我正饶有兴趣地关注着一种日益增长的趋势,即地区实施新的基于ip的建筑系统(HVAC控制), 食品服务温度控制, 门控制, 视频监控, 等.),如果执行得当,我认为这是一件好事.
然而, 其中一些新系统的主要“卖点”之一是能够从互联网上的任何地方访问它们. 例如, 似乎地区行政人员真的被这个想法所吸引,无论他们当时身在何处,都能在舒适和方便的情况下,通过移动设备上的应用程序打开一扇门或观看视频摄像头.
无论这种类型的普遍访问, 尤其是安全系统之类的东西, 真的是, 真正有必要的将留到另一天另一个地方讨论.
我今天的问题是,有非常危险的方法来实现这种类型的远程访问和更安全的方法来实现它.
我没有看到地区行政人员、地区APP客户端人员和顾问在他们的地区选择解决方案和实施解决方案之前进行太多的研究或讨论. 如果解决方案只是根据解决方案供应商的说明实施,而没有经过审查,这可能会大大增加该地区其他网络和数据的风险.
本文旨在为您在考虑远程访问任何应用程序时提供一些思路, 尤其是你们辖区的安保系统应用.
第一个, 让我们同意,我们需要从没有不可破解的系统这一假设出发. 任何直接暴露在互联网上的系统都会成倍地增加被黑客入侵的风险. 如果我允许“我——好人”从任何地方访问系统, 那么我也允许“任何人——包括坏人”从任何地方访问它(或者探测系统的漏洞,使他们能够闯入系统造成伤害)。.
这意味着您应该非常仔细地考虑任何要求您直接从Internet打开对内部网络上该系统的访问的解决方案.
远程访问系统和服务是互联网结构的一部分,但随着互联网演变成一个风险更大的地方, 我们公开访问的越来越多的重要系统和服务现在已经转移到大型数据中心. 这些数据中心由训练有素的数据和安全工程师使用各种复杂的工具进行维护和监控, 一天24小时, 一年365天, 帮助确保这些系统的访问权限和安全性. 工作人员24小时待命,对服务的任何安全威胁作出即时反应.
这与你直接在你的地区网络中暴露在互联网上的东西相比如何?
对于真正想要考虑公众访问地区内部系统的地区,CSI建议考虑以下两种更安全的选择之一:
1 -选择一个供应商,其解决方案的公共访问基于3路连接. 内部网络系统和希望远程访问它的用户都将出站连接到位于供应商数据中心的第三个系统. 在双方进行适当的身份验证后,用户和系统通过该供应商数据中心所在的系统连接在一起. 使用这种类型的解决方案,任何区域设备都不会获得开放的入站Internet访问权限. 期望供应商的数据中心系统受到监控, 管理, 并由专业人员维护,保证服务的正常运行.
2 -要求所有访问地区内部系统的权限必须通过使用加密的VPN会话进入该地区. 同样,这消除了将任何内部系统直接暴露给Internet的需要. 一旦VPN连接建立,所有内部系统的访问方式都与您坐在本地网络中的方式完全相同. 唯一直接暴露在互联网上的是VPN终端设备本身, 哪一个通常是专门为此目的而设计的加固防火墙. 所有VPN连接都可以被记录下来,这有助于管理和维护远程访问内部资源的人员和时间的整体安全性.
随时随地访问任何东西无疑是当今互联网的伟大承诺之一. 移动设备上的新产品和应用程序的爆炸式增长为远程访问服务提供了一些非常诱人的新选择. 不幸的是, 我们看到的许多实现也可能对您的整体网络安全带来一些重大挑战.
我鼓励地区行政人员和他们的APP客户端人员一起工作,彻底讨论什么类型的远程访问任何地区内部系统是真正需要的,以满足正在考虑的功能需求. 考虑到你允许的直接访问越多,你对系统和网络其他部分的风险就越大, 目标应该是提供完成工作所需的最少类型的远程访问.
CSI的团队准备与您的地区合作,促进这些对话,并帮助您建立安全的远程访问方法,使您的管理员能够完成他们需要完成的工作,而不会给您地区的网络带来重大的新风险.
APP客户端,我们在这里帮助你.
最近的评论