基于网络控制：保护物联网

企业网络正涌现越来越多的“智能”设备和工业传感器，但如果没有部署反恶意软件，或者集中配置管理，企业将很难保证端点安全性。很多设备（例如智能电表或监控系统中使用的数字视频录像机）没有连接到企业访问控制或库存系统和修复机制。因此，企业必须想办法保护物联网（IoT）和BYOD设备，他们可以利用基于网络的控制，这种控制可以扩展且可通过现有工具进行集中管理。

对于数据安全和风险管理，执行库存控制的政策和技术非常重要。同时，动态主机配置协议（DHCP）可以有效管理大多数联网设备，DHCP是用于自动化IP参数的网络协议。除分发IP地址和DNS设置外，DHCP还可以做很多工作，但它对附加功能的支持参差不齐。在某些情况下，固件更新和配置可以发送到设备，而DHCP是通知这些文件的位置的关键。

DHCP日志和租约文件也可以提供相当不错的库存管理。部署库存控制政策的常用技术是,限制DHCP到已知设备，或使用它来分离新设备到子网。DHCP服务器配置应该始终绑定回IP地址管理和库存控制系统。图1显示了DHCP日志的样本，其中包括请求地址的设备的名称。

DHCP日志

DHCPREQUEST for 192.0.2.1 from 00:24:e4:dd:ee:ff (WSD-5CA8) via re1
DHCPREQUEST for 192.0.2.2 from 24:a4:3c:aa:bb:cc (unifac) via re1_vlan2
DHCPREQUEST for 192.0.2.3 from 70:3e:ac:11:22:33 (iPhone) via re1

除了DHCP日志，与使用IP的其他计算机系统一样，设备需要DNS进行IP地址管理。虽然DNS出现的部分原因是让人们不必记住IP地址；而对于设备而言，DNS在于允许制造商保留API的静态主机名，API会解析到不同或多个IP地址。DNS请求可以用来协助盘点设备—这些查询可以指示设备的类型以及如何使用。