你的安全策略能夠應(yīng)對(duì)網(wǎng)絡(luò)化設(shè)備管理嗎
對(duì)于安全專(zhuān)業(yè)人士而言,兩個(gè)網(wǎng)絡(luò)意味著物理隔離或者兩個(gè)網(wǎng)絡(luò)之間需要網(wǎng)關(guān)作為明確的安全控制分界點(diǎn)。融合則意味著將兩個(gè)安全區(qū)域在物理上合并成一個(gè),但在邏輯上不得不保持其相互隔離。不管融合何時(shí)實(shí)施,安全
對(duì)于安全專(zhuān)業(yè)人士而言,兩個(gè)網(wǎng)絡(luò)意味著物理隔離或者兩個(gè)網(wǎng)絡(luò)之間需要網(wǎng)關(guān)作為明確的安全控制分界點(diǎn)。融合則意味著將兩個(gè)安全區(qū)域在物理上合并成一個(gè),但在邏輯上不得不保持其相互隔離。
不管融合何時(shí)實(shí)施,安全專(zhuān)業(yè)人員都必須了解:一旦物理隔離失去作用,應(yīng)當(dāng)如何繼續(xù)維持邏輯隔離。例如,安全團(tuán)隊(duì)通常推薦在語(yǔ)音網(wǎng)絡(luò)中給語(yǔ)音分配專(zhuān)用VLAN,這樣可以通過(guò)語(yǔ)音VLAN和數(shù)據(jù)VLAN之間的特定交叉點(diǎn)來(lái)進(jìn)行安全控制。
當(dāng)安全團(tuán)隊(duì)在網(wǎng)絡(luò)化設(shè)備管理中被遺忘時(shí)
當(dāng)公司將其樓宇管理、環(huán)境控制、監(jiān)控和連接到以太網(wǎng)的物理訪問(wèn)網(wǎng)絡(luò)融合在一起時(shí),之前彼此分離的功能開(kāi)始相互聯(lián)系起來(lái)。安全團(tuán)隊(duì)必須馬上采取控制措施來(lái)保護(hù)新融合的網(wǎng)絡(luò),使其免受滋生木馬和DoS(拒絕服務(wù))攻擊的因特網(wǎng)感染破壞。
問(wèn)題是,安全人員通常不會(huì)被邀請(qǐng)參與到網(wǎng)絡(luò)融合中來(lái),并且他們往往是最后一個(gè)知道網(wǎng)絡(luò)融合的。最好的原因是,安全性并不是一個(gè)早期考慮因素所以才很晚通知他們。最壞的原因是,認(rèn)為他們會(huì)拒絕而沒(méi)有邀請(qǐng)他們——這種情況經(jīng)常發(fā)生。
另外,一些安全和網(wǎng)絡(luò)團(tuán)隊(duì)仍然拒絕接受現(xiàn)實(shí),他們認(rèn)為他們的公司永遠(yuǎn)不會(huì)將設(shè)備管理遷移到以太網(wǎng)上——即便這種遷移現(xiàn)在已經(jīng)開(kāi)始進(jìn)行。實(shí)際情況是能源和樓宇管理網(wǎng)絡(luò)已經(jīng)融合到以太網(wǎng)上,但是這種融合程度太不明顯,以至于沒(méi)有人考慮其安全問(wèn)題。例如,即便你沒(méi)有wiz-bang樓宇管理系統(tǒng)來(lái)控制單位的燈光和空調(diào),你也可能有連接到以太網(wǎng)的數(shù)據(jù)中心機(jī)械裝置系統(tǒng)。沒(méi)有人想到要告訴你,但是網(wǎng)絡(luò)融合就在那里。
未經(jīng)核實(shí)的網(wǎng)絡(luò)設(shè)備管理系統(tǒng)可能隱含著病毒和蠕蟲(chóng)
如果你的數(shù)據(jù)中心擁有具備報(bào)告和監(jiān)控能力的冷卻系統(tǒng)或UPS,那么多數(shù)情況下它們會(huì)被連接到一個(gè)以太網(wǎng)交換機(jī)上。那些控制系統(tǒng)采用一些標(biāo)準(zhǔn)協(xié)議,可以通過(guò)運(yùn)行在Windows系統(tǒng)上的軟件或是一個(gè)Web接口來(lái)管理它們。它們可能支持諸如HTTP、HTTPS、SMNP、SMTP、SSH和FTP等協(xié)議,同時(shí)它們也具有系統(tǒng)日志記錄功能。為了方便和降低成本,那些控制系統(tǒng)也可能采用一些現(xiàn)成軟件,諸如MySQL或MS-SQL數(shù)據(jù)庫(kù),Apache或IIS Web服務(wù)器,以及現(xiàn)成的SNMP庫(kù)。所有這些都存在著漏洞。
令人驚訝的是,貴公司可能已經(jīng)花費(fèi)了數(shù)百萬(wàn)美元來(lái)確保數(shù)據(jù)中心擁有多條冗余路徑用于電力、制冷和網(wǎng)絡(luò)連接,包括相互獨(dú)立的主備線路,備用UPS系統(tǒng)和發(fā)電機(jī)。對(duì)于所有的冗余而言,除了你精心設(shè)計(jì)的獨(dú)立和備用系統(tǒng)兩者同時(shí)失效的情況外,SQL或HTTP蠕蟲(chóng)病毒都可以構(gòu)成威脅。相對(duì)于完全獨(dú)立的電力供應(yīng),那些控制系統(tǒng)或許連接到一個(gè)單獨(dú)的以太網(wǎng),從而彼此連接并存在相同的漏洞。所有那些冗余已經(jīng)融合成一個(gè)單一故障點(diǎn),并且沒(méi)有引起任何注意。
這種經(jīng)歷對(duì)于電力管理當(dāng)然也不例外。我們本應(yīng)該從語(yǔ)音融合(VoIP)中吸取教訓(xùn)。不管采用多少對(duì)呼叫控制器的冗余設(shè)計(jì),當(dāng)Slammer蠕蟲(chóng)病毒清除呼叫管理服務(wù)器中的SQL數(shù)據(jù)庫(kù)時(shí),許多公司明白融合存在著缺陷,所以關(guān)閉了語(yǔ)音網(wǎng)絡(luò)。
如今,大多數(shù)公司更加重視語(yǔ)音/數(shù)據(jù)的分離和安全,將網(wǎng)絡(luò)從邏輯上分開(kāi),并且保護(hù)它們免受感染數(shù)據(jù)網(wǎng)絡(luò)的威脅。但是,他們對(duì)于電力系統(tǒng)、樓宇管理系統(tǒng)、環(huán)境控制和物理安全系統(tǒng)卻明顯沒(méi)有吸取教訓(xùn)。但是現(xiàn)實(shí)不再會(huì)給僥幸心理留有機(jī)會(huì)了。
通過(guò)設(shè)備管理系統(tǒng)增強(qiáng)融合網(wǎng)絡(luò)安全性的最佳實(shí)踐
為了保護(hù)一個(gè)現(xiàn)在正在不斷增加的、包括了各種設(shè)備相關(guān)構(gòu)件的融合網(wǎng)絡(luò),諸如樓宇管理系統(tǒng)、數(shù)據(jù)中心控制系統(tǒng)和智能電網(wǎng),你并不需要為新設(shè)備添置托盤(pán)載荷。現(xiàn)如今,通過(guò)實(shí)施現(xiàn)存的安全性最佳實(shí)踐與工具,大多數(shù)公司能夠改進(jìn)他們的安全性。為了將網(wǎng)絡(luò)安全性拓展到樓宇和電力管理系統(tǒng),請(qǐng)參考下面的路線圖:
1.找出它們:如果你不知道你是否擁有連接到局域網(wǎng)的電力管理系統(tǒng),看一看數(shù)據(jù)中心、單位環(huán)境控制和智能電網(wǎng)計(jì)劃。
2.訪問(wèn)風(fēng)險(xiǎn):特別注意那些地方:將以前的冗余和獨(dú)立系統(tǒng),現(xiàn)在無(wú)意中連接到一個(gè)普通TCP/IP網(wǎng)絡(luò)。標(biāo)識(shí)那些系統(tǒng)需要彼此分開(kāi)的地方,以及同更泛局域網(wǎng)訪問(wèn)分開(kāi)的地方。
3.制定政策:為樓宇與電力管理系統(tǒng)中的采購(gòu)、連接和管理制定政策。建立權(quán)利界限、整合IT政策和培訓(xùn)那些可能沒(méi)有安全經(jīng)驗(yàn)的設(shè)備相關(guān)人員。
4.實(shí)施控制:從邏輯上劃分網(wǎng)絡(luò),通過(guò)網(wǎng)絡(luò)層控制,將它們同泛局域網(wǎng)流量以及它們彼此之間相互隔離。分離系統(tǒng)應(yīng)該是獨(dú)立和冗余的。加強(qiáng)樓宇和電力管理的驗(yàn)證和授權(quán)機(jī)制。
5.監(jiān)控:將這些系統(tǒng)中的事件日志和安全日志提取到你的泛監(jiān)控基礎(chǔ)設(shè)施中去。
6.審計(jì):在你的常規(guī)內(nèi)部和外部審計(jì)內(nèi)容中包括最近融合的網(wǎng)絡(luò),以確保措施的執(zhí)行和控制的有效性。
如果你對(duì)數(shù)據(jù)安全負(fù)責(zé)的話,你的工作現(xiàn)在應(yīng)該已經(jīng)擴(kuò)展到包括樓宇、電力和物理安全系統(tǒng)在內(nèi)的許多領(lǐng)域。你或許還不知道它,但是這種系統(tǒng)已經(jīng)出現(xiàn)在你的數(shù)據(jù)中心里,并且逐步擴(kuò)展到你的單位和分支辦公室。這一次,你或許可以在下個(gè)蠕蟲(chóng)破壞你的數(shù)據(jù)中心或你的單位前,通過(guò)關(guān)閉電源來(lái)戰(zhàn)勝威脅。
不管融合何時(shí)實(shí)施,安全專(zhuān)業(yè)人員都必須了解:一旦物理隔離失去作用,應(yīng)當(dāng)如何繼續(xù)維持邏輯隔離。例如,安全團(tuán)隊(duì)通常推薦在語(yǔ)音網(wǎng)絡(luò)中給語(yǔ)音分配專(zhuān)用VLAN,這樣可以通過(guò)語(yǔ)音VLAN和數(shù)據(jù)VLAN之間的特定交叉點(diǎn)來(lái)進(jìn)行安全控制。
當(dāng)安全團(tuán)隊(duì)在網(wǎng)絡(luò)化設(shè)備管理中被遺忘時(shí)
當(dāng)公司將其樓宇管理、環(huán)境控制、監(jiān)控和連接到以太網(wǎng)的物理訪問(wèn)網(wǎng)絡(luò)融合在一起時(shí),之前彼此分離的功能開(kāi)始相互聯(lián)系起來(lái)。安全團(tuán)隊(duì)必須馬上采取控制措施來(lái)保護(hù)新融合的網(wǎng)絡(luò),使其免受滋生木馬和DoS(拒絕服務(wù))攻擊的因特網(wǎng)感染破壞。
問(wèn)題是,安全人員通常不會(huì)被邀請(qǐng)參與到網(wǎng)絡(luò)融合中來(lái),并且他們往往是最后一個(gè)知道網(wǎng)絡(luò)融合的。最好的原因是,安全性并不是一個(gè)早期考慮因素所以才很晚通知他們。最壞的原因是,認(rèn)為他們會(huì)拒絕而沒(méi)有邀請(qǐng)他們——這種情況經(jīng)常發(fā)生。
另外,一些安全和網(wǎng)絡(luò)團(tuán)隊(duì)仍然拒絕接受現(xiàn)實(shí),他們認(rèn)為他們的公司永遠(yuǎn)不會(huì)將設(shè)備管理遷移到以太網(wǎng)上——即便這種遷移現(xiàn)在已經(jīng)開(kāi)始進(jìn)行。實(shí)際情況是能源和樓宇管理網(wǎng)絡(luò)已經(jīng)融合到以太網(wǎng)上,但是這種融合程度太不明顯,以至于沒(méi)有人考慮其安全問(wèn)題。例如,即便你沒(méi)有wiz-bang樓宇管理系統(tǒng)來(lái)控制單位的燈光和空調(diào),你也可能有連接到以太網(wǎng)的數(shù)據(jù)中心機(jī)械裝置系統(tǒng)。沒(méi)有人想到要告訴你,但是網(wǎng)絡(luò)融合就在那里。
未經(jīng)核實(shí)的網(wǎng)絡(luò)設(shè)備管理系統(tǒng)可能隱含著病毒和蠕蟲(chóng)
如果你的數(shù)據(jù)中心擁有具備報(bào)告和監(jiān)控能力的冷卻系統(tǒng)或UPS,那么多數(shù)情況下它們會(huì)被連接到一個(gè)以太網(wǎng)交換機(jī)上。那些控制系統(tǒng)采用一些標(biāo)準(zhǔn)協(xié)議,可以通過(guò)運(yùn)行在Windows系統(tǒng)上的軟件或是一個(gè)Web接口來(lái)管理它們。它們可能支持諸如HTTP、HTTPS、SMNP、SMTP、SSH和FTP等協(xié)議,同時(shí)它們也具有系統(tǒng)日志記錄功能。為了方便和降低成本,那些控制系統(tǒng)也可能采用一些現(xiàn)成軟件,諸如MySQL或MS-SQL數(shù)據(jù)庫(kù),Apache或IIS Web服務(wù)器,以及現(xiàn)成的SNMP庫(kù)。所有這些都存在著漏洞。
令人驚訝的是,貴公司可能已經(jīng)花費(fèi)了數(shù)百萬(wàn)美元來(lái)確保數(shù)據(jù)中心擁有多條冗余路徑用于電力、制冷和網(wǎng)絡(luò)連接,包括相互獨(dú)立的主備線路,備用UPS系統(tǒng)和發(fā)電機(jī)。對(duì)于所有的冗余而言,除了你精心設(shè)計(jì)的獨(dú)立和備用系統(tǒng)兩者同時(shí)失效的情況外,SQL或HTTP蠕蟲(chóng)病毒都可以構(gòu)成威脅。相對(duì)于完全獨(dú)立的電力供應(yīng),那些控制系統(tǒng)或許連接到一個(gè)單獨(dú)的以太網(wǎng),從而彼此連接并存在相同的漏洞。所有那些冗余已經(jīng)融合成一個(gè)單一故障點(diǎn),并且沒(méi)有引起任何注意。
這種經(jīng)歷對(duì)于電力管理當(dāng)然也不例外。我們本應(yīng)該從語(yǔ)音融合(VoIP)中吸取教訓(xùn)。不管采用多少對(duì)呼叫控制器的冗余設(shè)計(jì),當(dāng)Slammer蠕蟲(chóng)病毒清除呼叫管理服務(wù)器中的SQL數(shù)據(jù)庫(kù)時(shí),許多公司明白融合存在著缺陷,所以關(guān)閉了語(yǔ)音網(wǎng)絡(luò)。
如今,大多數(shù)公司更加重視語(yǔ)音/數(shù)據(jù)的分離和安全,將網(wǎng)絡(luò)從邏輯上分開(kāi),并且保護(hù)它們免受感染數(shù)據(jù)網(wǎng)絡(luò)的威脅。但是,他們對(duì)于電力系統(tǒng)、樓宇管理系統(tǒng)、環(huán)境控制和物理安全系統(tǒng)卻明顯沒(méi)有吸取教訓(xùn)。但是現(xiàn)實(shí)不再會(huì)給僥幸心理留有機(jī)會(huì)了。
通過(guò)設(shè)備管理系統(tǒng)增強(qiáng)融合網(wǎng)絡(luò)安全性的最佳實(shí)踐
為了保護(hù)一個(gè)現(xiàn)在正在不斷增加的、包括了各種設(shè)備相關(guān)構(gòu)件的融合網(wǎng)絡(luò),諸如樓宇管理系統(tǒng)、數(shù)據(jù)中心控制系統(tǒng)和智能電網(wǎng),你并不需要為新設(shè)備添置托盤(pán)載荷。現(xiàn)如今,通過(guò)實(shí)施現(xiàn)存的安全性最佳實(shí)踐與工具,大多數(shù)公司能夠改進(jìn)他們的安全性。為了將網(wǎng)絡(luò)安全性拓展到樓宇和電力管理系統(tǒng),請(qǐng)參考下面的路線圖:
1.找出它們:如果你不知道你是否擁有連接到局域網(wǎng)的電力管理系統(tǒng),看一看數(shù)據(jù)中心、單位環(huán)境控制和智能電網(wǎng)計(jì)劃。
2.訪問(wèn)風(fēng)險(xiǎn):特別注意那些地方:將以前的冗余和獨(dú)立系統(tǒng),現(xiàn)在無(wú)意中連接到一個(gè)普通TCP/IP網(wǎng)絡(luò)。標(biāo)識(shí)那些系統(tǒng)需要彼此分開(kāi)的地方,以及同更泛局域網(wǎng)訪問(wèn)分開(kāi)的地方。
3.制定政策:為樓宇與電力管理系統(tǒng)中的采購(gòu)、連接和管理制定政策。建立權(quán)利界限、整合IT政策和培訓(xùn)那些可能沒(méi)有安全經(jīng)驗(yàn)的設(shè)備相關(guān)人員。
4.實(shí)施控制:從邏輯上劃分網(wǎng)絡(luò),通過(guò)網(wǎng)絡(luò)層控制,將它們同泛局域網(wǎng)流量以及它們彼此之間相互隔離。分離系統(tǒng)應(yīng)該是獨(dú)立和冗余的。加強(qiáng)樓宇和電力管理的驗(yàn)證和授權(quán)機(jī)制。
5.監(jiān)控:將這些系統(tǒng)中的事件日志和安全日志提取到你的泛監(jiān)控基礎(chǔ)設(shè)施中去。
6.審計(jì):在你的常規(guī)內(nèi)部和外部審計(jì)內(nèi)容中包括最近融合的網(wǎng)絡(luò),以確保措施的執(zhí)行和控制的有效性。
如果你對(duì)數(shù)據(jù)安全負(fù)責(zé)的話,你的工作現(xiàn)在應(yīng)該已經(jīng)擴(kuò)展到包括樓宇、電力和物理安全系統(tǒng)在內(nèi)的許多領(lǐng)域。你或許還不知道它,但是這種系統(tǒng)已經(jīng)出現(xiàn)在你的數(shù)據(jù)中心里,并且逐步擴(kuò)展到你的單位和分支辦公室。這一次,你或許可以在下個(gè)蠕蟲(chóng)破壞你的數(shù)據(jù)中心或你的單位前,通過(guò)關(guān)閉電源來(lái)戰(zhàn)勝威脅。
責(zé)任編輯:黎陽(yáng)錦
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
繞過(guò)安卓SSL驗(yàn)證證書(shū)的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》