Ann Bednarz

BACnet是供暖、通風和空調(diào)（HVAC）、照明、門禁和火災探測等建筑自動化和控制（BAC）系統(tǒng)的通信協(xié)議。賓夕法尼亞州立大學由于BACnet的開放性而將該協(xié)議作為標準。

賓州大學設(shè)施自動化服務部的系統(tǒng)設(shè)計專家Tom Walker介紹說：“任何設(shè)備，任何制造商——只要他們使用了BACnet，我們就能夠把他們整合起來。這是一種非常簡潔的協(xié)議，但在部署時必須了解其特殊性，特別是大規(guī)模部署的情況?！?/p>

例如，特殊性之一是BACnet很容易產(chǎn)生廣播風暴。數(shù)百個BACnet系統(tǒng)運行在多個校園中，這些系統(tǒng)跨多個網(wǎng)絡，賓州大學擔心這會降低網(wǎng)絡其他部分的性能，有可能暴露出安全漏洞。

Walker說：“大約四年前，我接手了這一基礎(chǔ)設(shè)施，覆蓋整個主校園的是一個扁平化的2層網(wǎng)絡?！彼退牟块T決定將BACnet數(shù)據(jù)流從大學的共享基礎(chǔ)設(shè)施中分離出來，以提高安全性和可管理性。

賓州大學的設(shè)施自動化服務部門的職責包括大學聯(lián)網(wǎng)建筑的自動化工程、網(wǎng)絡管理和監(jiān)控等。

例如，利用智能樓宇系統(tǒng)，該部門可以遠程控制HVAC系統(tǒng)，從而適當?shù)貙淌液娃k公室進行供暖和制冷，讓學生和員工感到舒適。自動化控制也有助于保證關(guān)鍵研究實驗室的安全運行。

Walker介紹說：“我們有冰川冰，這些是不可替代的。因此，我們必須監(jiān)控冰柜，以確保這些冰箱不會化凍。”賓州大學的一棟大樓地下室里還有一臺原子鐘，那里的溫度控制在十分之一度。

設(shè)施自動化包括物聯(lián)網(wǎng)

設(shè)施自動化服務部的業(yè)務涉及很多地區(qū)——賓州大學有3200萬平方英尺的建筑物，分布在全國各地的幾十個校園，2.2萬英畝的土地上。

在640多棟建筑物中，分布著用于監(jiān)測環(huán)境的幾十套系統(tǒng)、設(shè)備和傳感器。它們收集的數(shù)據(jù)越來越多。

Walker介紹說：“我們以前只是建筑自動化。但是這些年來，我們已經(jīng)開始加入更多的組件。我們現(xiàn)在管理著所有不同的公用設(shè)施網(wǎng)絡——廢水、水處理、蒸汽設(shè)備、配電，甚至是冷卻水的分配。

“對我們部門來說，這是一次變革。我們要應對建筑物里越來越多的設(shè)施——所有保持建筑物運行的設(shè)施。我們通過網(wǎng)絡基礎(chǔ)設(shè)施把這些數(shù)據(jù)傳送回數(shù)據(jù)中心，然后要么轉(zhuǎn)到云端，要么將其傳送給其他分析系統(tǒng)，對數(shù)據(jù)進行分析?！?/p>

例如，設(shè)施自動化部門開始跟蹤電梯的使用情況。Walker解釋說：“我們發(fā)現(xiàn)一部電梯一天要上下1900趟。以前我們從未如此地深入了解過，這也解釋了為什么電梯總是不斷地損壞?！?/p>

這聽起來很像物聯(lián)網(wǎng)，但對于設(shè)施自動化部門而言早已習以為常。Walker評論說：“這種物聯(lián)網(wǎng)業(yè)務很時髦。我們一直在從事物聯(lián)網(wǎng)業(yè)務。這就是建筑自動化。通過物聯(lián)網(wǎng)對建筑物進行控制，通過網(wǎng)絡把控制信息傳送回來，這樣我們就能遠程管理這些建筑物?！?/p>

微分段比VLAN、防火墻和ACL更適用

賓州大學之所以決定升級其建筑自動化系統(tǒng)，一個關(guān)鍵驅(qū)動因素是必須確保安全地進行實時通信。BACnet基礎(chǔ)設(shè)施是一種直接采用無線連接和蜂窩連接的網(wǎng)絡。訪問控制是個問題。

大學正在實施32.8億美元的資金投入計劃——重點是現(xiàn)有設(shè)施和系統(tǒng)的更新，這意味著近幾年要不斷進行建設(shè)，承包商源源不斷地來和大學信息化部門交流，進出機房，承接建筑自動化系統(tǒng)，隨意安裝接入交換機和無線接入點。Walker說：“這些承包商會帶來他們自己的交換機，將它們插入到我們扁平化的2層網(wǎng)絡上?；蛘?，他們會增加自己的接入點和無線路由器。管理起來非常復雜。”

這也是潛在的攻擊途徑，建筑自動化部門一直致力于消除它。Walker說：“主要目的是：找出最好的方法來清理網(wǎng)絡，并以同樣的方式確保網(wǎng)絡安全?！?/p>

解決方案就是微分段技術(shù)，該技術(shù)能夠減少賓州大學的網(wǎng)絡攻擊面，對數(shù)百個BACnet系統(tǒng)進行集中控制——在升級期間不會中斷傳統(tǒng)的網(wǎng)絡。

一般來說，采用微分段技術(shù)，企業(yè)能夠?qū)崿F(xiàn)工作負載的相互隔離，并分別保護它們。與防火墻、虛擬局域網(wǎng)（VLAN）和訪問控制列表（ACL）等傳統(tǒng)的網(wǎng)絡安全技術(shù)相比，它能夠更精細地劃分數(shù)據(jù)流。

企業(yè)可以針對不同類型的數(shù)據(jù)流定制安全設(shè)置，例如，創(chuàng)建策略，將工作負載之間的網(wǎng)絡和應用程序流限制在明確允許的范圍內(nèi)。如果設(shè)備或者工作負載移動，那么安全策略和屬性也將隨之移動。目的是減少網(wǎng)絡攻擊面：通過把分段規(guī)則應用于工作負載或者應用程序，企業(yè)可以減少攻擊者從一個被攻破的工作負載或者應用程序轉(zhuǎn)移到其他工作負載和應用程序的風險。

對于賓州大學來說，部分吸引力在于部署和管理起來方便，意味著設(shè)施部門可以自行管理網(wǎng)絡的新架構(gòu)。Walker介紹說：“我們研究過在建筑物內(nèi)建立獨立的VLAN或者私有VLAN，進行MAC地址過濾，做好訪問控制列表，或者構(gòu)建建筑物級別的防火墻。但是當我們考慮可擴展性時，一切都變得不可行。對于這些選擇，我不得不至少再雇兩人去管理各種各樣的工具。”

大學轉(zhuǎn)而選擇Tempered網(wǎng)絡公司的微分段技術(shù)來隔離并保護其BACnet數(shù)據(jù)流。這一供應商的HIPswitch設(shè)備在物理網(wǎng)絡之上建立了一個安全的私有重疊網(wǎng)，只有明確可信的系統(tǒng)和端點才允許進入重疊網(wǎng)。HIPswitch與Tempered網(wǎng)絡公司的集中式流程編排引擎Conductor協(xié)同工作，該引擎創(chuàng)建、管理并監(jiān)控設(shè)備的配置和安全策略。

進行概念驗證有助于完成賓州大學的部署。Walker介紹說，“部門原本考慮在單個控制器層面上部署HIPswitch設(shè)備，但最終決定上移一層到建筑物層面，這極大地簡化了管理。我們能夠創(chuàng)建一組控制器和一組服務器，然后通過重疊網(wǎng)中的信任關(guān)系，很容易把它們連接在一起?！?/p>

各個建筑物系統(tǒng)是基于功能而不是端口來鎖定的。Walker說：“如果有人攻破了其中一臺控制器，那他們只能返回數(shù)據(jù)中心，訪問一臺服務器。而以前，如果有人攻破了一棟建筑物，他們就能訪問數(shù)據(jù)中心，以及所有暴露的應用程序。現(xiàn)在我們可以說：‘燈光控制器只能與燈光服務器通信。電梯控制器只能與電梯服務器通信?！?/p>

Tempered網(wǎng)絡公司的技術(shù)“在這些獨立的建筑物和我們的數(shù)據(jù)中心之間建立了信任關(guān)系?！边@也減少了建筑物之間的數(shù)據(jù)流，這在重新規(guī)劃設(shè)計之前曾是很大的問題。Walker說：“位于規(guī)模龐大的、扁平化的2層網(wǎng)絡上的每一棟建筑物都能夠收到所有的通信數(shù)據(jù)流?，F(xiàn)在，只有建筑物和服務器在通信?！?/p>

如果出現(xiàn)了BACnet廣播風暴或者入侵，很容易關(guān)掉某棟建筑物的數(shù)據(jù)流?！耙郧?，因為它是一個規(guī)模龐大的、扁平化的2層菊花鏈結(jié)構(gòu)，因此，我不得不關(guān)閉多個端口。那么，如果我關(guān)閉一個端口，就有可能關(guān)閉6棟建筑物。而現(xiàn)在，我可以單獨控制每棟建筑物的數(shù)據(jù)流?！?/p>

該技術(shù)還方便了添加、移動和更改等操作；賓州大學可以通過集中式流程編排功能來支持承包商安全地訪問網(wǎng)絡上的某些設(shè)備。

Walker說：“我希望的是，不但能夠輕松部署，而且能立即保護好基礎(chǔ)設(shè)施?！?/p>

在最初成功部署的基礎(chǔ)上，賓州大學擴展了該項目。一開始，設(shè)施部門計劃在賓州大學系統(tǒng)中最大的校園——帕克大學（University Park）部署HIPswitches。目前，大學將該項目擴展到了全州的所有校園中。

隨著賓州大學不斷擴建其校園設(shè)施，設(shè)施部門利用靈活的HIPswitches甚至實現(xiàn)了最偏遠校園的連接。就在最近，Walker的部門在位于一片玉米地里的一棟建筑物中部署了HIPswitch，采用的是蜂窩連接方式，而如果使用光纖連接方式，將會花費很多的時間和資金。

蜂窩連接是Walker發(fā)現(xiàn)的比最初預期更有用的功能。“這使得我們能夠部署在以前無法到達的地方。”