|
|
我对安全的见解和部署
我的文笔很烂,大家别砸我!!
参照大型网络. 我认为安全 七分管理,三分技术.内部安全远比外部的重要
抛开网络所在组织的性质来说,重要程度的排序: 网络结构的安全构架---重要主机[如服
务器]的安全配置-------物理上的安全------程序软件的安全-----根据组织性质把 WEB, 数据
库, 不同子网内的资产 划分不同的安全等级,根据不同资产所需面临的风险划分不同的等级.
当然了,安全不可能你能保证100%的安全. 那么你管理的旗下资源能接受的风险程度的底
线在哪? 出现威胁时你应该怎么做,这么最好都要详细的制定响应策略.
管理上也是至关重要的,管理上不是说说而谈就能做好的. 难 ! 难!
组织内人员水平不等,如果是IT性质组织可能还说,本人见识过一个2000多号人的组织,其管
理水平只在于装个GHOST. ….. 说出来可能大家不相信,但是事实如此. 对造大家平时玩玩
黑, 大家认为一个接受过系统学习的管理员,认真的对待自己所管理的网络. 你能轻松的搞
定渗透这个网络么? 至少在没有0DAY的情况下,我自己肯定是办不到的.
撤远了….. 其实白色的网络技术和黑色的网络是互通的. 除非是精,否则是不难的!!!!
下面我谈谈要不管理一个网络我会怎么做, 从简单的来说如下:
首先合理构架一个网络,可以先划出拓扑.再虚拟的模拟一下运行的情况. 然后根据组织
需要购买设备 合理放置重要主机------ 加固系统 PS: 应用服务器 如WEB 千万别为省
事丢在防
火墙外面…. 那么… 后果很严重!!!! DMZ一定要有的,可能的话部署多宿主.
避免内部人员和入侵者绕过防火墙
入侵检测系统肯定是不能少的,配合防火墙 效果绝对不是1+1=2. 无论你部署的是基于
主机还是基于网络的.
重要主机上的审核也是绝对不能少的., 软件上的选择一定要选择经过大众测试的版
本 不要为了好奇,省事随便选择.
如果是我,在组织安全要求不高的情况下 我会选择RED HAT 系统 ,不论是为了方便
还是为了安全. LINUX你装完的时候他就集成了很多服务.没有多余的麻烦—接下来加
固系统-禁止一切不需要的服务. 不得不说LINUX 2.4以上的 提供是IPTABLES的主
机防火墙是个很完美的东西.
定期对系统进行完整性检测, 日志和一些程序一定要设置好访问权限. 数据库和日志的根
据所需要防范的威胁,采用不同的异地备份..
在防范病毒上网络版的杀软也是不可少的.
总结出: 合理安全地设计网络 , 安全的配置系统, 合理的权限分配, 备份和数据恢复
的机制, 响应的策略.
在管理上: 制定根据不同层次人员的详细策略, 策略的执行情况,. 当然了我的策略影
响到你的工作效率你肯定不会执行了. 可以在安全和效率之间折中制定适合的策略.
说起来简单,在实际中真的是难上加难, 可能你敲错的一条命令会造成网络的失陷., 内部人员的失误和恶意都可能会造安全上的问题.
一点见解大家见笑了 |
|
发表于 2009-5-21 15:21:47