在控制室指揮中心這些應用環境中�,安全性是最令人擔憂的問題之一�����。在這類應用環境中,工作人員監視實時數據,對其進行分析并做出關鍵決策�����,而部署IP KVM擴展器來保護服務器房間的計算機系統安全���,讓用戶能夠遠程控制系統設備��,從而防止硬件篡改和日常操作中斷。
但是���,既然是在IP網絡上運行����,難免就會遇到黑客�����、網絡攻擊這些威脅�����,而且隨著越來越多的用戶采用IP系統,各種網絡威脅也隨之增加�����,因此���,部署IP KVM擴展器就變得更為重要��,這些擴展器必須提供與用戶IT安全策略和準則相一致的關鍵安全功能。
安全準則
信息安全原則可以指導企業制定策略��,過程和流程���,以幫助維護業務信息的機密性�����,完整性和可用性�����。
•機密性:保護信息的隱私性,確保只有具有正確授權的用戶才能查看或使用信息�����。
•完整性:防止第三方在達到目標之前或完全破壞信息之前對其進行修改���。
•可用性:確保在用戶需要訪問信息時可以訪問該信息���,并且在出現單點故障時確保整個網絡具有彈性�����。
關鍵安全功能
IP安全已經存在了幾十年��,尤其是在AV的應用上更是被許多人堪稱不安全的因素。IP上的數據和電話都已經經歷了多代安全性的不斷迭代改進�,這給IP KVM部署帶來了諸多優勢�����。IP KVM擴展和交換解決方案通過標準網絡基礎結構將計算機系統的音頻�����,視頻和控制信號傳輸到遠程用戶站�。因此����,選擇一種能夠提供關鍵安全功能的方案保護KVM網絡的系統的機密性,完整性和可用性就變得很重要��。
加密技術
加密是一個過程��,IP KVM擴展器通過該過程將A/V和/或USB信號轉換為晦澀的代碼��,以防止在傳輸過程中未經授權的訪問。加密因此可以保護傳輸過程中傳輸信號的機密性�。如果擔心有人可能會試圖破解和監聽�����,加密分組視頻���,音頻和USB的能力則優于傳統的基帶視頻傳輸��。支持加密的IPKVM擴展器可以通過IP網絡安全地傳輸音頻,視頻和USB信號��,它們還通過防止第三方在傳輸過程中修改內容來維護傳輸數據的完整性���。
高級加密標準(AES)是全球公認的最安全的數據加密標準之一�。它由美國政府下屬的國家標準與技術研究院(NIST)于2001年成立。某些IPKVM擴展器使用AES標準來加密數據和密碼�����。
AES 128位和AES 256位標準使用對稱加密算法����,其中單個密鑰用于加密和解密數據�。在KVM應用程序中,重要的是不僅要保護音頻和視頻信號���,還要通過加密用于安全輸入密碼的擊鍵和保護機密信息來保護USB信號。
通訊和控制通道
IP KVM擴展器單元相互通信并交換命令,例如當接收器單元需要切換并連接到另一個發送器單元(信號源系統)時���。 KVM設備之間的這些類型的命令需要通過安全通信通道(例如,超文本傳輸協議安全(HTTPS))進行傳輸,以防止通過重新路由信號或中斷操作來篡改KVM網絡。
HTTPS通過傳輸層安全性(TLS)連接運行�,TLS是用于通過網絡進行安全通信的行業標準協議�����,它是SSL的改進版本。 TLS使用非對稱加密(公共和私有)來保護傳輸的信息����,并依靠數字證書來驗證發送方和接收方設備的身份���。 KVM網絡中的安全通信和控制通道對于保持擴展A / V��,USB和控制信號的機密性和完整性至關重要。此命令和控制層可以使用權限和密碼進一步保護��。
權限和密碼
可以通過設置用戶權限和密碼來定義不同的安全級別�����,用戶權限允許定義用戶可以連接到的信號源系統���,以及他們可以從哪個遠程站訪問系統���?����?梢酝ㄟ^Microsoft Active Directory或其他域服務器創建本地用戶或基于域的用戶���。 然后�,每個用戶將需要登錄到接收器單元以查看他們可以連接到的發射器單元或信號源系統的列表。IT專業人員還建議使用強密碼并定期進行更改�。多級登錄增加了另一層安全性——將使用戶登錄到KVM接收器設備以及源系統�����。
端口身份驗證
IEEE 802.1x標準提供了一種強大的身份驗證形式,一種針對有線和無線設備的基于端口的網絡訪問控制。IEEE 802.1x標準阻止流氓設備通過受保護的網絡進行通信�,并可能破壞操作�。網絡交換機會阻止與任何要訪問網絡的新設備之間的通信����,直到它被中央服務器(通常是RADIUS(遠程身份驗證撥入用戶服務)服務器)進行身份驗證為止。它驗證新設備的身份,然后才授權該設備加入網絡。”
授權白名單
病毒可能通過受感染的USB存儲設備或拇指驅動器進入系統�����,阻止IP KVM接收器上USB 2.0設備的操作是防止此類入侵的一種方法�����。這通常是在產品層級完成的�,其中IP KVM擴展器僅允許連接到USB HID設備(例如鍵盤和鼠標),并阻止所有USB 2.0事務。對于需要USB 2.0支持的應用程序,高性能IP KVM擴展器使管理員能夠將授權的USB 2.0設備列入白名單并保護系統免受攻擊。
網絡細分
網絡由各種類型的設備組成��,包括計算機�����、服務器�����、IP KVM發送器和接收器設備等�。每個設備具有不同的功能,并以不同的分類級別傳輸或處理信息��。網絡基礎架構將所有這些設備或節點綁定在一起�,如果一個節點被感染,攻擊很容易傳播到整個網絡。
分段按功能劃分網絡��,其中每個功能都有不同的安全要求���,按功能分段可防止攻擊者在網絡中自由移動并進一步傳播攻擊�。通過創建虛擬LAN(VLAN)和防火墻,可以按功能或流量類型在邏輯上對網絡進行分段-例如���,KVM流量可以與數據流量位于不同的VLAN上。通過物理隔離網絡并為每個功能使用完全獨立的基礎結構�,可以實現更嚴格的安全控制�。這意味著為KVM網絡擁有一組單獨的服務器�,交換機和路由器。
在關鍵應用比如軍事�����、金融�、能源和公用事業市場中,氣密網絡是一種常見的做法�����,其中KVM網絡未連接到公共Internet或不安全的LAN����。使用光纖電纜路由網絡也帶來了另一層安全性���。與CAT5相比��,光纜更難監聽,并且支持更長的距離��,從而最大程度地減少了連接點和潛在的攻擊點。
與IT安全策略保持一致
雖然在保護網絡安全方面�����,知識和負責任的部署工作無可替代,但具有關鍵安全功能的IPKVM擴展器有助于與企業的IT安全策略和程序保持一致�����。正確的IP KVM擴展和交換解決方案與傳統的矩陣KVM交換解決方案具有同等甚至更高的安全性。