確保智能建筑IT和OT系統(tǒng)的物理安全
以下是保護(hù)建筑物內(nèi)數(shù)據(jù)中心、網(wǎng)絡(luò)機(jī)柜以及相關(guān)物聯(lián)網(wǎng)和布線方面的常見挑戰(zhàn)和建議。
智能建筑充滿了關(guān)鍵技術(shù),這些技術(shù)創(chuàng)建了一個(gè)始終連接的環(huán)境,旨在高效、安全、信息豐富,并歡迎所有居住者和訪客。然而,隨著技術(shù)的發(fā)展,我們有責(zé)任確保這些技術(shù)安全運(yùn)行,并防止篡改。讓我們看看在保護(hù)建筑物內(nèi)數(shù)據(jù)中心、網(wǎng)絡(luò)機(jī)柜以及相關(guān)物聯(lián)網(wǎng)和布線方面的常見挑戰(zhàn)。
保護(hù)現(xiàn)場數(shù)據(jù)中心
當(dāng)現(xiàn)場數(shù)據(jù)中心內(nèi)的關(guān)鍵任務(wù)IT和OT基礎(chǔ)設(shè)施受到物理保護(hù)時(shí),安全和IT專家必須采取內(nèi)外兼修的方法。首先,必須從數(shù)據(jù)中心外圍開始保護(hù)和監(jiān)控所有入口/出口點(diǎn)。一個(gè)建議:不要使用物理鑰匙或密碼鎖,因?yàn)槊荑€副本和密碼很容易被共享或泄露。相反,智能門控制器系統(tǒng)對誰可以訪問什么和何時(shí)訪問提供了更高級別的控制。且還提供了物理安全事件發(fā)生時(shí)進(jìn)出數(shù)據(jù)中心的歷史和可搜索的時(shí)間軸。至少,應(yīng)使用密鑰卡訪問的實(shí)施。對于更敏感的環(huán)境,使用生物識別技術(shù)進(jìn)行物理訪問越來越受歡迎。
一旦外圍環(huán)境是安全的,應(yīng)使用多層策略進(jìn)一步細(xì)分?jǐn)?shù)據(jù)中心訪問。這包括限制關(guān)鍵任務(wù)領(lǐng)域,如網(wǎng)絡(luò)基礎(chǔ)設(shè)施硬件和存放敏感數(shù)據(jù)的服務(wù)器。在許多情況下,數(shù)據(jù)中心是圍繞依賴于智能訪問控制系統(tǒng)的關(guān)鍵基礎(chǔ)設(shè)施建造的。固定單個(gè)設(shè)備機(jī)架將進(jìn)一步限制訪問,僅允許授權(quán)人員與硬件進(jìn)行物理交互。這種分層的數(shù)據(jù)中心訪問方法允許對誰可以訪問什么進(jìn)行精準(zhǔn)控制。
最后,規(guī)劃人員應(yīng)該部署監(jiān)控?cái)z像頭,在數(shù)據(jù)中心內(nèi)提供多個(gè)重疊視圖的全方位覆蓋。現(xiàn)代監(jiān)控?cái)z像頭生產(chǎn)高清晰度和超高清視頻作為標(biāo)準(zhǔn),但設(shè)備的成本也在過去十年中大幅下降。對于新的部署,可尋找最低分辨率為1080像素的監(jiān)控?cái)z像頭。
保護(hù)網(wǎng)絡(luò)機(jī)柜
在大型建筑或校園中,規(guī)劃人員應(yīng)戰(zhàn)略性地定位網(wǎng)絡(luò)機(jī)柜,以便為終端用戶和設(shè)備提供網(wǎng)絡(luò)訪問。這些機(jī)柜的物理位置主要取決于標(biāo)準(zhǔn)銅纜和光纖以太網(wǎng)電纜的距離限制。對于新建筑,網(wǎng)絡(luò)機(jī)柜是建筑設(shè)計(jì)過程的一部分。然而,對于傳統(tǒng)建筑和校園,網(wǎng)絡(luò)機(jī)柜空間必須進(jìn)行改造。
網(wǎng)絡(luò)機(jī)柜的一個(gè)問題是,它們是獲得未經(jīng)授權(quán)訪問智能建筑網(wǎng)絡(luò)的絕佳途徑。在傳統(tǒng)建筑中,物理安全并不是最重要的,網(wǎng)絡(luò)機(jī)柜往往是事后才建的。這導(dǎo)致機(jī)柜有多個(gè)入口,比如門和窗。這也導(dǎo)致了網(wǎng)絡(luò)機(jī)柜被用作存儲辦公家具和清潔用品的“共享空間”的獨(dú)特可能性。
讓人們遠(yuǎn)離網(wǎng)絡(luò)邊緣交換機(jī)應(yīng)該是一個(gè)優(yōu)先事項(xiàng)。這意味著網(wǎng)絡(luò)機(jī)柜應(yīng)該被指定為IT專用房間,并且訪問權(quán)限應(yīng)該僅限于網(wǎng)絡(luò)運(yùn)營(NetOps)團(tuán)隊(duì)成員。每個(gè)機(jī)柜應(yīng)安裝相同的門控制器和監(jiān)控系統(tǒng)。
重要的是,NetOps團(tuán)隊(duì)?wèi)?yīng)該對交換機(jī)進(jìn)行編程,以便將所有未使用的端口置于禁用狀態(tài)。這確保即使獲得了對機(jī)柜的未授權(quán)訪問,也可拒絕網(wǎng)絡(luò)訪問。基于MAC的白名單、802.1x認(rèn)證和微分割也可以在網(wǎng)絡(luò)機(jī)柜交換機(jī)上使用,這將進(jìn)一步阻止用戶插入未經(jīng)授權(quán)的設(shè)備。
保護(hù)Wi-Fi和物聯(lián)網(wǎng)硬件
此外,在公共和半公共區(qū)域的設(shè)備的訪問和篡改也必須受到限制。這些設(shè)備包括Wi-Fi接入點(diǎn)、物聯(lián)網(wǎng)傳感器、監(jiān)控?cái)z像頭和操作技術(shù)(OT)系統(tǒng),如工業(yè)控制系統(tǒng)和暖通空調(diào)控制器。
在某些情況下,制造商在終端設(shè)備和安裝支架中包含防篡改功能。這包括防篡改螺釘,使硬件不容易拆卸,以及物理鎖或鎖扣,使以太網(wǎng)電纜難以從建筑技術(shù)中拔出。在大多數(shù)情況下,使用制造商提供的防篡改工具就足夠了。然而,可能需要額外的保護(hù)措施,包括使用可壁掛式和可鎖定的設(shè)備機(jī)架。
在保護(hù)IT/OT系統(tǒng)時(shí),這些類型設(shè)備的物理位置也會產(chǎn)生巨大的差異。例如,將接入點(diǎn)或物聯(lián)網(wǎng)傳感器安裝在天花板的高處(10英尺或更高),可以阻止大多數(shù)篡改企圖。網(wǎng)絡(luò)布線也是如此。確保電纜敷設(shè)在天花板的高處,最好是隱藏在懸掛的天花板瓷磚中。
最后,在交通流量較少但更脆弱的區(qū)域,如OT系統(tǒng)所在的區(qū)域,可以配置監(jiān)控?cái)z像頭,在檢測到運(yùn)動時(shí)實(shí)時(shí)提醒安全人員。這些區(qū)域的基于運(yùn)動的監(jiān)控?cái)z像頭不僅有助于阻止設(shè)備被篡改,且還可以檢測到其他建筑問題,并提供警報(bào),例如管道破裂或泄漏。