4000-110-253
樓宇自動化系統網絡安全的3個(gè)措施. 2020-09-01
網絡安全是一個(gè)讓高(gāo)管們夜不能寐的話(huà)題。消費者數(shù)據洩露和(hé)電(diàn)子郵件黑(hēi)客事件經常成為(wèi)新聞頭條。事實上(shàng),任何連接到互聯網的系統都有(yǒu)風險——包括樓宇自動化系統(BAS)。
對于企業來(lái)說,購買(或創建)BAS,實現解決方案,然後或多(duō)或少(shǎo)地忘記它是很(hěn)常見的,讓整個(gè)網絡和(hé)它的控制(zhì)器(qì)單獨存在,有(yǒu)時(shí)長達數(shù)十年,直到出現故障。這種心态可(kě)能會(huì)創建一個(gè)網絡安全需求得(de)不到解決的環境。對BAS的入侵可(kě)能會(huì)危及建築安全性,并導緻關鍵系統的意外停機,從而對公司(或租戶)的業務流程産生(shēng)連鎖反應。
以下是設施管理(lǐ)者應該注意的網絡安全的三個(gè)核心問題。如果不這樣做(zuò),就有(yǒu)可(kě)能在安全漏洞和(hé)網絡安全事件中付出代價。
1. 定義所需的安全性級别
為(wèi)了滿足企業BAS的安全需求,設備經理(lǐ)必須定義BAS控制(zhì)所需的正常運行(xíng)時(shí)間(jiān)。也有(yǒu)必要知道(dào)在企業內(nèi)的計(jì)算(suàn)機上(shàng)存儲了什麽類型的信息,以及在網絡上(shàng)傳播的信息的類型。
例如,一個(gè)生(shēng)産蒸汽的工廠可(kě)能需要與産生(shēng)蒸汽的鍋爐通(tōng)信的控制(zhì)器(qì)100%的運行(xíng)時(shí)間(jiān),而辦公樓裏的熱泵可(kě)能隻需要20%到50%的運行(xíng)時(shí)間(jiān)來(lái)維持一個(gè)房(fáng)間(jiān)的溫度。設備的價值越高(gāo),就越有(yǒu)可(kě)能成為(wèi)網絡攻擊的目标。一旦知道(dào)了風險,就更容易分配資源和(hé)保護最關鍵的設備。
正确保護網絡可(kě)能是一項代價高(gāo)昂的工作(zuò);如果知道(dào)哪些(xiē)設備會(huì)造成損害,就可(kě)以指示在何處應用資源。像JACE這樣的組件應該被視(shì)為(wèi)高(gāo)風險,因為(wèi)它是關鍵設備,可(kě)能有(yǒu)很(hěn)高(gāo)的曝光量(如果它們被放置在具有(yǒu)公共IP地址的開(kāi)放Web上(shàng)),并且可(kě)能面臨高(gāo)級别的威脅(它們可(kě)能出現在網站(zhàn)shodan.io上(shàng),如果攻擊者控制(zhì)了它,他們就可(kě)以控制(zhì)BAS)。隻要正确識别風險,就有(yǒu)辦法降低(dī)風險。
僅僅查看設備不足以确定風險。風險還(hái)必須通(tōng)過查看整個(gè)組織的風險來(lái)确定。一個(gè)組織必須意識到內(nèi)部和(hé)外部的威脅,以造成組織的傷害。對于低(dī)風險的組織,訪問一個(gè)BAS可(kě)能是合理(lǐ)的通(tōng)過一個(gè)虛拟私有(yǒu)網絡和(hé)防火(huǒ)牆。必須确定一個(gè)可(kě)接受的風險水(shuǐ)平。企業的高(gāo)層管理(lǐ)人(rén)員需要決定擁有(yǒu)某種訪問級别的好處是否大(dà)于訪問帶來(lái)的風險。
設備管理(lǐ)人(rén)員應該意識到,與傳統的MAC/Windows/Linux計(jì)算(suàn)機相比,控制(zhì)器(qì)的安全性要低(dī)一些(xiē),而這種較低(dī)的安全性使得(de)在網絡上(shàng)進行(xíng)旋轉操作(zuò)要容易得(de)多(duō)。由于BAS經常與主計(jì)算(suàn)機通(tōng)信,BAS可(kě)以用于網絡攻擊(通(tōng)過僵屍網絡控制(zhì)僵屍設備)或通(tōng)過惡意軟件攻擊非BAS系統。如果BAS可(kě)以通(tōng)過虛拟私有(yǒu)網絡訪問internet或位于開(kāi)放internet上(shàng),讓它與關鍵任務或存儲關鍵任務信息的設備進行(xíng)間(jiān)接通(tōng)信是有(yǒu)風險的。
在某些(xiē)情況下,應創建專門(mén)為(wèi)BAS設計(jì)的獨立網絡,以保護網絡上(shàng)的其他信息。
BAS的理(lǐ)想配置是讓網絡采用洋蔥拓撲,通(tōng)過安全層保護信息。随着網絡的深入,通(tōng)過多(duō)種方法确保信息的完整性,安全性也随之提高(gāo)。這些(xiē)方法可(kě)以包括防火(huǒ)牆和(hé)各種單向網關,以防止敏感信息通(tōng)過。深入到網絡中,安全性會(huì)提高(gāo),在這些(xiē)安全性得(de)到提高(gāo)的區(qū)域中,放置了最關鍵的設備,這些(xiē)設備可(kě)能會(huì)影(yǐng)響人(rén)們的生(shēng)活,并且對任務至關重要。
在一些(xiē)情況下,設備可(kě)能希望在BAS中實現無線通(tōng)信。通(tōng)常這樣做(zuò)是為(wèi)了節省成本,或者避免在難以到達的地區(qū)拉電(diàn)纜。在啓動設備的無線通(tōng)信之前,設施管理(lǐ)人(rén)員應該意識到,比起在不被發現的情況下直接插入建築物的網絡,在建築物附近對BAS進行(xíng)無線攻擊要容易得(de)多(duō)。
2. 聘用IT人(rén)員
IT網絡管理(lǐ)員知道(dào)在網絡上(shàng)傳播的信息的類型、網絡用于通(tōng)信的協議、存儲有(yǒu)價值信息的設備以及網絡的物理(lǐ)布局。讓IT人(rén)員參與可(kě)以更輕松地配置BAS安全并将其集成到組織的整體(tǐ)網絡安全戰略中。例如,一些(xiē)企業不希望使用特定的通(tōng)信協議或允許協議的某些(xiē)特性。例如,在任何形式的數(shù)據傳輸中允許明(míng)文可(kě)能會(huì)損害總體(tǐ)安全性。聽(tīng)取It人(rén)員的意見并與他們一起工作(zuò)來(lái)找到解決方案是很(hěn)重要的。
此外,IT人(rén)員對關鍵設備/信息的了解對于網絡安全分層非常重要。IT人(rén)員可(kě)以幫助識别可(kě)能包含關鍵任務信息的設備。他們将能夠幫助創建BAS的人(rén)實施網絡劃分,甚至在必要時(shí)幫助證明(míng)BAS完全獨立的網絡是合理(lǐ)的。創建BAS的人(rén)員必須通(tōng)知It人(rén)員,哪些(xiē)控制(zhì)器(qì)一旦受到攻擊,可(kě)能對網絡安全産生(shēng)嚴重影(yǐng)響,并解釋影(yǐng)響BAS的網絡安全事件的物理(lǐ)後果。盡管IT部門(mén)經常向首席信息官或首席安全官彙報,但(dàn)也不能認為(wèi)負責網絡安全的人(rén)完全了解受損設備所構成的潛在安全風險。
許多(duō)建築已經有(yǒu)了以太網網絡,如果沒有(yǒu)幫助,可(kě)能很(hěn)難全面規劃。IT人(rén)員應該知道(dào)哪些(xiē)設備連接到哪些(xiē)端口。它們還(hái)應該有(yǒu)一個(gè)網絡布局,以圖形方式顯示內(nèi)容所在的位置。如果創建一個(gè)完全獨立的網絡是不可(kě)能的,這些(xiē)資源将有(yǒu)助于分割BAS網絡。網絡布局将幫助每個(gè)相關人(rén)員得(de)出合理(lǐ)的結論,在哪裏連接,為(wèi)什麽一個(gè)特定區(qū)域是最佳的。
IT人(rén)員可(kě)以幫助推出BAS的更新。在某些(xiē)情況下,它們可(kě)以為(wèi)補丁和(hé)更新提供遠程訪問。不幸的是,大(dà)多(duō)數(shù)控制(zhì)器(qì)的補丁和(hé)更新常常被推遲。因此,安全漏洞可(kě)能在補丁發布前幾周或幾個(gè)月就已經存在了。随着補丁的發布,對BAS網絡上(shàng)的所有(yǒu)設備進行(xíng)增量補丁是防止漏洞的最佳做(zuò)法。應聘請(qǐng)IT專業人(rén)員協調修補程序,避免網絡上(shàng)的任何其他設備(如防火(huǒ)牆、服務器(qì)和(hé)可(kě)能已為(wèi)BAS安裝的其他計(jì)算(suàn)機)出現問題。
3. 制(zhì)定适當的政策和(hé)程序
組織需要考慮對BAS的訪問範圍以及何時(shí)授予訪問權限。每個(gè)用戶或程序員都應該有(yǒu)獨立的帳戶,并且應為(wèi)BAS啓用日志(zhì)以跟蹤訪問和(hé)給出的任何命令。如果以及何時(shí)發生(shēng)違規,日志(zhì)是無價的,可(kě)以幫助防止将來(lái)的入侵。
在當今的互聯世界中,為(wèi)BAS制(zhì)定網絡安全策略至關重要。BAS系統不再能夠與公司的其他基礎設施隔離工作(zuò)。通(tōng)過評估這三個(gè)方面,設施經理(lǐ)在确保系統安全并最大(dà)限度地降低(dī)風險方面邁出了一大(dà)步。
轉自千家(jiā)網
