参照大型网络.,我认为安全七分管理,三分技术,内部安全远比外部的重要,抛开网络所在组织的性质来说,重要程度的排序: 网络结构的安全构架---重要主机[如服务器]的安全配置-------物理上的安全------程序软件的安全-----根据组织性质把WEB,,数据库,不同子网内的资产划分不同的安全等级,根据不同资产所需面临的风险划分不同的等级。
当然了,安全不可能你能保证100%的安全。那么你管理的旗下资源能接受的风险程度的底线在哪?出现威胁时你应该怎么做,这么最好都要详细的制定响应策略。
管理上也是至关重要的,管理上不是说说而谈就能做好的。 难!难!
组织内人员水平不等,如果是IT性质组织可能还说,本人见识过一个2000多号人的组织,其管理水平只在于装个GHOST. ….. 说出来可能大家不相信,但是事实如此. 对造大家平时玩玩黑,大家认为一个接受过系统学习的管理员,认真的对待自己所管理的网络.。你能轻松的搞定***这个网络么??至少在没有0DAY的情况下,己肯定是办不到的。
撤远了….. 其实白色的网络技术和黑色的网络是互通的.。除非是精,否则是不难的!!!!
下面我谈谈要不管理一个网络我会怎么做, 从简单的来说如下:
首先合理构架一个网络,可以先划出拓扑。再虚拟的模拟一下运行的情况. 然后根据组织需要购买设备,合理放置重要主机------ 加固系统 PS: 应用服务器 如WEB 千万别为省事丢在防火墙外面…. 那么… 后果很严重!!!! DMZ一定要有的,可能的话部署多宿主.
避免内部人员和***者绕过防火墙
***检测系统肯定是不能少的,配合防火墙效果绝对不是1+1=2. 无论你部署的是基于主机还是基于网络的.重要主机上的审核也是绝对不能少的,软件上的选择一定要选择经过大众测试的版本不要为了好奇,省事随便选择。
如果是我,在组织安全要求不高的情况下我会选择RED HAT 系统,不论是为了方便还是为了安全。LINUX你装完的时候他就集成了很多服务。没有多余的麻烦—接下来加固系统-禁止一切不需要的服务。不得不说LINUX 2.4以上的 提供是IPTABLES的主机防火墙是个很完美的东西。
定期对系统进行完整性检测, 日志和一些程序一定要设置好访问权限. 数据库和日志的根据所需要防范的威胁,采用不同的异地备份..在防范病毒上网络版的杀软也是不可少的.
总结出: 合理安全地设计网络 , 安全的配置系统, 合理的权限分配, 备份和数据恢复的机制, 响应的策略.
在管理上: 制定根据不同层次人员的详细策略, 策略的执行情况,. 当然了我的策略影响到你的工作效率你肯定不会执行了. 可以在安全和效率之间折中制定适合的策略.
说起来简单,在实际中真的是难上加难, 可能你敲错的一条命令会造成网络的失陷., 内部人员的失误和恶意都可能会造安全上的问题.