參照大型網絡.,我認爲安全七分管理,三分技術,內部安全遠比外部的重要,拋開網絡所在組織的性質來說,重要程度的排序: 網絡結構的安全構架---重要主機[如服務器]的安全配置-------物理上的安全------程序軟件的安全-----根據組織性質把WEB,,數據庫,不同子網內的資產劃分不同的安全等級,根據不同資產所需面臨的風險劃分不同的等級。
當然了,安全不可能你能保證100%的安全。那麼你管理的旗下資源能接受的風險程度的底線在哪?出現威脅時你應該怎麼做,這麼最好都要詳細的制定響應策略。
管理上也是至關重要的,管理上不是說說而談就能做好的。 難!難!
組織內人員水平不等,如果是IT性質組織可能還說,本人見識過一個2000多號人的組織,其管理水平只在於裝個GHOST. ….. 說出來可能大家不相信,但是事實如此. 對造大家平時玩玩黑,大家認爲一個接受過系統學習的管理員,認真的對待自己所管理的網絡.。你能輕鬆的搞定***這個網絡麼??至少在沒有0DAY的情況下,己肯定是辦不到的。
撤遠了….. 其實白色的網絡技術和黑色的網絡是互通的.。除非是精,否則是不難的!!!!
下面我談談要不管理一個網絡我會怎麼做, 從簡單的來說如下:
首先合理構架一個網絡,可以先劃出拓撲。再虛擬的模擬一下運行的情況. 然後根據組織需要購買設備,合理放置重要主機------ 加固系統 PS: 應用服務器 如WEB 千萬別爲省事丟在防火牆外面…. 那麼… 後果很嚴重!!!! DMZ一定要有的,可能的話部署多宿主.
避免內部人員和***者繞過防火牆
***檢測系統肯定是不能少的,配合防火牆效果絕對不是1+1=2. 無論你部署的是基於主機還是基於網絡的.重要主機上的審覈也是絕對不能少的,軟件上的選擇一定要選擇經過大衆測試的版本不要爲了好奇,省事隨便選擇。
如果是我,在組織安全要求不高的情況下我會選擇RED HAT 系統,不論是爲了方便還是爲了安全。LINUX你裝完的時候他就集成了很多服務。沒有多餘的麻煩—接下來加固系統-禁止一切不需要的服務。不得不說LINUX 2.4以上的 提供是IPTABLES的主機防火牆是個很完美的東西。
定期對系統進行完整性檢測, 日誌和一些程序一定要設置好訪問權限. 數據庫和日誌的根據所需要防範的威脅,採用不同的異地備份..在防範病毒上網絡版的殺軟也是不可少的.
總結出: 合理安全地設計網絡 , 安全的配置系統, 合理的權限分配, 備份和數據恢復的機制, 響應的策略.
在管理上: 制定根據不同層次人員的詳細策略, 策略的執行情況,. 當然了我的策略影響到你的工作效率你肯定不會執行了. 可以在安全和效率之間折中制定適合的策略.
說起來簡單,在實際中真的是難上加難, 可能你敲錯的一條命令會造成網絡的失陷., 內部人員的失誤和惡意都可能會造安全上的問題.