通常�,我們說到建筑智能化系統(tǒng)安全的時候,很容易想到安全防范子系統(tǒng)����,而對于整個建筑物智能化系統(tǒng)的自身安全可靠性缺乏認識���,以及對整個大網的安全威脅��。
在一個新建智能建筑中�����,包含了多個如BAS、FAS���、SAS���、CAS、OAS等子系統(tǒng)�,共同服務和支撐著建筑物的運行。隨著技術發(fā)展�,對智能化要求越來越高,系統(tǒng)之間的協(xié)同配合程度越來越高�����,已經逐漸延伸到建筑物中的企業(yè)信息化和行業(yè)智能化系統(tǒng)�。
例如一個醫(yī)院綜合大樓����,不僅有傳統(tǒng)的視頻監(jiān)控�����、門禁�、報警、廣播等系統(tǒng)�����,有HIS�����、LIS�、PACS等醫(yī)院業(yè)務系統(tǒng),以及排隊叫號��、護士呼叫�、自主查詢等行業(yè)特色智能化系統(tǒng)。這些系統(tǒng)之間的關系越來越密切��,有些系統(tǒng)開始相互融合��,邊界也越來越模糊。
通常�,我們說到建筑智能化系統(tǒng)安全的時候,很容易想到安全防范子系統(tǒng)����,而對于整個建筑物智能化系統(tǒng)的自身安全可靠性缺乏認識,以及對整個大網的安全威脅��。
安全威脅分析
1���、物理安全威脅風險
物理安全是任何時候任何系統(tǒng)都會存在的一個問題�,絕對的消除也是不太現實���,例如火災、地震�����、人為破壞等等��。從防破壞(有意或無意)的角度看智能化系統(tǒng)的組成��,其中系統(tǒng)的線路���、協(xié)議�、平臺越復雜,不僅僅是增加綜合管路和綜合布線的成本��,同時也會極大的增加線路故障風險�����。
2���、控制網絡安全威脅風險
智能化系統(tǒng)中控制網絡是相當重要的組成部分����,特別是BAS��、FAS��、SAS等系統(tǒng)���,由于技術發(fā)展的原因�����,起初控制網絡是相對封閉的系統(tǒng)��,隨著IP化發(fā)展趨勢�,對IP網傳輸能力、數據校驗�、協(xié)議安全、數據加密等逐漸暴露出安全短板���。
3��、基礎網絡可靠性風險
通常一個項目中���,信息化業(yè)務網絡往往會引起更多重視和投資,對于智能化網絡��,有時會抱著互聯(lián)互通即可的態(tài)度�����,不僅在網絡設備的選型���,網絡架構的規(guī)劃和細分都沒有足夠的重視,導致智能化基礎網絡的可用性和可靠性存在較大的風險��。特別是智能化系統(tǒng)音視頻應用越來越多��,例如高清視頻監(jiān)控、信息發(fā)布��、呼叫系統(tǒng)等等��,對于網絡的性能和可靠性要求已經越來越高了���。
4�、信息數據的安全威脅風險
信息數據安全已經得到大家的共識�,可能有人會問到這個問題和建筑智能化有什么關系呢。的確�����,以往智能化系統(tǒng)多數是單個系統(tǒng)設計和建設����,隨著智能化系統(tǒng)IP 應用越來越多,特別是系統(tǒng)之間協(xié)作程度增加���,系統(tǒng)之間的信息數據交換�、采集控制交互也越來越重要����。智能化系統(tǒng)享受IP網絡的互聯(lián)互達到同時�,其開放性也帶來了更多的外來接入風險�,不僅智能化專網的可靠性和安全性受到威脅,已智能化網絡為跳板入侵企業(yè)信息網的安全事件也時有發(fā)生����。采用物理隔離的單獨建網不僅增加了用戶的投資成本和管理維護成本,也難以滿足多系統(tǒng)之間交互的實際需求���,同時���,智能化網絡的自身可靠性也并沒有實質性的改善。
探索解決之道
1��、物理安全對策
首先從設備���、設備安裝環(huán)境�����、線路和日常管理幾個方面著手考慮���,采用單介質傳輸技術,盡量采用光纖����、雙絞線作為傳輸媒介,封閉的綜合管路系統(tǒng)�����,簡化傳輸介質和線路的復雜性�,提高傳輸可靠性。設備選型時考慮智能化系統(tǒng)的對網絡的性能需求和冗余機制�����,以及設備對環(huán)境的適應性��,例如溫濕度�����、防塵防雷等�。根據設備的安裝部署,例如設備間���、樓道豎井�����、室外弱電箱等位置����,選擇合適的設備和通訊連接方案。
2���、控制網絡安全對策
對控制網絡的安全威脅對策����,其實是一個多系統(tǒng)的工程����,不僅需要IP網絡的的接入安全、訪問控制安全�����、數據傳輸加密校驗等�����,還需要控制系統(tǒng)廠家的協(xié)議體系結構和產品等多方面的安全功能���。當前首先可以從基礎網絡的防入侵防破壞�����、提高可靠性穩(wěn)定性入手�。
3���、基礎網絡可靠性對策
特別是智能化基礎網絡可靠性主要包括2個大的方面����,一是網絡設備和傳輸鏈路的可靠性;二是智能化系統(tǒng)的不同數據類型速率和傳輸質量敏感度的可靠性���。通過設備自身可靠性和設備��、部件�����、線路冗余機制提高物理網絡層面安全����,同時采用QoS技術��,對不同智能化系統(tǒng)的數據進行分類,按數據傳輸特性分組��,設置不同優(yōu)先級����,保障關鍵和敏感的系統(tǒng)傳輸的時效性,例如報警�����、控制等信號優(yōu)先級最高���。同時對不同的分組進行標簽計數�����,在所有傳輸環(huán)節(jié)的端口進行標簽計數比對����,快速診斷傳輸質量和故障點�����。
4�����、信息數據安全對策
智能化網絡中主要是各類啞終端設別,其可操作性差����,安全威脅較弱�,管理服務器多在機房和控制室,由專人操作管理�����,容易進行安全控制��。從智能化系統(tǒng)的網絡安全角度����,主要指防止智能化網絡的私自接入和智能化系統(tǒng)為跳板入侵信息化網絡。
從規(guī)劃設計的角度��,采用區(qū)域化組網���,便于子網之間的隔離控制和管理�,如圖示意:
智能化網絡中部署ESS對全網啞終端設備進行掃描����,利用MAC地址自動學習功能��,快速生產白名單�。當有人私自接到樓層交換機或是拔下攝像頭����、自助查詢機的網線插到電腦上,交換機端口通過白名單比對��,判斷接入電腦為非法終端���,禁止接入�����,并記錄認證失敗日志彈窗告警�。如需移除設備或是新增�����、替換設備時�,只需在后臺管理服務器上刪除和添加相應記錄即可。
同時,采用ESS軟件認證方式�����,不僅容易實現對設備的入網管理�����,而且投資較少�,對智能化系統(tǒng)架構和網絡架構沒有影響,易于部署和實施��。
智能化網絡的邊界通過防火墻等訪問控制手段接入全網交換機平臺��,實現各個網絡之間的安全訪問控制�,在沒有互聯(lián)互通的需求前提下�,可采用斷開鏈路物理隔離手段。
結語
綜上所述��,隨著建筑智能化系統(tǒng)的網絡程度越來越高����,潛在安全威脅也越來越凸顯,例如曾報道的斯坦福大學附屬醫(yī)院2500名患者數據信息泄密事件����、福建多家醫(yī)院患者信息被竊事件等等�����。
當然在實際的項目中�����,由于智能化系統(tǒng)的規(guī)模和應用的不同�����、集成程度的差異���,因此對安全的要求也各不相同,也不一定要對所有的建筑智能化系統(tǒng)采用最好的安全措施和設備����,而是要從滿足實際需求的角度出發(fā),考慮少投資���、易管理����、保安全的平衡點。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網共享平臺��。如使用任何字體和圖片文字有冒犯其版權所有方的����,皆為無意。如您是字體廠商�����、圖片文字廠商等版權方�����,且不允許本站使用您的字體和圖片文字等素材���,請聯(lián)系我們,本站核實后將立即刪除�!任何版權方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的�,均視為新型網絡碰瓷及敲詐勒索,將不予任何的法律和經濟賠償�!敬請諒解!
粵公網安備 44030402000264號