如何防止智能建筑中的安全漏洞

楼宇自动化行业现在处于有关建筑控制系统的安全性的合法合理的关注，特别是在部署先进技术的智能建筑中。我们看到关于私营公司，政府网络和互联网站点的恶意网络攻击的消息中的故事。有问题的攻击是对建立控制系统，建筑运营，乘客和业主的攻击意味着什么。

由于资讯科技基础设施在楼宇控制系统的渗透增加，以及楼宇控制系统与其他系统的整合和互联程度提高，这种担忧在较新的楼宇中得到放大。随着我们在建筑物和电网之间实现双向通信，建筑物的潜在安全漏洞可以扩展到智能电网，当然也可能影响企业业务系统。最重要的安全问题更多地是关于网络安全，而不是物理安全，尽管这两者肯定是相关的。

一般而言，建筑自动化行业和设施管理已将建筑控制网络的安全性视为次要或高等教育问题，如果有的话。建筑物管理系统（BMS）最受欢迎的安全方法是分离BMS - 不允许连接到任何其他网络。但是，单独的是虚假的安全感。BMS最小将具有消防系统，HVAC，访问控制，电梯和可能的照明，可能允许从这些网络上的那些网络中的一个或其中一个设备访问。

某些建筑物可能无法实现最小或部分安全措施，但不是最小化网络漏洞所需的全面安全措施。它可以说，大多数传统的建筑管理系统没有保障。事实上，许多遗留BMS系统具有“后门”，允许BMS制造商或本地控制承包商监控，管理或更新系统。

照片锁定的门所提供的Caliber_3D./ shutterstock.

有趣的是，虽然近期的安全问题是较新的建筑，但它是具有遗留BMS系统的旧建筑，这可能更容易攻击。遗留系统可能正在运行旧的操作系统，数据库和Web浏览器，其中一些可能不再使用安全修补程序更新。此外，旧系统的脆弱性是公共知识和众所周知的黑客，从而最大限度地减少攻击的努力和时间。

自动化行业已理解为系统标准，由制造商从专有实施转移到开放和透明的通信协议。开放标准有许多好处：产品的兼容性，定制，避免被锁定到一个制造商，互操作性，竞争成本，更多支持选项等。

与此同时，开放和透明的标准似乎会增加BAS网络的脆弱性，基本上为黑客提供了评估漏洞和潜在攻击方法所需的所有信息。这就好比把车钥匙给了偷车贼。重要的是要注意，拥有专有协议并不能从本质上保证系统的安全。如果攻击是在BAS服务器或工作站上执行的，而不是直接在控制器上执行，则协议无关紧要。还有一些工具，如网关，用于集成到这些系统，也可以提供攻击途径。

然而，开放标准运动的一个好处是，它允许这些通信协议包含网络安全相关的属性。大多数主要的BAS标准都包含了一些安全机制。BACnet的安全方面可能是最先进的，而Modbus则是另一端，它没有固有的安全能力。

有两个主要的攻击情景需要考虑：始于局域网外的遥控攻击以及局域网内部的当地攻击。第一个更有可能，但也更容易减轻缓解。第二个可能更危险，难以应对。对BAS网络的网络攻击要么要在网络之后就会去，试图访问或扰乱数据的通信或交换数据，或墨水设备，即控制器，执行器和传感器。可以通过无线通信物理地访问BAS网络，而且可以通过诸如受损控制器的网络设备来访问。对设备的攻击可能来自设备的网络或物理操纵。

下一页：防止安全违规的提示

• 在建筑物中开发，测试和部署安全措施需要成为建筑物的运作中的持续进程。以下是第一个步骤的一些建议：