樓宇管理系統(tǒng)常見漏洞有哪些?

樓宇管理系統(tǒng)常見漏洞有哪些?

了解樓宇管理系統(tǒng)的含義和作用,對于組織擁有更強大的安全態(tài)勢非常重要。

什么是樓宇管理系統(tǒng)?

樓宇管理系統(tǒng)(BMS),又稱為樓宇自動化系統(tǒng)、樓宇管理與控制系統(tǒng)、直接數(shù)字控制、樓宇控制。樓宇管理系統(tǒng)是基于智能微處理器的控制器網(wǎng)絡(luò),安裝用于監(jiān)視和控制樓宇的技術(shù)系統(tǒng)和服務(wù),例如空調(diào)、通風(fēng)、照明和液壓系統(tǒng)。

BMS不僅僅是溫度控制系統(tǒng),其還可以直接與廣泛的建筑服務(wù)集成,包括門禁控制、安全、電力、照明、消防系統(tǒng)、電梯和自動扶梯控制、智能白板和臨床系統(tǒng)。樓宇管理系統(tǒng)可以是使用C-Bus和Profibus等協(xié)議的供應(yīng)商專有的,也可以使用模擬和串行連接或互聯(lián)網(wǎng)協(xié)議。

為了節(jié)省資源而提高樓宇自動化水平的需求推動了BMS的廣泛使用。一些政府需要先進的建筑控制來實現(xiàn)環(huán)境目標(biāo),而LEED綠色建筑認(rèn)證則需要最佳的控制。根據(jù)ASISInternational的數(shù)據(jù),建筑管理系統(tǒng)的使用每年增長約15%至34%。

樓宇管理系統(tǒng)本質(zhì)上是模塊化的

看待BMS的一個簡單方法是將其視為一系列相互連接和聯(lián)網(wǎng)的構(gòu)建塊或組件,以實現(xiàn)最佳的建筑控制。BMS的范圍包括從家中簡單的、支持IP的恒溫器,到跟蹤員工移動和訪問的大型、自動化、智能建筑系統(tǒng)。

樓宇管理系統(tǒng)的四個關(guān)鍵模塊包括管理、自動化、現(xiàn)場設(shè)備和通信。管理層包括人機界面、企業(yè)軟件、工作站、服務(wù)器,有時還包括網(wǎng)絡(luò)交換機。

自動化是現(xiàn)場設(shè)備的主要控制。自動化設(shè)備的一個例子是可編程邏輯控制器。

現(xiàn)場設(shè)備層包括連接到實際設(shè)備的物理設(shè)備,如傳感器和閥門/百葉窗執(zhí)行器。示例包括風(fēng)扇;溫度、壓力和液位傳感器;和電燈開關(guān)。

通信可以通過更常見的以太網(wǎng)和基于IP的協(xié)議或?qū)S型ㄐ畔到y(tǒng)進行。常見協(xié)議包括BACnet、LonWorks、DeviceNet和Modbus。

企業(yè)管理系統(tǒng)常見漏洞

高級BMS是通過網(wǎng)絡(luò)發(fā)送和接收信號以控制現(xiàn)場設(shè)備的計算機系統(tǒng)。這些系統(tǒng)就像任何IT設(shè)備或工業(yè)控制系統(tǒng)一樣,存在大量存在網(wǎng)絡(luò)和物理漏洞的機會。

例如,BMS可以安裝開放和暴露的端口,這些端口可用作攻擊媒介。根據(jù)CyberScoop的報告,對于一些BMS使用的Fox協(xié)議,Shodan查詢識別出2萬個通過端口1911直接連接到互聯(lián)網(wǎng)的組件。

BMS的另一個常見漏洞是對系統(tǒng)的遠(yuǎn)程訪問控制不力。Target黑客事件證明,如果不嚴(yán)格控制遠(yuǎn)程訪問,就可以利用遠(yuǎn)程訪問來攻擊客戶。

第三個漏洞是BMS現(xiàn)場設(shè)備、控制器和工作站的物理安全保護缺失或不完整。打開和解鎖的控制柜和可編程邏輯控制器,是攻擊者連接到BMS網(wǎng)絡(luò)并注入惡意軟件或其他破壞設(shè)備的機會。

最后,一個經(jīng)常被忽視的漏洞是BMS老化。許多建筑物仍然安裝了可能會受到簡單攻擊的傳統(tǒng)BMS,盡管一些舊系統(tǒng)是基于模擬的,并且不像現(xiàn)代基于以太網(wǎng)的系統(tǒng)那么容易被黑客攻擊。無論如何,舊系統(tǒng)可能具有可在互聯(lián)網(wǎng)上找到且無法更改或修補的默認(rèn)密碼。這些舊系統(tǒng)可能還具有無法阻止的開放端口,除非安裝重大且昂貴的升級或改造。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2024-04-30
樓宇管理系統(tǒng)常見漏洞有哪些?
了解樓宇管理系統(tǒng)的含義和作用,對于組織擁有更強大的安全態(tài)勢非常重要。

長按掃碼 閱讀全文