BAS的有效网络安全习惯
物业需要有效的网络安全措施。网络犯罪分子不仅攻击知名企业和政府,也针对中小型企业。计算机病毒的范围从侵入浏览器的烦人广告软件,到昂贵的勒索软件攻击。2021年,全球勒索软件攻击数量猛增105%。仅医疗保健一项就增长了755%!企业每年花费数十亿美元来保存其专有和客户数据,而支付只会让事情变得更糟。
勒索软件的急剧增加迫使业主认真审视其IT基础设施。与此同时,还要适应大流行的挑战和管理远程劳动力。有趣的是,一些安全专家指出远程工作是勒索软件增加的原因之一。由于员工不再处于企业防火墙后面,其家用笔记本电脑和移动设备成为进入企业网络的“攻击媒介”。
远程入口点也是建筑控制系统的一个问题。随着建筑物变得更加互联和“智能”,数据泄露的威胁也在增加。这是因为系统集成、物联网设备和建筑自动化系统(BAS)增加了连接性和无线操作。自2015年美国政府问责局(GAO)发出警告称,涉及政府工业控制系统的网络事件激增到74%,美国政府就意识到了这个问题。BAS/BMS等建筑控制系统连接数百个设备和传感器,构成消防、门禁、暖通空调、电气和电梯等系统。连接性使网络犯罪分子更容易获取更敏感的数据,因为有更多的路径可循。无线和物联网设备使网络容易受到远程Wi-Fi攻击和密码黑客攻击。这些潜在的数据泄露和恶意软件造成的经济损失,是房地产团队需要养成有效网络安全习惯的原因。
设置多个用户帐户
一个良好的安全习惯是正确创建帐户,并将其分配给团队。为了节省时间和麻烦,一些建筑管理者会为其团队成员创建并共享一个主管理员帐户。当有人只需简单地通过电子邮件发送登录名和密码进行一些快速更改时,这是很诱人的。但是,如果这些凭证丢失或被滥用,BAS将面临网络攻击的风险。为了确保网络安全,创建管理员和用户级别的帐户,并将其分配给每个员工。
几乎所有BAS软件都允许创建多个帐户并具有不同的访问级别。创建个人账户要做三个关键的事情:
确保没有经验的成员无法访问关键控制确保系统记录用户操作帮助用户更有效地工作现代BAS系统跟踪用户的操作,这在系统中发生不当更改时很有帮助。如果每个人都使用相同的帐户登录系统,那么就无法分辨谁在何时做了什么。这会减慢维修和故障排除的速度,因为这必须依赖错误的人类记忆,而不是准确的数字记录。此外,当没有经验的用户或新用户登录管理员帐户时,可能会花费过多的时间来搜索其需要的工具或功能。因此,用户级帐户界面需要简化。太多的选项会降低工作效率,迫使员工浪费时间在复杂的界面上寻找单个项目。
创建强密码
创建强密码是最有影响力的网络安全习惯之一。人们常常继续使用高度可预测的密码来保护最敏感的数据,如“123455”。更糟糕的是,大多数人还为所有帐户使用这些相同的脆弱密码。这种行为太可预测,而可预测性是安全的致命弱点。
确保团队了解密码的最佳做法。在创建密码时,长度和复杂性很重要。密码长度应至少为8个字符,包括特殊字符和数字,例如 !&。密码越长越好;然而,一个人在长期记忆中能记住的字符数量是有限的。为了解决记忆问题,使用密码代替。
密码是由随机单词或长句子组成的首字母缩写。要创建密码,请使用每个单词的第一个字母来构成密码。例如:“我的猫须已经三岁了,喜欢被人揉肚子。”这句话个性化且易于记忆,成为密码:“mcwi3yoalthhbr”。然后,换掉一些特殊字符,就可以了。
如果密码看起来太复杂,那就使用密码管理器。这些基于云的应用可创建复杂的密码并将其存储在云中。其甚至可以填写表格字段,节省时间。大多数应用都有免费或便宜的年度计划,因此可以最大限度地减少投资,同时最大限度地节省时间和安全性。
可疑链接检测
建筑物的设备并不是其唯一的弱点。事实上,居住者往往是恶意软件的主要来源。网络犯罪分子可以利用社会工程诱骗员工打开网络钓鱼电子邮件,并导航到虚假网站。这种策略被称为“域欺骗攻击”,是黑客窃取员工用户名和密码的常见方法。该假冒网站的外观和感觉与正品网站相似,但它是一个复制品。员工在不知情的情况下输入了其用户名和密码,这些信息被记录下来并用于进入该账户。
黑客设计网络钓鱼电子邮件和虚假网站,使其看起来像官方的企业数字资产,通常使用相同的品牌、标识、语言等。大多数都足够有说服力,可以欺骗处于压力之下或注意力不集中的员工。然而,还是有一些迹象可以说明问题:
销售语言。网络犯罪分子通常使用高压销售语言或恐吓战术。网络钓鱼电子邮件可能会声称对用户帐户进行“可疑活动”或虚假“收费”,以诱使用户在没有先确认电子邮件来源的情况下,匆忙采取行动解决“问题”。语法错误。网络犯罪分子通常不会使用母语,因此请查找任何语法错误或拼写错误。这些在真实的企业电子邮件中极为罕见,并且是伪造的明确标志。像素化标志。黑客使用官方标识来欺骗电子邮件收件人,但这些标识通常是从网站上匆忙复制和粘贴的,并且可能尺寸不正确,导致图像像素化或看起来很奇怪。奇怪的网址(URL)。URL由两部分组成:超文本(例如“联系我们”)和地址(例如https://7nox.com/)。永远不要点击超文本上的链接。请务必检查URL地址。为此,请将光标悬停在文本上(无需单击),并阅读浏览器左下角显示的URL。URL应包含企业地址。如果只是一个长字符串或奇怪的字符,则可能是域欺骗攻击。BAS备份
确保BMS提供商定期备份BAS/BMS系统。备份可确保系统免受勒索软件攻击,而勒索软件攻击依赖于企业没有数据副本。此外,系统备份可确保在系统出现故障,或关闭建筑物进行更改时提供冗余。如果控制器设置不是“持久的”,则在BMS重新启动期间可能不会保存它们。拥有备份以确保保存这些更改至关重要。
总结
虽然建筑自动化和连接性为建筑环境带来了许多美妙的东西,但它们确实要求业主和管理者使其IT和OT更具弹性。然而,如果没有对员工进行适当的培训,这些技术努力可能是徒劳的。在网络安全领域,人类往往是最薄弱的环节。这就是为什么网络安全不应该仅仅是一个在年底打勾的培训框。这应该是所有员工持续的态度和努力。将培训重点放在经验丰富的员工身上,他们的习惯可能比较宽松,而新员工可能根本没有什么习惯。
相关推荐:
BEMS如何管理智能建筑中的能源?智能建筑能否成为可持续未来的关键?下一代通信协议对智能建筑技术的影响无线网状网络技术如何为智能建筑提供动力到2031年,智能建筑市场规模将达到910亿欧元CIBIS峰会
由千家网主办的2023年第24届CIBIS建筑智能化峰会即将正式拉开帷幕,本届峰会主题为“智慧连接,‘筑’就未来”, 将携手全球知名智能化品牌及业内专家,共同探讨物联网、AI、云计算、大数据、IoT、智慧建筑、智能家居、智慧安防等热点话题与最新技术应用,分享如何利用更知慧、更高效、更安全的智慧连接技术,“筑”就未来美好智慧生活。欢迎建筑智能化行业同仁报名参会,分享交流!
报名方式
成都站(10月24日):https://www.huodongxing.com/event/6715336669000
西安站(10月26日):https://www.huodongxing.com/event/3715335961700
长沙站(11月09日):https://www.huodongxing.com/event/7715337579900
上海站(11月21日):https://www.huodongxing.com/event/9715337959000
北京站(11月23日):https://www.huodongxing.com/event/3715338464800
广州站(12月07日):https://www.huodongxing.com/event/6715338767700
更多2023年CIBIS峰会信息,详见峰会官网:http://summit.qianjia.com/
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。