信息化觀察網(wǎng)

在整個冠狀病毒大流行期間，物聯(lián)網(wǎng)（IoT）技術(shù)為無數(shù)行業(yè)提供了重要工具。物聯(lián)網(wǎng)使醫(yī)生和其他醫(yī)護(hù)人員能夠遠(yuǎn)程診斷和治療患者，將重要的醫(yī)療設(shè)備和藥品運(yùn)送到偏遠(yuǎn)地區(qū)，而具有物聯(lián)網(wǎng)功能的機(jī)器人甚至可以幫助保持醫(yī)療機(jī)構(gòu)的清潔，從而降低病毒傳播的風(fēng)險。如今，辦公大樓正在轉(zhuǎn)向物聯(lián)網(wǎng)設(shè)備來監(jiān)測空氣質(zhì)量，為重新開放做好準(zhǔn)備，并確保使用者的安全。此外，物聯(lián)網(wǎng)傳感器越來越多地與各類商業(yè)建筑中的智能分析結(jié)合使用，以改進(jìn)故障檢測和判斷能力，以實現(xiàn)遠(yuǎn)程監(jiān)控，并最大限度地減少對現(xiàn)場工作人員的需求。

盡管智能技術(shù)前景廣闊，但如果部署不當(dāng)或管理不善，則物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)連接性質(zhì)可能會帶來網(wǎng)絡(luò)安全風(fēng)險。許多批評者認(rèn)為，互聯(lián)網(wǎng)的擴(kuò)散以及這些智能生態(tài)系統(tǒng)中的設(shè)備數(shù)量之多，使得物聯(lián)網(wǎng)成為安全的一個負(fù)擔(dān)。但是，通過精心規(guī)劃，稱職的管理和明智的協(xié)議，可以讓智能建筑變得更加安全。

應(yīng)對10大物聯(lián)網(wǎng)網(wǎng)絡(luò)安全挑戰(zhàn)

盡管發(fā)生了很多變化，但也有很多方面保持不變。2000年，微軟安全響應(yīng)中心的Scott Pulp寫了一篇關(guān)于“十大不變的安全法則”的開創(chuàng)性文章。在面對物聯(lián)網(wǎng)網(wǎng)絡(luò)安全挑戰(zhàn)的今天，這些不變的安全法則仍然具有現(xiàn)實意義。對于建筑物物聯(lián)網(wǎng)，這些挑戰(zhàn)包括：

1、勒索軟件攻擊

早在智能技術(shù)普及之前，惡意軟件就一直是計算機(jī)網(wǎng)絡(luò)的一個嚴(yán)重問題。黑客可以利用物聯(lián)網(wǎng)網(wǎng)絡(luò)中的漏洞，并利用這些漏洞來發(fā)起勒索軟件攻擊。在這些攻擊中，黑客控制系統(tǒng)或?qū)τ袃r值的信息進(jìn)行加密，然后索要贖金，通常要求使用加密貨幣來支付。

應(yīng)對策略包括：

▲將安全軟件整合到所有連網(wǎng)設(shè)備中，以防止勒索軟件攻擊

▲上傳所有設(shè)備和控制系統(tǒng)的最新軟件補(bǔ)丁

▲確保備份是最新的，并且已制定了定期進(jìn)行更新的流程

▲立即關(guān)閉受影響的設(shè)備

▲限制對系統(tǒng)的訪問

▲實施強(qiáng)大的密碼管理系統(tǒng)，并確保設(shè)備沒有使用供應(yīng)商提供的默認(rèn)密碼

▲定期進(jìn)行安全審計

2、過時的操作系統(tǒng)

隨著物聯(lián)網(wǎng)系統(tǒng)中關(guān)鍵操作技術(shù)（OT）點(diǎn)的不斷增加，保持操作系統(tǒng)的更新和適當(dāng)保護(hù)非常重要。上述這一步驟的危險性會大大增加嚴(yán)重安全漏洞的脆弱性，例如，黑客在熱浪來襲時破壞建筑物的暖通空調(diào)系統(tǒng)似乎只是一個小小的麻煩，但是這種情況也有可能危及生命。

2021年2月，一名黑客利用過時的Windows 7操作系統(tǒng)和糟糕的密碼安全性，來增加佛羅里達(dá)州奧爾德斯馬市自來水中的氫氧化鈉含量。慶幸的是，細(xì)心的自來水廠管理員很快注意到了這一黑客行為，并拒絕其進(jìn)一步訪問。但這一事件清楚地提醒人們更新操作系統(tǒng)和使用更復(fù)雜密碼的重要性。

3、物聯(lián)網(wǎng)設(shè)備盜竊

雖然網(wǎng)絡(luò)安全著眼于數(shù)據(jù)盜竊或系統(tǒng)失控，但老套的盜竊行為可能會助長此類犯罪。因為智能建筑系統(tǒng)涉及多個連網(wǎng)設(shè)備，包括那些私人擁有的設(shè)備，所以被盜走的設(shè)備可以滲透到這些相同的網(wǎng)絡(luò)中。為避免這種情況出現(xiàn)，請考慮執(zhí)行以下操作：

▲允許遠(yuǎn)程停用設(shè)備

▲使用加密來保證通信安全

▲在物聯(lián)網(wǎng)網(wǎng)絡(luò)和設(shè)備以及密碼管理軟件上使用獨(dú)特的強(qiáng)密碼

▲禁用未使用的功能

▲審核和升級物聯(lián)網(wǎng)設(shè)備

▲保持所有其他相關(guān)軟件的更新

4、云攻擊

隨著數(shù)字世界和物理世界日益交織，物聯(lián)網(wǎng)網(wǎng)絡(luò)安全變得更加復(fù)雜。隨著遠(yuǎn)程工作變得越來越普遍，黑客會攻擊員工在網(wǎng)絡(luò)之外使用的設(shè)備來危害他們。由于許多物聯(lián)網(wǎng)設(shè)備的功能依賴于基于云的服務(wù)，因此確保適當(dāng)?shù)脑L問控制和正確配置本地軟件有助于防止攻擊事件發(fā)生。

5、訪問控制

應(yīng)當(dāng)嚴(yán)格規(guī)范對服務(wù)器（無論是物理服務(wù)器還是基于云的服務(wù)器）的遠(yuǎn)程和直接訪問，以防止未經(jīng)授權(quán)的訪問。考慮采取以下步驟來規(guī)范訪問：

▲要求員工和承包商簽署保密協(xié)議

▲使用具有雙因素身份驗證(2FA)的虛擬專用網(wǎng)絡(luò)(VPN)

▲限制對那些從事項目工作的人員的訪問

▲通過IP地址進(jìn)行日志訪問。

▲配置系統(tǒng)訪問權(quán)限

▲使用智能分析來實時執(zhí)行用戶權(quán)限和訪問

6、管理問題

隨著建筑系統(tǒng)不斷生成大量數(shù)據(jù)，管理物聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨的挑戰(zhàn)包括：

▲調(diào)整協(xié)議以監(jiān)管越來越多的設(shè)備

▲物聯(lián)網(wǎng)設(shè)備以不尋常的格式生成數(shù)據(jù)，并使用不熟悉的語言編寫軟件

▲設(shè)計不佳或難以集成的網(wǎng)絡(luò)

▲用于接收物聯(lián)網(wǎng)設(shè)備和數(shù)據(jù)的新備份策略

7、加密技術(shù)

當(dāng)從遠(yuǎn)程位置在物聯(lián)網(wǎng)生態(tài)系統(tǒng)中進(jìn)行交互時，請務(wù)必記住，通過不安全的網(wǎng)絡(luò)進(jìn)行連接會危及系統(tǒng)。切勿通過公共Wi-Fi網(wǎng)絡(luò)或使用不可信加密做法的網(wǎng)絡(luò)進(jìn)行連接，因為這些網(wǎng)絡(luò)會使設(shè)備受到攻擊，并可能導(dǎo)致數(shù)據(jù)丟失。有線等效保密（WEP）和Wi-Fi保護(hù)訪問（WPA）加密已過時，不應(yīng)成為網(wǎng)絡(luò)設(shè)置的一部分。

即使使用新的Wi-Fi協(xié)議WPA2和WPA3，漏洞也仍然存在。WPA2容易受到密鑰重裝攻擊或Krack的影響，這使得攻擊者能夠破壞和查看加密的流量、劫持憑據(jù)并竊取敏感信息。WPA3容易受到Dragonblood攻擊，攻擊者將Wi-Fi網(wǎng)絡(luò)上的即時消息作為目標(biāo)，以獲取密碼并獲取機(jī)密信息。

在物聯(lián)網(wǎng)設(shè)備之間的通信通道內(nèi)運(yùn)行多層加密會使攻擊更難發(fā)起。虛擬個人網(wǎng)絡(luò)（VPN）還提供了經(jīng)濟(jì)且簡便的方法來配置設(shè)備以抵御Krack攻擊。除了加密的VPN連接外，所有情況下都應(yīng)使用雙因素身份驗證（2FA）。

8、僵尸網(wǎng)絡(luò)攻擊

一個由外部方在所有者不知情的情況下控制其連網(wǎng)計算機(jī)或其他設(shè)備(如安全攝像頭或嬰兒監(jiān)視器)的集合被稱為僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)攻擊可以遠(yuǎn)程控制大量此類設(shè)備，其中許多設(shè)備幾乎沒有或根本沒有安全性，并且造成的損失可能會很大。

例如，2016年10月12日，一次廣泛的分布式拒絕服務(wù)（DDoS）攻擊導(dǎo)致美國東海岸大部分地區(qū)無法訪問互聯(lián)網(wǎng)。在這種情況下，攻擊是由黑客掃描仍使用其默認(rèn)密碼的物聯(lián)網(wǎng)設(shè)備導(dǎo)致的。這個故事的警示是：更改默認(rèn)密碼。

9、隱私和工業(yè)間諜

黑客可以接管聯(lián)網(wǎng)監(jiān)控攝像頭，這使得隱私成為物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的一個關(guān)鍵挑戰(zhàn)。盡管通過連接物聯(lián)網(wǎng)的攝像頭進(jìn)行間諜活動是一個問題，但其他設(shè)備（例如，智能玩具、可穿戴設(shè)備、甚至是記錄用戶信息的醫(yī)療設(shè)備）也可以被利用。在一個案例中，一個具有藍(lán)牙功能的兒童玩偶被發(fā)現(xiàn)某些手機(jī)可以直接與兒童進(jìn)行通話。該玩偶被視為間諜工具，并在德國被禁止使用。

當(dāng)用于工業(yè)層面時，可以收集和公開公司的大量數(shù)據(jù)，從而造成前所未有的損害。任何連接到公共互聯(lián)網(wǎng)的設(shè)備都可能帶來這種風(fēng)險，應(yīng)仔細(xì)考慮以確保更改默認(rèn)密碼、軟件是最新的，并應(yīng)了解此類設(shè)備的網(wǎng)絡(luò)連接性質(zhì)所帶來的影響。

10、調(diào)整安全協(xié)議

世界不是一成不變的，物聯(lián)網(wǎng)網(wǎng)絡(luò)安全挑戰(zhàn)將繼續(xù)發(fā)展和演變。隨著黑客和其他不良行為者尋求利用智能技術(shù)來對付用戶，最佳實踐將發(fā)生變化。最好的辦法是制定可靠的策略來解決安全問題并修補(bǔ)漏洞。組織應(yīng)定義其方法并提前計劃以確保其網(wǎng)絡(luò)安全，這包括針對當(dāng)前和將來的所有物聯(lián)網(wǎng)網(wǎng)絡(luò)安全挑戰(zhàn)進(jìn)行培訓(xùn)和制定協(xié)議。

總結(jié)

任何連接到互聯(lián)網(wǎng)的東西都有風(fēng)險，尤其是在商業(yè)建筑和其他大型設(shè)施中。必須通過有效且具有成本效益的策略來確認(rèn)和補(bǔ)救此類漏洞。（編譯iothome）