[dmitryst]

Цитата kim-aa:

Развертывание OpenSource сервиса сертфикатов (PKI) корпоративного уровня это особо утонченное садо-мазо »

оно самое. Но остаются еще рядовые сотрудники, которым ничего не стОит принести конягу на флешке, и по боку вся авторизация. Моё мнение - сервис не должен иметь связи с локальной сетью, либо только через vlan с рабочей машиной администратора. Это ограничит доступ (и как следствие, атаки) с локальных рабочих мест, и даст возможность сосредоточиться только на внешней безопасности. Snort + Unix отсекут еще процентов 60 атакующих ("скрипт-кидди"), а остальных всё равно придется ловить руками. Тут, я думаю, каждый сам выбирает оружие