<noframes id="5hrf5"><address id="5hrf5"></address>

<sub id="5hrf5"><listing id="5hrf5"><listing id="5hrf5"></listing></listing></sub>

        首頁 > 信息安全 > 正文

        樓宇自動化系統網絡安全的3個措施

        2020-07-15 09:59:36  來源:千家網

        摘要:網絡安全是一個讓高管們夜不能寐的話題。消費者數據泄露和電子郵件黑客事件經常成為新聞頭條。事實上,任何連接到互聯網的系統都有風險——包括樓宇自動化系統(BAS)。
        關鍵詞: 樓宇 網絡
          網絡安全是一個讓高管們夜不能寐的話題。消費者數據泄露和電子郵件黑客事件經常成為新聞頭條。事實上,任何連接到互聯網的系統都有風險——包括樓宇自動化系統(BAS)。
         
          對于企業來說,購買(或創建)BAS,實現解決方案,然后或多或少地忘記它是很常見的,讓整個網絡和它的控制器單獨存在,有時長達數十年,直到出現故障。這種心態可能會創建一個網絡安全需求得不到解決的環境。對BAS的入侵可能會危及建筑安全性,并導致關鍵系統的意外停機,從而對公司(或租戶)的業務流程產生連鎖反應。
         
          以下是設施管理者應該注意的網絡安全的三個核心問題。如果不這樣做,就有可能在安全漏洞和網絡安全事件中付出代價。
         
          1. 定義所需的安全性級別
         
          為了滿足企業BAS的安全需求,設備經理必須定義BAS控制所需的正常運行時間。也有必要知道在企業內的計算機上存儲了什么類型的信息,以及在網絡上傳播的信息的類型。
         
          例如,一個生產蒸汽的工廠可能需要與產生蒸汽的鍋爐通信的控制器100%的運行時間,而辦公樓里的熱泵可能只需要20%到50%的運行時間來維持一個房間的溫度。設備的價值越高,就越有可能成為網絡攻擊的目標。一旦知道了風險,就更容易分配資源和保護最關鍵的設備。
         
          正確保護網絡可能是一項代價高昂的工作;如果知道哪些設備會造成損害,就可以指示在何處應用資源。像JACE這樣的組件應該被視為高風險,因為它是關鍵設備,可能有很高的曝光量(如果它們被放置在具有公共IP地址的開放Web上),并且可能面臨高級別的威脅(它們可能出現在網站shodan.io上,如果攻擊者控制了它,他們就可以控制BAS)。只要正確識別風險,就有辦法降低風險。
         
          僅僅查看設備不足以確定風險。風險還必須通過查看整個組織的風險來確定。一個組織必須意識到內部和外部的威脅,以造成組織的傷害。對于低風險的組織,訪問一個BAS可能是合理的通過一個虛擬私有網絡和防火墻。必須確定一個可接受的風險水平。企業的高層管理人員需要決定擁有某種訪問級別的好處是否大于訪問帶來的風險。
         
          設備管理人員應該意識到,與傳統的MAC/Windows/Linux計算機相比,控制器的安全性要低一些,而這種較低的安全性使得在網絡上進行旋轉操作要容易得多。由于BAS經常與主計算機通信,BAS可以用于網絡攻擊(通過僵尸網絡控制僵尸設備)或通過惡意軟件攻擊非BAS系統。如果BAS可以通過虛擬私有網絡訪問internet或位于開放internet上,讓它與關鍵任務或存儲關鍵任務信息的設備進行間接通信是有風險的。
         
          在某些情況下,應創建專門為BAS設計的獨立網絡,以保護網絡上的其他信息。
         
          BAS的理想配置是讓網絡采用洋蔥拓撲,通過安全層保護信息。隨著網絡的深入,通過多種方法確保信息的完整性,安全性也隨之提高。這些方法可以包括防火墻和各種單向網關,以防止敏感信息通過。深入到網絡中,安全性會提高,在這些安全性得到提高的區域中,放置了最關鍵的設備,這些設備可能會影響人們的生活,并且對任務至關重要。
         
          在一些情況下,設備可能希望在BAS中實現無線通信。通常這樣做是為了節省成本,或者避免在難以到達的地區拉電纜。在啟動設備的無線通信之前,設施管理人員應該意識到,比起在不被發現的情況下直接插入建筑物的網絡,在建筑物附近對BAS進行無線攻擊要容易得多。
         
          2. 聘用IT人員
         
          IT網絡管理員知道在網絡上傳播的信息的類型、網絡用于通信的協議、存儲有價值信息的設備以及網絡的物理布局。讓IT人員參與可以更輕松地配置BAS安全并將其集成到組織的整體網絡安全戰略中。例如,一些企業不希望使用特定的通信協議或允許協議的某些特性。例如,在任何形式的數據傳輸中允許明文可能會損害總體安全性。聽取It人員的意見并與他們一起工作來找到解決方案是很重要的。
         
          此外,IT人員對關鍵設備/信息的了解對于網絡安全分層非常重要。IT人員可以幫助識別可能包含關鍵任務信息的設備。他們將能夠幫助創建BAS的人實施網絡劃分,甚至在必要時幫助證明BAS完全獨立的網絡是合理的。創建BAS的人員必須通知It人員,哪些控制器一旦受到攻擊,可能對網絡安全產生嚴重影響,并解釋影響BAS的網絡安全事件的物理后果。盡管IT部門經常向首席信息官或首席安全官匯報,但也不能認為負責網絡安全的人完全了解受損設備所構成的潛在安全風險。
         
          許多建筑已經有了以太網網絡,如果沒有幫助,可能很難全面規劃。IT人員應該知道哪些設備連接到哪些端口。它們還應該有一個網絡布局,以圖形方式顯示內容所在的位置。如果創建一個完全獨立的網絡是不可能的,這些資源將有助于分割BAS網絡。網絡布局將幫助每個相關人員得出合理的結論,在哪里連接,為什么一個特定區域是最佳的。
         
          IT人員可以幫助推出BAS的更新。在某些情況下,它們可以為補丁和更新提供遠程訪問。不幸的是,大多數控制器的補丁和更新常常被推遲。因此,安全漏洞可能在補丁發布前幾周或幾個月就已經存在了。隨著補丁的發布,對BAS網絡上的所有設備進行增量補丁是防止漏洞的最佳做法。應聘請IT專業人員協調修補程序,避免網絡上的任何其他設備(如防火墻、服務器和可能已為BAS安裝的其他計算機)出現問題。
         
          3. 制定適當的政策和程序
         
          組織需要考慮對BAS的訪問范圍以及何時授予訪問權限。每個用戶或程序員都應該有獨立的帳戶,并且應為BAS啟用日志以跟蹤訪問和給出的任何命令。如果以及何時發生違規,日志是無價的,可以幫助防止將來的入侵。
         
          在當今的互聯世界中,為BAS制定網絡安全策略至關重要。BAS系統不再能夠與公司的其他基礎設施隔離工作。通過評估這三個方面,設施經理在確保系統安全并最大限度地降低風險方面邁出了一大步。

        第三十屆CIO班招生
        法國布雷斯特商學院碩士班招生
        北達軟EXIN網絡空間與IT安全基礎認證培訓
        北達軟EXIN DevOps Professional認證培訓
        責編:zhangwenwen
        韩日三级片- 视频 - 在线观看 - 影视资讯 - av片