安全漏洞以及数据丢失事件越来越多,与此同时,非托管设备的数量也在迅速增加,这导致许多企业开始采用网络访问控制技术(NAC),以此监视那些经常连接到他们公司网络的非公司设备。NAC技术具有对所有用户进行身份认证的能力,并且能够确保他们的终端设备满足最低的网络安全要求以及规则遵从要求。
然而,虽然NAC能够帮助人们隔离恶意设备,但是它往往不能对同一个网络上的大多数非计算(non-computing)设备进行识别和分类。
非计算终端设备有时被称为“笨设备(dumb devices)”,比如IP电话以及打印机等,对它们进行追踪并且分类非常的困难。由于这些设备的存在,越来越多的安全职业人员在审计中遭遇失败,因为这些设备可以允许恶意用户骗取资源,绕过控制,并取得未经授权的网络访问。此外,缺少这种设备的“终端发现策略”导致设备记录会由不同的软件进行管理,并且会出现在不同的数据库中。
终端设备指纹识别是解决这个问题的好办法。终端设备指纹识别可以让NAC产品去收集非传统网络终端设备的IP和MAC地址,并且跟公司的身份验证、授权和账户控制 服务器 上的内容相比较,从而发现、分类并监视他们,以此确认它们的分类或者设备类型,以及它们在网络中的位置等。
Forrester Research公司认为,当终端设备指纹识别作为NAC产品的一项功能时,这项技术有助于对网络附带的终端设备(比如散布在网络中的IP电话、HVAC系统、标记阅读器(badge reader)、IP监视摄像机,以及智能仪表等等)进行自动化安全性能分析以及操作管理。现在,有些NAC供应商把终端设备指纹功能内置在他们的产品中,有些则与其他厂商开展合作来使用这个技术。
假设你的企业已经选择了一款能够提供终端设备指纹识别的NAC安全产品,那么进行终端设备指纹识别有四个步骤:
步骤1:确定问题之所在
在开始进行发现或者监控之前,请决定你想要完成的任务。总之,就是要确定关键问题是什么,或者说你需要解决的问题是什么?如果网络是静态的,即意味着会有大量的终端设备需要识别,或者不同的地方记录了大量的未识别设备,那么首先要开启发现功能。如果你有一个动态的网络,即意味着你的网络上会经常出现新的设备,那么请开启终端设备监控。
步骤2:创建一个设备清单
IT安全和操作人员通过开启设备发现和目录功能就可以减少数周的手工劳动。为什么呢?从本质上讲,这个功能会自动扫描网络并找到所有连接的终端设备,包括计算以及非计算设备,认证的以及非认证的设备等,扫描之后会得到一个集中的设备清单。对于一个大型企业来说,非计算设备的数量至少会与传统计算设备的数量一样多(甚至有时会多两到三倍),这很正常。
步骤3:确定位置并验证身份
下一步就是利用一个包含位置和身份的拓扑结构来扩大这个现存设备以及新设备的清单。最初,你只能够收集到静态以及动态IP地址和媒体访问控制(MAC)地址。然而,随着计算环境变得越来越好,你将能够查看ARP表格、打印服务、以及网页服务器信息等,从而收集其他信息。
一旦终端设备指纹识别系统收集到了IP地址以及MAC地址,就可以通过LDAP将这个信息与身份认证、授权,以及账户服务器上的内容相比较,以确定设备的位置并且验证设备身份。这让网络安全团队能够监控访问中的所有变化。如果一个设备被移除,而另一个设备连接到该端口,这个变化就会被标记,并且会给管理系统发送一个警报。
步骤4:监控并且发送警报
对于任何拥有动态环境(在这种环境下设备经常改变他们的NIC和OS)的企业来说,持续不断的监控非常有价值。这个功能不仅监测MAC欺骗、集线器插入、端口交换,以及配置文件的改变,而且还可以用各种方式进行部署。例如,你可以创建配置文件为第二层到第七层选择操作模式、收集网络流量数据,或者为先进的监控集成SNMP等。
终端设备指纹识别在有些虚拟环境(工作负载分享在单个物理终端上,并且经常被移动)中同样非常有用。在这种情况下,Forrester公司推荐企业选择比如Vmware 公司的Vmotion或者Xen公司的Life Motion这样的服务。此外,如果这些企业在网络中拥有现成的安全信息和事件管理(SIEM),或者入侵防护系统(IPS)设备,那么这种监控将非常的有用,因为它能够给这些系统发送警报,并能关联这些信息。
终端设备指纹识别对于企业安全职业人员来说是必须的技术工具。NAC往往不能对所有的企业IP地址连接设备进行深入的扫描,而资产管理工具则过于广泛,以至于它们没有处理打印机、IP电话、HVAC系统等设备的具体政策。终端设备指纹识别弥补了这些技术的缺点,特别有助于对NAC的部署,因为它可以发现基于IP的终端设备,并对其进行分类和监视。
【编辑推荐】
请问安全系统工程的研究内容是什么?
安全系统工程是专门研究如何用系统工程的原理和方法确保实现系统安全功能的科学技术。 其主要技术手段有系统安全分析、系统安全评价和安全决策与事故控制。 (1)系统安全分析 要提高系统的安全性,使其不发生或少发生事故,其前提条件就是预先发现系统可能存在的危险因素,全面掌握其基本特点,明确其对系统安全性影响的程度。 只有这样,才有可能抓住系统可能存在的主要危险,采取有效安全防护措施,改善系统安全状况。 这里所强调的“预先”是指:无论系统生命过程处于哪个阶段,都要在该阶段开始之前进行系统的安全分析,发现并掌握系统的危险因素。 这就是系统安全分析要解决的问题。 系统安全分析是使用系统工程的原理和方法,辨别、分析系统存在的危险因素,并根据实际需要对其进行定性、定量描述的技术方法。 (2) 系统安全评价系统安全评价往往要以系统安全分析为基础,通过分析,了解和掌握系统存在的危险因素,但不一定要对所有危险因素采取措施。 而是通过评价掌握系统的事故风险大小,以此与预定的系统安全指标相比较,如果超出指标,则应对系统的主要危险因素采取控制措施,使其降至该标准以下。 这就是系统安全评价的任务。 (3) 安全决策与事故控制任何一项系统安全分析技术或系统安全评价技术,如果没有一种强有力的管理手段和方法,也不会发挥其应有的作用。 因此, 在出现系统安全分析和系统安全评价技术的同时,也出现了系统安全决策。 其最大的特点是从系统的完整性、相关性、有序性出发,对系统实施全面、全过程的安全管理,实现对系统的安全目标控制。 系统安全管理是应用系统安全分析和系统安全评价技术,以及安全工程技术为手段,控制系统安全性,使系统达到预定安全目标的一整套管理方法、管理手段和管理模式。
三孔插座中的地线真的是接在地上吗?
地线电阻都非常低,另一头连接在楼下一块金属板上,当家电金属壳带电后,电流会选择从电阻最低的线路流动,相比人体电阻,地线的电阻都非常低,因此地线部分的压降很小,这样导致带电外壳电压下降到不会伤害人体的程度,而通过人体的电流就非常低了。 当然此时一些带漏电保护功能的空开也会自动断路。 三孔插座中其中有一个孔按要求是要接地线的,如果没有地线也可以不接,不会影响正常使用,但由于没有漏电流入地保护,使用的安全性会有所降低,所以要特别注意安全问题。 一般只有楼房自带的三孔插座才有可能会连接着地线(地线楼房施工时深埋地下),一般自家用没有接地线的,有条件的可以自己按规范埋一根地线,如果没有条件只好空着任何线也不接。 家里的一般是三孔插座不是三相插座,中间是接地线两边是火线和零线家里的一般是三孔插座不是三相插座,中间是接地线,两边是火线和零线,右边为火线(l),左边为零线(n).火线和零线的区别在于它们对地的电压不同:火线对地电压为220v,零线对地电压为0中线是从发电机或电力变压器中性点引出的线,如果它不接地就称为中线,如果将它良好接了地(大地为零电位),此时的中线就又称为零线了。 民用电的零线和地线虽然都从同一点引出,但它们各自的功能是分开的,不能混用。 比如零线和火线是用电的回路线,它们和电器的外壳是缘的,线里流动的电流是同样大小的,故线径是同样的粗细。
计算机网络技术(网络安全技术)和网络系统管理(系统集成与网络管理)哪个更比较好?
朋友:你好!可能你或者你的朋友正面临着专业的选择。 以下是我个人的建议。 先说计算机网络技术(网络安全)吧,网络安全工程师其实是门很热门,至少算是比较热门的职业,但是要很深的层次才行,学的不深找工作是很难的。 所以你要想好了,有没有兴趣学这个专业,能不能学进去。 有毅力的话,就学这个。 如果学计算机网络技术,就考个CCNA。 至于网络系统管理员呢,我先不说这门专业如何,但说“网络管理员”认证作为一门课程来上的话,那么这个专业在你所在的学校也不是很强。 因为网络管理员 这个认证是国家人事部最基本的认证 也就是初级认证。 可能下面的专业偏重于实际应用,出来了好找工作,但是如果不下十几倍的努力的话,不学会汇编以及UNIX,也可以说层次很难提高,至于ASP,网页制作主要看个人的兴趣和个人的审美观念。 但要记住网页制作不是长久的工作。 但是这个专业找工作相对好找点。 选这个专业记得提升自己的层次。 不要向同学看齐,向外面的工程师看齐。 !!最后说说笔者自己吧,我也是个网络工作者,做项目,给别人做路由交换和防火墙。 笔者以前的专业是计算机网络技术,但是笔者对课程不敢兴趣,自己学习了以下课程:CCNA网络工程师(人事部的,为了以后找不到工作,到政府混饭吃)汇编语言LINUX 内核分析UNIX 内核分析(这两本书,笔者不建议初学者看。 )SQL网络安全技术专业英语好了,朋友,你是不是对这些有简单的了解了。 希望你根据自己的情况,选择自己的道路。 愿意成为你朋友 QQ
发表评论