在物聯(lián)網(wǎng)時(shí)代，建筑物變得越來越智能化，其中部署了很多基于web的技術(shù)，用于管理建筑物的溫度、照明、通風(fēng)和其他系統(tǒng)，然而，這給企業(yè)帶來了更直接的安全風(fēng)險(xiǎn)，甚至超過了消費(fèi)者技術(shù)的風(fēng)險(xiǎn)。

隨著人們?cè)絹碓阶非蟾?jié)能、更安全和智能的建筑物，這產(chǎn)生了大量基于web的技術(shù)?，F(xiàn)在，建筑物管理系統(tǒng)不僅更加緊密地相互集成，而且它們還與建筑物外的系統(tǒng)相連接，例如智能電網(wǎng)。

分析師稱，這種系統(tǒng)帶來的威脅是雙重的。很多現(xiàn)代建筑物內(nèi)內(nèi)置的web智能設(shè)備并沒有安全保障，這使它們很容易受到攻擊，從而影響建筑物內(nèi)的運(yùn)作以及帶來安全風(fēng)險(xiǎn)。

這些沒有受到良好保護(hù)的連接網(wǎng)絡(luò)的建筑物管理系統(tǒng)還可以為惡意攻擊者提供一種新途徑來入侵企業(yè)業(yè)務(wù)系統(tǒng)。

例如，Target公司遭遇的大規(guī)模數(shù)據(jù)失竊就是因?yàn)椋粽呃昧肆硪患夜镜脑L問憑證來進(jìn)入該公司的網(wǎng)絡(luò)，這家公司負(fù)責(zé)遠(yuǎn)程維護(hù)Target公司的供暖、通風(fēng)和空調(diào)(HVAC)系統(tǒng)。在Target的事件中，泄漏事故發(fā)生的原因在于，該公司沒有適當(dāng)分隔其數(shù)據(jù)網(wǎng)絡(luò)。

工程和技術(shù)協(xié)會(huì)網(wǎng)絡(luò)安全負(fù)責(zé)人Hugh Boyes表示，隨著建筑物和管理系統(tǒng)變得越來越智能和互聯(lián)，這些問題會(huì)變得越來越常見。

“這給企業(yè)IT帶來了有趣的挑戰(zhàn)，”Boyes表示，“他們需要知道他們的建筑物中增加了一些復(fù)雜的網(wǎng)絡(luò)，而且這些網(wǎng)絡(luò)不在其控制范圍內(nèi)。”

作為一個(gè)例子，Boyes提到了很多建筑物內(nèi)越來越多的IP閉路監(jiān)控?cái)z像頭。在某些情況下，這些攝像頭可能被用來檢測(cè)房間內(nèi)是否有人，或者是否開著燈或關(guān)了燈。

在這種情況下，攝像頭、照明和加熱系統(tǒng)將所有需要被集成在一起，每個(gè)系統(tǒng)還將需要通過網(wǎng)絡(luò)連接到外部第三方，以獲得維護(hù)和支持。Boyes表示：“你很快會(huì)遇到這樣的情況，你內(nèi)部的網(wǎng)絡(luò)會(huì)連接到建筑物外的位置。”

同時(shí)，不只是供暖、照明和安全系統(tǒng)是這樣。電梯制造商可能會(huì)在建筑物內(nèi)的所有電梯中內(nèi)置智能傳感器來檢測(cè)和發(fā)現(xiàn)故障?；蛘?，建筑物負(fù)責(zé)人會(huì)部署技術(shù)來監(jiān)控和控制用水情況。

很多這些技術(shù)將會(huì)與建筑物外建立連接，通過IP網(wǎng)絡(luò)連接到第三方供應(yīng)商或者服務(wù)供應(yīng)商。通常情況下，來自這些系統(tǒng)的數(shù)據(jù)不僅會(huì)用于實(shí)時(shí)據(jù)測(cè)支持，而且還會(huì)用于長期分析。

Smart Buildings LLC公司負(fù)責(zé)人Jim Sinopoli表示，讓這個(gè)問題更加嚴(yán)重的是，用于建筑物自動(dòng)化和控制網(wǎng)絡(luò)的很多通信協(xié)議(例如BACnet和LonTalk)都是開放和透明的。

設(shè)備制造商已經(jīng)部署了這些協(xié)議用于產(chǎn)品兼容性和互操作性目的，然而，這種開放性和透明度同時(shí)也增加了建筑物自動(dòng)化網(wǎng)絡(luò)的受攻擊可能性。

Sinopoli表示：“這些系統(tǒng)不再是隔離的。”一個(gè)系統(tǒng)中的數(shù)據(jù)泄漏事故可能會(huì)給多個(gè)建筑物自動(dòng)化系統(tǒng)和網(wǎng)絡(luò)帶來影響。

這種威脅不僅涉及攻擊者滲透入建筑物系統(tǒng)來造成嚴(yán)重破壞，而且還可能對(duì)IT造成潛在影響，例如因?yàn)榻ㄖ锵到y(tǒng)中斷造成的通信故障，或者因?yàn)榻ㄖ镒詣?dòng)化網(wǎng)絡(luò)和IT網(wǎng)絡(luò)之間糟糕的分隔導(dǎo)致未經(jīng)授權(quán)訪問企業(yè)數(shù)據(jù)。

Sinopoli表示，現(xiàn)在在越來越多的公司，IT開始滲透入建筑物系統(tǒng)。

德國安全咨詢公司Forta總裁Rolf von Roessing表示，隨著建筑物變得越來越智能，消費(fèi)電子設(shè)備供應(yīng)商也開始進(jìn)入智能建筑市場(chǎng)。Rolf von Roessing也是ISACA職業(yè)影響和宣傳委員會(huì)的成員，ISACA是專注于IT管理問題的組織，擁有128000名成員。

von Roessing表示：“建筑物自動(dòng)化(包括關(guān)鍵功能)現(xiàn)在已經(jīng)可以通過網(wǎng)絡(luò)商店和硬件及電子商店來實(shí)現(xiàn)。雖然專業(yè)解決方案通常具有內(nèi)置安全和保護(hù)，消費(fèi)者產(chǎn)品則沒有受到很好的保護(hù)。”

在準(zhǔn)備方面，IT從業(yè)人員應(yīng)該擴(kuò)展其信息安全和網(wǎng)絡(luò)安全管理過程，以涵蓋建筑物和建筑管理系統(tǒng)。

“在很多情況下，這些系統(tǒng)將通過基于windows或兼容界面來控制，并且使用標(biāo)準(zhǔn)IP的標(biāo)準(zhǔn)PC設(shè)備和網(wǎng)絡(luò)連接，”von Roessing表示，“對(duì)于遠(yuǎn)程控制，安全從業(yè)人員應(yīng)該關(guān)注移動(dòng)設(shè)備、遠(yuǎn)程控制應(yīng)用程序和底層流程。如果關(guān)鍵建筑功能可以通過不受保護(hù)的移動(dòng)設(shè)備來控制和操作，這將存在很大的安全險(xiǎn)。”

SANS新興安全趨勢(shì)主管John Pescatore表示，對(duì)于越來越多的公司，這個(gè)問題已經(jīng)開始出現(xiàn)。 Pescatore 表示，在SANS關(guān)于物聯(lián)網(wǎng)安全性的調(diào)查中，智能建筑物和工業(yè)控制系統(tǒng)是第二個(gè)最經(jīng)常被提到的問題，僅次于消費(fèi)者設(shè)備。

通常情況下，IT并沒有很清楚這個(gè)問題的影響范圍。例如，在最近的SANS大會(huì)上，一所大學(xué)的首席信息官[注]表示，他在對(duì)校園新建筑物進(jìn)行安全掃描時(shí)發(fā)現(xiàn)了將近1500個(gè)傳感器，在電梯、門、攝像系統(tǒng)、照明和供暖系統(tǒng)。

傳統(tǒng)上來講，建筑物管理系統(tǒng)并沒有被認(rèn)為是IT系統(tǒng)，它們不是由CIO[注]選購，長期以來，它們都被認(rèn)為是建筑和設(shè)施管理團(tuán)隊(duì)管轄的操作技術(shù)。

ISACA的Robert Stroud表示，這種態(tài)度必須改變。建筑管理和IT部門將需要攜手合作來發(fā)現(xiàn)和解決潛在風(fēng)險(xiǎn)。

但同時(shí)他們也將需要充分了解相關(guān)風(fēng)險(xiǎn)，企業(yè)將需要更多地關(guān)注網(wǎng)絡(luò)分段、身份驗(yàn)證和網(wǎng)絡(luò)監(jiān)控等做法。

Stroud指出，供應(yīng)商管理流程將需要特別注意。

智能建筑物中的很多設(shè)備都沒有內(nèi)置安全技術(shù)，并且來自于大多數(shù)IT部門不熟悉的供應(yīng)商。建筑自動(dòng)化領(lǐng)域的供應(yīng)商并沒有與IT供應(yīng)商相同的安全做法，很少有供應(yīng)商會(huì)通知客戶了解自己產(chǎn)品中的安全威脅。

IT企業(yè)將需要與建筑管理團(tuán)隊(duì)合作來更新供應(yīng)商名冊(cè)，整合聯(lián)系人列表，并確定在需要升級(jí)響應(yīng)時(shí)需要聯(lián)系的供應(yīng)商。