Molex:在物理層實(shí)現(xiàn)網(wǎng)絡(luò)安全

Anne Watmore, Molex企業(yè)布線(xiàn)網(wǎng)絡(luò)部全球市場(chǎng)經(jīng)理

IT安全是一個(gè)被連篇累牘討論的問(wèn)題，盡管市場(chǎng)上已經(jīng)提供了許多技術(shù)，但安全泄密仍是各類(lèi)機(jī)構(gòu)面臨的主要問(wèn)題。安全不只是一個(gè)IT問(wèn)題，而且是一個(gè)商業(yè)問(wèn)題，越來(lái)越難以處理。這一廣泛而復(fù)雜的領(lǐng)域包括對(duì)敏感信息的威脅、對(duì)商業(yè)系統(tǒng)的威脅及對(duì)硬件的威脅。

大型公共事業(yè)單位及金融服務(wù)領(lǐng)域受到的攻擊比率最大，嚴(yán)重程度也最高。這些機(jī)構(gòu)及許多其它機(jī)構(gòu)在IT安全產(chǎn)品中投入了數(shù)百萬(wàn)美元。據(jù)分析企業(yè) – IDC預(yù)測(cè)，到2006年底，僅網(wǎng)絡(luò)入侵保護(hù)產(chǎn)品和服務(wù)一項(xiàng)，全球市場(chǎng)容量就將達(dá)到7億美元 (約合3.78億英磅)。但有趣的是，OMB最近對(duì)美國(guó)聯(lián)邦政府開(kāi)支進(jìn)行的研究表明，在安全開(kāi)支和實(shí)際安全之間的關(guān)聯(lián)很小。

許多機(jī)構(gòu)可能把重點(diǎn)放在錯(cuò)誤的IT安全戰(zhàn)略領(lǐng)域上，他們的精力主要放在檢測(cè)網(wǎng)絡(luò)入侵上，而不是采取積極措施防止入侵。許多公司在IT安全戰(zhàn)略中漏掉了一個(gè)關(guān)鍵“層”，也就是物理網(wǎng)絡(luò)設(shè)施的監(jiān)測(cè)和存檔。他們的一個(gè)關(guān)鍵需求是快速發(fā)現(xiàn)事故、編制文檔、并采取校正措施，現(xiàn)代化的智能基礎(chǔ)設(shè)施管理(IIM)系統(tǒng)為此提供了解決方案。

安全的重要意義

根據(jù)Dynamic Markets對(duì)英國(guó)850名IT管理人員進(jìn)行的調(diào)查，93%的英國(guó)企業(yè)在過(guò)去一年中經(jīng)歷了網(wǎng)絡(luò)中斷。在被調(diào)查的機(jī)構(gòu)中，14%的機(jī)構(gòu)的網(wǎng)絡(luò)中斷時(shí)間超過(guò)8個(gè)小時(shí)，只有17%的機(jī)構(gòu)的中斷時(shí)間不到一小時(shí)。小的安全泄密，不管是故意泄密還是意外泄密，在這些中斷中占了很大比例。由于文檔資料不全，許多機(jī)構(gòu)可能從未跟蹤或記錄過(guò)小的泄密原因，如跳線(xiàn)“掉出”配線(xiàn)架。

系統(tǒng)中斷的代價(jià)非常高。Price Waterhouse Coopers和DTI提供的與英國(guó)信息安全泄密有關(guān)的報(bào)告指出，嚴(yán)重的安全事故的平均成本是30,000英磅，其中許多被調(diào)查機(jī)構(gòu)一次安全事故的成本要超過(guò)500,000英磅。這種代價(jià)并不是不能避免的，成本低廉的物理層監(jiān)測(cè)解決方案可以明顯降低網(wǎng)絡(luò)中斷時(shí)間。

把安全與企業(yè)IT對(duì)應(yīng)起來(lái)

當(dāng)前企業(yè)網(wǎng)絡(luò)動(dòng)態(tài)發(fā)展的特點(diǎn)，意味著企業(yè)網(wǎng)絡(luò)不再由物理邊界來(lái)界定，而是由企業(yè)級(jí)安全策略和參數(shù)來(lái)界定。為使策略有效，必須包括廣泛的一系列安全服務(wù)，以監(jiān)控網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)情況，同時(shí)防止這些資源受到內(nèi)部和外部威脅。

各機(jī)構(gòu)安裝的幾乎所有網(wǎng)絡(luò)安全設(shè)備針對(duì)的都是防范外部威脅，但是，許多嚴(yán)重的安全泄密都是由于內(nèi)部人員導(dǎo)致的。入侵防范系統(tǒng)對(duì)此無(wú)效，因?yàn)橄到y(tǒng)已準(zhǔn)許肇事者作為職員進(jìn)入其中。在2003年計(jì)算機(jī)犯罪和安全調(diào)查中，F(xiàn)BI對(duì)530家美國(guó)安全執(zhí)業(yè)機(jī)構(gòu)進(jìn)行了調(diào)查，其中80%的機(jī)構(gòu)報(bào)告了內(nèi)部人員未經(jīng)授權(quán)訪(fǎng)問(wèn)系統(tǒng)�？刂茩C(jī)構(gòu)內(nèi)部人員的活動(dòng)和訪(fǎng)問(wèn)是一個(gè)大問(wèn)題。內(nèi)部人員了解公司資產(chǎn)的位置和價(jià)值。內(nèi)部人員可以更容易地竊取機(jī)密信息，如人事記錄、詳細(xì)的財(cái)務(wù)信息及研發(fā)信息，這些人比外部黑客更了解內(nèi)部環(huán)境及瀏覽網(wǎng)絡(luò)的技術(shù)手段，這會(huì)引起巨大的損失。

目前存在著許多安全挑戰(zhàn)，從廣義上講，這些挑戰(zhàn)可以劃分成以下幾類(lèi)：

未經(jīng)授權(quán)的設(shè)備 – 試圖連接到網(wǎng)絡(luò)上的設(shè)備未被認(rèn)可或授權(quán)，這可以包括未經(jīng)授權(quán)的設(shè)備或用戶(hù)，也可以包括授權(quán)的用戶(hù)錯(cuò)誤地把無(wú)線(xiàn)接入點(diǎn)連接到網(wǎng)絡(luò)中，其可能會(huì)引起潛在的安全漏洞，使得設(shè)備能夠通過(guò)該連接點(diǎn)進(jìn)入網(wǎng)絡(luò)。
不符合標(biāo)準(zhǔn)的設(shè)備，如配置錯(cuò)誤的系統(tǒng) – 系統(tǒng)沒(méi)有使用廠(chǎng)商最新發(fā)布的安全修復(fù)程序或相應(yīng)的防病毒文件進(jìn)行升級(jí)。
內(nèi)部用戶(hù)未經(jīng)授權(quán)的操作 – 目前或以前的員工故意或疏忽而破壞服務(wù)或信息。
外部用戶(hù) – 病毒，蠕蟲(chóng)，拒絕服務(wù)和黑客滲透。
物理盜竊 – 盜竊物理硬件/軟件。
欺詐 – 偽造付款憑證及假的信用信息。
專(zhuān)有信息 – 破壞或復(fù)制公司數(shù)據(jù)。

部署分層安全解決方案可以幫助各個(gè)機(jī)構(gòu)應(yīng)對(duì)這一系列安全挑戰(zhàn)。對(duì)企業(yè)IT來(lái)說(shuō)，共分成三“層”：

人員 – 包括員工、客戶(hù)、合作伙伴和大眾
應(yīng)用 – 包括電子郵件、采購(gòu)、ERP和供應(yīng)鏈
網(wǎng)絡(luò)設(shè)施 – 包括路由器/交換機(jī)、大型機(jī)、虛擬專(zhuān)用網(wǎng)

良好的安全戰(zhàn)略必需考慮所有這三個(gè)層。許多公司一直在人員層和應(yīng)用層保護(hù)方面支付大量的資金，但經(jīng)常忽略網(wǎng)絡(luò)設(shè)施層。

智能基礎(chǔ)設(shè)施管理 – 物理層

Molex 的Real Time®實(shí)時(shí)布線(xiàn)解決方案的智能基礎(chǔ)設(shè)施管理(IIM)系統(tǒng)使得以上提到的網(wǎng)絡(luò)安全問(wèn)題輕松地得到解決。智能基礎(chǔ)設(shè)施管理系統(tǒng)為客戶(hù)提供了一個(gè)關(guān)鍵保護(hù)層，支持快速檢測(cè)設(shè)備、編制文檔、通知網(wǎng)管和采取校正措施�？梢允褂眠@樣一個(gè)系統(tǒng)，實(shí)時(shí)存檔和監(jiān)測(cè)網(wǎng)絡(luò)，對(duì)任何未經(jīng)授權(quán)的接入/斷開(kāi)及進(jìn)入計(jì)算機(jī)區(qū)域等發(fā)出警報(bào)。物理層存檔和監(jiān)測(cè)功能還可以防止某些未經(jīng)授權(quán)的操作，把機(jī)構(gòu)中的設(shè)備與其物理位置關(guān)聯(lián)起來(lái)。一旦發(fā)生未經(jīng)授權(quán)的操作或未經(jīng)授權(quán)的設(shè)備接入網(wǎng)絡(luò)，即可根據(jù)提示的具體物理位置迅速通知網(wǎng)絡(luò)管理員，相應(yīng)日志可以做為被入侵的證據(jù)保留下來(lái)。

傳統(tǒng)上，網(wǎng)絡(luò)管理員一直面臨著耗時(shí)巨大、幾乎不可能完成的任務(wù)，即對(duì)所有物理網(wǎng)絡(luò)連接及任何移動(dòng)、增加和改動(dòng)(MAC)保持準(zhǔn)確的紙面記錄。一家辦事處可能有50個(gè)人，也可能有5000個(gè)人。他們可能位于一間辦公室中，也可能位于分布在世界各地的數(shù)百家小型辦公室中。人事變動(dòng)頻繁的公司對(duì)要求的移動(dòng)、增加和改動(dòng)(MAC)數(shù)量進(jìn)一步增加了壓力。在許多情況下，數(shù)據(jù)已經(jīng)明顯過(guò)期，因?yàn)樵诖颐Φ娜粘�業(yè)務(wù)中，管理人員經(jīng)常忘了手動(dòng)保存記錄。此外，公司把整個(gè)移動(dòng)、增加和改動(dòng)(MAC)業(yè)務(wù)外包出去的情況并不少見(jiàn)。我們就認(rèn)識(shí)這樣一家公司，它發(fā)現(xiàn)承包信息中15%是錯(cuò)誤的，為改變和存檔信息支付了大量的費(fèi)用。與明顯的安全問(wèn)題一樣，文檔資料不準(zhǔn)確的代價(jià)也非常高。

通過(guò)智能基礎(chǔ)設(shè)施管理(IIM)系統(tǒng)，在網(wǎng)絡(luò)連接中發(fā)生任何變化時(shí)(包括安全線(xiàn)纜)，系統(tǒng)自動(dòng)檢測(cè)及以電子方式記錄連接到網(wǎng)絡(luò)上的設(shè)備。網(wǎng)絡(luò)連接可以與網(wǎng)絡(luò)接入點(diǎn)的物理位置關(guān)聯(lián)起來(lái)，這樣用戶(hù)可以在幾分鐘內(nèi)重新連接因故意或倏忽造成斷開(kāi)的關(guān)鍵跳線(xiàn)，可望節(jié)約數(shù)千英磅的中斷成本。

此外，可以設(shè)置各種安全設(shè)備，如攝像機(jī)、接入交換機(jī)和運(yùn)轉(zhuǎn)檢測(cè)器，并把它們與網(wǎng)絡(luò)事件和訪(fǎng)問(wèn)日志關(guān)聯(lián)起來(lái)。例如，攝像機(jī)可以實(shí)時(shí)錄制進(jìn)入通信間的任何非授權(quán)人員，或者觸發(fā)警報(bào)，對(duì)未經(jīng)授權(quán)的活動(dòng)立即作出響應(yīng)。

通過(guò)配套的軟件模塊，智能基礎(chǔ)設(shè)施管理(IIM)系統(tǒng)可以實(shí)時(shí)確定故障及任何潛在的間諜活動(dòng)。這些系統(tǒng)可以檢測(cè)到什么時(shí)候設(shè)備連接到網(wǎng)絡(luò)上，為網(wǎng)絡(luò)管理人員提供主機(jī)和IP地址等關(guān)鍵信息。這些信息可以與設(shè)備的確切位置關(guān)聯(lián)起來(lái)，直到其連接的插座/墻板�？梢愿鶕�(jù)商業(yè)規(guī)則，如授權(quán)、事件調(diào)度和工作單，進(jìn)一步檢查網(wǎng)絡(luò)連接情況。

特別是在網(wǎng)絡(luò)管理員沒(méi)有一直在場(chǎng)的邊遠(yuǎn)地點(diǎn)中，能夠在中央監(jiān)測(cè)和跟蹤各個(gè)站點(diǎn)，在遠(yuǎn)程連接變化時(shí)立即獲得通知，并了解根本原因，在安全方面是一個(gè)關(guān)鍵優(yōu)勢(shì)。由于不需調(diào)度技術(shù)人員，而能夠診斷或直接改動(dòng)布線(xiàn)，可以明顯降低邊遠(yuǎn)站點(diǎn)的監(jiān)測(cè)成本。如果要求維護(hù)，技術(shù)人員可以提前作好準(zhǔn)備，并配備進(jìn)行移動(dòng)、增加和改動(dòng)(MAC)所需的設(shè)備。負(fù)責(zé)安全的人員則大可以放心，他們知道，在邊遠(yuǎn)地點(diǎn)已經(jīng)提供了訪(fǎng)問(wèn)安全保護(hù)，已經(jīng)跟蹤和記錄了所有訪(fǎng)問(wèn)和連接情況。

在發(fā)生不可控的安全泄密時(shí)，智能基礎(chǔ)設(shè)施管理(IIM)還可以幫助各機(jī)構(gòu)保持業(yè)務(wù)連續(xù)性。在災(zāi)難恢復(fù)情況下，現(xiàn)代智能基礎(chǔ)設(shè)施管理系統(tǒng)一目了然地提供了受影響的機(jī)構(gòu)的所有連接要求。事實(shí)證明，這種功能為美國(guó)政府機(jī)構(gòu)建立備用計(jì)算設(shè)備、保持連續(xù)運(yùn)行提供了重要幫助。在美國(guó)參議院經(jīng)歷炭疽熱恐慌而關(guān)閉多家辦事處時(shí)，它能夠在備用設(shè)施上精確地復(fù)制連接和網(wǎng)絡(luò)服務(wù)，幫助保持連續(xù)性和安全性。

不久的將來(lái)

目前，智能基礎(chǔ)設(shè)施管理(IIM)系統(tǒng)能夠告訴用戶(hù)某個(gè)設(shè)備的物理位置。不久在新的增強(qiáng)軟件上市時(shí)，系統(tǒng)將能夠把設(shè)備的活動(dòng)和行為與其物理位置關(guān)聯(lián)起來(lái)，并標(biāo)明任何異常的或未經(jīng)授權(quán)的活動(dòng)，如為什么這個(gè)人會(huì)從別人的機(jī)器或辦公室位置上登錄？

結(jié)論

在布線(xiàn)系統(tǒng)中增加Molex的Real Time®實(shí)時(shí)布線(xiàn)解決方案的智能基礎(chǔ)設(shè)施管理(IIM)系統(tǒng)，可以把布線(xiàn)系統(tǒng)從靈活的網(wǎng)絡(luò)轉(zhuǎn)換成強(qiáng)大的可管理基礎(chǔ)設(shè)施。具有實(shí)時(shí)反饋功能的智能解決方案可以明顯改善機(jī)構(gòu)的安全性、業(yè)務(wù)連續(xù)性和中斷時(shí)間。

隨著安全威脅不斷增加，各機(jī)構(gòu)采取預(yù)防性的分層安全方法至關(guān)重要�，F(xiàn)代智能布線(xiàn)系統(tǒng)可以構(gòu)建和調(diào)整物理網(wǎng)絡(luò)設(shè)施，在發(fā)生前、而不是在發(fā)生后檢測(cè)到內(nèi)部間諜潛在的入侵威脅。

在規(guī)劃基礎(chǔ)設(shè)施安全時(shí)，考慮下述問(wèn)題將對(duì)IT管理人員有所幫助：

1. 我能不能實(shí)時(shí)檢測(cè)未經(jīng)授權(quán)的設(shè)備，包括設(shè)備的物理位置？
2. 我能不能自動(dòng)檢測(cè)關(guān)鍵設(shè)備意外斷開(kāi)的根本原因？
3. 我能不能對(duì)連接到網(wǎng)絡(luò)上的設(shè)備強(qiáng)制實(shí)施規(guī)定的安全策略？
4. 我能不能拒絕未經(jīng)授權(quán)的設(shè)備或不符合標(biāo)準(zhǔn)的設(shè)備訪(fǎng)問(wèn)網(wǎng)絡(luò)，防止?jié)撛诘耐�脅風(fēng)險(xiǎn)？
5. 我的安全計(jì)劃中是否考慮了物理基礎(chǔ)設(shè)施？
6. 我的網(wǎng)絡(luò)布局設(shè)計(jì)能不能防止入侵？
7. 物理和連接訪(fǎng)問(wèn)的所有策略和程序是否已經(jīng)存檔，并發(fā)給員工、承包商和維護(hù)技術(shù)人員？
8. 顧問(wèn)公司和安裝承包商是否已經(jīng)編制安全策略和程序，并與我的安全策略和程序完全一致？
9. 關(guān)鍵事務(wù)型設(shè)備是否要求安全性更高的介質(zhì)，如光纖？
10. 我怎樣知道物理網(wǎng)絡(luò)中發(fā)生安全泄密，并有效掐斷泄密？
11. 我的災(zāi)難恢復(fù)計(jì)劃中是否包括結(jié)構(gòu)化布線(xiàn)系統(tǒng)要求？
12. 我的網(wǎng)絡(luò)設(shè)施是否使用了具有安全功能的產(chǎn)品(如帶色碼的跳線(xiàn)和模塊、鎖定保護(hù)蓋、端子安裝和/或預(yù)先安裝的光纖產(chǎn)品)？
13. 我是否有結(jié)構(gòu)化布線(xiàn)系統(tǒng)的實(shí)時(shí)示意圖，包括有源端口？
14. 機(jī)構(gòu)中的所有平面圖、樞紐房間圖和端口分配文檔是不是最新的？是不是放在了安全的位置？

Molex企業(yè)布線(xiàn)網(wǎng)絡(luò)部擁有超過(guò)20年的專(zhuān)業(yè)經(jīng)驗(yàn)，是世界上歷史最長(zhǎng)的結(jié)構(gòu)化布線(xiàn)系統(tǒng)制造商之一。1998年，Molex企業(yè)布線(xiàn)網(wǎng)絡(luò)部就開(kāi)始逐漸進(jìn)入中國(guó)市場(chǎng)，并在2000年加速發(fā)展。8年多來(lái)，Molex致力于提供世界級(jí)綜合布線(xiàn)產(chǎn)品和解決方案和服務(wù)本地市場(chǎng)的承諾，在中國(guó)市場(chǎng)取得了有目共睹的成績(jī)。