[摘要]从智能建筑的智能化系统构成为切入点,介绍了系统构成、标准和检验的基本情况,并指出了现有标准和执行检验时缺少对智能化系统信息安全的技术要求和评估。为探索智能建筑中智能化系统信息安全评估的实施,作者参考现有国家工业控制系统信息安全标准开展了对楼宇控制系统信息安全的评估工作,并依据实践结果提出评估智能建筑中智能化系统信息安全的建议和意见。
[关键词]智能建筑;信息安全;工业控制系统网络
引言
建筑智能化系统是智能建筑的重要组成部分,为人民生活提供舒适和便利。随着信息通讯、计算机网络、楼宇控制技术的发展,大量网络化的设备和系统进入建筑领域,建筑智能化系统逐渐形成以工业控制网络和计算机网络深度交融,楼宇控制、安全防范、办公自动化等系统集中配置和管理的大规模集成系统[1]。建筑智能化系统,一方面增加了建筑的舒适度,另一方面也保障了建筑及周边的安全,便于在紧急情况下迅速响应突发事件。涉及国家安全建设项目是社会的重要基础设施,例如车站、五星级酒店、省级重点实验室等。处于这些建筑中的智能化系统的质量好坏不但关系到建筑的功能和可用性,有的甚至关系到人们的生命、财产和国家安全。因此做好建智能建筑的智能化系统检验是确保工程质量、保障信息安全的重要基石。
1建筑智能化系统构成及检验现状
1.1建筑智能化系统构成
世界上第一幢智能大厦建于1984年1月,是美国康涅狄格州哈特福德市的“城市广场”。它是由一幢旧式大楼采用计算机技术进行了一定程度的改造而成。改造后大楼内的空调、电梯、照明等设备具备了监控和控制,并提供语音通信、电子邮件和情报资料等方面的信息化服务。此后,智能建筑以一种崭新的面貌和技术迅速在世界各地展开。“建筑智能化系统”在国内工程界也称为“弱电系统”,主要由智能家居系统、停车场管理系统、楼宇对讲系统、门禁系统、办公自动化系统、公共广播系统、综合布线系统、机房管理系统、酒店管理系统、有线电视系统、宽带接入系统、电子巡更系统、入侵报警系统、视频监控系统等构成。建设项目涉及国家安全的智能化系统与“弱电系统”的系统近似,按功能分为3大部分,分别是安防系统、楼宇集成控制系统和信息网络系统,见图1。
1.2标准及检验现状
建筑智能化系统主要依据现行国标进行检验和验收,部分没有标准的系统依据合同中的技术指标进行验收。系统检验一般在系统调试完成并试运行1个月后进行,检验内容主要是系统的功能和性能[2]。目前建筑智能化系统检验的国标主要有GB50339—2013《智能建筑工程质量验收规范》[3],该标准在宏观上对智能建筑工程质量验收提出了要求,但在实际验收中必须加以细化才能提高可操作性。GB50348—2004《安全防范工程技术规范》[4]是我国安防领域的第一部内容完整、格式规范的国标。该标准总结了我国安防工程领域施工的检验,对工程的设计使用等各个方面提出质量要求,但由于制定时间较早该标准中部分条款已不适用。此外,这些标准适用范围是通用建筑和一般建设项目,其检测项目较少,检测要求较低,因此不能用于建设项目涉及国家安全的智能化系统的检测中。
1.3存在的问题
现行建筑智能化系统在检验时主要存在2个问题:(1)缺乏信息安全评估。目前建筑智能化系统的标准和检验实施主要针对系统的功能和性能,没有专门针对信息安全技术要求和评估方法。这导致系统在设计、施工和使用过程中缺乏信息安全技术保护手段和管理意识,存在信息安全风险[5]。随着系统集成度的提高和互联网技术的应用,建筑智能化系统已由传统的信息网络孤岛,转变为具备广泛互联互通和信息共享的大数据集成系统。系统中的各种设备、终端、数据库等可以通过互联网远程访问和控制,使得系统的信息安全问题直接暴露在互联网中,给公共安全、公司机密、个人隐私带来严重威胁。涉及国家安全的建设项目一般是社会重要基础设施或向社会提供基本公共服务,如果其建筑智能化系统被攻击和控制,将造成重大事件。例如2012年7月的斯坦福大学附属医院2500名患者数据信息泄密事件,2015年2月的海康威视监控设备事件等等,都造成了极大的社会影响。(2)缺少针对建筑智能化系统信息安全的评估标准。建筑智能化系统中的通信网络主要由计算机网络和楼宇集成控制系统网络构成。计算机系统主要涉及内部办公、信息发布、业务办理等,与普通计算机网络基本相同,其信息安全评估可以参考现有国家标准和地方标准进行。楼宇集成控制系统涉及给排水、智能照明、电梯控制系统、空调系统等,属于工业控制系统范畴。工业控制系统与传统计算机系统在信息安全上的主要区别是:传统计算机系统认为保密性的优先级最高,完整性次之,可用性最低;而工业控制系统优先保证系统的可用性,完整性次之,保密性的要求最低。由于工业控制系统与普通计算机系统存在以上差异,因此不能采用计算机系统的信息安全评估标准对工业控制系统进行评估。现行工业控制系统信息安全国家标准有GB/T30976.1—2014《工业控制系统信息安全第1部分:评估规范》和GB/T30976.2—2014《工业控制系统信息安全第2部分:验收规范》,其适用范围主要是工业生产过程控制系统[6],与建筑智能化系统存在一定的差别,仅具有借鉴意义。
2建筑智能化系统信息安全的现状
2.1建筑智能化系统的信息安全脆弱性
随着科技的进步,智能化系统中的设备和网络结构发生了很大变化,主要涉及以下3个方面:(1)嵌入式系统的广泛应用提升了系统的智能化水平。随着嵌入式系统开发环境的优化和技术难度的不断降低,嵌入式系统在电子产品的设计和开发中已经广泛应用,使得设备和系统的开发流程简化,周期缩短,成本大幅下降。嵌入式系统的应用提高了设备的智能化水平,简化了设备互联的复杂度,降低了系统集成的成本。例如,建筑智能化系统的重要子系统,安全防范系统,使用的监控摄像机在10年前主要是模拟摄像机,只有图像和声音的记录和传输功能,信号通过同轴电缆传输。目前嵌入式监控摄像机已经成为主流产品,不但具有模拟机的全部功能,还增加了与手机互动监控、网络存储图像、多协议支持等功能。在组网方面,嵌入式系统的监控摄像机一般都支持基于TCP/IP的以太网连接,简化了网络结构。(2)网络技术的进步扩大了系统集成的规模。智能建筑的核心是系统集成,网络是系统集成的基础。目前智能建筑中除了用于电话、电视、消防的网络外,还大幅增加了各种计算机网络、综合服务数字网、楼宇控制系统网络等[7-9]。这些网络实现了建筑内各个系统的互联互通,还承担了智能建筑中部分系统接入互联网的功能。此外与通讯网络相关的设备数量和种类也逐渐增加。例如楼宇控制系统采用以太网连接和OPC技术将其房门控制系统、空调控制系统、智能照明系统等信息集成到统一平台进行管理。该平台通过核心交换机与办公系统和其他管理系统进行数据交互,部分办公和业务系统通过核心交换机连接到互联网。(3)无线接入技术改变了系统连接方式。近年来,无线局域网技术和产品逐渐走向成熟,无线局域网能够通过与广域网相结合提供移动互联网的接入服务。此外,采用无线局域网还可以节省线缆铺设成本,降低了线缆端接不可靠问题,满足接入设备在一定区域内任意更换地理位置的需要。这使得无线局域网在智能建筑中的应用日益广泛。例如在智能建筑中办公场所、公共区域等地方都提供无线接入服务,部分无线不需要认证可直接登录使用。新技术和产品的使用一方面促进了建筑智能化系统的功能和性能的提高,另一方面也增加了系统的脆弱点:(1)嵌入式设备和网络集成给建筑智能化系统的信息安全带来巨大挑战。在传统的建筑智能化系统中,网络是相对封闭的,承载的数据相对隔离,设备一般由单片机控制,程序和功能相对简单。例如楼宇的给排水系统一般由单片机控制,楼宇的监控系统采用的是模拟监控摄像机。这两种系统的网络独立相互,使用不同的现场总线进行信息传输。设备中没有嵌入式系统,病毒和恶意攻击难以改变设备的功能,对系统造成破坏。在这种情况下,即便某个系统中的设备故障了,基本不会对本系统中其他设备造成干扰,更不会影响其他系统和设备。现在,随着技术的进步,控制系统采用高级PLC,监控摄像机使用嵌入式系统,控制系统和监控系统通过以太网集成管理后,信息安全风险将可能引起智能化系统的整体故障。其一,病毒可以通过集成管理服务器或办公电脑传播;其二,嵌入式系统中的漏洞和应用程序中的bug可被攻击者利用;其三,被攻陷后的嵌入式设备可能成为僵尸设备,对网络其他设备发动二次攻击;其四,攻击者可以通过网络进行远程攻击,攻击更加隐蔽。(2)无线网络的使用增加了建筑智能化系统受到攻击的隐蔽性。无线网的信号是在开放空间中传送的,所以只要有合适的无线客户端设备,在合适的信号覆盖范围之内就可以接收无线网的信号。目前在智能化系统中,无线网络主要设置在普通办公室,员工休息房间,餐厅等区域,且部分无线网络与管理或办公内网相连,仅采用简单技术方法进行隔离。而管理或办公内网与楼宇集成控制网络存在必要的数据交换,这导致通过部分无线网络可以进入楼宇集成控制系统网络。此外,由于无线接入的便利性,部分楼宇集成控制系统网络中的设备也采用无线接入的方式,虽然这些设备在进行无线传输时采用了一定的加密措施防止信息泄露,但无线接入点及其设备却成为网络信息安全的薄弱环节。入侵者可在较隐蔽的地方通过这类无线接入设备进入网络,然后利用技术手段发现网络薄弱点,最后实施攻击或敏感信息的窃取,造成设备失效或信息泄密。
2.2建筑智能化系统管理上的信息安全脆弱性
虽然智能化系统随科技的发展引入了许多新的技术和功能,但对智能化系统的管理措施和制度却没有跟上技术的步伐,仍然停留在10年前的水平,总体上主要存在以下3个方面的问题:其一,信息安全管理环节存在缺失。目前,智能化系统的信息安全措施主要集中在办公和业务网络,楼宇集成控制系统网络几乎没有信息安全管理措施,存在部分网络信息安全管理环节的缺失。这使得入侵者很容易通过楼宇集成系统网络入侵整个智能化系统。其二,缺乏嵌入式设备的信息安全管理措施。嵌入式设备由于使用了操作系统,部分设备可以看作是小型的个人电脑,但由于其安装位置和在系统中的功能定位,使得管理者往往忽视了对嵌入式设备的信息安全措施,这导致信息安全管理的盲区。其三,无线局域网接入管理环节信息安全措施薄弱。为了工作方便,智能建筑中临时搭建无线网络的情况时有发生。设备通过无线接入网络仅使用简单密码即可,其信息安全措施不足以抵御基本的入侵。由于这种临时网络的连接隐蔽性和接入的随意性,不但难以管理,还给智能化系统网络带来巨大的潜在威胁。管理的薄弱环节不但进一步加剧了系统的脆弱程度,还使得当出现信息安全事件时相关部门难以快速响应,事后难以进行溯源调查和改进。
3建筑智能化系统信息安全评估的实践
为了探索建筑智能化系统信息安全评估方法,为智能建筑的智能化系统信息安全评估提供参考数据,掌握项目中存在的实际具体问题,在政府相关职能部门的授权下,湖南省产商品质量监督检验研究院联合上海三零卫士信息安全有限公司,开展了对1个5星级酒店的智能化系统进行信息安全测评。由于该酒店已经进入运营,因此测评主要采用网络安全结构分析、攻击路径分析、安全漏洞扫描、系统完整性检查手段进行现场信息安全评估。被评估酒店的智能化系统的整体网络结构如图所示图2酒店智能化系统网络结构本次建筑智能化系统信息安全评估工作的范围是西门子的楼宇控制系统、客房控制系统网络、以及与之关联的信息网络。由于楼宇控制系统和客房控制系统中业务种类相对较多、网络和业务结构较为复杂,且酒店已经开始运营,因此评估主要是在不影响酒店方正常运营的条件下进行,包括但不限于:工业控制系统网络、基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况的评估。由于建筑智能化系统的信息安全评估没有对应的标准,因此我们参考GB/T30976.1—2014《工业控制系统信息安全第1部分:评估规范》、GB/T30976.2—2014《工业控制系统信息安全第2部分:验收规范》、DB43/244.2—2013《建设项目涉及国家安全的系统规范第2部分计算机网络系统规范》和DB43/244.7—2013《建设项目涉及国家安全的系统规范第7部分建筑设备管理系统规范》,开展评估工作。通过评估和渗透测试,我们发现建筑智能化系统主要存在以下信息安全问题:(1)嵌入式设备存在严重信息安全隐患。首先该酒店楼宇控制系统采用的是西门子的DDC,该型号的版本由于没有进行操作系统升级,存在编号为CVE-2012-0207的漏洞,远程攻击者可利用该漏洞,借助IGMP数据包导致拒绝服务。其次,该DDC存在23号端口为默认开启,telent的默认登录为弱口令。(2)智能化系统网络信息安全管理措施薄弱。第一,客房控制系统主机IP所在的网段可以连接互联网,存在被远程攻击的危险。第二,该主机的3389端口没有关闭,由于其密码简单,存在被爆破的风险。第三,通过该主机的IP地址接入后,扫描到了相邻IP的主机中的2个MYSQL数据库。第四,通过爆破的方式破解了这两个数据库的密码,密码为弱口令,并成功登录数据库。第五,该网段还存在考勤管理系统,具备门禁权限管理功能,系统仍然使用出厂用户名密码。第六,该网段还扫描到诸多打印机,在端口扫描中发现开启了515/printer端口,21/ftp端口,通过简单爆破得到了其出厂的ftp服务密码。第七,Insight软件登录账户/权限与操作系统登录用户名、密码保持一致,且均为弱密码,第八,系统操作员站与工程师站没有分离,操作员可使用工程师权限。(3)智能化系统网络信息安全防护技术措施薄弱。第一,楼宇控制系统采用的是西门子的DDC和APOGEEInsight软件,组态软件和DDC间的通讯采用的是明文(见图3),且网络边界没有防护设施,很容易实施中间人攻击。第二,系统中40%的管理主机没有安装基本的防病毒软件,部分管理主机已经受到病毒感染。图3DDC的通讯数据包(4)楼宇集成控制系统部分集成软件存在软件漏洞。该酒店采用的是西门子的APOGEEInsight软件,存在DLL劫持漏洞,目前该漏洞已经被西门子证实,由CVE收录(编号为CVE-CVE-2016-3155)。虽然本次评估中发现的信息安全风险为个案,但通过与系统维护人员及管理人员的交流,我们得知该酒店的智能化系统与他们工作过的酒店相比差不多,管理措施基本一致。由此可以推断,涉及国家安全智能化系统的信息安全问题是普遍存在的。由于此类风险在现阶段没有引起过较大的社会性事故,因此没有被重视。针对发现的问题,我们提出以下建议:(1)嵌入式设备应及时更新软件版本,并将敏感端口设置为默认关闭状态。(2)合理划分Vlan和强化核心路由规则。(3)网络中额设备严禁使用默认密码或弱口令。(4)控制系统软件应该将系统操作员站和工程师站进行分离,并用分配不同的权限进行管理。(5)组态软件应及时更新,同时对应的电脑应安装基本的防病毒软件。
4结语
随着信息技术和控制技术的融合加速,建筑智能化系统网络信息安全问题正逐步凸显,其风险和脆弱性在实际评估工作中被识别。为了提升建筑智能化系统的信息安全防护能力,降低风险,本文提出以下建议:(1)制定针对建筑智能化系统的信息安全评估标准。本次评估中借鉴了现有国家工业控制系统信息安全标准和计算机网络地方标准。虽然这些标准具备一定的借鉴意义,但在实际操作中不能完全适用,需要依据实际情况灵活处理。建议从系统架构、构成系统的产品、系统集成、运营管理等方面提出要求和规范,制定一部适用于智能建筑的信息安全评估标准有利于检验工作的开展。(2)将信息安全评估纳入建筑智能化系统的必检项目。现有建筑智能化系统的检测主要集中在功能和性能方面,缺乏对系统的信息安全评估。在日益严峻的网络信息安全威胁的情况下,涉及国家安全智能建筑中的智能化系统可能随时受到攻击,导致严重的后果。因此将网络信息安全评估纳入智能化系统的必检项目有助于防止危险发生,保护人民生命财产安全。(3)加强信息安全管理措施。网络信息安全主要由系统技术措施和管理措施构成,两者相辅相成,缺一不可。但在实际的应用中,系统虽然有较好的技术防范条件,但缺乏安全管理措施,导致安全等级较低,容易受到攻击。因此,在智能化系统中加强信息安全管理措施能有效提升信息安全等级,阻止危险的发生。
作者:钟声 李志丰 单位:湖南省产商品质量监督检验研究院