網路安全系統的基本組成

以下內容摘自業界唯一一本真正從全域性視角介紹網路安全系統設計的圖書——《網路工程師必讀——網路安全系統設計》一書。目前該書在卓越網上僅需要72折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&uid=479-8465001-9671654&prodid=bkbk975360

1.1.4 網路安全系統的基本組成

上節介紹到了，網路安全系統是一個相對完整的安全保障體系。那麼這些安全保障措施具體包括哪些，又如何體現呢？這可以從OSI/RM的7層網路結構來一一分析。因為計算機的網路通訊，都離不開OSIR/RM的這7層（注意，並不是所有計算機網路通訊都需要經過完整的7層）。當然，網路安全系統又不僅體現在OSI/RM的7層結構中，因為安全風險還可以不是在計算機網路通訊過程中產生的，如我們的作業系統（是屬於系統層的）、應用軟體、使用者賬戶資訊的保護、資料的容災和備份，以及機房的管理等。

針對上節介紹的這幾類主要安全隱患型別，我們所採取的安全策略最常見的就包括：

n 安裝專業的網路版病毒防護系統（目前通常都已包括木馬、惡意軟體的檢測和清除功能），當然也要加強內部網路的安全管理，因為這些也可以通過內部網路進行傳播的；

n 配置好防火牆、路由器過濾策略和系統本身的各項安全措施（如針對各類攻擊所進行的通訊協議安全配置）；

n 及時安裝作業系統、應用軟體的安全漏洞補丁，儘可能地堵住作業系統、應用軟體本身所帶來的安全漏洞；

n 有條件的使用者還可在內、外網之間安裝網路掃描檢測、網路嗅探器（Sniffer）、入侵檢測（IDS）和入侵防禦（IPS）系統，以便及時發現和阻止來自各方面的攻擊；

n 配置網路安全隔離系統，對內、外網路進行安全隔離；加強內部網路安全管理，嚴格實行“最小許可權”原則，為各使用者配置好恰當的使用者權利和許可權；同時對一些敏感資料進行加密保護，對發出去的資料還可採取數字簽名措施；

n 根據企業實際需要配置好相應的資料容易策略，並按策略認真執行。

以上具體安全措施將在本書後章中體現。但總體來說，一個完善的網路安全系統應該包括計算機網路通訊過程中針對OSI/RM的全部層次安全保護和系統層的安全保護，如圖1-1所示。系統層次的安全保護主要包括作業系統、應用伺服器和資料庫伺服器等的安全保護。這樣就可以構成一個立體的多層次、全方位的安全保護體系。

圖1-1 網路安全系統的基本組成

OSI/RM各個層次的安全保護就是為了預防非法入侵、非法訪問、病毒感染和黑客攻擊。而非計算機網路通訊過程中的安全保護則是為了預防網路的物理癱瘓和網路資料損壞。

【注意】並不是所有計算機網路通訊都需要對OSI/RM的所有7層採取安全保護措施，因為有些計算機網路中只有其中的少數幾層，如同一個區域網內部的通訊僅物理層和資料鏈路層兩層，在TCP/IP網路中，又可以把OSI/RM參考模型中的“會話層”、“表示層”和“應用層”合併在一個TCP/IP參考模型中的“應用層”，不必一層層採取單獨的安全保護措施。

總的來說，網路安全系統的防護策略中應包括以下四大方面：

n 計算機病毒、木馬、惡意軟體的清除與預防

這個很常見，大家也很容易理解。主要措施就是安裝各類專業的計算機病毒、木馬和惡意軟體防護系統，有單機版，也有網路版，在企業網路中，通常是採用網路版的。

n 黑客攻擊的攔截與預防

網路安全威脅中絕大部分是來自黑客攻擊的，因為它帶來的後果可能非常大，也可能是毀滅性的。別看“攻擊”就這兩個字，現在的“攻擊”可不再是那麼簡單了，可以針對OSI/RM的所有7層進行，還可以針對所有應用軟體和網路裝置進行，可以說攻擊風險無處不在，防不勝防。

n 物理損壞的阻止與預防

這主要包括正常情況下的網路裝置和網路線路故障，以及非正常情況下，一些別有用心的使用者對網路裝置和網路線路的故意破壞，這通常是由於管理不善造成的。

n 資料保護

這是網路安全的最後防線，網路可以癱瘓，可以重建，但資料不能損壞，不能丟失，因為資料無法重新人為得到。單位的網路資料有時關係著企業的發展和存亡。

以上這四個方面（當然具體涉及到非常多的安全技術和防護方案）就構成了一個完善的網路安全系統。OSI/RM參考模型中各層可採取的安全措施如圖1-2所示，各層的安全保護分析將在下節分析。當然，這裡顯示的不可能是所有可以採用的安全保護方案的彙總，而僅提供一個基本防護方向，具體的安全保護方案不僅非常之多，而且還會不斷髮生變化，不斷有新的可行安全保護方案的出現。各層所用的主要安全技術、產品和方案將在本書後面各章具體介紹。

圖1-2 OSI/RM參考模型各層可採取的安全保護措施

本文轉自王達部落格51CTO部落格，原文連結http://blog.51cto.com/winda/319463如需轉載請自行聯絡原作者

茶鄉浪子