2700 浏览•谁或什么受到影响?它区分了人、物体、基础设施、资源和资产,以及外在的行为和后果。
•哪些措施可以提供保护?它列出了弹性基础设施、网络完整性、加密、身份管理、数据保留和审计、实时数据可用性。
•哪些措施可以实现威胁检测?比如实时取证分析。
•哪些措施可以阻止威胁?它提到了黑名单和调查措施。
•有哪些法律补救措施?它列出了刑法、行政法、协议以及其他形式的合作、服务协议。
最近的演变包括欧洲网络和信息安全局 (ENISA) 以自愿采用的最佳实践的形式发布了一套“评估 DSP 和 OES 符合 NISD 安全要求的指南”(ENISA,2018a [ 67 ])以及更加重视公私伙伴关系和信息共享和分析中心 (ISAC)(以国家为重点、特定部门或国际结构)的创建,这应促进利益相关者之间信息共享所需的信任,但还支持欧洲框架的进一步发展(ENISA,2018b [ 68 ])。
保护、检测和阻止是指令的实际重点。这些措施主要与拒绝(访问)资源有关。NIS 指令得到实施,由此产生的网络安全系统在各种欧洲机构提供的框架内运行。该框架为问题领域提供了一些有用的结构,例如建立值得保护的标准。它还包括一个有用的程序框架来保护资产。
安全指南由五个主题组成,在最高级别定义了网络安全风险的 OES 管理。这五个主题分别是识别、保护、检测、响应和恢复,也符合 NIST 网络安全框架的核心主题。
从本文的主题来看,该框架的主要局限性包括:
•尽管存在一些与建筑相关的元素,但基本服务运营商名单中普遍没有建筑部门或主要 AECO 行业实体。
•该框架旨在对关键和高价值资产进行全面保护。
•它忽略了某些类别的经济参与者(例如:小型企业,其欧盟定义可能适合设计局和其他 AECO 相关实体)。
•它是一个高级结构,用于国家和大陆级别的网络安全活动组织——缺失或模糊的元素要么由个别国家根据具体情况或通过传播最佳实践来填补,要么由 ENISA 开发专门的附加物。
2020 年 12 月,欧盟委员会发布了一项提案,强调“全面覆盖对内部市场内的关键社会和经济活动至关重要的行业和服务”([ 65])。它建立在 NIS 指令的结果和大流行对基础设施互连性的教训的基础上。修订的目的包括减少整个欧盟在指定关键实体和确保风险管理要求和报告义务的法律确定性方面的标准分歧。制定了一个统一的标准,所有中型和大型企业(根据欧盟的定义)都受该指令的约束,而小型和微型企业可能会视具体情况而定。欧洲网络安全框架范围的扩大也反映在对欧洲关键基础设施保护计划的拟议修订中(关于关键实体弹性的指令提案),66 ])。这提高了 AECO 部门未来的可能性,也将在这些立法工作的最终形式中得到具体解决。在这种情况下,必须回答重要问题 - 是否有建筑/AECO 部门 CSIRT 或计算机应急响应小组?将指定哪个主管部门?总承包商是否会被指定为基本服务的关键实体或运营商?欧盟委员会及其各机构设想的利益相关者之间的合作可能会允许 AECO 部门提供意见,以解决建设 4.0 范式中新兴的网络安全领域。
2.3 . PAS 1192-5 和 ISO 19650-5 中具有安全意识的 BIM
首次发布于 2015 年 5 月,由于 BS EN ISO 19650-5 [ 21的发布,公开可用规范 (PAS) 1192-5 [ 9 ] 被撤回而没有替换]。PAS 中描述的安全意识方法侧重于通过在 BIM 中集成安全措施以及在较小程度上在整个建筑生命周期中集成敏感信息的丢失或泄露。这是通过三个层面的文件来实现的:(1)在一般政策和战略层面,制定了建筑资产安全战略(BASS)。(2)在规划层面,制定了建设资产证券管理计划(BASMP)。(3)在具体信息要求层面,制定了建筑资产安全信息要求(BASIR)。在后者中,雇主或资产所有者应围绕敏感资产的整个生命周期制定、维护和实施特定的信息要求,基于 BASMP 中包含的流程和程序,并根据 BASS 的总体政策和战略。该文件还强调了一系列与供应商合作的建议,包括未中标的投标人以及应采取哪些合同措施。
这两份文件的出发点是在生产阶段(如 PAS 1192-2 中定义)的信息协作生产和在资产运营阶段(如 1192-3 中定义)的信息管理。
与 PAS 一样,采用 ISO 19650-5 旨在进一步消除跨境项目合作和竞争性招标的障碍,并总体上增加机会。它旨在标准化资产和项目信息模型的生产和使用,根据 ISO 19650 系列和 ISO 19650-1 中定义的安全意识 BIM 的原则和要求,以及安全意识的管理作为任何其他倡议、项目、资产、产品或服务的一部分或与之相关的获取、创建、处理和存储的敏感信息。
ISO 通过考虑并适用于计划、项目、资产、产品或服务的整个生命周期(无论是计划的还是现有的)以及获取、创建、处理和/或存储敏感信息的地方来增加 PAS。它旨在供组织在从项目开始到完成和资产回收的大多数过程中采用信息管理技术。它考虑了与组织如何保护其商业信息、个人信息和知识产权相关的建筑环境中的服务提供。
这些标准强调需要遵守其他立法和标准,包括 1990 年计算机滥用法、1998 年数据保护法、2004 年环境信息条例、2000 年信息自由法、政府安全分类和 1989 年官方机密法等.
这个框架依赖于扩展的 Parker 十六进制(见第 2.4 节)来识别安全考虑。安全的主要要素包括安全策略、访问控制过程和访问控制程序。访问控制的对象是技术和物理系统,以及人。
定义了一个分类流程,区分敏感资产和非敏感资产,并就要保护的内容和方式提出建议。应该制定一个既定的资产安全管理计划以及一个安全/违规/事件管理计划。第一个计划总体上保护资产,第二个计划在发生违规时的响应。
PAS/ISO 方法的局限性如下:
•它们为建立仅限于数字设计系统和通用数据环境的基本安全性提供了指导。
•这也适用于资产管理。
•该方法非常注重访问。
•尽管它引用了扩展的帕克六进制作为基线,但它的许多配方和流程图缺乏共同的基本原则,这些配方和流程图很实用,但可以从本文中介绍的框架中受益。
2.4 . IET 的建筑环境网络安全实践准则
建筑环境中的网络安全实践准则 (CoP-CSBE) [ 8 ] 由工程技术学会 (IET) 制定。其目标是指导寻求改善其与建筑环境相关资产的网络安全的公司。CoP-CSBE 针对建筑项目经理和建筑师、开发商和投资者、系统供应商和顾问、保险公司和风险评估员以及设施经理/安全经理。对安全性的基本理解是,这些过程中涉及的过程和元素应该是安全的。如果参与流程的元素(表 2 )具有使其安全的属性(表 1 ),则流程是安全的。对策如果风险分析(图 1)允许这样做,则引入。
表 1。CoP-CSBE 中的安全属性。
| 资源 | 属性 | 描述 | CoP-CSBE [ 8 ] 中的示例 – 弹性除外 |
|---|---|---|---|
| 中央情报局 | 保密 | 保护数据不被无权查看的人的能力 | 一名心怀不满的员工披露与收购和重建场地相关的详细商业计划 |
| 正直 | 防止数据以未经授权或不受欢迎的方式被修改的能力 | 本地射频源对控制信号的干扰和降级对会议室照明和通风无线控制器的电磁干扰 | |
| 可用性 | 在我们需要时访问数据的能力 | 由于拒绝服务攻击,基于云的能源管理服务的使用受到严重破坏 | |
| 帕克 | 占有(或控制) | 存储数据的介质的物理性质 | 感染设计团队使用的计算机的加密恶意软件。关键设计信息被勒索赎金。仍然拥有球队,但他们失去了对球队的控制,无法使用 |
| 真实性 | 允许识别相关数据的所有者或创建者 | 购买打折软件,结果证明是伪造的,源磁盘中包含恶意软件 | |
| 效用 | 指示数据的有用程度。根据数据及其格式(例如,加密与否),可以有不同程度的效用 | 在访问控制系统的安装和调试过程中,用于传输访问控制权限的文件和数据转换过程会导致关键数据损坏 | |
| 博伊斯 | 安全 | 避免危害个人、环境或任何相关资产的健康和安全。 | 入侵火警系统的远程支持连接会导致虚假火警反复触发。这触发了消防部门的反应。结果,消防证书被撤销,在火灾报警系统被修改之前,建筑物在安全方面无法使用 |
| 弹力 | 系统及时转换、更新和恢复以应对不良事件的能力。 | 没有明确给出。 |
图 1。定义网络安全策略和评估每个元素的属性的一般过程 [ 26 ] [ 20 ]。
在文献中,已经确定了这些属性的三层。安全系统的原始属性是 CIA 三元组(“ISO - ISO/IEC 27001 - 信息安全管理”[ 19 ]),包括机密性、完整性和可用性。然后帕克 [ 43 ] 用帕克六边形扩展了这一点,增加了真实性、拥有/控制和实用性。最后,Boyes [ 7 ] 增加了弹性和安全性以创建安全流程的八个属性。Parkerian hexad 和 CIA 中的属性总结在表 1中;但是,它们在 CoP-CSBE 中没有明确定义,仅提供了主观/模糊的示例。本文提出的框架是对此进行改进的一种尝试。
关于 CS 的不同元素/上下文,CoP-CSBE 确定了表 2中列出和描述的内容。
表 2。CoP-CSBE (IET, 2014) 中考虑的要素/背景。
设想的安全过程如图 1 所示。威胁被理解为(同上)“任何可能以破坏、披露、修改数据和/或拒绝服务的形式对系统造成损害的情况或事件”。风险被理解为(同上)“预期损失,表示为特定威胁利用特定漏洞产生特定有害结果的概率”。漏洞是提高负面事件的影响和/或发生可能性的内生因素,尤其是当它与蓄意威胁有关时,对手会积极寻求识别和利用弱点。
表 2的每个元素都根据表 1的相关网络安全元素在建筑物的生命周期内进行评估,以说明建筑物和技术的变化、建筑物和技术的使用以及潜在威胁的性质和严重性。所需的保护或对策级别将根据对所有者/用户的潜在影响与实施相关对策的成本进行比较来确定。此外,对特定网络安全措施的需求将因建筑而异,并且跨越所评估建筑的不同阶段。
该框架是全面的。它借鉴了扩展的 Parkerian 十六进制和 ISO 安全流程。但是,该框架有以下限制:
•属性(表 1)没有很好地定义。事实上,它们的定义可能会重叠,这使得建筑专家的应用成为一个挑战。例如,安全因不完整或缺乏占有而受到损害。弹性可以适用于所有其他属性。
•元素(表 2)缺乏内部逻辑;目前尚不清楚它们背后的基本原理是什么。它们似乎处于非常不同的概念级别(例如,意识和理解与构建系统)和技术堆栈的不同级别(信息和数据与基础设施)。这会导致歧义;例如,电磁频谱也可以被视为基础设施。意识和理解是人类的特征,环境因素也是如此,而其他元素是有形的。
•从 ISO 借来的过程是可靠的;然而,它缺乏建设的特殊性——建设项目的独特性和短期性。此外,对风险和威胁的理解也不同于施工风险管理中的理解。
3 . 核心网络安全框架
在本节中,介绍了构建网络安全框架的核心。任何东西,包括构造,都可以被视为一个系统——正如系统理论和系统工程所理解的那样。系统是运行需要保护的流程(本研究中的构建流程)的机制。第 3.1 和 3.2 小节分别将构建解释为一个系统和一个过程。然后在这两种范式中定义安全性。最后,针对建筑行业描述了解决这些安全问题的一般方法。然后第 4 节更详细地讨论了特定于构造的问题。
3.1 . 作为一个系统的建设
从哲学上讲,我们可以选择两种方式来看待世界——作为对象的橱窗和作为活动的舞台[ 48 ]。结构-功能-行为模型 [ 15 ] 呼应了这种想法——结构是关于具有属性的对象。功能+行为是关于对象在其中发挥作用的事件。同样的区别也存在于产品和过程建模的概念 [ 51 ] 以及建筑信息模型(事物)和建筑信息模型(过程)之间的区别。
系统视图倾向于将世界视为对象的橱窗。我们从系统论中借用了系统的定义。它声称一个系统是“一组相互作用、相互关联或相互依赖的元素或部分,它们作为一个整体共同发挥作用以实现一个目标”[ 14 ]。系统在不属于系统一部分的环境中运行,并具有以下组件:边界、吞吐量、反馈和控制。系统根据其目标将输入转换为输出。这使得一个系统显然不仅仅是一组对象。
建筑业可以被视为一个系统或系统的集合 [ 33 ] - 建筑物是一个具有多个子系统的系统。它的目标是为人类活动提供空间。它有一个边界(例如外墙),吞吐量(即清洁的卫生水进入建筑物和脏水流出)。例如,反馈和控制用于调节建筑物中的温度。建设项目是一个以交付最终产品(例如建筑)为目标的系统。设计办公室是一个旨在交付设计的系统。计算机程序是一个接受输入、进行一些处理并创建输出的系统。
当涉及网络安全时,保护系统组件是必不可少的。系统边界必须是安全的,即未经适当许可或授权不得跨越;吞吐量、反馈和控制机制(简称机制)不应被篡改。
3.2 . 建设作为一个过程
或者,可以将构建视为一个过程。在 IDEF0 元模型 [ 39 ] 中,流程具有输入、输出、控制和资源。过程使用资源并遵循控制信息的规则将输入转换为输出。例如,混凝土搅拌过程以水泥、砾石和水为输入,生成混凝土混合物作为输出;借助资源 - 混凝土搅拌设备 - 由配方控制适当数量的成分。
流程以两种不同的方式相互连接:流程 B 接受作为流程 A 的输出的输入,或者流程 B 由流程 A 的输出控制。可以在不同的抽象级别上观察流程。每个过程都可以分解为子过程,并进一步分解为子子过程。从安全角度来看,正是通过“不良”输入、“不良”控制和“不良”机制,流程才会产生不良结果。
人们可以区分建筑中的信息和物质过程[ 6 ]。信息过程以信息为输入,以创造信息为输出,而物质过程对物质材料也是如此。它们之间的关系通常是信息流程控制材料流程:设计和规划信息控制施工现场发生的事情[ 5 ]。自动化信息控制建筑物的系统(例如,HVAC)。
为了在系统和流程视图之间建立联系,我们声称流程要么由人执行,要么由系统执行——系统是流程的一种机制。这如图 2所示:
图 2。抽象过程的插图。
当 (a) 执行流程的系统是安全的(见上文),当执行流程的人员是安全的,以及 (c) 当输入、输出和控制是安全的 - 它们不是伪造的时,流程的安全性就确立了,篡改等。安全意味着什么需要更好的定义。
3.3 . 安全作为没有过错
在我们的框架中,我们从流程和系统视图的综合开始,并确定了安全利益的四个基本要素:信息、材料、人员和系统。我们将它们的安全性定义为不存在越来越多的属性列表(如第 2.4 节的扩展帕克六进制),而是不存在公认的、几乎符合圣经的错误。该框架所基于的错误是偷窃、撒谎和伤害。Parkerian 十六进制(表 1中的前六行)和我们的框架之间存在近似映射。
•保密和占有是关于不偷窃。信息可以被盗,但留给所有者或完全从所有者那里删除。
•诚信和真实是关于不说谎的。完整性意味着我们不对数据本身撒谎,真实性意味着我们不对数据的来源撒谎。
•实用性和可用性(以及弹性和安全性)是关于不伤害的,因此它仍然有用并且可以使用。
然而,由于我们通过没有错误清单来定义安全性,我们认为该观点简化了讨论,并使框架更全面,更容易被几乎没有网络安全专业知识的建筑专业人士应用,这是网络安全的优势之一提议的框架。
任何施工过程要安全,就意味着要防止三种错误:偷窃、说谎和伤害。并且通过构成话语领域的四个要素来防止错误:信息、物质、人员和系统。在本研究中,信息涉及所有数字数据,例如设计文件、竣工模型和合同。简而言之,可以通过电子邮件发送的任何内容。材料代表在建造过程中用于建造设施的任何物质,或者转化为设施的一部分或废物。一些众所周知的例子是水、钢铁、能源。人们代表与建设项目直接或间接相关的每个人,例如业主、设计师、承包商、工人和访客。第 3.1 节这些将是子系统或子子系统)。为了安全起见,区分系统的边界和系统的机制是很有价值的。将系统的外部与内部分开的边界——如工厂的围栏、卡车的门等。机制是系统的内部部件——卡车的引擎、计算机的处理器、软件算法。
请注意,输入和输出可以是实质性的或信息性的;控制总是信息性的,系统可以是物理系统、软件系统或社会技术系统(例如业务或项目)。请注意,说谎不可能是物质的,关于某种物质的信息可能是谎言;或者某些关于自身的谎言——例如,一个人假装是另一个人。网络安全与所有涉及信息或软件的场景有关。
图 3说明了四个要素的安全挑战。请注意,系统是被观察到的,尤其是它们的边界,尤其是它们的机制。这种区别很重要,因为安全系统边界意味着安全机制。此外,许多安全方法都与保护边界有关——例如,在现实世界中,我们可能有锁和栅栏。
图 3。对主要元素的威胁。
图 3中的威胁在表 3中描述。括号中带有文本的阴影单元格不涉及网络安全问题。
表 3。元素可能发生的错误的描述。
这是对网络安全的一般、非常抽象的看法。在第 4 节中,我们将更仔细地检查这四个要素,将每个要素细分为子类别,并寻找特定于构造的问题。
3.4 . 解决错误的一般方法
表 4总结了对于可能的错误通常可以采取的措施。
表 4。元素可能发生的错误的对策。
