你的安全策略能够应对网络化设备管理吗?

日期:2011-9-6作者:Andreas Antonopoulos

【TechTarget中国原创】

对于大多数IT专业人士而言,融合网络是件好事。不论是对我们正在谈论的数据和语音网络、数据和存储网络的融合,还是对最近谈论更多的数据和设备或电力管理网络的融合,“融合”都意味着可以通过管理更少的网络来实现更多的灵活性和更低的成本。但是,设备网络化管理系统也会给他们带来新的安全问题。

  对于安全专业人士而言,两个网络意味着物理隔离或者两个网络之间需要网关作为明确的安全控制分界点。融合则意味着将两个安全区域在物理上合并成一个,但在逻辑上不得不保持其相互隔离。

  不管融合何时实施,安全专业人员都必须了解:一旦物理隔离失去作用,应当如何继续维持逻辑隔离。例如,安全团队通常推荐在语音网络中给语音分配专用VLAN,这样可以通过语音VLAN和数据VLAN之间的特定交叉点来进行安全控制。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

网络安全最佳实践>更多

  • Ixia:封锁DDoS攻击,完善的网络基础设施很必要

    Dyn遭DDoS攻击事件再次给业内敲响了警钟,攻击者已然将矛头对准互联网根基,我们的防御也需要从源头出发,通过建设完善的网络基础设施来抵御威胁的侵袭……

  • 博客观点集:网络架构师必备技能 内外部威胁如何区分

    在本期博客观点集中,CTO Advisor博主Keith Townsend探讨了企业在确定网络架构师的水平时可以提的问题;Gartner分析师Anton Chuvakin指出大多数组织并没有真正关心内部发起的威胁。

  • 多管齐下,防御拒绝服务攻击

    勒索软件和资料外泄可能是最受关注的,但是拒绝服务(Denial-of-service, DoS)攻击的案例正在增加。那么我们可以做什么来减少它们带来的影响呢?

  • 没有可视化,何以言网络安全?

    在之前一篇文章《为何我们要检查SSL流量?》中,有读者问及“(文中提及的)这种SSL卸载平台放在什么地方才能起到最好的作用?”在本文中,我们以一款网络可视化和安全产品为例,具体说明这种平台的部署及效用。

相关推荐

技术手册>更多

  • IT职业及网络认证指导手册

    随着经济的衰退, 有抱负的IT网络人员以及经验老道的职场人士开始重新审视就业市场。那么在这种经济下滑的形势下如何进行IT职业规划呢?网络认证能保证IT职业生涯吗?网络认证有什么步骤可遵循吗?各种不同认证之间有什么区别呢?哪种认证是最适合你的呢?本文将为大家一一介绍。

  • 网络升级宝典

    网络在不断地进步。除了处理电子邮件、文件传输和重要的业务交易,网络同时也在进行着语音传递、视频会议和视频监控等相关业务处理,帮助企事业单位减少开支并提高效率。但这都不是凭空产生的。所有这些新网络应用都需要一定的基础架构支持。如果要实现最完美的通话,数据包丢失、延迟和抖动都是必须严格禁止的。而随着应用负载加大和用户要求增加,这样的需求会变得越来越苛刻。

  • IPv6迁移攻略

    从2003年开始IPv6过渡就一直被人们提及,如今,亚洲地区IPv4地址已经消耗殆尽,但你准备好向IPv6迁移了么?本技术手册将为你详细介绍IPv6的迁移知识。

  • 网管员必读系列——用户管理指南

    管理员的职责是最大化系统的可用性和实用性,同时满足每个用户对“安全”的信息和通信环境的合理期望。用户管理至关重要。

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 服务器
  • 数据中心
  • 云计算
【TechTarget中国原创】

对于大多数IT专业人士而言,融合网络是件好事。不论是对我们正在谈论的数据和语音网络、数据和存储网络的融合,还是对最近谈论更多的数据和设备或电力管理网络的融合,“融合”都意味着可以通过管理更少的网络来实现更多的灵活性和更低的成本。但是,设备网络化管理系统也会给他们带来新的安全问题。

  对于安全专业人士而言,两个网络意味着物理隔离或者两个网络之间需要网关作为明确的安全控制分界点。融合则意味着将两个安全区域在物理上合并成一个,但在逻辑上不得不保持其相互隔离。

  不管融合何时实施,安全专业人员都必须了解:一旦物理隔离失去作用,应当如何继续维持逻辑隔离。例如,安全团队通常推荐在语音网络中给语音分配专用VLAN,这样可以通过语音VLAN和数据VLAN之间的特定交叉点来进行安全控制。

  当安全团队在网络化设备管理中被遗忘时

  当公司将其楼宇管理、环境控制、监控和连接到以太网的物理访问网络融合在一起时,之前彼此分离的功能开始相互联系起来。安全团队必须马上采取控制措施来保护新融合的网络,使其免受滋生木马和DoS(拒绝服务)攻击的因特网感染破坏。

  问题是,安全人员通常不会被邀请参与到网络融合中来,并且他们往往是最后一个知道网络融合的。最好的原因是,安全性并不是一个早期考虑因素所以才很晚通知他们。最坏的原因是,认为他们会拒绝而没有邀请他们——这种情况经常发生。

  另外,一些安全和网络团队仍然拒绝接受现实,他们认为他们的公司永远不会将设备管理迁移到以太网上——即便这种迁移现在已经开始进行。实际情况是能源和楼宇管理网络已经融合到以太网上,但是这种融合程度太不明显,以至于没有人考虑其安全问题。例如,即便你没有wiz-bang楼宇管理系统来控制单位的灯光和空调,你也可能有连接到以太网的数据中心机械装置系统。没有人想到要告诉你,但是网络融合就在那里。

  未经核实的网络设备管理系统可能隐含着病毒和蠕虫

  如果你的数据中心拥有具备报告和监控能力的冷却系统或UPS,那么多数情况下它们会被连接到一个以太网交换机上。那些控制系统采用一些标准协议,可以通过运行在Windows系统上的软件或是一个Web接口来管理它们。它们可能支持诸如HTTP、HTTPS、SMNP、SMTP、SSH和FTP等协议,同时它们也具有系统日志记录功能。为了方便和降低成本,那些控制系统也可能采用一些现成软件,诸如MySQL或MS-SQL数据库,Apache或IIS Web服务器,以及现成的SNMP库。所有这些都存在着漏洞。

  令人惊讶的是,贵公司可能已经花费了数百万美元来确保数据中心拥有多条冗余路径用于电力、制冷和网络连接,包括相互独立的主备线路,备用UPS系统和发电机。对于所有的冗余而言,除了你精心设计的独立和备用系统两者同时失效的情况外,SQL或HTTP蠕虫病毒都可以构成威胁。相对于完全独立的电力供应,那些控制系统或许连接到一个单独的以太网,从而彼此连接并存在相同的漏洞。所有那些冗余已经融合成一个单一故障点,并且没有引起任何注意。

  这种经历对于电力管理当然也不例外。我们本应该从语音融合(VoIP)中吸取教训。不管采用多少对呼叫控制器的冗余设计,当Slammer蠕虫病毒清除呼叫管理服务器中的SQL数据库时,许多公司明白融合存在着缺陷,所以关闭了语音网络。

  如今,大多数公司更加重视语音/数据的分离和安全,将网络从逻辑上分开,并且保护它们免受感染数据网络的威胁。但是,他们对于电力系统、楼宇管理系统、环境控制和物理安全系统却明显没有吸取教训。但是现实不再会给侥幸心理留有机会了。

  通过设备管理系统增强融合网络安全性的最佳实践

  为了保护一个现在正在不断增加的、包括了各种设备相关构件的融合网络,诸如楼宇管理系统、数据中心控制系统和智能电网,你并不需要为新设备添置托盘载荷。现如今,通过实施现存的安全性最佳实践与工具,大多数公司能够改进他们的安全性。为了将网络安全性拓展到楼宇和电力管理系统,请参考下面的路线图:

  1.找出它们:如果你不知道你是否拥有连接到局域网的电力管理系统,看一看数据中心、单位环境控制和智能电网计划。

  2.访问风险:特别注意那些地方:将以前的冗余和独立系统,现在无意中连接到一个普通TCP/IP网络。标识那些系统需要彼此分开的地方,以及同更泛局域网访问分开的地方。

  3.制定政策:为楼宇与电力管理系统中的采购、连接和管理制定政策。建立权利界限、整合IT政策和培训那些可能没有安全经验的设备相关人员。

  4.实施控制:从逻辑上划分网络,通过网络层控制,将它们同泛局域网流量以及它们彼此之间相互隔离。分离系统应该是独立和冗余的。加强楼宇和电力管理的验证和授权机制。

  5.监控:将这些系统中的事件日志和安全日志提取到你的泛监控基础设施中去。

  6.审计:在你的常规内部和外部审计内容中包括最近融合的网络,以确保措施的执行和控制的有效性。

  如果你对数据安全负责的话,你的工作现在应该已经扩展到包括楼宇、电力和物理安全系统在内的许多领域。你或许还不知道它,但是这种系统已经出现在你的数据中心里,并且逐步扩展到你的单位和分支办公室。这一次,你或许可以在下个蠕虫破坏你的数据中心或你的单位前,通过关闭电源来战胜威胁。