建築網路層級都必須設置身份驗證及加密等安全機制。直接在 BACnet協定堆疊中建構更出色的安全性,是一種標準化且功能強大的邏輯解決方案。如果駭客透過OT系統攻擊組織,那麼可靠的BACnet安全解決方案將是最後一道防線。
BACnet/SC的優勢
BACnet/SC是強大的防禦機制。BACnet/SC採用與網路銀行同樣可靠的技術,使建築自動化網路中的通訊安全達到金融交易的嚴格等級。ASHRAE並未發明新的獨立安全措施,而是採用了IT界公認的網路安全技術。由於 BACnet/SC本身高度支援IT環境,因此不需要額外的VPN設備或軟體,即可可以輕易與IT基礎架構整合。但是,BACnet/SC最重要的優勢在於能夠為裝置層級提供安全性,進而使用傳輸層安全性(TLS)和X.509認證來保護跨雲端和設施內裝置之間的通訊,此機制與網路銀行連線和其他關鍵應用程式相同。
目前已經定義BACnet/SC的標準,但目前尚未有認證測試。BACnet/SC可相容於一切既有和未來的BACnet部署和裝置。BACnet/SC與現有IT標準和實物的結合,為組織的建築自動化基礎架構提供了更強大的安全解決方案;同時還可支援組織開發新的雲端應用程式,並運用安全性創新成果來確保建築自動化投資的未來效益。
(本文作者Alina Matyukhina為西門子智慧基礎建設網路安全經理)