网络安全技术防护体系
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全技术防护体系范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全技术防护体系范文第1篇
[关键词]数据库 中间层 应用层 三层架构
中图分类号:X936 文献标识码:A 文章编号:1009-914X(2016)17-0299-01
笔者从事计算机十多年的教学,又参与了软件Java与的开发及应用。在这里,我想针对网络安全监察维护模式,由浅入深地谈谈应该如何建立良好的信息系统体系结构模式。
一、认识信息系统体系结构的重大意义
首先,我们必须清楚地认识到良好的信息系统体系结构对于网络安全监察维护模式的意义重大。如果我们有一个良好的信息系统体系结构,我们完全可以抵御或者减少病毒入侵,如网页挂马等。
阅读计算机之类的报刊、杂志,我们总有一些不解,什么是中间层,什么是接口,什么是修改参数,什么是模拟仿真,那么我以Java程序或程序为例进行阐述。
Java程序和程序,我认为是目前最好的系统程序,因为它们有一种很好的思想值得我们去学习,去采纳。作为一名学者,不能只是一味地去学习、接纳别人的东西,而是要理解事物的本质,所谓必定要透过事物的表象去看清里面的内涵,与实质,不能一味地去抄袭或者盗窃他人的原代码之类的东西。这样做,既无科学道德,也无太多的实际价值,同时也不能在专业术语、英文字母上徘徊不前,大道理小道理地讲,又有什么用。
二、程序三层架构思想
Java程序和程序,基本的三层架构思想,这给我们的信息体系结构带来不少的冲击。数据结构体系的基本三层模式(图1):
当然你可以在信息体系结构的基本三层的基础上发展五六层、七八层都可以,但是我们要知道是上一层调用下一层的命令。应用层,就是我们常说的界面、窗口;数据库层,就是我们大量信息储存的地方;中间层,就是在应用层需要数据库时,依靠中间层进行层层转运,即应用层程序先调用中间层命令,由中间层程序再调用数据库层里的文件信息。这里要注意的问题是,应用层是永远不可能直接调用数据库层的信息。同样,箭头永远不可能反过来,也就是说数据库层不可能去调用中间层或应用层的程序,他们是独立、有序的。这样就做到了信息体系结构的良性循环。所谓“君是君,臣是臣,哪里是主语,哪里是谓语”。
说到这里,有朋友会问,这与我们的“网络安全监察维护”有什么联系。试想,这样一个有序的信息体系结构,如果在每一层都进行打包、封装、加密,甚至工具式的异类化,直接调用,那么病毒怎么进得来,计算机的安全监察与维护技术工作不是变得更加容易!
接着,便存在层与层之间的通信连接问题,这就是我们常阅读报刊杂志上所看见的专业术语“接口”。有读者会问“接口”是个什么层。这里我们首先要清楚地认识到,各层之间的联系,其实就在于各层文件名的命名及其附加参数,还有上一层可以插入下一层的文件名及其附加参数。文件名在本层中,既是一个程序文件的标志,同时对上一层来说,是调用下一层的命令,也就是说上一层只要输入下一层的文件名及其实参,就可以调用下一层的文件。文件名及其附加参数在本层中是一个功能块或者称为过程调用和形参,在调用层则为命令和实参,只有符合条件的参数才可以配合命令去调用下一层的功能块。如此反复,我们便可以在界面上看到了不断更新的数据、动态的网页。不符合条件的实参是不可以配合命令去调用下一层的功能块。举个浅显的例子说下,如果下一层的程序块的内容是10除以多少,条件是有限制的,如不能为0或其他字母,如果输入0或者其他字母,那么程序会马上终止,进入退出状态,不再运行。我们再看下仿真软件,理论上只要修改参数,就知道故障就在哪里,然后通过模拟故障去排除故障,如仿真战机、空中大战、仿真系统维修软件等,它们的故障就是实参输入不合条件,出现故障,导致局部程序无法运行,上一层功能块只有调用其他的功能块才能解决故障问题,使模拟仿真安然进行。仿真软件的设计,使现实事物并不需要出现,也不要去实验,如空中大战,达到理想的训练效果,又节省了人、材、机,同时又避免了环境污染和资源浪费。但是仿真系统与现实社会还是有一定距离,还是有必要去和现实数据进行吻合。我们可以应用这种理论进行网络安全监察维护的仿真检测。
中间层是一个封装的程序,如果需要执行多个命令,就封装多个中间层。各层只要有必要,可以从这个项目中分离开,进入另外一个项目,只要提供一个接口。
程序的工具性异类化。为什么称为程序的工具性异类化?程序包或功能块经过一系列的代码转换命令,完全变成了一个工具,直接拿来用即可,你无须知道它的源代码,更确切地说,你根本不知道,也许永远不知道它的源代码 ,你只是利用这个工具去做你想去做的事情,现代计算机中称工具的专业名称为“对象”。所以工具性程序与普通程序完全不同,有些需要转换代码后才能调用,有些只是通过实参配合命令进行调用,不符合要求的实参根本无法进行调用。那么有人会问,能不能破译“对象”的源代码?所谓“解铃还须系铃人”,破译源代码除了“系铃人”之外,别无他人。那么有人会说木马病毒可以破译,我个人认为,木马病毒只是侵入,无法破译并获得源代码。现代软件加密技术非常强,里三圈外三圈,拦了个水泄不通,木马技术最多也只是个别侵入与替换与复制,除非知道程序的破译方法,一般不可以破译并获得源代码的。
在项目做好后,经过系统软件生成器平台转化成独立代码,直接运行在计算机操作系统中。
这里有两个问题仍需解决,第一个问题是系统软件生成器平台是如何将程序打包并工具化的,第二个问题是不同版本的系统软件之间是如何兼容的。
当我们还常常夸C语言、C++语言源代码开放,功能如何之强大时,其实,我们在程序应用上还是未能解决根本问题。信息系统结构的未来发展趋向,就是进行程序的快速打包封装,快速便捷地进行功能调用,快速地组装并且达到新的适用功能,而并不是程序的源代码如何地强大。软件业的发展必须将程序进行工具性的“异类化”,成为程序的新品种,直接拿过来用即可,我们并不需要其内部的源代码是什么。除此之外,我们要清楚地认识到,有些操作系统具有兼容其他语言的能力,以致我们的系统软件能轻而易举地应用到某些操作系统上。
我们常说要自动化,不仅指硬件的自动化,更是要指软件的自动化。软件要自动化,必须要有独立、有序、反应敏捷的信息体系结构,加上调用封装好的工具性软件,优良的独立接口软件,达到与各种系统软件平台的兼容,同时也使计算安全监察维护技术工作变得相当简单。哪一部分出了问题,我们就维护哪一部分,并不需要从头至尾个个检查。这样,有利于减少工作量,提高工作效率。
三、结语
写到这里,我希望广大软件开发的工作者门,开发出更好的、有利于国人的软件产品,从根本上解决我们计算机网络安全监察与维护的技术工作问题。
参考文献
[1] 尚宇峰.网络可靠性研究[J].2006.12-16
网络安全技术防护体系范文第2篇
企业计算机网络所面临的威胁
当前,大多数企业都实现了办公自动化、网络化,这是提高办公效率、扩大企业经营范围的重要手段。但也正是因为对计算机网络的过分依赖,容易因为一些主客观因素对计算机网络造成妨碍,并给企业造成无法估计的损失。
1网络管理制度不完善
网络管理制度不完善是妨碍企业网络安全诸多因素中破坏力最强的。“没有规矩,不成方圆。”制度就是规矩。当前,一些企业的网络管理制度不完善,尚未形成规范的管理体系,存在着网络安全意识淡漠、管理流程混乱、管理责任不清等诸多严重问题,使企业相关人员不能采取有效措施防范网络威胁,也给一些攻击者接触并获取企业信息提供很大的便利。
2网络建设规划不合理
网络建设规划不合理是企业网络安全中存在的普遍问题。企业在成立初期对网络建设并不是十分重视,但随着企业的发展与扩大,对网络应用的日益频繁与依赖,企业未能对网络建设进行合理规划的弊端也就会日益凸显,如,企业所接入的网络宽带的承载能力不足,企业内部网络计算机的联接方式不够科学,等等。
3网络设施设备的落后
网络设施设备与时展相比始终是落后。这是因为计算机和网络技术是发展更新最为迅速的科学技术,即便企业在网络设施设备方面投入了大笔资金,在一定时间之后,企业的网络设施设备仍是落后或相对落后的,尤其是一些企业对于设施设备的更新和维护不够重视,这一问题会更加突出。
4网络操作系统自身存在漏洞
操作系统是将用户界面、计算机软件和硬件三者进行有机结合的应用体系。网络环境中的操作系统不可避免地会存在安全漏洞。其中包括计算机工作人员为了操作方便而主动留出的“后门”以及一些因技术问题而存在的安全隐患,一旦这些为网络黑客所了解,就会给其进行网络攻击提供便利。
网络安全防护体系的构建策略
如前所述,企业网络安全问题所面临的形势十分严峻,构建企业网络安全防护体系已经刻不容缓。要结合企业计算机网络的具体情况,构建具有监测、预警、防御和维护功能的安全防护体系,切实保障企业的信息安全。
1完善企业计算机网络制度
制度的建立和完善是企业网络安全体系的重要前提。要结合企业网络使用要求制定合理的管理流程和使用制度,强化企业人员的网络安全意识,明确网络安全管护责任,及时更新并维护网络设施设备,提高网络设施的应用水平。如果有必要,企业应聘请专门的信息技术人才,并为其提供学习和培训的机会,同时,还要为企业员工提供网络安全的讲座和培训,引导企业人员在使用网络时主动维护网络安全,避免网络安全问题的出现。
2配置有效的防火墙
防火墙是用于保障网络信息安全的设备或软件,防火墙技术是网络安全防御体系的重要构成。防火墙技术主要通过既定的网络安全规则,监视计算机网络的运行状态,对网络间传输的数据包进行安全检查并实施强制性控制,屏蔽一些含有危险信息的网站或个人登录或访问企业计算机,从而防止计算机网络信息泄露,保护计算机网络安全。
3采用有效的病毒检测技术
计算机病毒是指编制或在计算机原有程序中插入的能够破坏系统运行或破坏数据,并具有自我复制能力的计算机指令或程序代码。病毒是对网络造成最大威胁的因素,要采用一些有效的病毒检测及反应技术,及时检测到病毒并对其进行删除。
网络安全技术防护体系范文第3篇
所谓的非破坏性形式就是进行系统运作的扰乱,并不进行系统内部资料的盗窃,该环节比较常见的攻击形式是信息炸弹。所谓的破坏性的攻击形式,就是进行他人电脑系统的入侵,不断盗窃对方系统的内部信息,影响目标系统数据的正常保护。在日常黑客攻击模式中,电子邮件攻击、获取口令等模式都是常见的攻击手段。在计算机安全维护环节中,计算机病毒也是总要的影响因素,受到计算机病毒的自身性质影响,其蔓延范围具备不确定的因素,在此应用前提下,可能出现较大的损失情况。这些病毒程序进入计算机网络系统中,会进行大量的扩散,从而影响计算机设备的正常运行,计算机被“感染”后,其运算效率会大大的下降,可能还会出现系统死机或者破坏的情况,影响导致计算机内部信息文件的丢失,更严重的是导致计算机内部主设备硬件的损坏。在计算机防护历史中,计算机病毒扮演者一个重要的角色,除了计算机病毒程序外,还有一切其他因素影响着计算机网络的安全,比如计算机连接网络后,用户应用网络模式中出现的问题,干扰了用户的正常使用,这也是不可以疏忽的重要问题。在计算机网络安全影响因素中,我们也需要看到网络应用媒介的影响,比如网络软件应用因素的影响。比如网络软件的漏洞,网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。
2计算机网络信息安全的防护方案的优化
为了实现计算机网络信息的安全性提升,进行身份鉴别系统体系的优化是必要的。所谓的身份鉴别模式,就是使用者必须要经过授权才能使用。比如使用者在操作计算机环节中,需要系统对自身的应用权限进行鉴别,以确保用户使用计算机的合法性,该模式的应用,一定程度避免了不合法用户的进入,实现计算机网络安全性的提升。在计算机网络防护体系应用过程中,口令识别模式也是比较常见的模式,就是将口令字母数字将智能卡相结合,从而提升计算机网络防护的安全性。随着网络安全防范体系的健全,一系列的新型认证模式得到应用,比如应用人的生物特征的防护认证体系,比如指纹、视网膜等,口令字的设置原理是:在信息系统中存放一张“用户信息表”,它记录所有的可以使用这个系统的用户的有关信息,如用户名和口令字等。用户名是可以公开的,不同用户使用不同的用户名,但口令字是秘密的。当一个用户要使用系统时,必须键入自己的用户名和相应的口令字,系统通过查询用户信息表,验证用户输入的用户名和口令字与用户信息表中的是否一致,如果一致,该用户即是系统的合法用户,可进入系统,否则被挡在系统之外。为了满足现实工作的开展,进行防火墙技术软件体系的开发是非常必要的,所谓的防火墙就是将计算机的软硬件相结合,最主要的是防火墙软件自身要具备良好的防护性,实现计算机内部网络与外部网络的有效连接,提升其连接的安全性,保证好私有网络资源的有效应用,避免其他未授权网络者的应用。在计算机网络安全防护体系应用过程中,防火墙的设置是非常必要的环节,是提升网络安全性的重要应用基础,需要我们做好日常的防火墙设计更新工作。一个防火墙,作为阻塞点、控制点能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。为了满足现实工作的开展,进行防毒、防木马软件的应用是非常必要的,在防病毒软件的控制过程中,我们要进行防病毒服务器的更新极健全,通过对网络的应用,进行软件的病毒库的更新应用,确保局域网内部整体病毒防护体系的优化。在计算机网络防护环节中,数据加密技术也是重要的防护模块,其实现了数据传输过程中,数据的有效加密,最大程度提升了信息的安全性,目前来说,主要的信息数据传输加密模式为端对端加密及其线路加密模式。线路加密是将需要保密的信息用不同的加密密钥提供安全保护,然而端对端加密就是发送信息者在通过专用的加密软件,将要发送的信息进行加密,也就是说将明文加密成密文,然后进入TCP/IP数据包封装穿过网络,当这些信息一旦到达目的地,将由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。计算机网络安全体系的健全需要一个循序渐进的过程中,在此应用环节中,要进行信息安全管理体系的健全,以有效针对日常信息安全管理过程中的问题,展开制度环节、设备环节、技术应用环节等的更新,实现网络安全技术效益的提升,积极做好相关的防护工作。在计算机网络安全技术应用过程中,也要就网络管理人员进行培训模的应用,确保其安全意识的提升,以满足当下计算机网络防护体系的应用需要,保证工作人员操作模式中失误情况的减少。虽然目前有很多的安全软件的产品,例如像是防火墙、杀毒软件等技术方面的维护,相对来讲光靠技术方面的维护也是不够的,由于威胁计算机网络信息安全的因素有很多,必须要结合实际情况来进行防范,只有这样才能真正的提高计算机网络安全性,使网络技术能够跟好的为人们服务。
3结束语
网络安全技术防护体系范文第4篇
关键词:网络安全;安全监控;网络维护
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 20-0000-01
Research and Application about Monitoring and Maintaining of Network Security
Xia Qing
(Jiangsu Yancheng Product Quality Supervise Inspection Institute,Yancheng224005,China)
Abstract:This thesis had studied the Internet network security monitoring and maintenance of technology,from network security,content unless,according to the principles of network security monitoring,network security system design,and detail the use of firewalls and network intrusion detection technology,the establishment of joint monitoring and maintenance of network security system within the network and the Internet to complete the interaction between the security monitoring.
Keywords:Network security;Security monitoring;Network maintenance
一、网络安全概述
信息时代,计算机网络技术的发展和应用对人类生活方式的影响越来越大,Internet/Intranet技术广泛应用于社会的各个领域,基于计算机网络的安全问题己经成为非常严重的问题。确保网络安全己经是一件刻不容缓的大事,解决网络安全课题具有十分重要的理论意义和现实背景。本文针对网络安全监控与维护的需求,进行了深入的研究与开发,按照建立的网络安全应该是动态防护体系,是动态加静态的防御,提出了一个全方位、各个层次、多种防御手段的网络安全实现模型,构建了网络监控和维护的安全系统体系结构。
二、网络监控原理
网络安全监控系统能够分级建立监控系统和网络数据库,首先,需要使得网络内部的各级监控系统,对所管辖的网络区域内的计算机进行有效的监控,阻断“一机两用”的行为和想象;其次,要对辖区的下级监控系统的工作状态进行监控,能够对计算机之间的病毒入侵源进行分析和定位;同时还需要对网络区域内的设备和个人计算机进行数据的管理、统计和数据登记,全面地进行网络安全监控和维护。
三、网络安全监控措施
(一)防火墙设置
在Internet与内网之间安装防火墙,形成内外网之间的安全屏障[3]。其中WWW、MAIL、FTP、DNS对外服务器连接在安全,与内、外网间进行隔离。通过Internet进来的公众用户只能访问到对外公开的一些服务,既保护内网资源不被外部非授权用户非法访问或破坏。
(二)入侵检测系统配置
分布式入侵检测系统一般采用分布监视、集中管理的结构,在每个网段里放置基于网络的入侵检测引擎,同时对于重要的服务器,例如MAIL服务器、WEB服务器放置基于主机的入侵检测引擎。再通过远程管理功能在一台管理站点上实现统一的管理和监控。
分布式入侵检测系统的总体结构系统由三个主要组件组成:主管传感器、边界传感器、中央控制台[5]。这三层结构中的任一个结点均可对攻击以不同的方式进行响应。分布式入侵检测系统支持不同的链路,如TCP专用链路和TCP加密链路。主管传感器由控制台决定上报信息的存储、显示、管理,将汇总信息报告给控制台。边界传感器每个组有一个主管传感器,负责信息的收集、精简。如果网络连接通过公用网,则使用加密链路。
四、网络监控与维护应用
典型的网络安全监控应用,如VRV(Virus Removed Victory成功清除病毒)[6]网络防病毒体系,为网络每个层面提供防病毒保护,通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析,提供桌面应用、服务器系统、邮件系统、群件服务器、Internet网关级别的全面防毒保护。这种全方位、多层次的防毒系统配置,能使政府、企业网络免遭所有病毒的入侵和危害。
基于局域网、广域网多级管理:网络终端杀毒-局域网集中监控-广域网总部管理,在局域网中用VRV各防毒组件构架本地网防毒系统的基础上构建广域网总部控制系统:(1)监控本地、远程异地局域网病毒防御情况;(2)统计分析广域网病毒爆发种类、发生频度、易发生源等信息;(3)病毒信息汇总,进行病毒安全风险评估;(4)整体网络统一策略、统一升级、统一控制。
主动式病毒防护机制:企业安全防护策略是针对网络内部安全推出的最新解决方案。不用等到病毒码更新,就能主动防御。透过VRV防病毒管理中心管理整个病毒爆发周期。让企业在面临病毒爆发的威胁时,通过VRVAMC主动获得完整防毒策略,有效降低因为病毒疫情带来的人力损失及成本。防毒系统本身更能自动识别未知病毒,通过对文件和网络流量异常监视,提出报警。
五、结束语
本文通过分析了网络安全的现状与概况,提出建立网络安全监控与维护体系的重要性,在此基础上,利用网络安全监控和管理手段,首先建立的网络的防火墙配置,在防火墙配置的基础上,配置了网络入侵检测系统,利用这两项配置,完成网络内部与Internet之间的交互安全监控。论文最后分析了一个实际的VRV网络安全监控与维护系统,通过该系统的配置与应用,说明网络安全监控技术的具体实施,对网络安全具有一定研究价值。
参考文献:
[1]张杰.因特网安全及其防范措施[J].信息安全技术,2002,3:20-23
网络安全技术防护体系范文第5篇
【关键词】网络;安全;方案
【中图分类号】G412.65 【文章标识码】B 【文章编号】1326-3587(2012)11-0091-02
一、前言
近来,随着信息化的发展和普及,危害网络安全的事情时常发生。例如,越权访问、病毒泛滥、网上随意信息,甚至发表不良言论。这些问题需要我们引起足够的重视,规划并建设一个方便、高效、安全、可控的信息系统成为当前系统建设的重要工作。
信息系统安全建设项目,应该严格按照网络和信息安全工程学的理论来实施;严格按照信息安全工程的规律办事,做到“安全规划前瞻、行业需求明确、技术手段先进、工程实施规范、管理措施得力、系统效率明显”,因此,将按照信息安全工程学的理论指导实施用户信息网络系统安全项目的建设,从政策法规、组织体系、技术标准、体系架构、管理流程等方面入手,按照科学规律与方法论,从理论到实践、从文档到工程实施等方面,着手进行研究、开发与实施。
信息系统安全建设是一项需要进行长期投入、综合研究、从整体上进行运筹的工程。该工程学主要从下列几个方面入手来构造系统安全:
1、对整个信息系统进行全面的风险分析与评估,充分了解安全现状;
2、根据评估分析报告,结合国家及行业标准,进行安全需求分析;
3、根据需求分析结果,制定统一的安全系统建设策略及解决方案;
4、根据解决方案选择相应的产品、技术及服务商,实施安全建设工程;
5、在安全建设工程实施后期,还要进行严格的稽核与检查。
二、安全系统设计要点
有些用户对网络安全的认识存在一些误区:认为网络运行正常,业务可以正常使用,就认为网络是安全的,是可以一直使用的;网络安全几乎全部依赖于所安装的防火墙系统和防病毒软件,认为只要安装了这些设备,网络就安全了;他们没有认识到网络安全是动态的、变化的,不可能仅靠单一安全产品就能实现。所以,我们必须从网络安全可能存在的危机入手,分析并提出整体的网络安全解决方案。
1、建设目标。
通过辽宁地区网络及应用安全项目的建设目标来看,构建一个安全、高效的网络及应用安全防护体系,充分保障业务系统稳定可靠地运行势在必行。
2、设计思想。
一个专业的网络及应用安全解决方案必须有包含对网络及应用安全的整体理解。它包括理论模型和众多项目案例实施的验证。该方案模型应是参照国际、国内标准,集多年的研发成果及无数项目实施经验提炼出来的,同时方案需要根据这个理论模型及众多的专业经验帮助客户完善对其业务系统安全的认识,最终部署安全产品和实施安全服务以保证客户系统的安全。
为什么要实施安全体系?
内因,也就是根本原因,是因为其信息有价值,网络健康高效的运行需求迫切。客户的信息资产值越来越大,信息越来越电子化、网络化,越来越容易泄漏、篡改和丢失,为了保护信息资产不减值,网络行为正常、稳定,必须要适当的保护,因此要有安全投入。
其次才是我们耳熟能详的外因,如遭受攻击。当前在网络信息领域中,入侵的门槛已经越来越低(攻击条件:简单化;攻击方式:工具化;攻击形式:多样化;攻击后果:严重化;攻击范围:内部化;攻击动机:目的化;攻击人群:低龄化和低层次化),因此当入侵者采用技术方式攻击,客户必须采用安全技术防范。随着我国安全技术的逐步深入研究,已经把各种抽象的安全技术通过具体的安全产品和安全服务体现了出来。
时间和空间是事物的两个根本特性,即一经一纬构成了一个立体的整体概念,安全系统的设计也可以这么理解。
从时间角度部署安全系统,如图一,基于时间的防御模型。
该模型的核心思想是从时间方面考虑,以入侵者成功入侵一个系统的完整步骤为主线,安全方案的设计处处与入侵者争夺时间,赶在入侵者前面对所保护的系统进行安全处理。在入侵前,对入侵的每一个时间阶段,即下一个入侵环节进行预防处理。也就是说,与入侵者赛跑,始终领先一步。
从空间角度部署安全系统,如图二,基于空间的防御模型。
一个具体的网络系统可以根据保护对象的重要程度(信息资产值的大小)及防护范围,把整个保护对象从网络空间角度划分成若干层次,不同层次采用具有不同特点的安全技术,其突出的特点是对保护对象“层层设防、重点保护”。
一个基本的网络系统按防护范围可以分为边界防护、区域防护、节点防护、核心防护四个层次。
边界防护是指在一个系统的边界设立一定的安全防护措施,具体到系统中边界一般是两个不同逻辑或物理的网络之间,常见的边界防护产品有防火墙等。
区域防护相较于边界是一个更小的范围,指在一个重要区域设立的安全防护措施,常见的区域防护产品有网络入侵检测系统等。
节点防护范围更小,一般具体到一台服务器或主机的防护措施,它主要是保护系统的健壮性,消除系统的漏洞,常见的节点防护产品主机监控与审计系统。
核心防护的作用范围最小但最重要,它架构在其它网络安全体系之上,能够保障最核心的信息系统安全,常见的核心防护产品有身份认证系统、数据加密、数据备份系统等。
3、设计原则。
1) 实用性。
以实际业务系统需求为基础,充分考虑未来几年的发展需要来确定系统规模。以平台化、系统化来构造安全防护体系,各安全功能模块以组件方式扩展。
2) 标准化。
安全体系设计、部署符合国家 相关标准,各安全产品之间实现无缝连接,确实不能实现的必需采用其他技术手段予以解决,并与内部的网络平台兼容,使安全体系的设备能够方便的接入到现有网络系统中。
