作為企業(yè)的網(wǎng)絡(luò)安全設(shè)計(jì)人員，在思考安全保障前，應(yīng)該站在更高的高度，審視應(yīng)該采用什么樣的安全模型，這將在很大程度上影響后續(xù)安全策略的制定，它為整個(gè)企業(yè)的網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)定下了一個(gè)基調(diào)，可謂網(wǎng)絡(luò)安全之大策略。

結(jié)合自己實(shí)際工作經(jīng)驗(yàn)，也有這樣一種感覺，站得高度越高，對(duì)知識(shí)的掌握也就越系統(tǒng)。本篇就占用大家一點(diǎn)時(shí)間，介紹一下總體的網(wǎng)絡(luò)安全模型。其可以按照所采取的安全方法（邊界、分層）不同來分類，也可以按照系統(tǒng)的主動(dòng)性來分類。

1、邊界安全（Perimeter Security）模型

邊界安全模型是把注意力都放在了網(wǎng)絡(luò)邊界，而不關(guān)心網(wǎng)絡(luò)內(nèi)部安全防護(hù)的模型。包括防火墻、應(yīng)用網(wǎng)關(guān)、密碼策略、以及各種網(wǎng)絡(luò)訪問授權(quán)技術(shù)都是基于邊界安全的思想。邊界安全方法保護(hù)了網(wǎng)絡(luò)邊界的安全，但通常許多網(wǎng)絡(luò)內(nèi)部系統(tǒng)也是脆弱的。

所以這種模型明顯是不全面的，但為什么還有許多公司在使用它呢？小公司通常會(huì)因?yàn)轭A(yù)算緊張或缺少有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員而選擇使用邊界安全模型，通常就是買個(gè)防火墻完事。這對(duì)于沒有敏感信息的小公司來說也許還行，但對(duì)于大公司來講是遠(yuǎn)遠(yuǎn)不夠的。最近頻繁發(fā)生一些知名公司的客戶信息被盜，有些甚至被盜了2年都沒發(fā)現(xiàn)，這不得不說是安全保障的高度不夠呀。

2、分層安全（Layered Security）

分層安全模型不但考慮到了網(wǎng)絡(luò)邊界安全，而且對(duì)網(wǎng)絡(luò)內(nèi)部的個(gè)人系統(tǒng)也一起進(jìn)行了防護(hù)。所有服務(wù)器、工作站、路由器、集線器等網(wǎng)絡(luò)內(nèi)設(shè)備都進(jìn)行了防護(hù)。為了實(shí)現(xiàn)這個(gè)目的，通常的一種方法是把網(wǎng)絡(luò)分片防護(hù)，把每一片都作為一個(gè)獨(dú)立網(wǎng)絡(luò)，這樣即使邊界安全措施被攻破了，內(nèi)部系統(tǒng)也不會(huì)完全受影響。無論任何時(shí)候，分層安全模型都是首選。

3、主動(dòng)和被動(dòng)安全模型

安全模型也可以通過主動(dòng)性和響應(yīng)速度來衡量�？匆豢聪到y(tǒng)安全設(shè)備以及策略中哪些可以主動(dòng)調(diào)整來防止攻擊，哪些僅僅是在攻擊發(fā)生后作出適當(dāng)響應(yīng)。被動(dòng)的安全方法在攻擊發(fā)生前幾乎不動(dòng)作，而動(dòng)態(tài)或主動(dòng)的防御是在攻擊發(fā)生前就開始響應(yīng)了。一個(gè)主動(dòng)防御的例子是IDS，它可以發(fā)現(xiàn)試圖繞過安全防護(hù)措施的行為，并在侵入還未完成的時(shí)候就通知系統(tǒng)管理員。另外，IDS還可以檢測入侵者所采用的各種攻擊技術(shù)，甚至在攻擊還未實(shí)施時(shí)就能夠通知管理員。

4、混合安全模型

在實(shí)際應(yīng)用中，通常是混合好幾種安全模型，而不是只用一種；同時(shí)類型之間也可以混合，可以是被動(dòng)分層的、或是邊界主動(dòng)的。最理想的模型是動(dòng)態(tài)分層。

怎樣才算動(dòng)態(tài)分層？

加個(gè)IDS就是動(dòng)態(tài)分層了嗎？恐怕有點(diǎn)片面。我所理解的動(dòng)態(tài)分層模型應(yīng)用到實(shí)際工作中，除了設(shè)備方案上動(dòng)態(tài)分層外，一定要有動(dòng)態(tài)運(yùn)維過程安全保障的概念。在這個(gè)過程中，人、物、事組成了一個(gè)復(fù)雜系統(tǒng)，而各個(gè)元素都是動(dòng)態(tài)的，我們作為這個(gè)復(fù)雜系統(tǒng)的一分子，只能通過不斷的運(yùn)動(dòng)變化來影響系統(tǒng)所呈現(xiàn)出來的結(jié)果。這就是為什么Rambo一直強(qiáng)調(diào)攻防對(duì)抗的概念，一直強(qiáng)調(diào)常規(guī)動(dòng)作一定要做好的重要性。這個(gè)復(fù)雜系統(tǒng)的安全性就是建立在定期的常規(guī)動(dòng)作上的，定期的更新、定期的殺毒、定期的審計(jì)日志、定期的自我評(píng)估，就這么簡單。再強(qiáng)調(diào)一遍，常規(guī)動(dòng)作非常重要，來病如山倒，去病如抽絲，大家也都明白，與其有病再求醫(yī)，不如平時(shí)多健身，但就是做不好。有時(shí)候很奇怪，簡單的事情就是做不好。

另外，常規(guī)動(dòng)作做好了，有些安全事故還是無法避免，就像平時(shí)很注意健康，但還是可能某一天突然得了癌癥。安全有時(shí)候和疾病非常相似，安全無法完全解決，是個(gè)攻防對(duì)抗的動(dòng)態(tài)過程。要不斷學(xué)習(xí)，要有所準(zhǔn)備。這其實(shí)給安全公司提供了巨大的機(jī)會(huì)，現(xiàn)階段安全公司大多還只是個(gè)賣藥的，怎么用藥患者怎么清楚呢？如果安全公司完成藥廠到醫(yī)院的轉(zhuǎn)變，對(duì)于患者是巨大的福音，對(duì)于安全公司可是巨大的商機(jī)阿。好了說了點(diǎn)題外話，目前來講，對(duì)于安全管理員來說，常規(guī)動(dòng)作做好，剩下的就是自己多修煉了。久病成醫(yī)，經(jīng)驗(yàn)多了，自然也就知道該怎么辦了。

標(biāo)簽： 安全 防火墻 服務(wù)器 企業(yè) 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全基礎(chǔ) 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。