網絡安全系統的基本組成

如下內容摘自業界惟一一本真正從全局視角介紹網絡安全系統設計的圖書——《網絡工程師必讀——網絡安全系統設計》一書。目前該書在卓越網上僅須要72折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&uid=479-8465001-9671654&prodid=bkbk975360

1.1.4 網絡安全系統的基本組成

上節介紹到了，網絡安全系統是一個相對完整的安全保障體系。那麼這些安全保障措施具體包括哪些，又如何體現呢？這能夠從OSI/RM的7層網絡結構來一一分析。由於計算機的網絡通訊，都離不開OSIR/RM的這7層（注意，並非全部計算機網絡通訊都須要通過完整的7層）。固然，網絡安全系統又不只體如今OSI/RM的7層結構中，由於安全風險還能夠不是在計算機網絡通訊過程當中產生的，如咱們的操做系統（是屬於系統層的）、應用軟件、用戶帳戶信息的保護、數據的容災和備份，以及機房的管理等。

針對上節介紹的這幾類主要安全隱患類型，咱們所採起的安全策略最多見的就包括：

n 安裝專業的網絡版病毒防禦系統（目前一般都已包括***、惡意軟件的檢測和清除功能），固然也要增強內部網絡的安全管理，由於這些也能夠經過內部網絡進行傳播的；

n 配置好防火牆、路由器過濾策略和系統自己的各項安全措施（如針對各種***所進行的通訊協議安全配置）；

n 及時安裝操做系統、應用軟件的安全漏洞補丁，儘量地堵住操做系統、應用軟件自己所帶來的安全漏洞；

n 有條件的用戶還可在內、外網之間安裝網絡掃描檢測、網絡嗅探器（Sniffer）、***檢測（IDS）和***防護（IPS）系統，以便及時發現和阻止來自各方面的***；

n 配置網絡安全隔離系統，對內、外網絡進行安全隔離；增強內部網絡安全管理，嚴格實行「最小權限」原則，爲各用戶配置好恰當的用戶權利和權限；同時對一些敏感數據進行加密保護，對發出去的數據還可採起數字簽名措施；

n 根據企業實際須要配置好相應的數據容易策略，並按策略認真執行。

以上具體安全措施將在本書後章中體現。但整體來講，一個完善的網絡安全系統應該包括計算機網絡通訊過程當中針對OSI/RM的所有層次安全保護和系統層的安全保護，如圖1-1所示。系統層次的安全保護主要包括操做系統、應用服務器和數據庫服務器等的安全保護。這樣就能夠構成一個立體的多層次、全方位的安全保護體系。

圖1-1 網絡安全系統的基本組成

OSI/RM各個層次的安全保護就是爲了預防非法***、非法訪問、病毒感染和******。而非計算機網絡通訊過程當中的安全保護則是爲了預防網絡的物理癱瘓和網絡數據損壞。

【注意】並非全部計算機網絡通訊都須要對OSI/RM的全部7層採起安全保護措施，由於有些計算機網絡中只有其中的少數幾層，如同一個局域網內部的通訊僅物理層和數據鏈路層兩層，在TCP/IP網絡中，又能夠把OSI/RM參考模型中的「會話層」、「表示層」和「應用層」合併在一個TCP/IP參考模型中的「應用層」，沒必要一層層採起單獨的安全保護措施。

總的來講，網絡安全系統的防禦策略中應包括如下四大方面：

n 計算機病毒、***、惡意軟件的清除與預防

這個很常見，你們也很容易理解。主要措施就是安裝各種專業的計算機病毒、***和惡意軟件防禦系統，有單機版，也有網絡版，在企業網絡中，一般是採用網絡版的。

n ******的攔截與預防

網絡安全威脅中絕大部分是來自******的，由於它帶來的後果可能很是大，也多是毀滅性的。別看「***」就這兩個字，如今的「***」可再也不是那麼簡單了，能夠針對OSI/RM的全部7層進行，還能夠針對全部應用軟件和網絡設備進行，能夠說***風險無處不在，防不勝防。

n 物理損壞的阻止與預防

這主要包括正常狀況下的網絡設備和網絡線路故障，以及非正常狀況下，一些別有用心的用戶對網絡設備和網絡線路的故意破壞，這一般是因爲管理不善形成的。

n 數據保護

這是網絡安全的最後防線，網絡能夠癱瘓，能夠重建，但數據不能損壞，不能丟失，由於數據沒法從新人爲獲得。單位的網絡數據有時關係着企業的發展和存亡。

以上這四個方面（固然具體涉及到很是多的安全技術和防禦方案）就構成了一個完善的網絡安全系統。OSI/RM參考模型中各層可採起的安全措施如圖1-2所示，各層的安全保護分析將在下節分析。固然，這裏顯示的不多是全部能夠採用的安全保護方案的彙總，而僅提供一個基本防禦方向，具體的安全保護方案不只很是之多，並且還會不斷髮生變化，不斷有新的可行安全保護方案的出現。各層所用的主要安全技術、產品和方案將在本書後面各章具體介紹。

圖1-2 OSI/RM參考模型各層可採起的安全保護措施