华为倡导安全、绿色、高效、舒适的智慧园区新理念。 华为凭借深厚的技术、研发实力和强大的生态系统,在众多先进园区中促成了众多成功案例的落地,引领了智慧园区行业的全面进步。
滴、滴…… 监控室大屏幕上的红色信号不断闪烁,火灾现场实时显示在屏幕上。 监控人员一键确认并启动火灾报警预案:通知消防应急小组; 通知所有员工撤离; 打通所有渠道;110/119报警,应急联动指挥,实现一键自动调度。 这是华为在2018世界物联网博览会展台的智慧园区应用展示,也是目前华为交付的众多智慧园区解决方案的核心功能之一。
近年来,在国家多项推进智慧园区及云计算、大数据、物联网、人工智能等相关技术的政策指引推动下,以信息化应用为核心的传统园区向数字园区转型拥有智慧园区业务子系统。 目前,智慧园区已进入全系统连接、数据融合的新发展阶段,国内不少园区纷纷投身智慧建设。 与此同时,众多具备技术实力和服务能力的企业也在积极参与其中,不断推出各类产品、服务和新的运营模式。 在这些公司中,华为是重要的参与者。 华为倡导安全、绿色、高效、舒适的智慧园区新理念。 华为凭借深厚的技术、研发实力和强大的生态系统,在众多先进园区中促成了众多成功案例的落地,引领了智慧园区行业的全面进步。
2018世界物联网博览会华为展台人头攒动
智慧园区:园区数字化转型的必由之路
公园是人们工作和生活的重要载体。 长期以来,园区面临管理效率低下、能源浪费大、运营成本高、保障能力弱、服务体验差等诸多问题。 如今,在企业数字化转型的大背景下,各园区都迫切希望提升园区管理运营水平。
华为凭借综合的技术实力、服务能力和强大的生态系统,成为智慧园区的领导者。 基于“安全、舒适、高效、绿色”的智慧园区核心理念,华为推出智慧园区数字化使能平台,重新定义园区业务格局。 智慧园区数字化使能平台向下聚合各类智能前端子系统,向上支持生态伙伴的创新应用开发,实现“数据全融合、状态全可视、业务全可控、事件全可控” “ 在公园里。 用户带来优质的服务体验,为园区运营商提供持续卓越运营的能力,创造更大的经济和社会价值。
“华为智慧校园解决方案基于大数据、物联网、云计算、AI、3D等数字化技术,事件可控。” 华为展台负责人介绍。
华为智慧园区愿景:更安全、更智能、更绿色
与以往的数字园区相比,智慧园区将不再停留在数字层面,而是协调人、园区、设备三方关系。 在华为看来,关键是要实现全面的连接和感知,即通过连接和感知技术,使人和物的相关信息得到充分感知和互联,从而实现信息之间的无缝连接和协同联动。 为建设更安全、更智能、更绿色的智慧园区。
更安全:以数字安全为例。 覆盖园区的视频监控系统与入侵报警联动,提升园区安全等级,火灾响应时间由7.5分钟缩短至2分钟。 其中,电子巡更实现日常视频巡更和异常处理,消除安防“时间死角”。 周界入侵管理实现了事件触发、运营中心研判、任务派发、任务接收、现场处理等一系列端到端的可视化处置手段,让入侵者无路可逃。
更智能:以资产管理为例,利用物联网、异常退出报警、轨迹查询保障资产安全,一键式自动盘点,大数据分析提高资产利用率。 以访客管理为例,用视频云和人脸识别闸机代替安保,1.5秒内识别通行数十万人脸库华为楼宇自控系统设置,7*24小时安全防护,与访客系统、考勤系统对接。
更绿色:能源设备全生命周期统一管理运维,支持数千台第三方设备接入,人均运维效率提升20%~40%,技术比系统更可靠,更节能降耗,如智能抄表、光伏发电、智慧路灯等。
智慧园区“看得见、管得着、管得着”的数字大脑:IOC
一个真正的智慧园区,必须基于对各种ICT技术和信息资源的充分整合、挖掘和利用,使园区各个区域都得到精准管理。 但在此之前,需要实现智慧园区各项关键数据和价值的集中呈现,让智慧园区看得见、摸得着,支持应急指挥、园区管理、环保、智能交通、基础设施建设,实现园区智能化管理运营。
华为智慧园区IOC( )作为“看得见、可控、可管”的数字大脑,是园区各类终端和设施统筹调度的关键。 IOC可以轻松实现园区安全和空间运营管理,包括物理安全、网络安全、人员管理、停车场管理、楼宇设施、空间管理和能源管理等。
IOC是智慧园区的“数字大脑”
依托生态,助力园区经营转型升级
纵观整个智慧园区的产业环境,不同于传统网络的建设。 智慧园区上下游厂商众多,需要产业通力合作。 华为也很清楚这一点。 为打造智慧园区产业链,华为作为全球领先的ICT基础设施和智能终端提供商,坚持“平台+生态”战略,携手生态合作伙伴,为园区提供端到端的解决方案。 在智慧园区IOC上,华为通过API向生态合作伙伴开放技术和能力,通过各类基础资源的开放共享,构建强大的生态体系,共同为园区赋能,助力园区数字化转型。
展望未来,智慧园区的发展方向将是互联更广泛、感知更透彻。 借助云计算、大数据、物联网、人工智能等技术,有效整合分析,让园区管理运营更安全、更绿色、更高效。 , 自在。 华为将继续做智慧园区的使能者,与合作伙伴一起加快园区进程,为助力中国经济发展做出自己的努力。
背景
建筑物在高效使用能源的同时,为居住者的舒适和安全提供了便利和互联的环境。 像这样的建筑物包含来自各种行业的关键资产,例如办公室、零售、教育、酒店和公共机构。 例如,医疗建筑必须配备暖通空调系统、紧急呼叫设备和医用气体等救生设备,而办公建筑必须提供门禁设备、消防设备和电梯。
如果建筑物受到恶意软件的破坏,它可能会扰乱企业的运营并对其中人员的安全构成直接威胁。 为了与智能建筑的概念保持一致,本文提出了物联网 (IoT) 作为楼宇自动化系统 (BAS) 的广泛应用作为一种可能的解决方案:
楼宇自动化系统 (BAS):楼宇自动化系统 (BAS) 是一个集成了照明、暖通空调、消防和安保系统的单一平台,可及时提供来自楼宇的关键操作信息,并提高居住者的安全性和便利性。 如图 1 所示,BAS 的控制中心区域能够接收来自仪表、HVAC 系统和物理访问控制的端点数据,使运营商能够根据行业要求调整建筑物的运行模式。
图 1. 构建网络架构概览
网格交互高效建筑系统(GEB):网格-(GEB)用于整合并持续优化能源消耗,如图左侧黑色虚线所示。 GEB 的一个关键特性是其资产能够灵活地通信、接收和传输信号,从而使建筑物能够自动实施最有利的能源使用决策。 为实现这一目标,该系统结合了 BAS 分析、公用事业价格信息、天气预报、可用的现场发电、储能和其他相关数据。
建筑 OT 协议:为了让控制器自动操作建筑物的现场设备并向控制中心提供信息,OT(操作技术)协议必须用于资产之间的数据传输。 智能建筑中常用的OT协议示例如图中橙色和棕色线条所示,包括 、 、 、 。 例如,控制中心可以将操作指令传送到位于不同楼层的控制器或网关,这些控制器或网关使用各个设备制造商提供的多协议接口将指令转换为RTU或其他协议来操作现场设备。
IoT :图1中的蓝色部分描绘了智能建筑的趋势,它使用IoT技术连接各种建筑系统并实时收集和分析相关建筑信息。 借助物联网托管服务,设施可以设置基站和天线以从数千个物联网设备收集数据。 同样,当楼宇系统接入互联网后,住户可以通过自己的终端设备,如移动应用程序或网页访问系统。 酒店楼宇场景的住户除了可以获取楼宇相关信息外,甚至可以通过APP作为钥匙进出门禁系统。
对智能建筑行业的威胁
现在我们已经构建了连接到 的系统,网络攻击已成为主要威胁。 例如,2021年10月楼宇自控监视范围,德国某楼宇自动化工程公司遭到攻击者通过暴露在网络中的UDP端口渗透BAS,导致许多现场设备(如电灯开关、运动探测器等)失控。 )、百叶窗控制器等。此外,HVAC 和恒温器过去曾被利用,使攻击者能够不断渗透金融系统和赌场数据库,可能威胁到数千万客户。 因此,我们分析了智能楼宇的系统和网络架构,发现了以下潜在威胁:
1. 物联网设备容易受到未修补的漏洞和错误配置的影响,这可能允许攻击者维持访问和破坏 BAS,从而导致依赖它们的行业的运营中断。
在许多情况下,智能建筑中使用的大量物联网 (IoT) 设备可能对试图确保所有设备数据安全的管理人员构成挑战。 即使设备制造商提供了信息安全指南,管理人员也很难实施这些建议。 根据 Help 的统计数据,2022 年一些最受欢迎的物联网设备包括智能锁、WeMo 智能灯、Nest 烟雾报警器和 Nest。 过去,智能锁存在安全漏洞,允许攻击者访问用户的 Wi-Fi 网络。 这种物联网设备的主要问题是加密密钥使用一种名为 ROT-13 的易于破解的密码硬编码到应用程序中。 因此,黑客可以通过设备易于破解的加密方式拦截用户的 Wi-Fi 密码。
在另一个案例中,TrapX 证明 Nest 中的漏洞可被利用以通过 USB 将自定义软件加载到 Nest ARM7 处理器上。 如果成功,这将允许 TrapX 获取 Nest 连接到的 Wi-Fi 网络的密码,从而可能允许攻击者访问有关用户是否在家的信息,并从连接到同一 Wi-Fi 的其他设备接收数据网络。
为了最大限度地减少智能建筑环境中物联网设备受到攻击的影响,仔细监视和控制通过网络传输的数据包非常重要。 例如,阻止恒温器向楼宇自动化系统发送控制命令可能是明智的。
2. 带有 HMI 的 HVAC 系统中存在提权漏洞,攻击者可以利用该漏洞远程控制系统,从而可能对人类生命造成威胁。
供暖、通风、空调和制冷 (HVAC) 系统通常用于医院建筑、酒店建筑、零售建筑和办公建筑以控制室内温度。 TXOne 研究团队检查了各种品牌的 HVAC 系统,发现许多都具有可以通过网络访问的人机界面 (HMI),并且容易受到凭证泄露和特权升级等攻击。
例如,2021 年 7 月,三菱电机空调系统的 Web 服务被发现没有正确实施身份验证算法,导致攻击者可以提升权限并冒充管理员来篡改系统配置。 此外,在智能建筑环境中,HVAC 系统通常连接到其他建筑系统和联网设备,从而为攻击者远程破坏 HVAC 系统提供了更多机会。 根据建筑物的类型,这可能会对建筑物内的居住者和其他人的安全构成威胁。
3. 很多楼宇使用的OT协议缺乏安全特性,为攻击者嗅探数据包甚至篡改关键操作指令提供了可乘之机。
建筑物中使用的常见 OT 通信协议包括 和 KNX,并且与许多遗留 OT 环境一样,它们具有许多可通过 DoS 或欺骗攻击加以利用的漏洞。 例如,虽然建筑行业正在逐步采用安全连接 (/SC) 来提高建筑物的网络安全,但由于 OT 环境的使用寿命很长,许多遗留建筑系统仍然使用过时的通信协议,为攻击者提供了拦截和篡改密钥的机会操作说明。
此外,在部署了大量物联网设备的建筑环境中,削减成本的措施可能会导致使用低功耗广域网 (LPWAN),尽管进行了简单的加密,但仍容易受到一系列攻击。
4. 人为错误可能难以遏制,这为攻击者提供了通过网络钓鱼、水坑或勒索软件攻击破坏建筑系统的机会。
智能楼宇虽然具有高度的自动化控制能力,但系统仍需要人力管理人员进行辅助工作。 但由于智能楼宇涉及行业广泛,人员难以遵守全面的信息安全法规,因此系统容易因人员失误而对整栋楼宇造成威胁。 注意到他们大约 90% 的建筑系统服务器连接到电子邮件、社交媒体和其他网站供个人使用,使攻击者有机会利用建筑系统方法,例如网络钓鱼、水坑攻击或勒索软件攻击,从而导致安全的智能建筑发生故障。
此外,智能建筑环境在管理常驻端点设备方面面临挑战。 如果这些设备在不安全的网络上使用,它们可能会被感染并暴露居民生活或工作的整个智能建筑。
5、BAS系统采用跨平台云端方案,为攻击者利用物联网通信协议漏洞攻击楼宇系统创造了可乘之机。
随着物联网在智能建筑中的不断发展,BAS 系统越来越多地采用跨平台云解决方案。 例如,一些 BAS 系统使用 MQTT 将从控制系统和建筑物内部收集的信息传输到云端进行分析,并自动提供最佳系统控制。 MQTT 是一种基于发布消息和订阅主题的通信协议,因此订阅者不知道谁在发布消息。 这意味着如果攻击者可以访问网络并向现有主题发布消息,他们可以轻松篡改或覆盖原始信息,从而导致构建系统表现出不安全的行为。
如何减轻对智能建筑行业的潜在威胁
从以上对潜在威胁的分析可以看出,智能建筑严重依赖大量物联网设备,缺乏对人们使用的端点设备的适当管理。 因此,TXOne 建议所有行业对其楼宇自动化系统实施完整的可见性和安全控制,以防止攻击者对楼宇执行灾难性的网络攻击并扰乱行业运营:
1.确保IT网络不会成为攻击者获取BAS网络访问权限的手段,反之亦然。
为确保楼宇自动化网络的安全性和可靠性,应运行在单独的OT网络基础设施上,并与IT网络隔离。 例如,用于维护楼宇自动化系统的路由器不应该有开放和不受保护的端口,例如 HTTP,面向或其他外部网络。 如果需要外网访问,需要配置防火墙进行保护,并设置VPN进行远程访问。
但是,为了进一步加强网络分段并提供纵深防御,建议采用标准中概述的“区域”和“管道”的概念。 “安全区”是指一组具有共享安全要求和定义边界的物理或逻辑资产。 这些区域之间的连接称为“管道”,应配备安全措施以控制访问、防止拒绝服务攻击、屏蔽网络中易受攻击的系统以及维护通信的完整性和机密性。
2、建议通过可信网络列表限制通信通道,建立安全通信和安全配置。
为防止未经授权或不安全的通信,我们建议禁用不安全的网络协议,禁用不必要的网络服务,并拒绝转发来自未知来源的数据包。 组织可以使用信任列表来实施网络策略,以有效管理其运营技术 (OT) 网络中的可信通信和设备访问。 每个区域都应使用过滤表来阻止不应连接到该区域的 IP 地址,并防止未经授权/KNX 和其他设备访问 BAS 系统。 OT 零信任网络策略可以检测关键资产中的异常通信模式、未经授权的命令和超出范围的值。 这些异常可能包括失败的访问尝试、更改的访问权限、恶意端口扫描等。
3. 随着 BAS 网络可见性的提高,组织可以完全识别攻击媒介和影子 OT 设备。
安全漏洞通常是由管理人员未检测到的操作安全问题引起的,例如设备漏洞、配置错误、违反策略、薄弱的安全控制和未经授权的更改。 组织可以实施集中式管理平台,提供 BAS 网络活动的全面视图,使管理人员能够检查 BAS 环境中安装的所有 BAS 资产及其连接详细信息,包括网关后面的设备。 通过增强的网络安全可见性,管理员可以持续监控关键设备的网络安全状态,并理想地自动生成安全警报、资产设备可信列表和可疑事件活动。 促进设备变更、网络配置变更、攻击向量识别和盲点识别的管理。
