对大学计算机科学部门的安全负责根本就没有乐趣。 我解释说:通常情况下,我要求安装新的硬件系统或软件系统,这些系统或软件系统是非常实验性的,我甚至不敢把它们放在非军事区。 如果我可以避免它,并强制安装在一个有限的VLAN内,但是有时候我会得到需要访问外部世界的请求。 实际上,让这样的系统进入testing目的的世界是有意义的。
这是最新的要求:使用SIP的新开发系统正处于开发的最后阶段。 这个系统将能够与外部用户进行沟通(这就是它的目的和研究scheme),实际上医院的病人对技术的了解并不那么清楚。 所以把它开放给世界其他地方是有道理的。 我正在寻找的是那些需要处理这种高度实验性系统的经验的人,这些系统需要广泛的外部networking访问。 如何保证networking和系统的其他部分免受这个安全噩梦的影响而又不妨碍研究? 足够安置在DMZ中吗? 任何额外的预防措施? 任何其他选项,方法?
这完全取决于所讨论的“实验系统” – 安全并不是一个盒子,它需要为每个特定的站点,场景和应用程序定制。
如果你谈论的是由学生写的东西(因为对零安全性的实际掌握而臭名昭着),我想说每个项目都需要被分离到自己的世界里。
这意味着:
APP层, DBI层和DB层的东西,理论上可以将其分成三个内部networking。 APP可以和DBI交谈, DBI可以和DB交谈,但是除非DBI处理请求,否则APP不能和DB交谈。 如果您使用的是良好的思科硬件,这并不难(对于独立的防火墙,一些基本的VLAN以及将路由器放入每个子网的FWSM“PIX刀片”)。
一般最佳实践显然也适用 – 你应该有一切logging(什么需要打开,为什么?什么特殊的networkingconfiguration(如果有的话)被应用?等等),如果你有一个IDS / IPS的地方,你应该看看以确保涵盖这些隔离环境的方法。
不知道你的政策或监pipe要求,我们不能告诉你什么是“足够的”。 一个适当的防火墙和监控子网通常就足够了,只要你
一路划分。 为其创build一个新的DMZ,将其视为所有其他networking,DMZ等的外部networking。
在大学环境下,研究和testing可能比安全性更高的领域有很多。 把这些情况作为随机的互联网主机来处理,可能是你可以做的最好的隔离。 把IDS放到你创build的任何一个孤立的网段上也是明智的做法。
我当然会考虑投资某种入侵检测系统。 唯一的问题是这是一个雷区,一些公司推他们的产品。 与一家有信誉的,与供应商无关的安全公司说话。 我与NGS Secure(NCC集团的一部分)进行了非常积极的交stream。
我也考虑虚拟化您的testing实验室,让您能够创build多个虚拟networking,每个虚拟networking绑定到一个给定的VLAN。 这里最大的好处是可以从任何潜在的攻击中恢复(定期虚拟机快照,提供多个时间点恢复点)。