确保智能建筑IT和OT系统的物理安全


以下是保护建筑物内数据中心、网络机柜以及相关物联网和布线方面的常见挑战和建议。

确保智能建筑IT和OT系统的物理安全

智能建筑充满了关键技术,这些技术创建了一个始终连接的环境,旨在高效、安全、信息丰富,并欢迎所有居住者和访客。然而,随着技术的发展,我们有责任确保这些技术安全运行,并防止篡改。让我们看看在保护建筑物内数据中心、网络机柜以及相关物联网和布线方面的常见挑战。

保护现场数据中心

当现场数据中心内的关键任务IT和OT基础设施受到物理保护时,安全和IT专家必须采取内外兼修的方法。首先,必须从数据中心外围开始保护和监控所有入口/出口点。一个建议:不要使用物理钥匙或密码锁,因为密钥副本和密码很容易被共享或泄露。相反,智能门控制器系统对谁可以访问什么和何时访问提供了更高级别的控制。且还提供了物理安全事件发生时进出数据中心的历史和可搜索的时间轴。至少,应使用密钥卡访问的实施。对于更敏感的环境,使用生物识别技术进行物理访问越来越受欢迎。

一旦外围环境是安全的,应使用多层策略进一步细分数据中心访问。这包括限制关键任务领域,如网络基础设施硬件和存放敏感数据的服务器。在许多情况下,数据中心是围绕依赖于智能访问控制系统的关键基础设施建造的。固定单个设备机架将进一步限制访问,仅允许授权人员与硬件进行物理交互。这种分层的数据中心访问方法允许对谁可以访问什么进行精准控制。

最后,规划人员应该部署监控摄像头,在数据中心内提供多个重叠视图的全方位覆盖。现代监控摄像头生产高清晰度和超高清视频作为标准,但设备的成本也在过去十年中大幅下降。对于新的部署,可寻找最低分辨率为1080像素的监控摄像头。

保护网络机柜

在大型建筑或校园中,规划人员应战略性地定位网络机柜,以便为终端用户和设备提供网络访问。这些机柜的物理位置主要取决于标准铜缆和光纤以太网电缆的距离限制。对于新建筑,网络机柜是建筑设计过程的一部分。然而,对于传统建筑和校园,网络机柜空间必须进行改造。

网络机柜的一个问题是,它们是获得未经授权访问智能建筑网络的绝佳途径。在传统建筑中,物理安全并不是最重要的,网络机柜往往是事后才建的。这导致机柜有多个入口,比如门和窗。这也导致了网络机柜被用作存储办公家具和清洁用品的“共享空间”的独特可能性。

让人们远离网络边缘交换机应该是一个优先事项。这意味着网络机柜应该被指定为IT专用房间,并且访问权限应该仅限于网络运营(NetOps)团队成员。每个机柜应安装相同的门控制器和监控系统。

重要的是,NetOps团队应该对交换机进行编程,以便将所有未使用的端口置于禁用状态。这确保即使获得了对机柜的未授权访问,也可拒绝网络访问。基于MAC的白名单、802.1x认证和微分割也可以在网络机柜交换机上使用,这将进一步阻止用户插入未经授权的设备。

保护Wi-Fi和物联网硬件

此外,在公共和半公共区域的设备的访问和篡改也必须受到限制。这些设备包括Wi-Fi接入点、物联网传感器、监控摄像头和操作技术(OT)系统,如工业控制系统和暖通空调控制器。

在某些情况下,制造商在终端设备和安装支架中包含防篡改功能。这包括防篡改螺钉,使硬件不容易拆卸,以及物理锁或锁扣,使以太网电缆难以从建筑技术中拔出。在大多数情况下,使用制造商提供的防篡改工具就足够了。然而,可能需要额外的保护措施,包括使用可壁挂式和可锁定的设备机架。

在保护IT/OT系统时,这些类型设备的物理位置也会产生巨大的差异。例如,将接入点或物联网传感器安装在天花板的高处(10英尺或更高),可以阻止大多数篡改企图。网络布线也是如此。确保电缆敷设在天花板的高处,最好是隐藏在悬挂的天花板瓷砖中。

最后,在交通流量较少但更脆弱的区域,如OT系统所在的区域,可以配置监控摄像头,在检测到运动时实时提醒安全人员。这些区域的基于运动的监控摄像头不仅有助于阻止设备被篡改,且还可以检测到其他建筑问题,并提供警报,例如管道破裂或泄漏。