最近在整理公司内部 IT 基础设施和信息安全建设的一些经验,发现中小公司从 0 到 1 做这套东西,坑真的不少。
我目前接触比较多的是这些方向:
-
基础网络规划:出口、防火墙、核心交换、VLAN、ACL
-
AD 域控:加域、账号规范、权限分组、GPO
-
终端管理:资产编号、系统版本、软件基线
-
监控体系:Zabbix / Prometheus / Grafana
-
安全建设:防火墙策略、账号权限、日志审计、VPN / 远程访问
-
跨地区访问:国内、香港、台湾、美国之间链路稳定性和访问体验
目前我的感受是:
很多公司 IT 问题不是"技术做不了",而是前期没有规范,后面越补越痛苦。
比如几个比较典型的坑:
-
账号体系一开始没规划好
员工账号、邮箱、域账号、工号、资产没有统一关系,后期权限回收和离职处理很麻烦。 -
网络没有分区意识
办公网、服务器区、访客网、测试设备、监控设备全混在一起,排障和安全控制都很难做。 -
防火墙策略只加不减
临时放行越来越多,最后没人知道哪条策略还能不能删。 -
监控只监"活着没",不监"质量好不好"
Ping 通不代表业务正常。链路延迟、丢包、磁盘 IO、证书过期、服务端口、日志异常这些更容易被忽略。 -
终端资产管理滞后
电脑是谁的、什么系统、有没有加域、有没有安装安全软件、有没有本地管理员权限,很多时候靠 Excel 人肉维护。 -
权限回收没有流程
入职很重视,离职和转岗反而容易漏。尤其是 VPN、NAS、Git、云平台、各种后台账号。 -
文档缺失
出问题时才发现,网络拓扑、账号规范、IP 地址规划、防火墙策略说明都没人维护。
我现在比较倾向于把 IT 基础设施分成几层来做:
-
第一层:网络和出口稳定
-
第二层:账号体系统一
-
第三层:终端和资产可管理
-
第四层:监控和告警可见
-
第五层:安全策略和审计闭环
-
第六层:文档和流程沉淀
想听听各位大佬的经验:
-
中小公司 IT 建设,你们觉得最应该优先做哪一块?
-
AD 域控、终端管理、资产管理这几块,有没有比较推荐的实践?
-
防火墙策略、VPN、远程访问这类东西,怎么避免后期变成"历史包袱"?
-
有没有什么你们踩过一次之后,再也不想踩第二次的坑?
如果大家感兴趣,我后面可以继续整理一版:
-
AD 加域推进表模板
-
中小企业 VLAN / ACL 规划思路
-
Prometheus + Grafana 监控实践
-
防火墙策略整理方法
-
离职账号权限回收清单
欢迎补充,也想看看不同公司的真实做法。
2 个帖子 - 2 位参与者