我正在评估一个(相当大)网络的安全性。这里有几千台交换机、几百台路由器、几百个接入点、几十台防火墙、IPS 等等。PC 和服务器的数量更是数不胜数。
我已经向网络负责人(不是实际管理员)索要网络地图数周,并在 PPT 上得到了一些非常高级的图纸和一些网络段的 2 级可视化。我必须从配置文件和未覆盖整个网络的监控工具中找出安全元素的位置。
我一直被告知,一名优秀的管理员需要及时更新其领域(即服务器、网络或任何支付给管理员的资源)的文档。当我还是一名管理员时,我尝试按照这条规则工作。
因此,现在,这些负责人告诉我,保存包含一些 3 级细节、基本安全元素、有关 IP 寻址和定义的 VLAN 的额外文档的网络地图对他们来说信息太多,无法保持更新,所以他们决定不生成这些文档,而是依靠个人知识和部分覆盖网络的监控工具。
我个人认为,即使网络规模如此之大,这些也只是一堆借口,因为他们花了数周时间才确定关键信息。尽管如此,我还是想从社区中了解这些文档在以下方面如何发挥作用:- 正常业务管理。- 网络中断等技术事件。- 安全事件。
我从来没有管理过如此规模的网络,所以我可能是错的,而负责人的观点可能是正确的,所以,如果您这么认为,您能否给出实际的例子,说明如何记录真正大型的网络以确保管理员的理智和效率?
哪些可以成为最新网络地图的有效替代品?
答案1
这是一个非常有趣的话题,几年前我遇到过类似的问题,一家在世界各地设有数据中心的大公司,其大部分数据都是面向公司的,并且存储在私人网络上。
但就目前的话题而言,大多数大型网络都需要网络工程师和网络管理员。网络工程师和网络管理员负责及时构建和运行网络。工程师和管理员的一些功能和要求是相同的,但他们的大多数功能非常不同。网络工程师负责网络的设计和物理构建,这包括放置所有物理设备,例如路由器、通信交换机以及用于连接设备的所有电缆和电线。话虽如此,我相信组建这个数据中心的工程师应该设计蓝图,其中包含每个设备和每条电线的位置,当系统需要更改时,应该由网络工程师创建更改并记录此更改,即使它已经传给了网络管理员来完成更改,否则您将遇到每个人都按照自己想要的方式设置数据中心部分的情况。公司必须制定每个人都必须遵守的准则。
在很多情况下,在周末或夜班,一些管理员必须更改一些东西以使系统从故障中恢复,但这也必须记录下来。
大多数大型公司都有需要遵循的政策和程序,通常会有一个人直接负责 CIO,但归根结底,CIO 真正要对他所在部门的工作负责。一些公司现在设有认证信息系统安全专家的职位。此人不为 IT 部门工作,但负责向董事会或 CEO 报告任何安全问题,如果不完全了解他面前的网络,他将无法完成任务,董事会将追究责任。