你的安全策略能够应对网络化设备管理吗?

日期:2011-9-6作者:Andreas Antonopoulos

【TechTarget中国原创】

对于大多数IT专业人士而言,融合网络是件好事。不论是对我们正在谈论的数据和语音网络、数据和存储网络的融合,还是对最近谈论更多的数据和设备或电力管理网络的融合,“融合”都意味着可以通过管理更少的网络来实现更多的灵活性和更低的成本。但是,设备网络化管理系统也会给他们带来新的安全问题。

  对于安全专业人士而言,两个网络意味着物理隔离或者两个网络之间需要网关作为明确的安全控制分界点。融合则意味着将两个安全区域在物理上合并成一个,但在逻辑上不得不保持其相互隔离。

  不管融合何时实施,安全专业人员都必须了解:一旦物理隔离失去作用,应当如何继续维持逻辑隔离。例如,安全团队通常推荐在语音网络中给语音分配专用VLAN,这样可以通过语音VLAN和数据VLAN之间的特定交叉点来进行安全控制。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

网络安全最佳实践>更多

相关推荐

技术手册>更多

  • 防火墙应用指导手册

    防火墙是为防止非法访问或保护专用网络而设计的一种系统。本文将从防火墙的简介、种类、选择的方法、配置、管理和维护等几个方面向您做详细的讲解。

  • ISDN实施指导手册(升级版)

    综合业务数字网(Integrated Services Digital Network,ISDN)是一个数字电话网络国际标准,是一种典型的电路交换网络系统。它通过普通的铜缆以更高的速率和质量传输语音和数据。因为ISDN是全部数字化的电路,所以它能够提供稳定的数据服务和连接速度,不像模拟线路那样受干扰影响比较明显。在数字线路上可以开展更多的模拟线路中无法难保证质量的数字信息业务。例如除了基本的打电话功能之外,还能提供视频、图像与数据服务。ISDN需要一条全数字化的网络用来承载数字信号 (只有0和1这两种状态),这是它与普通模拟电话的最大区别。本期专题TechTarget专家将从理论和实践两方面向您介绍ISDN实施的相关问题。

  • 堆栈攻击——OSI网络安全防御

    在这一专题中我们将按OSI分层角度探讨网络安全。我们将深入研究OSI堆栈,从物理层开始直到应用层。从分析每一层的漏洞出发,假想攻击这些漏洞的各种可能性。

  • APM实用法则

    应用性能管理(APM)正变得越来越复杂,然而对于应该监控的应用性能管理和最佳的监控工具,人们并没有达成一致的看法……

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 虚拟化
  • 服务器
  • 数据中心
【TechTarget中国原创】

对于大多数IT专业人士而言,融合网络是件好事。不论是对我们正在谈论的数据和语音网络、数据和存储网络的融合,还是对最近谈论更多的数据和设备或电力管理网络的融合,“融合”都意味着可以通过管理更少的网络来实现更多的灵活性和更低的成本。但是,设备网络化管理系统也会给他们带来新的安全问题。

  对于安全专业人士而言,两个网络意味着物理隔离或者两个网络之间需要网关作为明确的安全控制分界点。融合则意味着将两个安全区域在物理上合并成一个,但在逻辑上不得不保持其相互隔离。

  不管融合何时实施,安全专业人员都必须了解:一旦物理隔离失去作用,应当如何继续维持逻辑隔离。例如,安全团队通常推荐在语音网络中给语音分配专用VLAN,这样可以通过语音VLAN和数据VLAN之间的特定交叉点来进行安全控制。

  当安全团队在网络化设备管理中被遗忘时

  当公司将其楼宇管理、环境控制、监控和连接到以太网的物理访问网络融合在一起时,之前彼此分离的功能开始相互联系起来。安全团队必须马上采取控制措施来保护新融合的网络,使其免受滋生木马和DoS(拒绝服务)攻击的因特网感染破坏。

  问题是,安全人员通常不会被邀请参与到网络融合中来,并且他们往往是最后一个知道网络融合的。最好的原因是,安全性并不是一个早期考虑因素所以才很晚通知他们。最坏的原因是,认为他们会拒绝而没有邀请他们——这种情况经常发生。

  另外,一些安全和网络团队仍然拒绝接受现实,他们认为他们的公司永远不会将设备管理迁移到以太网上——即便这种迁移现在已经开始进行。实际情况是能源和楼宇管理网络已经融合到以太网上,但是这种融合程度太不明显,以至于没有人考虑其安全问题。例如,即便你没有wiz-bang楼宇管理系统来控制单位的灯光和空调,你也可能有连接到以太网的数据中心机械装置系统。没有人想到要告诉你,但是网络融合就在那里。

  未经核实的网络设备管理系统可能隐含着病毒和蠕虫

  如果你的数据中心拥有具备报告和监控能力的冷却系统或UPS,那么多数情况下它们会被连接到一个以太网交换机上。那些控制系统采用一些标准协议,可以通过运行在Windows系统上的软件或是一个Web接口来管理它们。它们可能支持诸如HTTP、HTTPS、SMNP、SMTP、SSH和FTP等协议,同时它们也具有系统日志记录功能。为了方便和降低成本,那些控制系统也可能采用一些现成软件,诸如MySQL或MS-SQL数据库,Apache或IIS Web服务器,以及现成的SNMP库。所有这些都存在着漏洞。

  令人惊讶的是,贵公司可能已经花费了数百万美元来确保数据中心拥有多条冗余路径用于电力、制冷和网络连接,包括相互独立的主备线路,备用UPS系统和发电机。对于所有的冗余而言,除了你精心设计的独立和备用系统两者同时失效的情况外,SQL或HTTP蠕虫病毒都可以构成威胁。相对于完全独立的电力供应,那些控制系统或许连接到一个单独的以太网,从而彼此连接并存在相同的漏洞。所有那些冗余已经融合成一个单一故障点,并且没有引起任何注意。

  这种经历对于电力管理当然也不例外。我们本应该从语音融合(VoIP)中吸取教训。不管采用多少对呼叫控制器的冗余设计,当Slammer蠕虫病毒清除呼叫管理服务器中的SQL数据库时,许多公司明白融合存在着缺陷,所以关闭了语音网络。

  如今,大多数公司更加重视语音/数据的分离和安全,将网络从逻辑上分开,并且保护它们免受感染数据网络的威胁。但是,他们对于电力系统、楼宇管理系统、环境控制和物理安全系统却明显没有吸取教训。但是现实不再会给侥幸心理留有机会了。

  通过设备管理系统增强融合网络安全性的最佳实践

  为了保护一个现在正在不断增加的、包括了各种设备相关构件的融合网络,诸如楼宇管理系统、数据中心控制系统和智能电网,你并不需要为新设备添置托盘载荷。现如今,通过实施现存的安全性最佳实践与工具,大多数公司能够改进他们的安全性。为了将网络安全性拓展到楼宇和电力管理系统,请参考下面的路线图:

  1.找出它们:如果你不知道你是否拥有连接到局域网的电力管理系统,看一看数据中心、单位环境控制和智能电网计划。

  2.访问风险:特别注意那些地方:将以前的冗余和独立系统,现在无意中连接到一个普通TCP/IP网络。标识那些系统需要彼此分开的地方,以及同更泛局域网访问分开的地方。

  3.制定政策:为楼宇与电力管理系统中的采购、连接和管理制定政策。建立权利界限、整合IT政策和培训那些可能没有安全经验的设备相关人员。

  4.实施控制:从逻辑上划分网络,通过网络层控制,将它们同泛局域网流量以及它们彼此之间相互隔离。分离系统应该是独立和冗余的。加强楼宇和电力管理的验证和授权机制。

  5.监控:将这些系统中的事件日志和安全日志提取到你的泛监控基础设施中去。

  6.审计:在你的常规内部和外部审计内容中包括最近融合的网络,以确保措施的执行和控制的有效性。

  如果你对数据安全负责的话,你的工作现在应该已经扩展到包括楼宇、电力和物理安全系统在内的许多领域。你或许还不知道它,但是这种系统已经出现在你的数据中心里,并且逐步扩展到你的单位和分支办公室。这一次,你或许可以在下个蠕虫破坏你的数据中心或你的单位前,通过关闭电源来战胜威胁。