关键要点
- 建筑网络安全设计必须充分考量工程应用场景,以防安全机制本身引发运营故障。
- 安全控制措施应优先确保“故障安全”特性,从而保障建筑在安全系统发生故障时仍能维持安全且可控的状态。
- 若将通用的IT安全实践直接套用于建筑系统,可能会引发延迟及运行中断;因此,制定针对性的安全策略至关重要。
- 在发生安全故障时,运营人员必须保有相应的权限与控制权;同时,系统设计应确保其能够自动回退至安全状态。
- 将网络安全故障演练纳入日常运营流程,有助于及时发现潜在漏洞并提升系统的韧性。
随着智能建筑的互联程度日益提高,网络安全正逐渐被视为一种标准的IT问题——即限制访问、加密通信、对每台设备进行身份验证,并持续监控是否存在异常。这些做法在企业网络中已是行之有效的成熟实践,因此也常被推荐应用于智能建筑领域。
然而,建筑不仅仅是网络。它们更是实体的物理系统,负责调控气流、温度、照明以及空间进出权限。如果实施网络安全控制时脱离了工程背景,不仅可能引入网络安全风险,更可能引发新的风险——即运营故障风险。在建筑环境中,网络安全的目标不仅在于抵御攻击者,更在于确保即使安全机制发生故障,建筑系统依然能够持续、安全且可预测地运行。
为何这至关重要:真实的建筑场景
试想一座大型且正在使用的办公大楼,内部配备了一套集中式暖通空调(HVAC)系统。为了提升网络安全性,该系统在建筑管理系统(BMS)服务器与现场控制器之间增设了加密通信与设备身份验证机制。访问权限受到严格限制,并采用了“零信任”原则,要求每一条连接都必须经过持续的验证。
从理论上看,这座建筑似乎变得更加安全了。
数月之后,部分HVAC控制器未能按计划完成常规的证书续期。当系统尝试重新进行身份验证时,通信随即中断。这些控制器不再响应来自BMS的指令。由于没有任何报警提示机械设备发生故障,操作人员起初并未察觉到这一问题。
数小时内,楼内人员开始陆续反映温度和通风方面出现了异常。部分区域的环境参数甚至偏离了可接受的正常范围。操作人员试图介入处理,却发现自己的访问权限正受到那些原本旨在保护系统的安全控制机制的限制。尽管这座建筑并未遭受黑客攻击,但它已无法再安全、可预测地正常运行了。
在这个案例中,网络安全防线并非因攻击者的入侵而失效。其失效的根本原因在于:安全机制本身已深度嵌入并成为了控制系统的一部分;当这些安全机制发生故障时,整个建筑系统也随之陷入了瘫痪。
为何适用于IT环境的安全控制措施可能会导致楼宇系统瘫痪
许多网络安全实践都基于这样一个假设:系统能够容忍延迟、中断或暂时的连接丢失。然而,楼宇控制系统往往无法承受这些状况。
楼宇自动化设备通常服役期长达15至30年,且在设计之初并未考虑到频繁的凭据变更、加密开销或持续认证等需求。控制通信往往具有确定性且对时延高度敏感。引入网络延迟、丢包或握手失败等问题,可能会以一种隐蔽却严重的方式扰乱原有的控制逻辑。
在老旧楼宇中,为了支持现代网络安全特性而全面更换所有设备,往往在现实中难以实现。因此,安全控制措施通常只能被强行叠加在那些原本未针对此类需求进行设计的系统之上,从而使得网络安全本身反而沦为了潜在的“单点故障”源。
隐匿的风险:当安全控制措施率先失效时
在楼宇环境中,网络安全故障很少会以典型的“网络安全事件”形式显现出来。相反,它们往往表现为用户对舒适度的投诉、气流调节异常、门禁系统失灵,或是系统彻底停止响应等问题。一旦安全控制措施干扰了操作人员的监控视野或控制权限,不仅故障响应时间会随之延长,操作人员对现场态势的感知能力也会随之下降。
零信任架构(Zero-trust architectures)若应用于用户访问权限管理及远程管理接口,通常能发挥出良好的成效。然而,若将其不加区分地强行套用于楼宇的实际运行控制路径上,则可能会导致那些必须保持持续畅通的通信链路发生中断。数据加密技术固然能够保护传输中的数据安全,但若将其应用于资源受限的控制器设备上,反而可能引发通信延迟或故障,进而危及整个系统的稳定性。
在上述情境下,原本旨在保护楼宇安全而实施的网络安全措施,却在无意之中反倒成为了引发楼宇运营中断的罪魁祸首。
故障安全思维必须应用于网络安全领域
在传统的建筑设计中,关键系统被要求具备“故障安全”(Fail-Safe)特性。当电力或通信中断时,防火阀会自动关闭,阀门会移至预设位置,设备也会进入可预测的状态。网络安全机制理应遵循同样的标准。
如果某项网络安全控制措施失效——无论是由于配置错误、过期失效还是软件故障所致——它绝不应导致建筑陷入不安全或失控的状态。在设计网络安全方案时,若缺乏故障安全行为的考量,可能会无意中将原本用于防护的控制措施转化为潜在的运行隐患。
以工程思维主导的网络安全策略,不仅要求我们思考系统如何受到保护,更要求我们思考:当防护机制本身失效时,系统将如何运行?
进步与局限:关于新兴技术的一点说明
像 BACnet/SC 这样的新兴技术,标志着建筑自动化系统在提升安全性方面迈出了重要一步;在支持该技术的场景下,它能提供更为强健的防护能力。
然而,BACnet/SC 目前尚未得到广泛部署,且其设计初衷并非为了适配那些已运行数十年的老旧设备。在未来很长一段时间内,大多数既有建筑仍将继续依赖其原有的传统系统运行。因此,网络安全策略的设计必须立足于当前的运行约束条件,而非简单地预设对基础设施进行全面彻底的更新换代。
以工程思维主导的网络安全:一种不同的目标导向
以工程思维主导的网络安全策略,其出发点有着本质的不同。它不再仅仅局限于防范未经授权的访问,而是提出一个更为根本性的问题:当网络安全机制失效时,建筑系统将呈现出何种运行状态?
某些安全控制措施终将失效,有些失效过程将是“静默”无声的,而有些失效甚至可能发生在系统的正常运行期间,而非仅限于遭受网络攻击之时。衡量其成败的标准,不再仅仅是成功阻断了多少连接请求或触发了多少告警通知,而在于:在遭遇各类不利状况时,建筑系统能否依然保持安全、可控且运行状态可预测。
工程主导型安全在实践中是怎样的?
对于建筑业主和设施管理者而言,这种转变并不意味着要摒弃网络安全最佳实践,而是要以面向运营的视角去应用这些实践。
一种以工程为核心的方法,能够将网络安全原则适配于建筑系统的实际运行环境。
保护访问权限,而非实时控制路径。将强认证和“零信任”理念应用于用户访问和远程管理环节,而非应用于确定性的控制回路中。
设计具备“故障安全”(Fail-Safe)特性的网络安全控制措施。确保当通信链路或安全机制发生故障时,系统能够自动切换至已知的、安全运行的状态。
维护操作员的控制权限。在发生突发事件时,即使网络安全控制措施失效,操作员也必须能够重新夺回系统的控制权。
使网络分段与物理功能相契合。网络边界的划分应反映系统在运营层面的交互方式,而不仅仅是基于网络拓扑结构的组织方式。
像测试电力故障一样测试网络安全故障。网络安全事件的应对演练,应当被纳入常规的运营测试与应急响应规划之中。
这种方法将网络安全视为系统可靠性与安全性不可分割的一部分,而非仅仅作为一种外加的、独立的防护层。
建筑业主应做出哪些改变?
对于建筑业主和设施管理者而言,工程主导型的网络安全理念意味着要重新定义“成功”的标准。
切勿想当然地认为,可以将IT安全控制措施原封不动地直接套用于建筑系统之中。
将“控制权丧失”视为网络安全领域首要的核心风险。
在评估安全机制时,不仅要关注其“如何提供防护”,更要追问其在“失效时会发生什么”。
确保在对遗留系统实施防护的同时,不使其变得过于脆弱或僵化。
衡量成功的标准,应是建筑系统能否保持安全的运行状态,而非仅仅看是否成功阻断了网络连接。
采取上述措施,有助于避免网络安全防护本身反而成为引发建筑系统故障的新隐患。
展望未来
智能建筑将持续朝着高度互联的方向演进,而网络安全的重要性也将始终如一。然而,要真正实现对建筑的有效防护,绝非仅仅照搬IT安全领域的惯常做法,也非仅仅专注于如何击退攻击者。
通过将网络安全视为一门严谨的工程学科——并将其根植于“故障安全”机制与“运营韧性”的基础之上——建筑业主便能在不牺牲系统可靠性的前提下,有效降低各类风险。在智能建筑的语境下,网络安全的真正成功,并非仅仅体现在成功阻断了攻击的那一刻,而在于建筑系统能够始终保持安全、可预期且处于受控状态下的持续运行。
参与评论 (0)