以下是保護(hù)建筑物內(nèi)數(shù)據(jù)中心、網(wǎng)絡(luò)機(jī)柜以及相關(guān)物聯(lián)網(wǎng)和布線方面的常見挑戰(zhàn)和建議。

智能建筑充滿了關(guān)鍵技術(shù)，這些技術(shù)創(chuàng)建了一個始終連接的環(huán)境，旨在高效、安全、信息豐富，并歡迎所有居住者和訪客。然而，隨著技術(shù)的發(fā)展，我們有責(zé)任確保這些技術(shù)安全運行，并防止篡改。讓我們看看在保護(hù)建筑物內(nèi)數(shù)據(jù)中心、網(wǎng)絡(luò)機(jī)柜以及相關(guān)物聯(lián)網(wǎng)和布線方面的常見挑戰(zhàn)。

保護(hù)現(xiàn)場數(shù)據(jù)中心

當(dāng)現(xiàn)場數(shù)據(jù)中心內(nèi)的關(guān)鍵任務(wù)IT和OT基礎(chǔ)設(shè)施受到物理保護(hù)時，安全和IT專家必須采取內(nèi)外兼修的方法。首先，必須從數(shù)據(jù)中心外圍開始保護(hù)和監(jiān)控所有入口/出口點。一個建議:不要使用物理鑰匙或密碼鎖，因為密鑰副本和密碼很容易被共享或泄露。相反，智能門控制器系統(tǒng)對誰可以訪問什么和何時訪問提供了更高級別的控制。且還提供了物理安全事件發(fā)生時進(jìn)出數(shù)據(jù)中心的歷史和可搜索的時間軸。至少，應(yīng)使用密鑰卡訪問的實施。對于更敏感的環(huán)境，使用生物識別技術(shù)進(jìn)行物理訪問越來越受歡迎。

一旦外圍環(huán)境是安全的，應(yīng)使用多層策略進(jìn)一步細(xì)分?jǐn)?shù)據(jù)中心訪問。這包括限制關(guān)鍵任務(wù)領(lǐng)域，如網(wǎng)絡(luò)基礎(chǔ)設(shè)施硬件和存放敏感數(shù)據(jù)的服務(wù)器。在許多情況下，數(shù)據(jù)中心是圍繞依賴于智能訪問控制系統(tǒng)的關(guān)鍵基礎(chǔ)設(shè)施建造的。固定單個設(shè)備機(jī)架將進(jìn)一步限制訪問，僅允許授權(quán)人員與硬件進(jìn)行物理交互。這種分層的數(shù)據(jù)中心訪問方法允許對誰可以訪問什么進(jìn)行精準(zhǔn)控制。

最后，規(guī)劃人員應(yīng)該部署監(jiān)控攝像頭，在數(shù)據(jù)中心內(nèi)提供多個重疊視圖的全方位覆蓋?，F(xiàn)代監(jiān)控攝像頭生產(chǎn)高清晰度和超高清視頻作為標(biāo)準(zhǔn)，但設(shè)備的成本也在過去十年中大幅下降。對于新的部署，可尋找最低分辨率為1080像素的監(jiān)控攝像頭。

保護(hù)網(wǎng)絡(luò)機(jī)柜

在大型建筑或校園中，規(guī)劃人員應(yīng)戰(zhàn)略性地定位網(wǎng)絡(luò)機(jī)柜，以便為終端用戶和設(shè)備提供網(wǎng)絡(luò)訪問。這些機(jī)柜的物理位置主要取決于標(biāo)準(zhǔn)銅纜和光纖以太網(wǎng)電纜的距離限制。對于新建筑，網(wǎng)絡(luò)機(jī)柜是建筑設(shè)計過程的一部分。然而，對于傳統(tǒng)建筑和校園，網(wǎng)絡(luò)機(jī)柜空間必須進(jìn)行改造。

網(wǎng)絡(luò)機(jī)柜的一個問題是，它們是獲得未經(jīng)授權(quán)訪問智能建筑網(wǎng)絡(luò)的絕佳途徑。在傳統(tǒng)建筑中，物理安全并不是最重要的，網(wǎng)絡(luò)機(jī)柜往往是事后才建的。這導(dǎo)致機(jī)柜有多個入口，比如門和窗。這也導(dǎo)致了網(wǎng)絡(luò)機(jī)柜被用作存儲辦公家具和清潔用品的“共享空間”的獨特可能性。

讓人們遠(yuǎn)離網(wǎng)絡(luò)邊緣交換機(jī)應(yīng)該是一個優(yōu)先事項。這意味著網(wǎng)絡(luò)機(jī)柜應(yīng)該被指定為IT專用房間，并且訪問權(quán)限應(yīng)該僅限于網(wǎng)絡(luò)運營(NetOps)團(tuán)隊成員。每個機(jī)柜應(yīng)安裝相同的門控制器和監(jiān)控系統(tǒng)。

重要的是，NetOps團(tuán)隊?wèi)?yīng)該對交換機(jī)進(jìn)行編程，以便將所有未使用的端口置于禁用狀態(tài)。這確保即使獲得了對機(jī)柜的未授權(quán)訪問，也可拒絕網(wǎng)絡(luò)訪問?；贛AC的白名單、802.1x認(rèn)證和微分割也可以在網(wǎng)絡(luò)機(jī)柜交換機(jī)上使用，這將進(jìn)一步阻止用戶插入未經(jīng)授權(quán)的設(shè)備。

保護(hù)Wi-Fi和物聯(lián)網(wǎng)硬件

此外，在公共和半公共區(qū)域的設(shè)備的訪問和篡改也必須受到限制。這些設(shè)備包括Wi-Fi接入點、物聯(lián)網(wǎng)傳感器、監(jiān)控攝像頭和操作技術(shù)(OT)系統(tǒng)，如工業(yè)控制系統(tǒng)和暖通空調(diào)控制器。

在某些情況下，制造商在終端設(shè)備和安裝支架中包含防篡改功能。這包括防篡改螺釘，使硬件不容易拆卸，以及物理鎖或鎖扣，使以太網(wǎng)電纜難以從建筑技術(shù)中拔出。在大多數(shù)情況下，使用制造商提供的防篡改工具就足夠了。然而，可能需要額外的保護(hù)措施，包括使用可壁掛式和可鎖定的設(shè)備機(jī)架。

在保護(hù)IT/OT系統(tǒng)時，這些類型設(shè)備的物理位置也會產(chǎn)生巨大的差異。例如，將接入點或物聯(lián)網(wǎng)傳感器安裝在天花板的高處(10英尺或更高)，可以阻止大多數(shù)篡改企圖。網(wǎng)絡(luò)布線也是如此。確保電纜敷設(shè)在天花板的高處，最好是隱藏在懸掛的天花板瓷磚中。

最后，在交通流量較少但更脆弱的區(qū)域，如OT系統(tǒng)所在的區(qū)域，可以配置監(jiān)控攝像頭，在檢測到運動時實時提醒安全人員。這些區(qū)域的基于運動的監(jiān)控攝像頭不僅有助于阻止設(shè)備被篡改，且還可以檢測到其他建筑問題，并提供警報，例如管道破裂或泄漏。