用于楼宇自动化系统的网络安全管理技术方案

提供了用于对楼宇自动化系统执行电子安全评估的方法和系统。楼宇自动化系统包括以电子通信方式连接的控制器和电子设备网络。该方法包括由控制器经由安全通道向基于云的服务请求用控制器的数据集的对控制器的电子安全扫描。该方法还包括发起基于控制器的数据集的对控制器的电子安全扫描。该方法还包括以电子方式评估楼宇自动化系统的安全漏洞。该方法还包括由控制器以电子方式评估与控制器以电子通信方式连接的电子设备网络的安全漏洞。该方法还包括基于以电子方式评估的安全漏洞确定用于解决楼宇自动化系统的安全漏洞的推荐列表。表。表。

【技术实现步骤摘要】
用于楼宇自动化系统的网络安全管理


[0001]本公开大体上涉及一种楼宇自动化系统。更具体地，本公开涉及楼宇自动化系统内的电子设备的网络安全管理。

技术介绍

[0002]楼宇自动化系统是电子设备的计算机化网络，其可以被配置为控制一个或多个系统，诸如但不限于楼宇的机械、电气、照明和安全系统。楼宇自动化系统可以被配置为控制楼宇的供暖、通风、空调和制冷(HVACR)系统及相关部件。诸如但不限于设施管理员、楼宇维修工程师等的用户通常经由与各种设备控制器和传感器联网的一台或多台计算机与楼宇自动化系统交互。用户还能够经由一个或多个移动设备(诸如但不限于蜂窝电话、平板电脑等)与楼宇自动化系统交互。

技术实现思路

[0003]本公开大体上涉及楼宇自动化系统。更具体地，本公开涉及楼宇自动化系统内的电子设备的网络安全管理。
[0004]本文公开的实施例提供了包括用户界面的方法和系统，以向用户(诸如设施管理员、楼宇维修工程师、技术人员等)提供关于是否可从互联网访问楼宇自动化系统的一个或多个控制器上的任何通信端口的报告，这可能表明安全漏洞。用户可以通过例如控制器或楼宇自动化系统的用户界面发起外部扫描请求。控制器被配置为将请求转发给云服务。云服务可以对控制器和/或楼宇自动化系统执行外部扫描。控制器和云服务可以对控制器和/或楼宇自动化系统执行额外的安全评估，从而评估安全漏洞。控制器可以基于安全评估生成报告并且提供用于解决控制器和/或楼宇自动化系统的安全漏洞的推荐列表，以供用户采取进一步行动(例如，解决安全漏洞)。
[0005]本文公开的实施例可以例如在安装控制器时提供安全评估。用户几乎可以实时获得安全评估报告(例如，在离开安装地点/校园之前)。提供的安全评估可以减少控制器的安全扫描的公开暴露(例如，通过降低的安全扫描频率)。
[0006]提供了一种用于对楼宇自动化系统执行电子安全评估的方法。楼宇自动化系统包括以电子通信方式连接的控制器和电子设备网络。该方法包括：由控制器经由安全通道向基于云的服务请求用控制器的数据集的对控制器的电子安全扫描；以及由基于云的服务实时发起基于控制器的数据集的对控制器的电子安全扫描。该方法还包括：由基于云的服务以电子方式评估楼宇自动化系统的安全漏洞，所述评估包括以下项中的一个或多个：确定控制器是否受防火墙或其他网络安全设备的保护、验证控制器的服务配置、验证控制器的以太网和Wi
‑
Fi配置、确定控制器的开放通信端口、确定与控制器通信的任何路由器或网桥或其他广播设备是否受防火墙或其他网络安全设备的保护、验证控制器的开放通信端口的安全证书、以及验证楼宇自动化系统的服务器通信。该方法还包括由云服务验证楼宇自动化系统的出口点。该方法还包括由控制器以电子方式评估与控制器以电子通信方式连接的
电子设备网络的安全漏洞，所述评估包括以下项中的一个或多个：探测电子设备网络、确定电子设备网络是否受防火墙或其他网络安全设备的保护、验证电子设备网络的以太网配置和Wi
‑
Fi配置、以及确定电子设备网络的开放通信端口。该方法还包括基于以电子方式评估楼宇自动化系统的安全漏洞和以电子方式评估电子设备网络的安全漏洞，确定用于解决楼宇自动化系统的安全漏洞的推荐列表。
[0007]提供了一种楼宇自动化系统。该系统包括控制器、多个电子设备以及网络。多个电子设备与控制器经由网络进行电子通信。控制器被配置为经由安全通道向基于云的服务请求用控制器的数据集的对控制器的电子安全扫描。基于云的服务被配置为实时发起基于控制器的数据集对控制器的电子安全扫描，并且以电子方式评估楼宇自动化系统的安全漏洞，所述评估包括以下项中的一个或多个：确定控制器是否受通过防火墙或其他网络安全设备的保护、验证控制器的服务配置、验证控制器的以太网配置和Wi
‑
Fi配置、确定控制器的开放通信端口、确定与控制器通信的任何路由器或网桥或其他广播设备是否受防火墙或其他网络安全设备的保护、验证控制器的开放通信端口的安全证书、以及验证楼宇自动化系统的服务器通信。基于云的服务还被配置为验证楼宇自动化系统的出口点。控制器还被配置为以电子方式评估与控制器以电子通信方式连接的电子设备网络的安全漏洞，包括以下项中的一个或多个：探测电子设备、确定电子设备是否受防火墙或其他网络安全设备的保护，验证电子设备的以太网和Wi
‑
Fi配置，以及确定电子设备的开放通信端口。控制器还被配置为基于以电子方式评估的楼宇自动化系统的安全漏洞和以电子方式评估的电子设备网络的安全漏洞，确定用于解决楼宇自动化系统的安全漏洞的推荐列表。
附图说明
[0008]参考形成本公开的一部分并且示出其中可以实践本说明书中描述的系统和方法的实施例的附图。
[0009]图1示出了根据实施例的包括楼宇自动化系统的系统的示意图。
[0010]图2示出了根据实施例的图1中的系统控制单元的示意图。
[0011]图3A示出了根据实施例的用于进行楼宇自动化系统的电子安全评估的方法的流程图。
[0012]图3B示出了根据实施例的图3A的被动自我评估的示意图。
[0013]图4A示出了根据实施例的用于对以电子方式连接到楼宇自动化系统的控制器的一个或多个电子设备进行电子安全评估的方法的流程图。
[0014]图4B示出了根据实施例的图4A的对等评估的示意图。
[0015]图5示出了根据实施例的用于控制器对楼宇自动化系统进行电子安全评估的方法的流程图。
[0016]图6示出了根据实施例的用于云服务对楼宇自动化系统进行电子安全评估的方法的流程图。
[0017]图7示出了根据实施例的用于对多个楼宇自动化系统进行电子安全评估的方法的流程图。
[0018]相同的附图标记始终表示相同的部分。
具体实施方式
[0019]以下定义适用于整个本公开。如本文所定义，术语“防火墙”可以指被设计为防止对私有网络或来自私有网络的未经授权访问的系统(例如，硬件系统、软件系统或两者的组合)。防火墙通常在受信任的网络与不受信任的网络(诸如互联网)之间建立屏障。防火墙防止未经授权的互联网用户访问连接到互联网的专用网络。防火墙可以指基于预定安全规则监控和控制传入传出网络流量的网络安全系统。
[0020]如本文所定义，术语“BACnet”可以指用于楼宇自动化和控制(BAC)网络的通信协议，其利用美国供暖、制冷和空调工程师协会(ASHRAE)、美国国家标准协会(ANSI)，以及国际标准化组织(ISO)16484
‑
5标准协议。BACnet允许楼宇自动化和控制系统通信，用于诸如HVACR、照明控制、访问控制和/或火灾探测系统及其相关设备等应用。BACnet协议可以为计算机化楼宇自动化设备提供交换信息的机制。
[0021]如本文所定义，术语“BBMD”可以指用于在由互连传输控制协议/互联网协议(TCP/IP)子网组成的BACnet/IP网络中分发BACnet广播消息的BACnet/IP广播本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于对楼宇自动化系统进行电子安全评估的方法，所述楼宇自动化系统包括以电子通信方式连接的控制器和电子设备网络，所述方法包括：由所述控制器经由安全通道向基于云的服务请求用所述控制器的数据集对所述控制器进行电子安全扫描；由所述云服务实时发起基于所述控制器的所述数据集对所述控制器进行所述电子安全扫描；通过所述云服务以电子方式评估所述楼宇自动化系统的安全漏洞，评估所述楼宇自动化系统的安全漏洞包括以下项中的一个或多个：确定所述控制器是否受防火墙或其他网络安全设备的保护，验证所述控制器的服务配置，验证所述控制器的以太网和Wi
‑
Fi配置，确定所述控制器的开放通信端口，确定与所述控制器通信的任何路由器或网桥或其他广播设备是否受防火墙或其他网络安全设备的保护，验证所述控制器的所述开放通信端口的安全证书，以及验证所述楼宇自动化系统的服务器通信；由所述云服务验证所述楼宇自动化系统的出口点；由所述控制器以电子方式评估与所述控制器以电子通信方式连接的所述电子设备网络的安全漏洞，所述评估所述电子设备网络的安全漏洞包括以下项中的一个或多个：探测所述电子设备网络，确定所述电子设备网络是否受防火墙或其他网络安全设备的保护，验证所述电子设备网络的以太网和Wi
‑
Fi配置，以及确定所述电子设备网络的开放通信端口；以及基于以电子方式评估所述楼宇自动化系统的安全漏洞和以电子方式评估所述电子设备网络的安全漏洞，确定用于解决所述楼宇自动化系统的安全漏洞的推荐列表。2.根据权利要求1所述的方法，其中确定所述控制器是否受防火墙或其他网络安全设备的保护、验证所述控制器的以太网和Wi
‑
Fi配置、以及确定所述控制器的开放通信端口在对所述控制器的所述电子安全扫描期间由所述云服务实时执行。3.根据权利要求1所述的方法，其中验证所述控制器的服务配置、确定与所述控制器通信的任何路由器或网桥或其他广播设备是否受防火墙或其他网络安全设备的保护、验证所述控制器的所述开放通信端口的安全证书、以及验证所述楼宇自动化系统的服务器通信是由所述云服务独立于对所述控制器的所述电子安全扫描而执行的。4.根据权利要求1所述的方法，还包括由所述控制器验证所述楼宇自动化系统的口令策略。5.根据权利要求1所述的方法，还包括基于验证所述楼宇自动化系统的出口点确定用于解决所述楼宇自动化系统的安全漏洞的所述推荐列表。6.根据权利要求1所述的方法，其中所述控制器是用作所述楼宇自动化系统的主控制器的系统控制单元，或者所述控制器是所述楼宇自动化系统中的单元控制器。7.根据权利要求1所述的方法，其中所述控制器的所述数据集包括所述控制器的IP地址。8.根据权利要求1所述的方法，还包括基于以电子方式评估所述楼宇自动化系统的安全漏洞来确定风险评分。9.根据权利要求8所述的方法，还包括将所述风险评分和用于解决所述楼宇自动化系统的安全漏洞的所述推荐列表发送到显示设备以进行显示。
10.根据权利要求1所述的方法，其中所述方法被调度为定期执行。11.根据权利要求1所述的方法，其中所述电子设备网络经由BACnet协议以电子通信方式连接。12.根据权利要求1所述的方法，其中所述通过所述云服务以电子方式评估所述楼宇自动化系统的安全漏洞包括：确定所述控制器是否受防火墙或其他网络安全设备的保护，验证所述控制器的服务配置，验证所述控制器的以太网和Wi
‑
Fi配置，确定所述控制器的开放通信端口，确定与所述控制器通信的任何路由器或网桥或其他广播设备是否受防火墙或其他网络安全设备的保护，验证所述控制器的所述开放通信端口的安全证书，以及验证所述楼宇自动化系统的服务器通信；所述由所述控制器以电子方式评估与所述控制器以电子通信方式连接的所述电子设备网络的安全漏洞包括：探测所述电子设备网...

【专利技术属性】
技术研发人员：乌代，
申请(专利权)人：特灵国际有限公司，
类型：发明
国别省市：