網(wǎng)絡(luò)安全系統(tǒng)是一個相對完整的安全保障體系。那么這些安全保障措施具體包括哪些,又如何體現(xiàn)呢?這可以從OSI/RM的7層網(wǎng)絡(luò)結(jié)構(gòu)來一一分析。因為計算機的網(wǎng)絡(luò)通信,都離不開OSIR/RM的這7層(注意,并不是所有計算機網(wǎng)絡(luò)通信都需要經(jīng)過完整的7層)。當然,網(wǎng)絡(luò)安全系統(tǒng)又不僅體現(xiàn)在OSI/RM的7層結(jié)構(gòu)中,因為安全風(fēng)險還可以不是在計算機網(wǎng)絡(luò)通信過程中產(chǎn)生的,如我們的操作系統(tǒng)(是屬于系統(tǒng)層的)、應(yīng)用軟件、用戶賬戶信息的保護、數(shù)據(jù)的容災(zāi)和備份,以及機房的管理等。
針對上節(jié)介紹的這幾類主要安全隱患類型,我們所采取的安全策略最常見的就包括:
n 安裝專業(yè)的網(wǎng)絡(luò)版病毒防護系統(tǒng)(目前通常都已包括木馬、惡意軟件的檢測和清除功能),當然也要加強內(nèi)部網(wǎng)絡(luò)的安全管理,因為這些也可以通過內(nèi)部網(wǎng)絡(luò)進行傳播的;
n 配置好防火墻、路由器過濾策略和系統(tǒng)本身的各項安全措施(如針對各類攻擊所進行的通信協(xié)議安全配置);
n 及時安裝操作系統(tǒng)、應(yīng)用軟件的安全漏洞補丁,盡可能地堵住操作系統(tǒng)、應(yīng)用軟件本身所帶來的安全漏洞;
計算機基礎(chǔ)知識
n 有條件的用戶還可在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)嗅探器(Sniffer)、入侵檢測(IDS)和入侵防御(IPS)系統(tǒng),以便及時發(fā)現(xiàn)和阻止來自各方面的攻擊;
n 配置網(wǎng)絡(luò)安全隔離系統(tǒng),對內(nèi)、外網(wǎng)絡(luò)進行安全隔離;加強內(nèi)部網(wǎng)絡(luò)安全管理,嚴格實行“最小權(quán)限”原則,為各用戶配置好恰當?shù)挠脩魴?quán)利和權(quán)限;同時對一些敏感數(shù)據(jù)進行加密保護,對發(fā)出去的數(shù)據(jù)還可采取數(shù)字簽名措施;
n 根據(jù)企業(yè)實際需要配置好相應(yīng)的數(shù)據(jù)容易策略,并按策略認真執(zhí)行。
以上具體安全措施將在本書后章中體現(xiàn)。但總體來說,一個完善的網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括計算機網(wǎng)絡(luò)通信過程中針對OSI/RM的全部層次安全保護和系統(tǒng)層的安全保護,如-1所示。系統(tǒng)層次的安全保護主要包括操作系統(tǒng)、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等的安全保護。這樣就可以構(gòu)成一個立體的多層次、全方位的安全保護體系。
-1 網(wǎng)絡(luò)安全系統(tǒng)的基本組成
OSI/RM各個層次的安全保護就是為了預(yù)防非法入侵、非法訪問、病毒感染和黑客攻擊。而非計算機網(wǎng)絡(luò)通信過程中的安全保護則是為了預(yù)防網(wǎng)絡(luò)的物理癱瘓和網(wǎng)絡(luò)數(shù)據(jù)損壞。
【注意】并不是所有計算機網(wǎng)絡(luò)通信都需要對OSI/RM的所有7層采取安全保護措施,因為有些計算機網(wǎng)絡(luò)中只有其中的少數(shù)幾層,如同一個局域網(wǎng)內(nèi)部的通信僅物理層和數(shù)據(jù)鏈路層兩層,在TCP/IP網(wǎng)絡(luò)中,又可以把OSI/RM參考模型中的“會話層”、“表示層”和“應(yīng)用層”合并在一個TCP/IP參考模型中的“應(yīng)用層”,不必一層層采取單獨的安全保護措施。
總的來說,網(wǎng)絡(luò)安全系統(tǒng)的防護策略中應(yīng)包括以下四大方面:
n 計算機病毒、木馬、惡意軟件的清除與預(yù)防
這個很常見,大家也很容易理解。主要措施就是安裝各類專業(yè)的計算機病毒、木馬和惡意軟件防護系統(tǒng),有單機版,也有網(wǎng)絡(luò)版,在企業(yè)網(wǎng)絡(luò)中,通常是采用網(wǎng)絡(luò)版的。
n 黑客攻擊的攔截與預(yù)防
網(wǎng)絡(luò)安全威脅中絕大部分是來自黑客攻擊的,因為它帶來的后果可能非常大,也可能是毀滅性的。別看“攻擊”就這兩個字,現(xiàn)在的“攻擊”可不再是那么簡單了,可以針對OSI/RM的所有7層進行,還可以針對所有應(yīng)用軟件和網(wǎng)絡(luò)設(shè)備進行,可以說攻擊風(fēng)險無處不在,防不勝防。
n 物理損壞的阻止與預(yù)防
這主要包括正常情況下的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路故障,以及非正常情況下,一些別有用心的用戶對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路的故意破壞,這通常是由于管理不善造成的。
n 數(shù)據(jù)保護
這是網(wǎng)絡(luò)安全的最后防線,網(wǎng)絡(luò)可以癱瘓,可以重建,但數(shù)據(jù)不能損壞,不能丟失,因為數(shù)據(jù)無法重新人為得到。單位的網(wǎng)絡(luò)數(shù)據(jù)有時關(guān)系著企業(yè)的發(fā)展和存亡。
以上這四個方面(當然具體涉及到非常多的安全技術(shù)和防護方案)就構(gòu)成了一個完善的網(wǎng)絡(luò)安全系統(tǒng)。OSI/RM參考模型中各層可采取的安全措施如-2所示,各層的安全保護分析將在下節(jié)分析。當然,這里顯示的不可能是所有可以采用的安全保護方案的匯總,而僅提供一個基本防護方向,具體的安全保護方案不僅非常之多,而且還會不斷發(fā)生變化,不斷有新的可行安全保護方案的出現(xiàn)。各層所用的主要安全技術(shù)、產(chǎn)品和方案將在本書后面各章具體介紹。
下一條:軟盤的維護與保養(yǎng)
上海廣樂網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號盛銀大廈E棟 13151091625
