樓宇管理系統(tǒng)常見漏洞有哪些？

樓宇管理系統(tǒng)常見漏洞有哪些？

了解樓宇管理系統(tǒng)的含義和作用，對于組織擁有更強大的安全態(tài)勢非常重要。

什么是樓宇管理系統(tǒng)？

樓宇管理系統(tǒng)（BMS），又稱為樓宇自動化系統(tǒng)、樓宇管理與控制系統(tǒng)、直接數(shù)字控制、樓宇控制。樓宇管理系統(tǒng)是基于智能微處理器的控制器網(wǎng)絡(luò)，安裝用于監(jiān)視和控制樓宇的技術(shù)系統(tǒng)和服務(wù)，例如空調(diào)、通風(fēng)、照明和液壓系統(tǒng)。

BMS不僅僅是溫度控制系統(tǒng)，其還可以直接與廣泛的建筑服務(wù)集成，包括門禁控制、安全、電力、照明、消防系統(tǒng)、電梯和自動扶梯控制、智能白板和臨床系統(tǒng)。樓宇管理系統(tǒng)可以是使用C-Bus和Profibus等協(xié)議的供應(yīng)商專有的，也可以使用模擬和串行連接或互聯(lián)網(wǎng)協(xié)議。

為了節(jié)省資源而提高樓宇自動化水平的需求推動了BMS的廣泛使用。一些政府需要先進的建筑控制來實現(xiàn)環(huán)境目標，而LEED綠色建筑認證則需要最佳的控制。根據(jù)ASISInternational的數(shù)據(jù)，建筑管理系統(tǒng)的使用每年增長約15%至34%。

樓宇管理系統(tǒng)本質(zhì)上是模塊化的

看待BMS的一個簡單方法是將其視為一系列相互連接和聯(lián)網(wǎng)的構(gòu)建塊或組件，以實現(xiàn)最佳的建筑控制。BMS的范圍包括從家中簡單的、支持IP的恒溫器，到跟蹤員工移動和訪問的大型、自動化、智能建筑系統(tǒng)。

樓宇管理系統(tǒng)的四個關(guān)鍵模塊包括管理、自動化、現(xiàn)場設(shè)備和通信。管理層包括人機界面、企業(yè)軟件、工作站、服務(wù)器，有時還包括網(wǎng)絡(luò)交換機。

自動化是現(xiàn)場設(shè)備的主要控制。自動化設(shè)備的一個例子是可編程邏輯控制器。

現(xiàn)場設(shè)備層包括連接到實際設(shè)備的物理設(shè)備，如傳感器和閥門/百葉窗執(zhí)行器。示例包括風(fēng)扇；溫度、壓力和液位傳感器；和電燈開關(guān)。

通信可以通過更常見的以太網(wǎng)和基于IP的協(xié)議或?qū)Ｓ型ㄐ畔到y(tǒng)進行。常見協(xié)議包括BACnet、LonWorks、DeviceNet和Modbus。

企業(yè)管理系統(tǒng)常見漏洞

高級BMS是通過網(wǎng)絡(luò)發(fā)送和接收信號以控制現(xiàn)場設(shè)備的計算機系統(tǒng)。這些系統(tǒng)就像任何IT設(shè)備或工業(yè)控制系統(tǒng)一樣，存在大量存在網(wǎng)絡(luò)和物理漏洞的機會。

例如，BMS可以安裝開放和暴露的端口，這些端口可用作攻擊媒介。根據(jù)CyberScoop的報告，對于一些BMS使用的Fox協(xié)議，Shodan查詢識別出2萬個通過端口1911直接連接到互聯(lián)網(wǎng)的組件。

BMS的另一個常見漏洞是對系統(tǒng)的遠程訪問控制不力。Target黑客事件證明，如果不嚴格控制遠程訪問，就可以利用遠程訪問來攻擊客戶。

第三個漏洞是BMS現(xiàn)場設(shè)備、控制器和工作站的物理安全保護缺失或不完整。打開和解鎖的控制柜和可編程邏輯控制器，是攻擊者連接到BMS網(wǎng)絡(luò)并注入惡意軟件或其他破壞設(shè)備的機會。

最后，一個經(jīng)常被忽視的漏洞是BMS老化。許多建筑物仍然安裝了可能會受到簡單攻擊的傳統(tǒng)BMS，盡管一些舊系統(tǒng)是基于模擬的，并且不像現(xiàn)代基于以太網(wǎng)的系統(tǒng)那么容易被黑客攻擊。無論如何，舊系統(tǒng)可能具有可在互聯(lián)網(wǎng)上找到且無法更改或修補的默認密碼。這些舊系統(tǒng)可能還具有無法阻止的開放端口，除非安裝重大且昂貴的升級或改造。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。