對于安全專業(yè)人士而言，數(shù)據(jù)和設(shè)備或電力管理兩個(gè)網(wǎng)絡(luò)意味著物理隔離或者兩個(gè)網(wǎng)絡(luò)之間需要網(wǎng)關(guān)作為明確的安全控制分界點(diǎn)。融合則意味著將兩個(gè)安全區(qū)域在物理上合并成一個(gè)，但在邏輯上不得不保持其相互隔離。對于大多數(shù)IT專業(yè)人士而言，融合網(wǎng)絡(luò)是件好事。但是設(shè)備網(wǎng)絡(luò)化管理系統(tǒng)也會(huì)給他們帶來新的安全問題。

不管融合何時(shí)實(shí)施，安全專業(yè)人員都必須了解：一旦物理隔離失去作用，應(yīng)當(dāng)如何繼續(xù)維持邏輯隔離。例如，安全團(tuán)隊(duì)通常推薦在語音網(wǎng)絡(luò)中給語音分配專用VLAN，這樣可以通過語音VLAN和數(shù)據(jù)VLAN之間的特定交叉點(diǎn)來進(jìn)行安全控制。

當(dāng)安全團(tuán)隊(duì)在網(wǎng)絡(luò)化設(shè)備管理中被遺忘時(shí)

當(dāng)公司將其樓宇管理、環(huán)境控制、監(jiān)控和連接到以太網(wǎng)的物理訪問網(wǎng)絡(luò)融合在一起時(shí)，之前彼此分離的功能開始相互聯(lián)系起來。安全團(tuán)隊(duì)必須馬上采取控制措施來保護(hù)新融合的網(wǎng)絡(luò)，使其免受滋生木馬和DoS(拒絕服務(wù))攻擊的因特網(wǎng)感染破壞。

問題是，安全人員通常不會(huì)被邀請參與到網(wǎng)絡(luò)融合中來，并且他們往往是最后一個(gè)知道網(wǎng)絡(luò)融合的。最好的原因是，安全性并不是一個(gè)早期考慮因素所以才很晚通知他們。最壞的原因是，認(rèn)為他們會(huì)拒絕而沒有邀請他們——這種情況經(jīng)常發(fā)生。

另外，一些安全和網(wǎng)絡(luò)團(tuán)隊(duì)仍然拒絕接受現(xiàn)實(shí)，他們認(rèn)為他們的公司永遠(yuǎn)不會(huì)將設(shè)備管理遷移到以太網(wǎng)上——即便這種遷移現(xiàn)在已經(jīng)開始進(jìn)行。實(shí)際情況是能源和樓宇管理網(wǎng)絡(luò)已經(jīng)融合到以太網(wǎng)上，但是這種融合程度太不明顯，以至于沒有人考慮其安全問題。例如，即便你沒有wiz-bang樓宇管理系統(tǒng)來控制單位的燈光和空調(diào)，你也可能有連接到以太網(wǎng)的數(shù)據(jù)中心機(jī)械裝置系統(tǒng)。沒有人想到要告訴你，但是網(wǎng)絡(luò)融合就在那里。

未經(jīng)核實(shí)的網(wǎng)絡(luò)設(shè)備管理系統(tǒng)可能隱含著病毒和蠕蟲

如果你的數(shù)據(jù)中心擁有具備報(bào)告和監(jiān)控能力的冷卻系統(tǒng)或UPS，那么多數(shù)情況下它們會(huì)被連接到一個(gè)以太網(wǎng)交換機(jī)上。那些控制系統(tǒng)采用一些標(biāo)準(zhǔn)協(xié)議，可以通過運(yùn)行在Windows系統(tǒng)上的軟件或是一個(gè)Web接口來管理它們。它們可能支持諸如HTTP、HTTPS、SMNP、SMTP、SSH和FTP等協(xié)議，同時(shí)它們也具有系統(tǒng)日志記錄功能。為了方便和降低成本，那些控制系統(tǒng)也可能采用一些現(xiàn)成軟件，諸如MySQL或MS-SQL數(shù)據(jù)庫，Apache或IIS Web服務(wù)器，以及現(xiàn)成的SNMP庫。所有這些都存在著漏洞。

令人驚訝的是，貴公司可能已經(jīng)花費(fèi)了數(shù)百萬美元來確保數(shù)據(jù)中心擁有多條冗余路徑用于電力、制冷和網(wǎng)絡(luò)連接，包括相互獨(dú)立的主備線路，備用UPS系統(tǒng)和發(fā)電機(jī)。對于所有的冗余而言，除了你精心設(shè)計(jì)的獨(dú)立和備用系統(tǒng)兩者同時(shí)失效的情況外，SQL或HTTP蠕蟲病毒都可以構(gòu)成威脅。相對于完全獨(dú)立的電力供應(yīng)，那些控制系統(tǒng)或許連接到一個(gè)單獨(dú)的以太網(wǎng)，從而彼此連接并存在相同的漏洞。所有那些冗余已經(jīng)融合成一個(gè)單一故障點(diǎn)，并且沒有引起任何注意。

【編輯推薦】

1. “老派”Morto蠕蟲病毒通過RDP蔓延
2. 網(wǎng)秦手機(jī)安全專家：個(gè)人隱私的網(wǎng)絡(luò)安全問題需重視
3. 局域網(wǎng)安全設(shè)置五大技巧保障網(wǎng)絡(luò)安全
4. 綠盟科技再次入選國家級網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位
5. 黑帽大會(huì)2011:Dan Kaminsky披露自己的網(wǎng)絡(luò)安全研究課題