Cyber ——the of ,,那什麼是咱們需要關注的這個BAS,也就是自動化系統網絡安全方面的事, 我就想著,在真正展開說之前很多人對еcuгity in BAS,其實心裡都還是有點懵懂。那,就好比建築的神經系統,控制著從照明——就是那些燈明不亮的事;HVAC;還有其它各種設施系統各種自動化運行的方方面面,這麼一比喻應該好理解些……
那第一個很重要的部分,就是得對系統組件有個徹徹底底的曉得,我就講講主要要點。
要知道自動化系統有一堆小零碎,像是傳感器啊(採集環境吶什麼數據那種,溫度,濕度啦);控制設備例如DDC(可編程邏輯控制器啥的都這裡邊這個功能不同設備);還有——這通訊網絡等等。咱拿傳感器來說,它可不是簡單一物件兒。不同類型就起不同作用。紅外的能監測物體接近與否;這個溫度的曉得室內暖啊冷啊各方面。這個東西有精度,所以一個高精度精準去採集溫度傳感器比低精度來說,就可容易反饋準確現場溫度。通訊網絡上TCP / IP用與它別的之間也就存在差異,像是以太網絡相比工業總線——就是像這種的網絡那種安裝成本貴好多呀但是適用環境,可靠性什麼都不同……。這個里面設備互相交互通過不同協議彼此協調工作嘞?
接著這打漏洞或者說弱點檢測這一環可疏忽不得。這弱點就好比一堵牆上的缺口。系統弱點掃描其實就是專門檢查軟件或者像某些防護策略之類的地方存在沒有解決的各種漏洞。像是很多常見自動化系統存在弱密碼這個通病!很多——默認密碼在安裝的時候沒有啥沒替換。有的系統它老舊呀就沒用像最新的安全更新補丁,就被漏洞“鑽空子”。這裡,基於的像殺毒和這種分析法兒有著差異。簽名——檢測得根據那已知去掃描潛在惡意行為什麼的,但對新的zero day這種沒有的攻擊來說就沒辦法。但異常分析嘛…… 根據正常行為模型識別異常情況,可以識別Zero-day也可以識別,但很有可能存在誤判呀?
另外咱還得提及系統配置調整這一塊嘍。就講講系統不同組件。不同角色需要訪問權限不同那就是概念。比如維護人員嘛就是能讀設備工況和控制一小部分維護機器用;高層次管理員有可能擁有更多權限。這裡正確配置呢能防止沒權限隨便訪問內部重要信息。不同訪問模式有著, 比如說——遠程允許人員不同之地遠程控制BAS系統,如果隧道沒搞好哦遠程是容易遭受中間人這種很嚴重! 如果相比直接內部連接在本地網段,那本身有安全專網,入侵防禦在正常就好很多,如果沒有外來違規IP進入—— ,local模式受威脅很小。不同訪問策略各有利弊,就需要咱們小心謹慎!
說到現在講的其實還不算完整,咱們下面通過幾個問答呀進一步細挖一下細節:
首先有人可能要問吶“如何得知當前BAS的某一設備究竟支持何種的協議呃” 其實解決起來也不太難就是查設備自帶說明或者聯繫供應商,大部分都會有著記錄這設備一些重要相關細節(這裡也是為啥採購要知名好供應商)啥啥那不同設備真不同支持——
另外常常疑問“能否不同品牌BAS的控制設備互聯互通呢” ?答案嘛是多數可以,但呀往往互操作性有風險,就拿協議被設計嘛主要是不同建築自動化設備通訊嘛允許交互通訊——但品牌之間小細節參數調整不好容易“通信不暢”造成通訊故障
其次常常討論一個擔憂之處“在遭受在入侵之後怎麼恢復恢復設備工作啊” ?假如係統入侵嚴重完全掛掉話就按照還原步驟從備份恢復,不過有可能入侵早已更改裡面代碼,這時需專業技術人員重新手動核查一遍全部代碼庫哦如果部分設備不正常運行呀也是需要挨個問題排查——
又有人想到“系統更新過程影響嗎” 多數情況有專門系統更新測試方案,如果沒良好pre-預先制定一套計劃來就經常發生更新出大問題! 新升級可能破壞和原有配置平衡引起不穩定狀況。這裡可以用仿真環境去跑個流程驗證升級好不好先如果沒有問題”OK“真正實施到真實係統” —
我覺得,對的網絡安全,得步步精心。各環節裡頭又有好多門道。所以方方面面全都顧慮周全,不然這系統運轉就容易出岔子!咱得時刻緊繃著這根弦! !
發佈留言