全解析網絡安全系統

網絡安全系統是一個相對完整的安全保障體系。那麼這些安全保障措施具體包括哪些，又如何體現呢？這可以從OSI/RM的7層網絡結構來一一分析。因為計算機的網絡通信，都離不開OSIR/RM的這7層（注意，並不是所有計算機網絡通信都需要經過完整的7層）。當然，網絡安全系統又不僅體現在OSI/RM的7層結構中，因為安全風險還可以不是在計算機網絡通信過程中產生的，如我們的操作系統（是屬於系統層的）、應用軟件、用戶賬戶信息的保護、數據的容災和備份，以及機房的管理等。

針對上節介紹的這幾類主要安全隱患類型，我們所采取的安全策略最常見的就包括：

n 安裝專業的網絡版病毒防護系統（目前通常都已包括木馬、惡意軟件的檢測和清除功能），當然也要加強內部網絡的安全管理，因為這些也可以通過內部網絡進行傳播的；

n 配置好防火牆、路由器過濾策略和系統本身的各項安全措施（如針對各類攻擊所進行的通信協議安全配置）；

n 及時安裝操作系統、應用軟件的安全漏洞補丁，盡可能地堵住操作系統、應用軟件本身所帶來的安全漏洞；

計算機基礎知識

n 有條件的用戶還可在內、外網之間安裝網絡掃描檢測、網絡嗅探器（Sniffer）、入侵檢測（IDS）和入侵防御（IPS）系統，以便及時發現和阻止來自各方面的攻擊；

n 配置網絡安全隔離系統，對內、外網絡進行安全隔離；加強內部網絡安全管理，嚴格實行“最小權限”原則，為各用戶配置好恰當的用戶權利和權限；同時對一些敏感數據進行加密保護，對發出去的數據還可采取數字簽名措施；

n 根據企業實際需要配置好相應的數據容易策略，並按策略認真執行。

以上具體安全措施將在本書後章中體現。但總體來說，一個完善的網絡安全系統應該包括計算機網絡通信過程中針對OSI/RM的全部層次安全保護和系統層的安全保護，如圖1-1所示。系統層次的安全保護主要包括操作系統、應用服務器和數據庫服務器等的安全保護。這樣就可以構成一個立體的多層次、全方位的安全保護體系。

圖1-1 網絡安全系統的基本組成

OSI/RM各個層次的安全保護就是為了預防非法入侵、非法訪問、病毒感染和黑客攻擊。而非計算機網絡通信過程中的安全保護則是為了預防網絡的物理癱瘓和網絡數據損壞http://.。

【注意】並不是所有計算機網絡通信都需要對OSI/RM的所有7層采取安全保護措施，因為有些計算機網絡中只有其中的少數幾層，如同一個局域網內部的通信僅物理層和數據鏈路層兩層，在TCP/IP網絡中，又可以把OSI/RM參考模型中的“會話層”、“表示層”和“應用層”合並在一個TCP/IP參考模型中的“應用層”，不必一層層采取單獨的安全保護措施。

總的來說，網絡安全系統的防護策略中應包括以下四大方面：

n 計算機病毒、木馬、惡意軟件的清除與預防

這個很常見，大家也很容易理解。主要措施就是安裝各類專業的計算機病毒、木馬和惡意軟件防護系統，有單機版，也有網絡版，在企業網絡中，通常是采用網絡版的。

n 黑客攻擊的攔截與預防

網絡安全威脅中絕大部分是來自黑客攻擊的，因為它帶來的後果可能非常大，也可能是毀滅性的。別看“攻擊”就這兩個字，現在的“攻擊”可不再是那麼簡單了，可以針對OSI/RM的所有7層進行，還可以針對所有應用軟件和網絡設備進行，可以說攻擊風險無處不在，防不勝防。

n 物理損壞的阻止與預防

這主要包括正常情況下的網絡設備和網絡線路故障，以及非正常情況下，一些別有用心的用戶對網絡設備和網絡線路的故意破壞，這通常是由於管理不善造成的。

n 數據保護

這是網絡安全的最後防線，網絡可以癱瘓，可以重建，但數據不能損壞，不能丟失，因為數據無法重新人為得到。單位的網絡數據有時關系著企業的發展和存亡。

以上這四個方面（當然具體涉及到非常多的安全技術和防護方案）就構成了一個完善的網絡安全系統。OSI/RM參考模型中各層可采取的安全措施如圖1-2所示，各層的安全保護分析將在下節分析。當然，這裡顯示的不可能是所有可以采用的安全保護方案的匯總，而僅提供一個基本防護方向，具體的安全保護方案不僅非常之多，而且還會不斷發生變化，不斷有新的可行安全保護方案的出現。各層所用的主要安全技術、產品和方案將在本書後面各章具體介紹。

全解析網絡安全系統.