增加安全措施的需要每天都在增加。隨著技術的發展和滲透網絡和計算機系統的方法的發展，識別在線的不良行為者變得越來越困難。這在當今遠程訪問企業數據、運營技術(OT)網絡和由控制器、傳感器和數據聚合器組成的智能建筑系統的世界中尤為重要。

一段時間以來，商業建筑中的通用網絡連接和部署傳感器或物聯網 (IoT) 設備一直受到關注，因為建筑業主、設施管理人員和承包商正在尋求提高效率、更強大的運營性能和改善居住者舒適度的機會.

但是，端點越多，漏洞就越多。因此，利益相關者需要考慮安全問題，以確保這些新設備不會成為攻擊媒介，不僅會給建筑物的運營帶來風險，還會給租戶的運營帶來風險。

利益相關者需要考慮安全問題，以確保這些新設備不會成為攻擊媒介，不僅會給建筑物的運營帶來風險，還會給租戶的運營帶來風險。

在具有控制相關設備的網絡中，安全漏洞可能會造成嚴重后果。因此，理解物聯網建筑安全最佳實踐和協議對于保障設施的安全至關重要，進而保護設施的租戶和居住者。

物聯網設備：新的漏洞點

嵌入軟件、傳感器和先進技術的物聯網系統實現了建筑系統之間的連接和通信，但它們也可能引入漏洞和安全威脅點。在設計和部署網絡時，應考慮到功能和安全性。

由于網絡類設備的設計和實施不是控制承包商的核心能力，他們通常會安裝用于操作控制的底層網絡以及監督控制器。他們的主要目標是完成項目，但可能無法解決現代安全威脅。雖然他們將驗證控制值是否有效，但不幸的是，他們的重點并不是確保網絡安全。

然后無意中創造了一場完美的漏洞風暴。沒有硬件制造商或建筑承包商愿意故意引入漏洞。

與具有深入構建物聯網專業知識的系統集成商合作對于實施設計合理的安全架構非常寶貴，該架構可以使系統保持最新、安全并免受風險影響。他們應該了解以團隊為基礎的方法與建筑物的 IT 部門合作開發一系列安全解決方案。

構建安全性的最佳實踐

為了符合最佳實踐和協議，系統集成商及其 IT 合作者應采取以下三個關鍵步驟：

1、執行漏洞評估

首先，為了確定建筑物的安全狀況，團隊需要進行安全評估，查看數據流量的方向，以更好地了解端到端的運營風險，并識別物聯網設備默認設置中的弱點。該基線的一部分應該是確定在運營技術網絡的設計和實施中是否遵循了最佳實踐方法。這可以成為您堅持供應商在配置網絡訪問時使用最小權限原則的起點。最小權限原則將信息訪問限制在用戶進行工作所需的最低限度，是“零信任”的支柱之一。

零信任指的是，一個組織的應用、軟件、網絡或系統內外的所有用戶或設備，在被授予訪問所請求資源的權限之前，都必須經過身份驗證和確認；例如，需要訪問 BMS 系統的控制技術人員。即使他們以前可以訪問系統，下次也不會自動獲得訪問權限：他們必須每次都向零信任訪問平臺進行身份驗證。

根據評估結果，系統集成商可以與樓宇管理部門合作設計和安裝安全系統，以物理方式保護啟用 IP 的設備并提供擴展保護，防止未經授權的進入。這可能包括生物識別鎖、外部監視監控、存儲訪問控制和訪客訪問管理。

2、改進訪問控制以提高組織安全性

系統集成公司應要求其所有員工和承包商在訪問建筑物系統之前簽署保密協議。應使用具有雙因素或多因素身份驗證的加密隧道保護對服務器的遠程訪問，并嚴格限制為有權訪問特定項目的物聯網設備或應用的用戶。

所有訪問都必須通過IP地址記錄，以進一步確保嚴格的安全性；系統訪問必須配置為僅限制對系統的指定和必要部分的訪問。可以部署智能分析以在設施系統內實時實施訪問角色和用戶權限。

3、應用安全自動化功能和加密

監控并自動標記安全風險（例如過多的登錄失敗）和可疑活動（例如惡意軟件或病毒）的系統對于物聯網構建安全最佳實踐和協議至關重要。網絡行為異常檢測可以成為網絡安全解決方案的關鍵組成部分。

此外，通過建筑物的運營技術網絡發送的所有數據都需要加密。這意味著開發一種有效的方法來管理加密證書并使用現代加密標準，例如Triple DES、AES或RSA，它們提供最高級別的安全性。

為 OT 和 IT 部署零信任模型

零信任的“有罪直到被證明是無辜的”方法可以在必須解決威脅之前遠離危險；它還具備在發現這些威脅時對其作出反應的能力。傳統的數據安全策略已經形成了強大的邊界來阻止攻擊者。不幸的是，這缺乏一致性，并且經常落后于不斷發展的數據盜竊方法。

以前，網絡安全側重于保護信息技術而不是運營技術。通過零信任，組織的 IT 和 OT 部分同時受到保護，包括從驗證遠程員工中的員工真實性到保護整個組織的高度敏感的基礎設施的所有內容。

零信任模式已被廣泛接受。以美國為例，今年早些時候，白宮要求在 2024 財年末之前為所有聯邦機構實施零信任戰略。

雖然 IT 是必不可少的并且應該受到保護，但 OT 是企業的大部分底線所在。如果對 OT 的攻擊導致重大變化，企業及其利益相關者將面臨令人難以置信的時間、資源、信任和聲譽損失。

創建更有效的安全策略和策略

物聯網及其相關技術在商業建筑中引入了不斷演變的安全問題。

美國最近通過的2020 年物聯網 (IoT) 網絡安全改進法案肯定了這些擔憂的重要性。該法案概述了旨在解決物聯網設備漏洞的新安全標準，提供了報告漏洞的指南，并提供了漏洞披露的要求。

但是，雖然這些努力是朝著更好的安全性邁出的一步，但它們還不足以提供可靠的安全性。隨著網絡威脅的不斷出現，制定強有力的戰略來管理與先進物聯網技術相關的系統漏洞仍然至關重要。

用于物聯網設備的網絡的安全性取決于我們為我們的建筑和投資組合建立最佳實踐的堅實基礎的能力，包括零信任等模型。