今天咱們好好聊聊BAS(樓宇自動化系統)網絡安全檢查的一系列事情,畢竟現在這網絡安全問題,真是越來越讓人操心了,尤其是BAS這種關係到樓宇正常運轉的系統! BAS說白了就是能自動控制大樓裡像空調、照明、電梯啊這些設備的系統,要是它的安全出了岔子,大樓都可能跟著搗亂,所以這個檢查清單可千萬不能馬虎
1.賬戶與密碼安全檢查步驟:
先把系統裡所有的登錄賬戶從頭到尾翻一遍,admin這類默認賬戶必須改,一個都不能留!
密碼那得有講究,長度最少也得12位?還得有大寫、小寫字母和數字,再帶上點特殊符號才保險。
一個用戶只能對應一個賬號,誰乾了啥都得能查出來,可不能幾個人用一個號!
2.網絡隔離與訪問控製手段:
BAS系統網絡一定要和辦公網絡分開,中間安上個防火牆,得是那種專門幹工業控制這行的防火牆才行!
不是誰都能隨隨便便連BAS的,遠程訪問就更得控制了,可以用VPN,還得有多(就是多因素認證啦)。
交換機和路由器裡頭沒用的端口,all都得關掉,省得有人偷偷插根線就連進來了!
3.設備與軟件維護要點:
控制器、傳感器這些BAS設備,還有它們的固件,得經常看看廠家有沒有推新的安全補丁,有了就得趕緊裝上,別拖著!
過期的軟件、殭屍(就是那些不用了的賬戶),發現了立馬刪掉,別留在那兒佔地方還不安全!
USB 接口這類外接的入口,用處不大的就(禁用)掉, (尤其是)那些沒人看著的設備,太危險
4.日誌監控與響應:
BAS系統的登錄日誌、操作日誌,還有設備運行日誌,都得開著,最少存半年,出事了也好查!
每天瞅瞅日誌,要是發現有人在半夜登錄,或者一下子試了好多次密碼登不進去,那肯定有問題,得趕緊查!
早就該準備個應急plan,萬一真被黑了,怎麼斷開連接、怎麼恢復系統,一步一步都得寫清楚,還得練一練才行!
5.人員與安全細節:
運維的師傅們得經常培訓,讓他們知道釣魚郵件是啥樣的,不隨便點那些怪怪的鏈接,也別把密碼告訴別人!
放BAS控制櫃的地方,門鎖得結實,無關的人絕對不能讓進,進去登記、出來也登記!
平常跟設備廠家、集成商打交道,別輕易把系統的結構圖、 給出去,對方啥身份,得打電話再問問才放心!
問:給BAS設置複雜密碼,員工吐槽記不住咋辦
答:可以搞個安全的密碼管理器!不用他們自己費勁記,而且很多密碼管理器還有自動換密碼的功能!再不行,就多弄點培訓,讓他們明白管好密碼是有多重要,安全可不是鬧著玩的!
問:小的BAS用便宜點的家用行不行
答:絕對不行!家用防火牆搞不定工業協議,BAS 數據包來來回回的,它根本管不好!弄個適合中小企業的工業防火牆,又不會花太多錢,圖個安全
個人觀點BAS 安全這事沒啥捷徑,就得從賬戶、網絡、設備這些小地方一步步看起,一天忘了,倆月沒過問,可能危險就找上門了!勤檢查,別怕麻煩,安全才能跟著來!
發佈留言