BAS的有效網絡安全習慣
物業需要有效的網絡安全措施。網絡犯罪分子不僅攻擊知名企業和政府,也針對中小型企業。計算機病毒的範圍從侵入瀏覽器的煩人廣告軟件,到昂貴的勒索軟件攻擊。2021年,全球勒索軟件攻擊數量猛增105%。僅醫療保健一項就增長了755%!企業每年花費數十億美元來保存其專有和客戶數據,而支付只會讓事情變得更糟。
勒索軟件的急劇增加迫使業主認真審視其IT基礎設施。與此同時,還要適應大流行的挑战和管理遠程勞動力。有趣的是,一些安全專家指出遠程工作是勒索軟件增加的原因之一。由於員工不再處於企業防火牆後面,其家用筆記本電腦和移動設備成爲進入企業網絡的“攻擊媒介”。
遠程入口點也是建築控制系統的一個問題。隨着建築物變得更加互聯和“智能”,數據泄露的威脅也在增加。這是因爲系統集成、物聯網設備和建築自動化系統(BAS)增加了連接性和無线操作。自2015年美國政府問責局(GAO)發出警告稱,涉及政府工業控制系統的網絡事件激增到74%,美國政府就意識到了這個問題。BAS/BMS等建築控制系統連接數百個設備和傳感器,構成消防、門禁、暖通空調、電氣和電梯等系統。連接性使網絡犯罪分子更容易獲取更敏感的數據,因爲有更多的路徑可循。無线和物聯網設備使網絡容易受到遠程Wi-Fi攻擊和密碼黑客攻擊。這些潛在的數據泄露和惡意軟件造成的經濟損失,是房地產團隊需要養成有效網絡安全習慣的原因。
設置多個用戶帳戶
一個良好的安全習慣是正確創建帳戶,並將其分配給團隊。爲了節省時間和麻煩,一些建築管理者會爲其團隊成員創建並共享一個主管理員帳戶。當有人只需簡單地通過電子郵件發送登錄名和密碼進行一些快速更改時,這是很誘人的。但是,如果這些憑證丟失或被濫用,BAS將面臨網絡攻擊的風險。爲了確保網絡安全,創建管理員和用戶級別的帳戶,並將其分配給每個員工。
幾乎所有BAS軟件都允許創建多個帳戶並具有不同的訪問級別。創建個人账戶要做三個關鍵的事情:
- 確保沒有經驗的成員無法訪問關鍵控制
- 確保系統記錄用戶操作
- 幫助用戶更有效地工作
現代BAS系統跟蹤用戶的操作,這在系統中發生不當更改時很有幫助。如果每個人都使用相同的帳戶登錄系統,那么就無法分辨誰在何時做了什么。這會減慢維修和故障排除的速度,因爲這必須依賴錯誤的人類記憶,而不是准確的數字記錄。此外,當沒有經驗的用戶或新用戶登錄管理員帳戶時,可能會花費過多的時間來搜索其需要的工具或功能。因此,用戶級帳戶界面需要簡化。太多的選項會降低工作效率,迫使員工浪費時間在復雜的界面上尋找單個項目。
創建強密碼
創建強密碼是最有影響力的網絡安全習慣之一。人們常常繼續使用高度可預測的密碼來保護最敏感的數據,如“123455”。更糟糕的是,大多數人還爲所有帳戶使用這些相同的脆弱密碼。這種行爲太可預測,而可預測性是安全的致命弱點。
確保團隊了解密碼的最佳做法。在創建密碼時,長度和復雜性很重要。密碼長度應至少爲8個字符,包括特殊字符和數字,例如 !&。密碼越長越好;然而,一個人在長期記憶中能記住的字符數量是有限的。爲了解決記憶問題,使用密碼代替。
密碼是由隨機單詞或長句子組成的首字母縮寫。要創建密碼,請使用每個單詞的第一個字母來構成密碼。例如:“我的貓須已經三歲了,喜歡被人揉肚子。”這句話個性化且易於記憶,成爲密碼:“mcwi3yoalthhbr”。然後,換掉一些特殊字符,就可以了。
如果密碼看起來太復雜,那就使用密碼管理器。這些基於雲的應用可創建復雜的密碼並將其存儲在雲中。其甚至可以填寫表格字段,節省時間。大多數應用都有免費或便宜的年度計劃,因此可以最大限度地減少投資,同時最大限度地節省時間和安全性。
可疑鏈接檢測
建築物的設備並不是其唯一的弱點。事實上,居住者往往是惡意軟件的主要來源。網絡犯罪分子可以利用社會工程誘騙員工打开網絡釣魚電子郵件,並導航到虛假網站。這種策略被稱爲“域欺騙攻擊”,是黑客竊取員工用戶名和密碼的常見方法。該假冒網站的外觀和感覺與正品網站相似,但它是一個復制品。員工在不知情的情況下輸入了其用戶名和密碼,這些信息被記錄下來並用於進入該账戶。
黑客設計網絡釣魚電子郵件和虛假網站,使其看起來像官方的企業數字資產,通常使用相同的品牌、標識、語言等。大多數都足夠有說服力,可以欺騙處於壓力之下或注意力不集中的員工。然而,還是有一些跡象可以說明問題:
- 銷售語言。網絡犯罪分子通常使用高壓銷售語言或恐嚇战術。網絡釣魚電子郵件可能會聲稱對用戶帳戶進行“可疑活動”或虛假“收費”,以誘使用戶在沒有先確認電子郵件來源的情況下,匆忙採取行動解決“問題”。
- 語法錯誤。網絡犯罪分子通常不會使用母語,因此請查找任何語法錯誤或拼寫錯誤。這些在真實的企業電子郵件中極爲罕見,並且是僞造的明確標志。
- 像素化標志。黑客使用官方標識來欺騙電子郵件收件人,但這些標識通常是從網站上匆忙復制和粘貼的,並且可能尺寸不正確,導致圖像像素化或看起來很奇怪。
- 奇怪的網址(URL)。URL由兩部分組成:超文本(例如“聯系我們”)和地址(例如https://7nox.com/)。永遠不要點擊超文本上的鏈接。請務必檢查URL地址。爲此,請將光標懸停在文本上(無需單擊),並閱讀瀏覽器左下角顯示的URL。URL應包含企業地址。如果只是一個長字符串或奇怪的字符,則可能是域欺騙攻擊。
BAS備份
確保BMS提供商定期備份BAS/BMS系統。備份可確保系統免受勒索軟件攻擊,而勒索軟件攻擊依賴於企業沒有數據副本。此外,系統備份可確保在系統出現故障,或關閉建築物進行更改時提供冗余。如果控制器設置不是“持久的”,則在BMS重新啓動期間可能不會保存它們。擁有備份以確保保存這些更改至關重要。
總結
雖然建築自動化和連接性爲建築環境帶來了許多美妙的東西,但它們確實要求業主和管理者使其IT和OT更具彈性。然而,如果沒有對員工進行適當的培訓,這些技術努力可能是徒勞的。在網絡安全領域,人類往往是最薄弱的環節。這就是爲什么網絡安全不應該僅僅是一個在年底打勾的培訓框。這應該是所有員工持續的態度和努力。將培訓重點放在經驗豐富的員工身上,他們的習慣可能比較寬松,而新員工可能根本沒有什么習慣。
相關推薦:
- BEMS如何管理智能建築中的能源?
- 智能建築能否成爲可持續未來的關鍵?
- 下一代通信協議對智能建築技術的影響
- 無线網狀網絡技術如何爲智能建築提供動力
- 到2031年,智能建築市場規模將達到910億歐元
CIBIS峰會
由千家網主辦的2023年第24屆CIBIS建築智能化峰會即將正式拉开帷幕,本屆峰會主題爲“智慧連接,‘築’就未來”, 將攜手全球知名智能化品牌及業內專家,共同探討物聯網、AI、雲計算、大數據、IoT、智慧建築、智能家居、智慧安防等熱點話題與最新技術應用,分享如何利用更知慧、更高效、更安全的智慧連接技術,“築”就未來美好智慧生活。 歡迎建築智能化行業同仁報名參會,分享交流!
報名方式
成都站(10月24日):https://www.huodongxing.com/event/6715336669000
西安站(10月26日):https://www.huodongxing.com/event/3715335961700
長沙站(11月09日):https://www.huodongxing.com/event/7715337579900
上海站(11月21日):https://www.huodongxing.com/event/9715337959000
北京站(11月23日):https://www.huodongxing.com/event/3715338464800
廣州站(12月07日):https://www.huodongxing.com/event/6715338767700
更多2023年CIBIS峰會信息,詳見峰會官網:http://summit.qianjia.com/
標題:BAS的有效網絡安全習慣
地址:https://www.utechfun.com/post/275536.html