Ann Bednarz

BACnet是供暖、通風(fēng)和空調(diào)（HVAC）、照明、門禁和火災(zāi)探測(cè)等建筑自動(dòng)化和控制（BAC）系統(tǒng)的通信協(xié)議。賓夕法尼亞州立大學(xué)由于BACnet的開(kāi)放性而將該協(xié)議作為標(biāo)準(zhǔn)。

賓州大學(xué)設(shè)施自動(dòng)化服務(wù)部的系統(tǒng)設(shè)計(jì)專家Tom Walker介紹說(shuō)：“任何設(shè)備，任何制造商——只要他們使用了BACnet，我們就能夠把他們整合起來(lái)。這是一種非常簡(jiǎn)潔的協(xié)議，但在部署時(shí)必須了解其特殊性，特別是大規(guī)模部署的情況。”

例如，特殊性之一是BACnet很容易產(chǎn)生廣播風(fēng)暴。數(shù)百個(gè)BACnet系統(tǒng)運(yùn)行在多個(gè)校園中，這些系統(tǒng)跨多個(gè)網(wǎng)絡(luò)，賓州大學(xué)擔(dān)心這會(huì)降低網(wǎng)絡(luò)其他部分的性能，有可能暴露出安全漏洞。

Walker說(shuō)：“大約四年前，我接手了這一基礎(chǔ)設(shè)施，覆蓋整個(gè)主校園的是一個(gè)扁平化的2層網(wǎng)絡(luò)?！彼退牟块T決定將BACnet數(shù)據(jù)流從大學(xué)的共享基礎(chǔ)設(shè)施中分離出來(lái)，以提高安全性和可管理性。

賓州大學(xué)的設(shè)施自動(dòng)化服務(wù)部門的職責(zé)包括大學(xué)聯(lián)網(wǎng)建筑的自動(dòng)化工程、網(wǎng)絡(luò)管理和監(jiān)控等。

例如，利用智能樓宇系統(tǒng)，該部門可以遠(yuǎn)程控制HVAC系統(tǒng)，從而適當(dāng)?shù)貙?duì)教室和辦公室進(jìn)行供暖和制冷，讓學(xué)生和員工感到舒適。自動(dòng)化控制也有助于保證關(guān)鍵研究實(shí)驗(yàn)室的安全運(yùn)行。

Walker介紹說(shuō)：“我們有冰川冰，這些是不可替代的。因此，我們必須監(jiān)控冰柜，以確保這些冰箱不會(huì)化凍?！辟e州大學(xué)的一棟大樓地下室里還有一臺(tái)原子鐘，那里的溫度控制在十分之一度。

設(shè)施自動(dòng)化包括物聯(lián)網(wǎng)

設(shè)施自動(dòng)化服務(wù)部的業(yè)務(wù)涉及很多地區(qū)——賓州大學(xué)有3200萬(wàn)平方英尺的建筑物，分布在全國(guó)各地的幾十個(gè)校園，2.2萬(wàn)英畝的土地上。

在640多棟建筑物中，分布著用于監(jiān)測(cè)環(huán)境的幾十套系統(tǒng)、設(shè)備和傳感器。它們收集的數(shù)據(jù)越來(lái)越多。

Walker介紹說(shuō)：“我們以前只是建筑自動(dòng)化。但是這些年來(lái)，我們已經(jīng)開(kāi)始加入更多的組件。我們現(xiàn)在管理著所有不同的公用設(shè)施網(wǎng)絡(luò)——廢水、水處理、蒸汽設(shè)備、配電，甚至是冷卻水的分配。

“對(duì)我們部門來(lái)說(shuō)，這是一次變革。我們要應(yīng)對(duì)建筑物里越來(lái)越多的設(shè)施——所有保持建筑物運(yùn)行的設(shè)施。我們通過(guò)網(wǎng)絡(luò)基礎(chǔ)設(shè)施把這些數(shù)據(jù)傳送回?cái)?shù)據(jù)中心，然后要么轉(zhuǎn)到云端，要么將其傳送給其他分析系統(tǒng)，對(duì)數(shù)據(jù)進(jìn)行分析。”

例如，設(shè)施自動(dòng)化部門開(kāi)始跟蹤電梯的使用情況。Walker解釋說(shuō)：“我們發(fā)現(xiàn)一部電梯一天要上下1900趟。以前我們從未如此地深入了解過(guò)，這也解釋了為什么電梯總是不斷地?fù)p壞?！?/p>

這聽(tīng)起來(lái)很像物聯(lián)網(wǎng)，但對(duì)于設(shè)施自動(dòng)化部門而言早已習(xí)以為常。Walker評(píng)論說(shuō)：“這種物聯(lián)網(wǎng)業(yè)務(wù)很時(shí)髦。我們一直在從事物聯(lián)網(wǎng)業(yè)務(wù)。這就是建筑自動(dòng)化。通過(guò)物聯(lián)網(wǎng)對(duì)建筑物進(jìn)行控制，通過(guò)網(wǎng)絡(luò)把控制信息傳送回來(lái)，這樣我們就能遠(yuǎn)程管理這些建筑物。”

微分段比VLAN、防火墻和ACL更適用

賓州大學(xué)之所以決定升級(jí)其建筑自動(dòng)化系統(tǒng)，一個(gè)關(guān)鍵驅(qū)動(dòng)因素是必須確保安全地進(jìn)行實(shí)時(shí)通信。BACnet基礎(chǔ)設(shè)施是一種直接采用無(wú)線連接和蜂窩連接的網(wǎng)絡(luò)。訪問(wèn)控制是個(gè)問(wèn)題。

大學(xué)正在實(shí)施32.8億美元的資金投入計(jì)劃——重點(diǎn)是現(xiàn)有設(shè)施和系統(tǒng)的更新，這意味著近幾年要不斷進(jìn)行建設(shè)，承包商源源不斷地來(lái)和大學(xué)信息化部門交流，進(jìn)出機(jī)房，承接建筑自動(dòng)化系統(tǒng)，隨意安裝接入交換機(jī)和無(wú)線接入點(diǎn)。Walker說(shuō)：“這些承包商會(huì)帶來(lái)他們自己的交換機(jī)，將它們插入到我們扁平化的2層網(wǎng)絡(luò)上?；蛘?，他們會(huì)增加自己的接入點(diǎn)和無(wú)線路由器。管理起來(lái)非常復(fù)雜?！?/p>

這也是潛在的攻擊途徑，建筑自動(dòng)化部門一直致力于消除它。Walker說(shuō)：“主要目的是：找出最好的方法來(lái)清理網(wǎng)絡(luò)，并以同樣的方式確保網(wǎng)絡(luò)安全?！?/p>

解決方案就是微分段技術(shù)，該技術(shù)能夠減少賓州大學(xué)的網(wǎng)絡(luò)攻擊面，對(duì)數(shù)百個(gè)BACnet系統(tǒng)進(jìn)行集中控制——在升級(jí)期間不會(huì)中斷傳統(tǒng)的網(wǎng)絡(luò)。

一般來(lái)說(shuō)，采用微分段技術(shù)，企業(yè)能夠?qū)崿F(xiàn)工作負(fù)載的相互隔離，并分別保護(hù)它們。與防火墻、虛擬局域網(wǎng)（VLAN）和訪問(wèn)控制列表（ACL）等傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)相比，它能夠更精細(xì)地劃分?jǐn)?shù)據(jù)流。

企業(yè)可以針對(duì)不同類型的數(shù)據(jù)流定制安全設(shè)置，例如，創(chuàng)建策略，將工作負(fù)載之間的網(wǎng)絡(luò)和應(yīng)用程序流限制在明確允許的范圍內(nèi)。如果設(shè)備或者工作負(fù)載移動(dòng)，那么安全策略和屬性也將隨之移動(dòng)。目的是減少網(wǎng)絡(luò)攻擊面：通過(guò)把分段規(guī)則應(yīng)用于工作負(fù)載或者應(yīng)用程序，企業(yè)可以減少攻擊者從一個(gè)被攻破的工作負(fù)載或者應(yīng)用程序轉(zhuǎn)移到其他工作負(fù)載和應(yīng)用程序的風(fēng)險(xiǎn)。

對(duì)于賓州大學(xué)來(lái)說(shuō)，部分吸引力在于部署和管理起來(lái)方便，意味著設(shè)施部門可以自行管理網(wǎng)絡(luò)的新架構(gòu)。Walker介紹說(shuō)：“我們研究過(guò)在建筑物內(nèi)建立獨(dú)立的VLAN或者私有VLAN，進(jìn)行MAC地址過(guò)濾，做好訪問(wèn)控制列表，或者構(gòu)建建筑物級(jí)別的防火墻。但是當(dāng)我們考慮可擴(kuò)展性時(shí)，一切都變得不可行。對(duì)于這些選擇，我不得不至少再雇兩人去管理各種各樣的工具?！?/p>

大學(xué)轉(zhuǎn)而選擇Tempered網(wǎng)絡(luò)公司的微分段技術(shù)來(lái)隔離并保護(hù)其BACnet數(shù)據(jù)流。這一供應(yīng)商的HIPswitch設(shè)備在物理網(wǎng)絡(luò)之上建立了一個(gè)安全的私有重疊網(wǎng)，只有明確可信的系統(tǒng)和端點(diǎn)才允許進(jìn)入重疊網(wǎng)。HIPswitch與Tempered網(wǎng)絡(luò)公司的集中式流程編排引擎Conductor協(xié)同工作，該引擎創(chuàng)建、管理并監(jiān)控設(shè)備的配置和安全策略。

進(jìn)行概念驗(yàn)證有助于完成賓州大學(xué)的部署。Walker介紹說(shuō)，“部門原本考慮在單個(gè)控制器層面上部署HIPswitch設(shè)備，但最終決定上移一層到建筑物層面，這極大地簡(jiǎn)化了管理。我們能夠創(chuàng)建一組控制器和一組服務(wù)器，然后通過(guò)重疊網(wǎng)中的信任關(guān)系，很容易把它們連接在一起?！?/p>

各個(gè)建筑物系統(tǒng)是基于功能而不是端口來(lái)鎖定的。Walker說(shuō)：“如果有人攻破了其中一臺(tái)控制器，那他們只能返回?cái)?shù)據(jù)中心，訪問(wèn)一臺(tái)服務(wù)器。而以前，如果有人攻破了一棟建筑物，他們就能訪問(wèn)數(shù)據(jù)中心，以及所有暴露的應(yīng)用程序?，F(xiàn)在我們可以說(shuō)：‘燈光控制器只能與燈光服務(wù)器通信。電梯控制器只能與電梯服務(wù)器通信?！?/p>

Tempered網(wǎng)絡(luò)公司的技術(shù)“在這些獨(dú)立的建筑物和我們的數(shù)據(jù)中心之間建立了信任關(guān)系?！边@也減少了建筑物之間的數(shù)據(jù)流，這在重新規(guī)劃設(shè)計(jì)之前曾是很大的問(wèn)題。Walker說(shuō)：“位于規(guī)模龐大的、扁平化的2層網(wǎng)絡(luò)上的每一棟建筑物都能夠收到所有的通信數(shù)據(jù)流?，F(xiàn)在，只有建筑物和服務(wù)器在通信。”

如果出現(xiàn)了BACnet廣播風(fēng)暴或者入侵，很容易關(guān)掉某棟建筑物的數(shù)據(jù)流?！耙郧?，因?yàn)樗且粋€(gè)規(guī)模龐大的、扁平化的2層菊花鏈結(jié)構(gòu)，因此，我不得不關(guān)閉多個(gè)端口。那么，如果我關(guān)閉一個(gè)端口，就有可能關(guān)閉6棟建筑物。而現(xiàn)在，我可以單獨(dú)控制每棟建筑物的數(shù)據(jù)流?！?/p>

該技術(shù)還方便了添加、移動(dòng)和更改等操作；賓州大學(xué)可以通過(guò)集中式流程編排功能來(lái)支持承包商安全地訪問(wèn)網(wǎng)絡(luò)上的某些設(shè)備。

Walker說(shuō)：“我希望的是，不但能夠輕松部署，而且能立即保護(hù)好基礎(chǔ)設(shè)施。”

在最初成功部署的基礎(chǔ)上，賓州大學(xué)擴(kuò)展了該項(xiàng)目。一開(kāi)始，設(shè)施部門計(jì)劃在賓州大學(xué)系統(tǒng)中最大的校園——帕克大學(xué)（University Park）部署HIPswitches。目前，大學(xué)將該項(xiàng)目擴(kuò)展到了全州的所有校園中。

隨著賓州大學(xué)不斷擴(kuò)建其校園設(shè)施，設(shè)施部門利用靈活的HIPswitches甚至實(shí)現(xiàn)了最偏遠(yuǎn)校園的連接。就在最近，Walker的部門在位于一片玉米地里的一棟建筑物中部署了HIPswitch，采用的是蜂窩連接方式，而如果使用光纖連接方式，將會(huì)花費(fèi)很多的時(shí)間和資金。

蜂窩連接是Walker發(fā)現(xiàn)的比最初預(yù)期更有用的功能?！斑@使得我們能夠部署在以前無(wú)法到達(dá)的地方?！?/p>