艾伦·利斯卡的网络安全实践
三年前,我校园区网络的主要网络技术员 95% 的时间都花在安装、配置和调整网络连接的设备上。 如今,他 95% 的时间都花在保护它们的安全上。 网络安全领域广阔,安全是一项艰巨的工作。 要及时了解所有最新发展,更不用说跟踪所有漏洞、补丁、警报、事件和攻击,几乎是不可能的。 因此,艾伦·利斯卡关于当前网络安全实践的书确实值得欢迎。
这本书的核心原则是围绕一系列方面组织安全策略,这些方面在完全实施时可以提供针对攻击者的“多层保护”。 这是一个很好的建议。 利斯卡还反复强调,网络安全必须是整个组织的首要任务,而不仅仅是 IT 部门或网络管理员。 如果没有组织的参与,由此产生的安全策略充其量是次优的,最坏的情况是毫无用处。
在开篇章节中介绍完背景后,利斯卡讨论了围绕既定的安全模型组织您的网络安全实践。 在利斯卡推荐 CERT 的 OCTAVE 作为您入门的模型之前,对 RFC 2196、Cisco 的 SAFE 和 ISO 15048 进行了调查,理由是它提供了最大的灵活性。
然后,利斯卡用一章专门介绍需要保护的各种网络技术。 其中包含与路由器、交换机、身份验证/授权服务、RAS/VPN、无线 WAN/LAN、防火墙、入侵检测系统以及非军事区 (DMZ) 的使用相关的特定材料。 DMZ 章节中的建议写得很好,并且是本书中最好的材料之一。 最长的章节之一涉及服务器安全,随后是关于保护 DNS 和工作站的章节。 本书的后面章节涉及网络安全的管理,包括 SNMP 部署、监控、日志记录和事件报告等主题。
第 15 章介绍了作者的十大安全错误。 这是一个很棒的列表,包括“过度依赖防火墙”和“未能坚持到底”等项目。 如果您可以浏览该列表并声明这些错误都不适用于您的组织,那么您的状态非常好。 如果您不能,您还有一些工作要做。
认为一本关于安全策略的书会忽略细节是合理的,但这本书并非如此。 大多数情况下,利斯卡设法在谈论策略和提供所有重要的细节之间取得适当的平衡。 然而,有时会提供过多或不适当数量的细节。 第 7 章中的 IPSec 数据包格式图尤其如此。
图表的质量本身是我最大的抱怨之一,因为有些图表在文本中引用不正确(第 116-118 页),上面有拼写错误(第 129 页),或者过于简化而没有实际用处(第 125 页)。 有些根本没用,第 132 页上的图表就是一个特别糟糕的例子。 我确实对一些具体的建议有疑问。 例如,我不同意“在所有条件相同的情况下,与静态路由协议相比,与适当的安全预防措施一起使用的动态路由协议将更安全”(第 75 页)。
总的来说,这本书编写得很好,并且是对快速发展的领域的良好总体调查。 如果您是网络安全游戏的新手,或者已经继承了组织网络安全的责任,并且想知道从哪里开始,那么这本书会为您指明正确的方向。 如果您是一位经验丰富的管理员,那么这本书能提供的东西就少了很多。
作为最后的评论,我很高兴地报告利斯卡始终如一地使用术语攻击者来指代坏人,而不是令人困惑的破解者或完全错误的黑客,后者已被大众媒体劫持,并且始终在指代坏人时被错误地使用。 攻击者避免了任何混淆,并且在我看来,是谈论 IT 安全时使用的正确术语。
