面向楼宇环境的安全设计
楼宇部署安全
ClimaMind 面向客户楼宇环境采用清晰的部署边界、受控的边缘到云端通信、客户批准的 BAS 连接,以及可审计的运行记录。
部署架构
部署架构
架构将客户用户、ClimaMind 云服务、边缘设备和客户 BAS 分离,并让每条生产路径都有明确用途。
Rendering architecture diagram...
| Component | Boundary | Responsibility |
|---|---|---|
| Customer Users | Internet Boundary | 授权客户用户通过 TLS 访问 dashboard。 |
| ClimaMind Dashboard | ClimaMind Cloud | 面向客户的应用,用于授权站点视图和安全审查材料。 |
| ClimaMind Internal Services | ClimaMind Cloud | 支持认证、站点数据处理、审计记录和受控更新打包的后端服务。 |
| Secure Cloud Gateway | ClimaMind Cloud | 验证边缘设备通信、遥测上传和批准后的更新下发。 |
| Site Data Store | ClimaMind Cloud | 保存客户批准的站点数据和运行记录的加密生产存储。 |
| ClimaMind Edge Device | Customer Site | 客户现场设备,出站连接 ClimaMind 服务并运行本地优化逻辑。 |
| Customer BAS | Customer Site | 客户楼宇自动化系统;连接使用批准路径、点位映射、读取和 allowlisted writes。 |
数据保护
数据保护
部署安全聚焦站点数据、dashboard 访问、运行配置和边缘遥测。
- 公开网站和已发布安全概览材料属于公开信息。
- 非公开运行笔记、实施细节和内部计划属于内部信息。
- 客户站点元数据、楼宇遥测、dashboard 数据、诊断、支持上下文和客户配置属于机密信息。
- 凭证、证书、API token 和签名材料属于受限密钥。
- 内部和机密信息在应用或系统传输中使用加密传输。
- 受限密钥存放在 AWS Secrets Manager。
- 生产访问基于角色,并限制在运行需要内。
| 分级 | 示例 | 静态加密 | 传输加密 | 处理方式 |
|---|---|---|---|---|
| Public | 公开网站内容、已发布市场材料、公开文档。 | - | - | 批准后可对外分发。 |
| Internal | 非公开运行笔记、实施细节、非客户内部计划。 | - | ✓ | 限 ClimaMind 人员和批准的协作者访问;应用和系统间传输使用加密传输。 |
| Confidential | 客户站点元数据、楼宇遥测、dashboard 数据、诊断、支持上下文、客户配置。 | ✓ | ✓ | 访问受控;传输和静态存储加密;仅用于客户交付、支持、运行和批准后的分析。 |
| Restricted | 凭证、密钥、设备身份材料、BAS 访问详情、控制写入授权数据。 | ✓ | ✓ | 存放在 AWS Secrets Manager;传输时使用加密传输;访问严格受限。 |
边缘设备安全
边缘设备安全
边缘设备使用出站、认证的云端通信和窄范围更新路径。
- 边缘设备只向批准的 ClimaMind 云端点发起出站通信。
- TLS 和证书验证保护云端通信。
- 遥测上传使用认证和签名通信。
- 更新下发有版本记录,并使用认证路径。
- 本地运行配置将服务限制在客户现场部署所需职责内。
- 模型和配置更新保留版本与回退路径。
边缘运行模型
出站云端通道
边缘设备主动向批准的 ClimaMind 端点发起认证通信。
遥测上传
运行遥测在云端接收前完成认证和签名。
验证更新路径
模型和配置更新有版本记录、经过验证,并保留回退路径。
本地运行限制
设备只运行客户现场部署职责所需服务。
Building Control Safety
Building Control Safety
BAS 连接限制在客户批准的路径和点位内,控制行为有边界。
- 连接限制在客户批准的 BAS 端点和点位映射内。
- BAS 点位映射在启用控制前完成审查。
- 先读后控的部署方式支持控制前验证。
- BAS 写入采用 allowlist,并限制在批准点位。
- 控制动作保留本地 BAS 权限、操作员流程和客户定义的运行约束。
- 回退和 fail-safe 行为保留既有楼宇运行方式。
BAS 控制边界
批准的 BAS 路径
连接遵循客户批准的 BAS 端点和点位映射。
先读后控验证
读取路径支持在启用控制动作前完成验证。
Allowlisted writes
写入限制在批准点位和有边界的控制行为内。
Fail-safe 姿态
回退保留既有 BAS 权限和正常楼宇运行方式。
远程支持访问
远程支持访问
远程支持访问需要明确批准、限定时间,并符合客户现场策略。
- 正常部署不要求常开的远程管理隧道。
- 部署不要求默认常开的 VPN、SSH 或 RDP 路径。
- 支持访问可根据客户策略使用固定源 IP、证书验证或现场访问。
- 支持会话按任务和时间窗口批准。
- 远程支持活动按照与其它安全相关事件一致的证据模型记录。
支持访问模式
客户批准
支持访问按明确任务和时间窗口批准。
访问方式
支持可使用固定源 IP、证书验证或现场访问。
无常驻隧道
正常部署不要求默认常开的 VPN、SSH 或 RDP 路径。
会话证据
支持活动作为安全相关运行事件记录。
审计记录
审计记录
安全相关事件记录在 ClimaMind 云系统中;如部署要求,也可保存到客户指定证据位置。
- 审计记录围绕 IT 和 OT 审查关心的事件类别组织。
- Dashboard 认证与管理访问。
- 部署配置变更,以及模型或配置更新。
- 遥测上传状态、更新下发事件和边缘到云认证事件。
- BAS 写入尝试、批准的控制动作和远程支持会话。
- 记录存放在 ClimaMind 云系统中;如部署要求,也可导出到客户指定证据位置。
审计证据类别
访问事件
记录 dashboard 认证和管理访问。
变更事件
记录部署配置变更,以及模型或配置更新。
边缘事件
记录遥测上传、更新下发和边缘到云认证事件。
证据位置
记录存放在 ClimaMind 云系统,或导出到客户指定位置。
审查材料包
审查材料包
Customer Security Overview PDF 为 IT 和 OT 审查提供紧凑材料。
- PDF 是面向客户 IT、OT、安全和设施团队的 review artifact。
- 覆盖部署边界、数据保护、边缘设备控制、BAS 安全措施、审计记录和远程支持访问。
- 汇总客户可见内容,不暴露内部实施流程。
- 支持安全 intake、供应商审查和部署规划讨论。
- 面向客户安全审查,不暴露内部实施流程。
审查材料覆盖范围
审查材料
PDF 面向客户 IT、OT、安全和设施团队准备。
部署边界
材料汇总云、边缘、站点数据和 BAS 的分离关系。
运行控制
材料覆盖数据保护、边缘控制、BAS 安全措施和审计记录。
客户可见范围
材料支持审查,同时不暴露内部实施流程。