分層安全策略是一個很好的主意。在這一點上，大家并沒有分歧。但采用什么樣的分層安全策略才能實現(xiàn)真正有效的安全，這個問題是需要大家進行討論的。實際上，這個問題是需要著眼于實際的網(wǎng)絡(luò)環(huán)境情況，不同類型環(huán)境在需求上的差別也是很大的。

在確保分層安全策略有效時經(jīng)常出現(xiàn)的一種錯誤是將關(guān)注重點放在邊界的安全上。前衛(wèi)的安全專家們聲稱安全是沒有邊界的理論越來越受到追捧，但實際情況是：安全是存在邊界的，但對于安全來說邊界并不是最重要的。分層安全策略需要解決的是系統(tǒng)總體的安全，而不僅僅是邊界的安全。

現(xiàn)在的時代，防火墻已經(jīng)不能有效地保護網(wǎng)絡(luò)中傳輸數(shù)據(jù)的安全了。網(wǎng)絡(luò)已經(jīng)實現(xiàn)的永遠(yuǎn)在線，系統(tǒng)有機的結(jié)合為不可分割的整體，尋找邊界已經(jīng)顯得不那么現(xiàn)實了。這種情況下，從整體度選擇所有的安全措施進行系統(tǒng)保護是一種錯誤的做法。各部門以及不同業(yè)務(wù)用途的網(wǎng)絡(luò)都需要自己的保護措施，甚至需要更進一步的交叉保護。

確保網(wǎng)絡(luò)邊界不受到惡意的滲透是一項不可能完成的任務(wù)。到處游蕩的當(dāng)?shù)厝死霉P記本計算機的無線設(shè)備尋找可以接入的網(wǎng)絡(luò)，其它類型的無線網(wǎng)絡(luò)安全破壞者，類似范·?？斯糁惙欠ㄟM入網(wǎng)絡(luò)資源中的樂趣或者惡意活動(至少在理論上是有可能出現(xiàn)的)，以及員工在進行網(wǎng)絡(luò)連接時沒有注意或者輕視安全方面的要求，這些行為都會繞過傳統(tǒng)的邊界安全措施給網(wǎng)絡(luò)安全帶來威脅。正是基于這方面的原因，采用分層安全策略的時間，應(yīng)該不僅僅關(guān)注與怎樣防止威脅，而且也應(yīng)該提供可以有效處理違規(guī)行為的方法，以便在由于某些原因?qū)е滦畔⑿孤兜臅r間，盡可能保證機密數(shù)據(jù)和設(shè)備的安全。

關(guān)于這方面，最常見的錯誤就是耗費大量時間和精力，采用了各種加密和認(rèn)證措施來保證在邊界以外數(shù)據(jù)傳輸過程的安全，卻假定網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)傳輸過程一定是安全的。實際上，即使是在名義上聲稱完全值得信賴的網(wǎng)絡(luò)中，我們也應(yīng)該利用現(xiàn)有的IT設(shè)備進行保護。換句話說，即使是理應(yīng)值得信賴的網(wǎng)絡(luò)也應(yīng)被視為不受信任的，它并不是安全的，只是比起互聯(lián)網(wǎng)本身之類的安全性稍微好一些。我們應(yīng)當(dāng)采取的措施包含了，但不限于以下的方面：

本地系統(tǒng)連接到網(wǎng)絡(luò)的時間，登陸過程應(yīng)該得到保護，畢竟在咖啡館之類的環(huán)境下通過公共無線網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的時間是不存在邊界安全保護措施的。每臺系統(tǒng)必須使用防火墻，關(guān)閉不必要的服務(wù)，將必要的服務(wù)設(shè)置在最小權(quán)限下，最大限度的減少出現(xiàn)漏洞的可能性。即使你認(rèn)為沒人能夠破解本地網(wǎng)絡(luò)的時間，也應(yīng)該這么做。

用戶在使用網(wǎng)絡(luò)內(nèi)部設(shè)備的時間必須進行安全認(rèn)證。如果黑客控制了網(wǎng)絡(luò)內(nèi)的一臺系統(tǒng)的話，通常情況下它會是一臺包含了網(wǎng)絡(luò)瀏覽器、電子郵件和即時通訊工具可以與外部網(wǎng)絡(luò)溝通的桌面系統(tǒng)，他或她也許就可以利用其來攻擊網(wǎng)絡(luò)中的其他系統(tǒng)。如果訪問郵件服務(wù)器的時間需要安全認(rèn)證的話，將它變成病毒傳輸平臺的難度就變得比較大了;如果文件服務(wù)器要求安全認(rèn)證的話，數(shù)據(jù)信息被盜竊的可能就會下降;如果防火墻設(shè)定了安全認(rèn)證的話，它被重新容許接入互聯(lián)網(wǎng)的機會就很少了。作為安全認(rèn)證部分的要求，只有通過了安全認(rèn)證的系統(tǒng)才會被容許進行遠(yuǎn)程連接。

為網(wǎng)絡(luò)設(shè)備提供安全保障和災(zāi)難恢復(fù)等功能，舉例來說象數(shù)據(jù)完整審查和備份服務(wù)器，不應(yīng)該受到來自外部或者內(nèi)部的攻擊威脅。日志服務(wù)器應(yīng)該只是記錄，不廣播信息;備份服務(wù)器絕不容許其它系統(tǒng)從這里復(fù)制數(shù)據(jù)，并進行刪除操作;數(shù)據(jù)完整審查服務(wù)器不應(yīng)當(dāng)受到可能導(dǎo)致數(shù)據(jù)完整審查操作受到影響的系統(tǒng)控制。

整個內(nèi)部網(wǎng)絡(luò)中的信息交流也應(yīng)該始終是加密的。如果使用者采用了是路由器/防火墻級別的網(wǎng)絡(luò)使用界面，就應(yīng)該選擇安全超文本傳輸協(xié)議進行加密連接。如果使用者采用了Unix系統(tǒng)下的指定命令行處理程序的話，就應(yīng)該使用OpenSSH，而不是遠(yuǎn)程指定命令行處理程序或者其它類型的非加密工具。網(wǎng)絡(luò)文件的分享應(yīng)該采用安全指定命令行處理程序文件系統(tǒng)，它包含了功能強大并且經(jīng)過了同行審查的加密算法，而不要采用沒有加密、加密效果非常差或者總是部分加密的網(wǎng)絡(luò)文件系統(tǒng)或者服務(wù)器消息塊/通用網(wǎng)絡(luò)文件系統(tǒng)的分享方式。

就象一位拳擊手在比賽的時間需要帶上護齒器以保證牙齒的安全，而不僅僅是抵御住來自對手的重拳就可以成功一樣，你應(yīng)該確保的是整個網(wǎng)絡(luò)由內(nèi)而外的全面安全，利用現(xiàn)有的IT設(shè)備防范來自滲透或繞過邊界讓人意想不到的安全威脅。

分層安全策略可以有效地幫助大家解決一些網(wǎng)絡(luò)安全的問題，希望以上的內(nèi)容已經(jīng)讓讀者有了深刻的認(rèn)識。

【編輯推薦】

1. 對抗網(wǎng)絡(luò)釣魚的關(guān)鍵是合作
2. 2011七大網(wǎng)絡(luò)安全威脅報告
3. 十年輪回 中國安全軟件的那些滄桑