一、网络化设备管理引发的安全性挑战

对于安全专业人士而言，数据和设备或电力管理两个网络意味着物理隔离或者两个网络之间需要网关作为明确的网络安全控制分界点。融合则意味着将两个安全区域在物理上合并成一个，但在逻辑上不得不保持其相互隔离。对于大多数IT专业人士而言，融合网络是件好事。但是设备网络化管理系统也会给他们带来新的安全问题。

不管融合何时实施，网络安全专业人员都必须了解：一旦物理隔离失去作用，应当如何继续维持逻辑隔离。例如，网络安全团队通常推荐在语音网络中给语音分配专用VLAN，这样可以通过语音VLAN和数据VLAN之间的特定交叉点来进行网络安全控制。

1、当网络安全团队在网络化设备管理中被遗忘时

当公司将其楼宇管理、环境控制、网络监控和连接到以太网的物理访问网络融合在一起时，之前彼此分离的功能开始相互联系起来。安全团队必须马上采取控制措施来保护新融合的网络，使其免受滋生木马和DoS(拒绝服务)攻击的因特网感染破坏。问题是，安全人员通常不会被邀请参与到网络融合中来，并且他们往往是最后一个知道网络融合的。最好的原因是，安全性并不是一个早期考虑因素所以才很晚通知他们。最坏的原因是，认为他们会拒绝而没有邀请他们——这种情况经常发生。

另外，一些安全和网络团队仍然拒绝接受现实，他们认为他们的公司永远不会将设备管理迁移到以太网上——即便这种迁移现在已经开始进行。实际情况是能源和楼宇管理网络已经融合到以太网上，但是这种融合程度太不明显，以至于没有人考虑其安全问题。例如，即便你没有楼宇管理系统来控制单位的灯光和空调，你也可能有连接到以太网的数据中心机械装置系统。没有人想到要告诉你，但是网络融合就在那里。

2、未经核实的网络设备管理系统可能隐含着病毒和蠕虫

如果你的数据中心拥有具备报告和监控能力的冷却系统或UPS，那么多数情况下它们会被连接到一个以太网交换机上。那些控制系统采用一些标准协议，可以通过运行在Windows系统上的软件或是一个Web接口来管理它们。它们可能支持诸如HTTP、HTTPS、SMNP、SMTP、SSH和FTP等协议，同时它们也具有系统日志记录功能。为了方便和降低成本，那些控制系统也可能采用一些现成软件，诸如MySQL或MS-SQL数据库，Apache或IIS Web服务器，以及现成的SNMP库。所有这些都存在着漏洞。

令人惊讶的是，贵公司可能已经花费了数百万美元来确保数据中心拥有多条冗余路径用于电力、制冷和网络连接，包括相互独立的主备线路，备用UPS系统和发电机。对于所有的冗余而言，除了你精心设计的独立和备用系统两者同时失效的情况外，SQL或HTTP蠕虫病毒都可以构成威胁。相对于完全独立的电力供应，那些控制系统或许连接到一个单独的以太网，从而彼此连接并存在相同的漏洞。所有那些冗余已经融合成一个单一故障点，并且没有引起任何注意。

二、加强网络安全和数据安全

例如，有许多压力使得通过短信服务(SMS)推送信息。短信服务账户告警、余额查询等等正在成为习以为常的事情。在北美有一个独一无二的现象最好地形容了短信服务到Web服务。设想你的银行给你发送账户透支短信告警并且包含一个URL来让你存更多的资金。如果你点击该链接，然后你的移动浏览器跳转到银行主页。这是一个从短信服务到Web服务的典型应用案例。短信服务不是安全的和认证的通信媒介，并且通过短信服务发送的链接是存在问题的。骗子们能轻易地伪造一个短信，对于消费者来说在移动屏幕上来区分钓鱼和真实的URL是很有挑战性的。类似地，每个人都想让移动银行与金融机构的单点登录(SSO)设施集成。确实，那样做是件好的事情。但是我知道许多短信银行业务的部署，从手机号码到用户账户的映射信息——包括用户凭证——是存储在DMZ中的服务器上的，从而实现有效的短信服务访问。这些部署没有经过完整的安全架构评审;一个胜任的信息安全架构绝对不会允许这种设计。对于短信服务器来说，正确的方法是通过一套信息安全的SSO API连接到位于内部网络的受到正确防护的SSO服务器。但是做出这个设计决定时没有牵涉到信息安全。

另一个令人不安的趋势是企业中安卓(Android)操作系统设备的快速扩增。来自comScore和Nielsen的最新统计数据都表明，安卓操作系统是现在最畅销的智能手机平台。尽管这些统计数据来自消费者的销售，但企业也目睹了安卓操作系统迅速渗入。

当许多开发人员偏好安卓操作系统时，安卓也为IT带来了一些任何时候都不太可能迅速解决的独一无二的安全挑战。比如下面两个：

市场细分化：由于安卓操作系统市场的细分化，如果你所有的安卓操作系统设备来自不同的厂家，没有一个简单的办法做一个通用的补丁来更新它们。这个问题会将终端管理一直回退到80年代! 天生缺乏对安全的支持：人们期待安卓3支持盼望已久的终端数据加密特色功能，但是安卓3的发布日期尚不明确。IT的移动化可能是无法避免的。你最好为此进行准备。但是如果你在采用和应用决策中没有考虑到网络安全，很可能这列即将来临的火车在到达车站前会造成一些破坏。