確保智能建筑IT和OT系統(tǒng)的物理安全
以下是保護建筑物內(nèi)數(shù)據(jù)中心、網(wǎng)絡機柜以及相關(guān)物聯(lián)網(wǎng)和布線方面的常見挑戰(zhàn)和建議。
智能建筑充滿了關(guān)鍵技術(shù),這些技術(shù)創(chuàng)建了一個始終連接的環(huán)境,旨在高效、安全、信息豐富,并歡迎所有居住者和訪客。然而,隨著技術(shù)的發(fā)展,我們有責任確保這些技術(shù)安全運行,并防止篡改。讓我們看看在保護建筑物內(nèi)數(shù)據(jù)中心、網(wǎng)絡機柜以及相關(guān)物聯(lián)網(wǎng)和布線方面的常見挑戰(zhàn)。
保護現(xiàn)場數(shù)據(jù)中心
當現(xiàn)場數(shù)據(jù)中心內(nèi)的關(guān)鍵任務IT和OT基礎設施受到物理保護時,安全和IT專家必須采取內(nèi)外兼修的方法。首先,必須從數(shù)據(jù)中心外圍開始保護和監(jiān)控所有入口/出口點。一個建議:不要使用物理鑰匙或密碼鎖,因為密鑰副本和密碼很容易被共享或泄露。相反,智能門控制器系統(tǒng)對誰可以訪問什么和何時訪問提供了更高級別的控制。且還提供了物理安全事件發(fā)生時進出數(shù)據(jù)中心的歷史和可搜索的時間軸。至少,應使用密鑰卡訪問的實施。對于更敏感的環(huán)境,使用生物識別技術(shù)進行物理訪問越來越受歡迎。
一旦外圍環(huán)境是安全的,應使用多層策略進一步細分數(shù)據(jù)中心訪問。這包括限制關(guān)鍵任務領(lǐng)域,如網(wǎng)絡基礎設施硬件和存放敏感數(shù)據(jù)的服務器。在許多情況下,數(shù)據(jù)中心是圍繞依賴于智能訪問控制系統(tǒng)的關(guān)鍵基礎設施建造的。固定單個設備機架將進一步限制訪問,僅允許授權(quán)人員與硬件進行物理交互。這種分層的數(shù)據(jù)中心訪問方法允許對誰可以訪問什么進行精準控制。
最后,規(guī)劃人員應該部署監(jiān)控攝像頭,在數(shù)據(jù)中心內(nèi)提供多個重疊視圖的全方位覆蓋。現(xiàn)代監(jiān)控攝像頭生產(chǎn)高清晰度和超高清視頻作為標準,但設備的成本也在過去十年中大幅下降。對于新的部署,可尋找最低分辨率為1080像素的監(jiān)控攝像頭。
保護網(wǎng)絡機柜
在大型建筑或校園中,規(guī)劃人員應戰(zhàn)略性地定位網(wǎng)絡機柜,以便為終端用戶和設備提供網(wǎng)絡訪問。這些機柜的物理位置主要取決于標準銅纜和光纖以太網(wǎng)電纜的距離限制。對于新建筑,網(wǎng)絡機柜是建筑設計過程的一部分。然而,對于傳統(tǒng)建筑和校園,網(wǎng)絡機柜空間必須進行改造。
網(wǎng)絡機柜的一個問題是,它們是獲得未經(jīng)授權(quán)訪問智能建筑網(wǎng)絡的絕佳途徑。在傳統(tǒng)建筑中,物理安全并不是最重要的,網(wǎng)絡機柜往往是事后才建的。這導致機柜有多個入口,比如門和窗。這也導致了網(wǎng)絡機柜被用作存儲辦公家具和清潔用品的“共享空間”的獨特可能性。
讓人們遠離網(wǎng)絡邊緣交換機應該是一個優(yōu)先事項。這意味著網(wǎng)絡機柜應該被指定為IT專用房間,并且訪問權(quán)限應該僅限于網(wǎng)絡運營(NetOps)團隊成員。每個機柜應安裝相同的門控制器和監(jiān)控系統(tǒng)。
重要的是,NetOps團隊應該對交換機進行編程,以便將所有未使用的端口置于禁用狀態(tài)。這確保即使獲得了對機柜的未授權(quán)訪問,也可拒絕網(wǎng)絡訪問。基于MAC的白名單、802.1x認證和微分割也可以在網(wǎng)絡機柜交換機上使用,這將進一步阻止用戶插入未經(jīng)授權(quán)的設備。
保護Wi-Fi和物聯(lián)網(wǎng)硬件
此外,在公共和半公共區(qū)域的設備的訪問和篡改也必須受到限制。這些設備包括Wi-Fi接入點、物聯(lián)網(wǎng)傳感器、監(jiān)控攝像頭和操作技術(shù)(OT)系統(tǒng),如工業(yè)控制系統(tǒng)和暖通空調(diào)控制器。
在某些情況下,制造商在終端設備和安裝支架中包含防篡改功能。這包括防篡改螺釘,使硬件不容易拆卸,以及物理鎖或鎖扣,使以太網(wǎng)電纜難以從建筑技術(shù)中拔出。在大多數(shù)情況下,使用制造商提供的防篡改工具就足夠了。然而,可能需要額外的保護措施,包括使用可壁掛式和可鎖定的設備機架。
在保護IT/OT系統(tǒng)時,這些類型設備的物理位置也會產(chǎn)生巨大的差異。例如,將接入點或物聯(lián)網(wǎng)傳感器安裝在天花板的高處(10英尺或更高),可以阻止大多數(shù)篡改企圖。網(wǎng)絡布線也是如此。確保電纜敷設在天花板的高處,最好是隱藏在懸掛的天花板瓷磚中。
最后,在交通流量較少但更脆弱的區(qū)域,如OT系統(tǒng)所在的區(qū)域,可以配置監(jiān)控攝像頭,在檢測到運動時實時提醒安全人員。這些區(qū)域的基于運動的監(jiān)控攝像頭不僅有助于阻止設備被篡改,且還可以檢測到其他建筑問題,并提供警報,例如管道破裂或泄漏。
