4008 浏览4.6 . 安全流程
到目前为止,该论文一直从结构的角度处理框架 - 必须保护的存在以及安全意味着什么。当然,另一种观点是程序性的。可以部署传统的安全管理程序,例如监督控制和数据采集 (SCADA) 或用于定义网络安全策略和评估的一般流程。图 1 。安全程序通常区分两种活动:
•资产网络安全的一般准备(主动网络安全),以及
•对事件的响应(反应性网络安全)。
从程序的角度来看,构建细节反映在四种不同类型的系统中(考虑到安全性时称为资产):
•常用资产,例如人员、企业和其他机构、IT 系统、楼宇控制系统和其他永久性系统。它们的寿命很长(几年、几十年),并且不会随着时间的推移而发生显着变化,至少在它们的结构上没有变化——也就是说,它们有哪些部件和子系统。
•诸如设计项目、施工项目、施工现场、通用数据环境 (CDE) 系统等的时间资产具有数月甚至数年的生命周期,然后被销毁。请注意,有些可能非常动态。
•动态资产(如设计项目和建设项目)的特点是,随着时间的推移,系统的子系统在结构上发生变化。引入了一个新的分包商,一名顾问成为团队的一员几周后离开。
•多面资产是许多不同系统的子系统的资产,例如项目 A 和 B,以及人 X 和 Y,如图5 所示。
表 8分析了资产种类和安全程序种类之间的相互作用。
表 8。与不同类型资产相关的安全程序。
在最典型的时间资产——设计项目中,可能使用 BIM 技术并围绕通用数据环境进行组织——时间和速度至关重要。网络安全是 BIM 经理的额外责任/角色。
5 . 讨论和结论
在本文中,我们提出了建筑行业的网络安全框架。它基于这样一个概念,即建设可以被理解为一个系统或一个过程。通过理解系统是执行过程的机制,这两种观点得到了协调。该框架确定了四种需要保护的元素——物质、信息、人员和系统。该框架将安全定义为不存在三种错误——偷窃、撒谎和伤害。这是关于网络安全的原始观点,是通用的。保护过程是从文献中借来的。
然后,在第 4 节中,该框架在结构和程序两个维度上针对建筑行业进行了定制。结构部分是将元素专业化为特定于构造的元素:特定种类的信息、特定种类的材料元素、人的特定角色以及参与构造过程的特定系统。简要描述了与偷窃、撒谎和伤害有关的挑战。程序维度对主动和被动网络安全进行了强烈区分,并解决了构建细节。
框架不正确或不正确,但它们要么有用要么没用。所提出的框架可用于一般网络安全讨论、建筑项目安全的实际实施以及 ISO 19650、为未来建筑网络安全研究提供框架和确定问题,最后但并非最不重要的是,作为一种实用方法适用于管理建筑项目的专业人士。
这项研究对一般网络安全的理解做出了原创性贡献,因为它提供了 CIA 三元组和帕克六元组的替代方案。它有助于构建 NIS 框架下游的一般工业安全策略(第 2.2 节)。它是从第一原理发展而来的,本质上更简单,属性之间的重叠更少。
简化对于建筑等垂直行业的网络安全机制实施具有重要意义。所提出的框架可以帮助构建分析、规划和应对 AECO 部门数字化带来的挑战。它提供了 ISO 19650-5(第 2.3 节)中采用的方法的替代方案,但仍与网络安全规划的一般结构及其与 ISO 19650 的接口整体兼容。它提供了要保护的元素以及它们应具有的安全属性的替代选择。需要进一步的工作来将该框架与 ISO 19650 方法相结合。
在4.5 施工细节,4.6 安全流程中,该框架已被证明有助于确定施工中网络安全的具体挑战。这为构建未来关于建筑网络安全问题的研究提供了一种方法。我们发现建设中网络安全的特殊挑战是(1)设计阶段的动态和重叠过程和组织边界,(2)暴露的设计信息,(3)建筑环境控制信息的脆弱性,特别是关键基础设施。未来,特定于建筑的网络安全研究应该集中在这三个领域。需要进一步的工作来评估所确定的威胁的可能性和潜在影响以表 5、表 6、表 7为例,通过利益相关者调查和研究报告事件的文献。此外,还需要研究表 5、表 6、表 7中的潜在攻击媒介。
最后,该框架提供给业主、项目经理、BIM 经理和其他建筑专业人士,他们越来越需要以一种考虑到安全性的方式进行组织。它是开发清单和组织模板以确保活动安全的基础。它可用于计划、执行和监控单个项目、单个组织和整个行业的安全状态。
建筑环境的安全传统上被理解为工程安全——例如结构或机械意义上的安全。现在需要将这与网络安全相结合,也许与所提出的框架相一致。
