如何防止在智能建筑安全漏洞

如何防止在智能建筑安全漏洞

楼宇自动化行业现在正处于一个地步,我们有关于楼宇控制系统的安全合法合理的关注,尤其是在采用先进技术的智能建筑。我们看到的新闻就在私人公司,政府网络和互联网网站的恶意网络攻击的故事。有很多问题,什么这样的攻击将意味着楼宇控制系统,建筑施工,业主和住客。

这种担忧在新建筑中被放大了,因为IT基础设施在建筑控制系统中的渗透有所增加,建筑控制与其他系统的集成和互连也有所加强。当我们开始在建筑物和电网之间实现双向通信时,建筑物潜在的安全漏洞可以扩展到智能电网,当然也会影响公司的业务系统。总体的安全关注更多的是网络安全,而不是物理安全,尽管这两者肯定是相关的。

这样的威胁却是,有人可以通过不安全的网络造成损害,破坏,盗窃,甚至可能失去生命穿透建筑物的系统。对于传统的IT系统,威胁可能是通信丢失,未经授权访问敏感数据,知识产权盗窃,设备的中断可能包括物理安全系统如门禁和视频监控,数据和障碍的损失,业务连续性。对于其它建筑系统如HVAC控制,配电,照明,电梯等,威胁是至关重要的建筑物基础设施也阻止或可以暂停正常操作的中断。

根据建筑物的使用和建设控制系统,安全威胁可能与生命安全,例如破坏应急电源,在苛刻的医疗空间照明和暖通空调。建立系统的威胁是不是假设:臭名昭著的Stuxnet的网络攻击在2010年最终受影响的可编程逻辑控制器(PLC),也就是通常用于工业,常用于建筑物的电梯控制器,泵,驱动器和照明设备。

一般来说,楼宇自动化行业和设备管理已经处理,楼宇控制网络作为二级或三级的问题,如果在所有的安全性。对于建筑管理系统(BMS)最流行的安全方法是隔离BMS - 不让其连接到任何其他网络。但是,仅仅是安全的错觉。在最低限度的BMS将有消防系统,HVAC,访问控制,电梯和可能的照明连接到它,可能允许来自这些网络中的一个或这些网络上的设备之一的访问。

最小的或部分的安全措施可能在地方一些建筑物,但要求不是全面的保安措施,以尽量减少网络漏洞。它是公平地说,大多数传统的建筑管理系统并不安全。事实上,许多传统的BMS系统有“后门”,允许BMS制造商或本地控制承包商来监控,管理或更新系统。

照片锁着的门所提供的caliber_3D/存在Shutterstock

有趣的是,虽然常常最近的安全担心的是新建筑,它是旧建筑与可能是更容易受到攻击遗留BMS系统。遗留系统可能运行较早版本的操作系统,数据库和Web浏览器,其中的一些可能不再与安全补丁更新。此外,旧的系统的脆弱性是公共知识和熟知的黑客,从而最大限度地减少了攻击的时间和精力。

自动化行业已经理所当然地争取了系统的标准,制造商开放,透明的通信协议,从专有实现移动。有对开放标准的许多优点:产品,定制的兼容性,避免被锁定,在一个制造商,互用性,竞争力的成本,更多的支持选项等。

同时,开放和透明的标准似乎会增加BAS网络的脆弱性,基本上提供了黑客评估漏洞和潜在攻击方法所需的所有信息。这类似于给偷车贼车钥匙。需要注意的是,拥有专有协议并不能从本质上保证系统的安全性。如果攻击是在BAS服务器或工作站而不是直接在控制器上执行,则协议是不相关的。还有一些工具,如网关,用于集成这些系统,也可以为攻击提供途径。

然而,开放标准运动的好处之一是,它允许那些通信协议合并与网络安全相关的属性。大多数主要的BAS标准都包含了一些安全机制。BACnet的安全方面可能是最先进的,另一端是Modbus,它没有固有的安全功能。

有两个主要攻击的情况下考虑:从建筑物局域网和从LAN内部的攻击本地之外的远程攻击发起。首先是更容易,也更容易缓解。二是潜在更加危险和难以对付。一个BAS网络上的网络攻击要么去网络后去,试图访问或破坏通信或数据,或BAS设备,即控制器,执行器和传感器的交流。该BAS网络可以经由无线通信进行物理访问,可能的话,还可以通过网络设备,诸如受损控制器。设备上的攻击很可能从网络或设备的物理操纵来发出。

下一页:上防止安全漏洞提示

  • 开发,测试和建筑物需要部署的安全措施,积极构建到大楼的营运一个持续的过程。下面是第一步的一些建议:
  • 分配一个专门的网络管理员来建立控制系统,负责网络安全。网络管理员应协调安全工作和响应,以及内部和外部援助。
  • 如果设备管理部门在早期带头与IT部门协调工作。采取全面的方法-评估每一个楼宇系统、其弱点,以及系统的损失或中断对楼宇运作和住户的影响,以及对财政的影响。
  • 大概识别攻击和监视的途径正在发生攻击的蛛丝马迹。启动与使用上的楼宇自动化网络的IT安全措施。
  • 请理解,虽然IT安全措施是有价值的,但它们可能并不适用于所有系统或部分构建控制系统。例如,在字段或应用程序控制级别,您可能发现处理能力和内存有限的控制器,并且使用有限的带宽网络。不太可能是it类型安全性的候选者。
  • 提供地区或BAS设备所在的空间和BAS网络电缆运行物理安全性。
  • 加密您的网络流量。
  • 安全的任何无线网络
  • 考虑到安全的人性化方面,最大的威胁来自内部:心怀不满的员工、抄近路者或自带笔记本电脑的人,等等。制定有关密码、配置、设置和综合培训计划的政策。

  • 请确保您有无法访问或从网络上删除所有数据库的安全备份。

  • 在大多数情况下,攻击者会用最简单的目标开始,所以考虑创建是故意不安全,为了让你知道什么时候有人针对你的系统监控这些攻击的迹象蜜罐系统。

也许更重要的是,您还应该制定预防失败和正在进行攻击的计划。制定策略以识别正在进行的攻击,并关闭BAS网络控制器用于响应攻击的网络交换机上的web访问、vpn、服务器、甚至端口。在大多数情况下,当与管理服务器断开连接时,控制器将继续按时间表和传感器输入进行操作,这可能是比让攻击继续进行更好的选择。

部署只解决有限部分漏洞的安全程序是没有意义的。这只是承认某些系统不安全。全面保障建筑物的安全不仅包括门禁和视频监控或IT安全计划。它还必须包括建筑控制和自动化系统。控制系统是不同类型的网络,从来没有任何全面的安全措施。但是,新的和不断变化的技术以及系统集成要求控制系统置于安全保护伞下。

如果您对这篇文章的评论或反馈,我们希望在收到您的来信[电子邮件保护]

典型的IT安全措施
强大的防火墙
用户身份验证
安全的无线
意识有关人身安全
使用VPN在企业状况备份策略
BAS数据通信网络硬件的强加密是在安全的数据中心的入侵检测系统
设备,可以捕获IP数据包

主题: