建筑工程论文范文--解决建筑网络安全问题的系统框架

4 . 网络安全建设

第 3 节中介绍的框架是通用的，适用于任何可以被视为系统和流程的行业或主题。不过，它很简单，因此在建筑中使用可能更具吸引力，因为该行业的 IT 素养和渗透率是经济中最薄弱的 [ 34 ]。

在本节中，我们将深入研究四个要素中的每一个——表 5中的信息、表 6中的人员和表 7中的系统。对于这些中的每一个，将定义特定于构造的不同子类别。每一个都将从撒谎、偷窃和伤害的角度进行检查。

表 5。施工信息可能发生的错误。

表 6。施工人员/利益相关者可能发生的错误。

表 7。元素可能发生的错误的描述。

4.1 . 确保施工信息

表 5 说明了施工信息可能发生的错误。它应该被解读为“窃取设计信息”或“谎报投标和成本信息”或“不真实的设计信息”或“损害网站日志”。主要危害是信息被盗、插入不真实信息或歪曲信息。请注意，最后一行中的业务信息不是特定于构造的，但由于其重要性和阐明方法的能力而被添加。

4.2 . 在建筑中保护材料元素

有形的事物和材料不受网络安全的约束，除非系统具有材料组件（如建筑工地、商务办公室、数据中心）。这些将在第 4.4 节中讨论。

4.3 . 保障施工人员安全

表 6 说明了施工过程中利益相关者类别的错误。应将其解读为“窃取权威”、“谎报现场工人”或“伤害设施用户”。对人的主要伤害与他们的身份以及不安全的物理系统（如建筑物和机械）造成的身体伤害有关。

4.4 . 保护施工系统

我们在这里区分损害边界和损害系统机制。该表应该读作“窃取法人资格”或“撒谎软件系统”。请注意，物理元素的窃取不是直接的网络安全问题，而窃取物质（物理）元素只是间接的网络安全问题（例如入侵保存这些东西的边界）。此外，人们可以对物质元素撒谎（在信息部分中对此进行了介绍），但物质元素不能对它们本身撒谎。

4.5 . 施工细节

建筑在某些方面与大多数其他行业不同 [ 61 ]。由于我们在这项研究中采用了系统方法，因此我们将使用它来重申该行业的具体情况。然后我们将研究这些细节如何反映在网络安全环境中。

建设中的一个生产单位是一个项目。这些项目在所有方面都是独一无二的。支撑该项目的过程是独一无二的。该过程由一组独特的资源支持——即公司、软件工具、工程师、顾问、承包商、分包商等。当然，施工结果是独一无二的产品——建筑物通常是独一无二的即使它们具有相同的功能。

这与大多数制造一系列相同或非常相似的产品的制造业根本不同 [ 29 ]。即使是经常被称为提供独一无二产品的造船业，最近也在生产一系列非常相似的船舶 [ 2 , 47 ]。为了通过规模、复制和重复实现经济，建筑试图发现重复的元素——建筑部件和建筑子过程[ 28 ]。这对安全性提出了挑战。

网络安全的典型方法是保护系统。特别是系统的边界是安全的，因此对可以进入和退出系统的内容存在限制。此类系统的示例包括项目本身、参与项目的企业、这些企业正在使用的 IT 系统、参与的人员、实际产品等。在网络安全术语中，这些也称为资产。它们是有价值的，并且必须是安全的。

从系统的角度来看，与研究网络安全的大多数其他环境相比，主要区别在于构建中的系统边界是（1）重叠和（2）流动的。重叠的边界是因为大多数机构和人类参与者同时参与多个项目。这个想法如图5所示. 三个公司参与了两个项目。有一个人 X，他同时从事两个项目，可以被视为五个不同系统的一部分——两个项目和三个公司。系统边界对于执行安全性变得相当无用。X、Y 和 Z 人在同一家公司工作，但在形式上他们的职位却大不相同。比如说对公司 1 的攻击，可以利用公司 2 和 3、项目 A 和 B，当然还有为这三个公司中的任何一个工作的任何人的任何弱点。在传统环境中（图 4 ），保护 A 公司的子系统就足够了。在传统环境中，外部系统的系统边界加强了内部系统的安全性。实际上，在施工环境中，它们可以充当特洛伊木马（例如，图 5）。

图 4。传统行业的等级制度边界。

图 5。建设项目中的系统边界重叠。

建设项目具有独特性和时间性。它们是在设计期间或施工期间设置的。汽车制造厂的装配线或与此相关的任何其他过程都可以得到保护并长期保持安全。随着时间的推移，安全性可以不断提高。而建设建立了一个临时系统，该系统在几个月或最多几年后解散。

最后，即使在项目期间，设置也不是一成不变的。读者可以想象图 5中的公司向左或向右滑动。与网络安全相关的范围几乎每天都在变化。

此外，建筑不能被视为一个单一的行业。它具有三个不同的阶段（更多，如果详细说明的话），具有非常具体的安全挑战。设计阶段是信息密集型的。窃取机密和知识产权尤其危险。但是，来自不同公司的人可以访问它，这使得它变得更容易。建设阶段本身并不是网络密集型的，但正在变得如此，就像自动化建设活动、智能设施和智能城市中的网络系统一样。如第 4.4 节所示，该框架适应了这些差异。

最后，设施的种类有所不同。现有框架已经详细阐述了关键基础设施的安全性——发电厂、重要道路和桥梁、供水等设施（[ 41 ]；[ 8,9,12 ] ）。提出的框架认为所有建筑人员、企业、项目和产品都值得保护。