如何防止智能楼宇的保安漏洞
楼宇自动化行业目前对楼宇控制系统的安全性存在合理的担忧,特别是在部署了先进技术的智能楼宇。我们在新闻中看到有关对私营公司、政府网络和互联网网站进行恶意网络攻击的报道。这样的袭击对建筑控制系统、建筑运营、居住者和业主意味着什么,这是一个问题。
在较新的建筑中,逮捕在较新的建筑中,由于在建筑控制系统中的IT基础设施的渗透率增加以及与其他系统的建筑控制更大的集成和互连。建筑物的潜在安全漏洞可以扩展到智能电网,因为我们移动到建筑物和网格之间的双向通信,当然也可能影响公司业务系统。虽然这两个肯定是相关的,总体安全问题更多地有关网络安全性和更少的物理安全性。
简单地说,威胁就是有人可以通过一个不安全的网络渗透到一栋建筑的系统中,从而造成破坏、破坏、盗窃,甚至可能造成人员伤亡。对传统IT系统而言,威胁可能包括通讯中断、未授权访问敏感数据、知识产权被盗、设备中断(可能包括访问控制和视频监控等物理安全系统)、数据丢失和业务连续性障碍。对于其他建筑系统,如暖通空调控制、配电、照明、电梯等,威胁是关键建筑基础设施的中断,这也会阻碍或停止正常运行。
根据建筑用途和建筑控制系统,安全威胁可能与生命安全有关,例如扰乱关键医疗空间的应急电源、照明和暖通空调。对建筑系统的威胁不是假想的:2010年臭名昭著的Stuxnet网络攻击最终影响了可编程逻辑控制器(PLC),这是一种经常在工业中使用的控制器,通常用于建筑电梯、泵、驱动器和照明设备。
一般而言,建筑自动化行业和设施管理已将建筑控制网络的安全性视为次要或高等教育问题,如果有的话。建筑物管理系统(BMS)最流行的安全方法是分离BMS - 不允许连接到任何其他网络。但是,单独的是虚假的安全感。BMS最小将具有消防系统,HVAC,访问控制,电梯以及可能的照明,可能允许从这些网络上的其中一个网络或其中一个设备访问。
一些建筑物可能会采取最低限度或部分的安全措施,但没有采取全面的安全措施,以减少网络的脆弱性。公平地说,大多数传统的建筑管理系统是不安全的。事实上,许多传统的BMS系统都有“后门”,允许BMS制造商或本地控制承包商监控、管理或更新系统。
的照片锁着的门由...提供Caliber_3D./在上面
有趣的是,虽然最近的安全问题通常是关于较新的建筑,但带有遗留BMS系统的较老的建筑可能更容易受到攻击。遗留系统很可能运行旧的操作系统、数据库和网络浏览器,其中一些可能不再更新安全补丁。此外,老系统的漏洞是众所周知的,黑客们也很熟悉,因此可以减少攻击的工作量和时间。
自动化行业一直在努力为系统制定标准,从制造商的专有实现转向开放和透明的通信协议。开放标准有很多好处:产品的兼容性、定制化、避免局限于一个制造商、互操作性、有竞争力的成本、更多的支持选项,等等。
与此同时,开放和透明标准似乎增加了BAS网络的脆弱性,基本上提供所有信息黑客需要评估漏洞和攻击潜在方法。这是类似于将汽车小偷给汽车的钥匙。重要的是要注意,拥有专有协议并不固有地使系统安全。如果攻击在BAS服务器或工作站上执行而不是直接在控制器上执行,则协议是无关紧要的。还有工具,如网关,用于集成到这种系统,并且还可以提供攻击的途径。
然而,开放标准运动的一个上面是它允许这些通信协议包含网络安全相关的属性。大多数主要的BAS标准都纳入了一些安全机制。BACnet的安全方面可能是最先进的,在频谱的另一端是Modbus,它没有固有的安全功能。
有两个主要的攻击情景需要考虑:源自局域网外的遥控攻击以及局域网内部的当地攻击。第一个更有可能,但也更容易减轻缓解。第二个可能更危险,难以应对。对BAS网络的网络攻击要么将在网络之后进行,尝试访问或扰乱数据的通信或交换数据,即BAS设备,即控制器,执行器和传感器。可以通过无线通信物理地访问BAS网络,而且可以通过诸如受损控制器的网络设备来访问。对设备的攻击可能会从设备的网络或物理操纵中发出。
下一个页面:防范安全漏洞的提示
- 在建筑中开发、测试和部署安全措施需要成为一个持续的过程,积极地融入建筑的运作。以下是关于第一步的一些建议:
- 为构建有负责的网络系统分配专用网络管理员,可为正在进行的网络安全性。网络管理员应协调安全工作和响应,以及内部和外部帮助。
- 如果设施管理正在担心与IT部门的努力开始努力。采取全面的方法 - 评估每个建筑系统,其漏洞以及系统的损失或中断将意味着构建运营和乘员以及财务影响。
- 确定可能的攻击途径,并监测正在进行的攻击的泄密迹象。先在楼宇自动化网络上应用资讯科技保安措施。
- 了解IT安全措施有价值,但可能不适用于构建控制系统的所有系统或部分。例如,在字段或应用程序控制级别,您可以找到具有有限处理电源和内存的控制器,并利用有限的带宽网络。不太可能候选IT型安全性。
- 为BAS设备所在区域或空间、BAS网线运行区域或空间提供物理安全保障。
- 加密您的网络流量。
- 保护任何无线网络
- 考虑到安全的人类方面,最大的威胁来自内部:不满的员工,那些采取捷径或带入自己的笔记本电脑等的人。制定关于密码,配置,设置和全面培训计划的政策。
确保对所有无法从网络访问或删除的数据库进行了安全备份。
在大多数情况下,攻击者会从最容易的目标开始,所以请考虑创建故意不安全的蜜罐系统,并监视它们的攻击迹象,以便让您知道什么时候有人正在攻击您的系统。
也许更重要的是,您还应该制定计划,以防预防失败,攻击正在进行中。开发识别持续攻击并关闭Web Access,VPNS,服务器,甚至在网络交换机上响应攻击时使用的网络交换机上的端口的策略。在大多数情况下,控制器将在与管理服务器断开连接时继续在时间表和传感器输入上运行,这可能是比让攻击继续的更好的选择。
部署安全程序中没有任何意义,该程序只能解决漏洞的有限部分。这只是一个录取的一些系统不安全。全面保护建筑不仅涉及访问控制和视频监控或IT安全计划。它还必须包括建筑控制和自动化系统。控制系统是不同类型的网络,从未有过任何全面的安全措施。但是,新的和更改技术以及系统集成要求控制系统在安全伞下带来。
如果你对这篇文章有意见或反馈,我们希望听到你在[电子邮件受保护].
典型的IT安全措施
强大的防火墙
用户身份验证
安全无线
对物理安全的认识
企业场景下使用vpn备份策略
强加密BAS数据通信网络硬件处于安全数据中心入侵检测系统中
可以捕获IP报文的设备