分类: 网络与安全
2009-04-03 19:00:58
管理网络的第一步是完成正确无误和完整的 网络文档。文档化网络将减少诸如更新、用户问题和灾难恢复等问题的管理时间。网络一般有四个部分必须文档化:LAN软件、LAN硬件、网络结构图和用户名 (ID号)以及网络号。所有文档都必须保存在安全的地方。同时必须保证有一个安全策略并指派人员专门负责文档的更新和正确无误。
文档化网络
1.取得或画出建筑图/平面图。
2.取得或画出物理网络图。
3.取得或画出逻辑网络图。(软件包可以查找和记录所有硬件信息。)
4.硬件信息必须包含制造、序列号、端口数以及MAC和NIC码。
5.查找和记录所有配置、协议和DNS信息。
6.打印配置文件副本,并将这些副本保留在可移动磁盘。
7.文件化特定软件配置。
8.查找和记录所有公司联系信息和供应商信息。
9.为所有可适用网络设备生成和维护设备日志表。
10.生成和维护网络标签方案。标签不要基于用户名记录。
11.生成和维护过程文档。
12.生成和维护计算机和网络可接受使用政策。
13.生成和维护计算机和网络安全性政策。
14.生成和维护灾难恢复计划。
15.调度更新和维护常规基本项目。
16.决不能向非授权的其他人共享这些文档!
更多内容请参考。
网络图
的确,文档化网络并不是一个听起来最让人兴奋的打发时间的方式。它涉及创建一个图,并通常是通过一个文档工具,如Visio 或LanFlow完成,这个图演示了服务器、路由器和交换机是如何连接的,逻辑地或物理地。
然而,一个全面的网络文档是极为重要的。它除了可以作为网络设计图,它也有助于我们记住我们对网络做了什么以及很重要的一点,为什么这么做。这将让网络维护和问题修复过程更容易和顺利。Tom Lancaster在本文中还提供了建图示例。
网络布线文档
想 象这些情景:不用切断一个正确的网线,而实际上只需要将一个连接到重要服务器上的网线断开,就能把一个快速且简单的网络完全毁坏。安全性审计要求文档化传 输敏感信息的网线的物理路径以及可连接这些网线的人。但是,所有连接的网线位置文档和所有终端身份都过期了。更详细的内容请阅读David B. Jacobs的关于“网络布线文档”的文章。
更多内容请下载并参考。
网络审计
网 络审计是一个很花费时间的工作。然而,很可能有人已经在给我们找麻烦了,并且他正在扫描我们网络的脆弱点以便进行攻击。他也可能是我们组织中的某个 人;FBI统计显示超过60%的计算机罪犯都是企业内部人员。因此,记住,最有效的进攻是最好的防守,并且只有当我们知道网络的弱点在哪里,我们才可以进 行有效的防御。
在 开始网络服务审计之前,我们必须先整理出网络资源清单。这个清单包括收集所有网络节点的主机验证信息,如IP地址、网络接口硬件(NIC)地址和DNS。 在大多数环境下,有些信息都已经是现成的,但是它们也往往会有错误。在大多数情况下,NIC信息和MAC地址也都不会被记录。
即使我们有了以上的信息,我们还是最好将整理资源清单和验证这些信息作为审计的第一步。它将为我们描绘一个全面的网络环境结构图,此外,它还将显示必须清除的问题。
执行网络审计
1.邀请外部供应商来管理和审计。这样,它可以确保结果不会有偏袒或不公平,同时这还增加结果对于高级管理部门的可信度。确保供应商或承包商至少要涉及下面列举的项目。寻找能够完成审计的供应商,并检查它的履历,以及之前审计过的公司的推荐资料。确保满足审计的要求。
2.强烈建议在执行外部审计之前先进行内部审计,这样我们可以进行结果比较。
3.建立和文档化所有网络组件的性能基线。
4.检查、文档化和分析互联网、内网和网络资源控制。
5.检查和文档化所有网络连接、客户/服务器、LAN、WAN等等。
6.检查和文档化网络操作和管理、负荷/流量管理和问题报告及解决的控制。
7.检查和访问网络段,并标识和审计内部防火墙。
8.检查和访问一个失效分析端。关键设备是如何影响网络的?备份已经创建好了吗?
9.做好风险率评估,开发和实现一个风险消减计划。
10.检查和文档化所有位置上需要的/具备的软件许可。
11.验证和记录所有安装软件。删除所有非授权软件,并通过硬件和软件的安全配置以阻止以后的下载或安装。
