網(wǎng)絡(luò)安全是一個(gè)讓高管們夜不能寐的話(huà)題。消費(fèi)者數(shù)據(jù)泄露和電子郵件黑客事件經(jīng)常成為新聞?lì)^條。事實(shí)上，任何連接到互聯(lián)網(wǎng)的系統(tǒng)都有風(fēng)險(xiǎn)——包括樓宇自動(dòng)化系統(tǒng)(BAS)。

對(duì)于企業(yè)來(lái)說(shuō)，購(gòu)買(mǎi)(或創(chuàng)建)BAS，實(shí)現(xiàn)解決方案，然后或多或少地忘記它是很常見(jiàn)的，讓整個(gè)網(wǎng)絡(luò)和它的控制器單獨(dú)存在，有時(shí)長(zhǎng)達(dá)數(shù)十年，直到出現(xiàn)故障。這種心態(tài)可能會(huì)創(chuàng)建一個(gè)網(wǎng)絡(luò)安全需求得不到解決的環(huán)境。對(duì)BAS的入侵可能會(huì)危及建筑安全性，并導(dǎo)致關(guān)鍵系統(tǒng)的意外停機(jī)，從而對(duì)公司(或租戶(hù))的業(yè)務(wù)流程產(chǎn)生連鎖反應(yīng)。

以下是設(shè)施管理者應(yīng)該注意的網(wǎng)絡(luò)安全的三個(gè)核心問(wèn)題。如果不這樣做，就有可能在安全漏洞和網(wǎng)絡(luò)安全事件中付出代價(jià)。

1. 定義所需的安全性級(jí)別

為了滿(mǎn)足企業(yè)BAS的安全需求，設(shè)備經(jīng)理必須定義BAS控制所需的正常運(yùn)行時(shí)間。也有必要知道在企業(yè)內(nèi)的計(jì)算機(jī)上存儲(chǔ)了什么類(lèi)型的信息，以及在網(wǎng)絡(luò)上傳播的信息的類(lèi)型。

例如，一個(gè)生產(chǎn)蒸汽的工廠(chǎng)可能需要與產(chǎn)生蒸汽的鍋爐通信的控制器100%的運(yùn)行時(shí)間，而辦公樓里的熱泵可能只需要20%到50%的運(yùn)行時(shí)間來(lái)維持一個(gè)房間的溫度。設(shè)備的價(jià)值越高，就越有可能成為網(wǎng)絡(luò)攻擊的目標(biāo)。一旦知道了風(fēng)險(xiǎn)，就更容易分配資源和保護(hù)最關(guān)鍵的設(shè)備。

正確保護(hù)網(wǎng)絡(luò)可能是一項(xiàng)代價(jià)高昂的工作;如果知道哪些設(shè)備會(huì)造成損害，就可以指示在何處應(yīng)用資源。像JACE這樣的組件應(yīng)該被視為高風(fēng)險(xiǎn)，因?yàn)樗顷P(guān)鍵設(shè)備，可能有很高的曝光量(如果它們被放置在具有公共IP地址的開(kāi)放Web上)，并且可能面臨高級(jí)別的威脅(它們可能出現(xiàn)在網(wǎng)站shodan.io上，如果攻擊者控制了它，他們就可以控制BAS)。只要正確識(shí)別風(fēng)險(xiǎn)，就有辦法降低風(fēng)險(xiǎn)。

僅僅查看設(shè)備不足以確定風(fēng)險(xiǎn)。風(fēng)險(xiǎn)還必須通過(guò)查看整個(gè)組織的風(fēng)險(xiǎn)來(lái)確定。一個(gè)組織必須意識(shí)到內(nèi)部和外部的威脅，以造成組織的傷害。對(duì)于低風(fēng)險(xiǎn)的組織，訪(fǎng)問(wèn)一個(gè)BAS可能是合理的通過(guò)一個(gè)虛擬私有網(wǎng)絡(luò)和防火墻。必須確定一個(gè)可接受的風(fēng)險(xiǎn)水平。企業(yè)的高層管理人員需要決定擁有某種訪(fǎng)問(wèn)級(jí)別的好處是否大于訪(fǎng)問(wèn)帶來(lái)的風(fēng)險(xiǎn)。

設(shè)備管理人員應(yīng)該意識(shí)到，與傳統(tǒng)的MAC/Windows/Linux計(jì)算機(jī)相比，控制器的安全性要低一些，而這種較低的安全性使得在網(wǎng)絡(luò)上進(jìn)行旋轉(zhuǎn)操作要容易得多。由于BAS經(jīng)常與主計(jì)算機(jī)通信，BAS可以用于網(wǎng)絡(luò)攻擊(通過(guò)僵尸網(wǎng)絡(luò)控制僵尸設(shè)備)或通過(guò)惡意軟件攻擊非BAS系統(tǒng)。如果BAS可以通過(guò)虛擬私有網(wǎng)絡(luò)訪(fǎng)問(wèn)internet或位于開(kāi)放internet上，讓它與關(guān)鍵任務(wù)或存儲(chǔ)關(guān)鍵任務(wù)信息的設(shè)備進(jìn)行間接通信是有風(fēng)險(xiǎn)的。

在某些情況下，應(yīng)創(chuàng)建專(zhuān)門(mén)為BAS設(shè)計(jì)的獨(dú)立網(wǎng)絡(luò)，以保護(hù)網(wǎng)絡(luò)上的其他信息。

BAS的理想配置是讓網(wǎng)絡(luò)采用洋蔥拓?fù)洌ㄟ^(guò)安全層保護(hù)信息。隨著網(wǎng)絡(luò)的深入，通過(guò)多種方法確保信息的完整性，安全性也隨之提高。這些方法可以包括防火墻和各種單向網(wǎng)關(guān)，以防止敏感信息通過(guò)。深入到網(wǎng)絡(luò)中，安全性會(huì)提高，在這些安全性得到提高的區(qū)域中，放置了最關(guān)鍵的設(shè)備，這些設(shè)備可能會(huì)影響人們的生活，并且對(duì)任務(wù)至關(guān)重要。

在一些情況下，設(shè)備可能希望在BAS中實(shí)現(xiàn)無(wú)線(xiàn)通信。通常這樣做是為了節(jié)省成本，或者避免在難以到達(dá)的地區(qū)拉電纜。在啟動(dòng)設(shè)備的無(wú)線(xiàn)通信之前，設(shè)施管理人員應(yīng)該意識(shí)到，比起在不被發(fā)現(xiàn)的情況下直接插入建筑物的網(wǎng)絡(luò)，在建筑物附近對(duì)BAS進(jìn)行無(wú)線(xiàn)攻擊要容易得多。

2. 聘用IT人員

IT網(wǎng)絡(luò)管理員知道在網(wǎng)絡(luò)上傳播的信息的類(lèi)型、網(wǎng)絡(luò)用于通信的協(xié)議、存儲(chǔ)有價(jià)值信息的設(shè)備以及網(wǎng)絡(luò)的物理布局。讓IT人員參與可以更輕松地配置BAS安全并將其集成到組織的整體網(wǎng)絡(luò)安全戰(zhàn)略中。例如，一些企業(yè)不希望使用特定的通信協(xié)議或允許協(xié)議的某些特性。例如，在任何形式的數(shù)據(jù)傳輸中允許明文可能會(huì)損害總體安全性。聽(tīng)取It人員的意見(jiàn)并與他們一起工作來(lái)找到解決方案是很重要的。

此外，IT人員對(duì)關(guān)鍵設(shè)備/信息的了解對(duì)于網(wǎng)絡(luò)安全分層非常重要。IT人員可以幫助識(shí)別可能包含關(guān)鍵任務(wù)信息的設(shè)備。他們將能夠幫助創(chuàng)建BAS的人實(shí)施網(wǎng)絡(luò)劃分，甚至在必要時(shí)幫助證明BAS完全獨(dú)立的網(wǎng)絡(luò)是合理的。創(chuàng)建BAS的人員必須通知It人員，哪些控制器一旦受到攻擊，可能對(duì)網(wǎng)絡(luò)安全產(chǎn)生嚴(yán)重影響，并解釋影響B(tài)AS的網(wǎng)絡(luò)安全事件的物理后果。盡管IT部門(mén)經(jīng)常向首席信息官或首席安全官匯報(bào)，但也不能認(rèn)為負(fù)責(zé)網(wǎng)絡(luò)安全的人完全了解受損設(shè)備所構(gòu)成的潛在安全風(fēng)險(xiǎn)。

許多建筑已經(jīng)有了以太網(wǎng)網(wǎng)絡(luò)，如果沒(méi)有幫助，可能很難全面規(guī)劃。IT人員應(yīng)該知道哪些設(shè)備連接到哪些端口。它們還應(yīng)該有一個(gè)網(wǎng)絡(luò)布局，以圖形方式顯示內(nèi)容所在的位置。如果創(chuàng)建一個(gè)完全獨(dú)立的網(wǎng)絡(luò)是不可能的，這些資源將有助于分割BAS網(wǎng)絡(luò)。網(wǎng)絡(luò)布局將幫助每個(gè)相關(guān)人員得出合理的結(jié)論，在哪里連接，為什么一個(gè)特定區(qū)域是最佳的。

IT人員可以幫助推出BAS的更新。在某些情況下，它們可以為補(bǔ)丁和更新提供遠(yuǎn)程訪(fǎng)問(wèn)。不幸的是，大多數(shù)控制器的補(bǔ)丁和更新常常被推遲。因此，安全漏洞可能在補(bǔ)丁發(fā)布前幾周或幾個(gè)月就已經(jīng)存在了。隨著補(bǔ)丁的發(fā)布，對(duì)BAS網(wǎng)絡(luò)上的所有設(shè)備進(jìn)行增量補(bǔ)丁是防止漏洞的最佳做法。應(yīng)聘請(qǐng)IT專(zhuān)業(yè)人員協(xié)調(diào)修補(bǔ)程序，避免網(wǎng)絡(luò)上的任何其他設(shè)備(如防火墻、服務(wù)器和可能已為BAS安裝的其他計(jì)算機(jī))出現(xiàn)問(wèn)題。

3. 制定適當(dāng)?shù)恼吆统绦?/strong>