网络安全层次划分：全面解析

什么样的网络才是一个安全的网络? 下面我们从5 个方面简单阐述,1.网络的安全性

网络的安全性问题核心在于网络是否得到控制, 即是不是任何一个IP 地址来源的用户都能够进入网络。 如果将整个网络比作一栋办公大楼的话, 那么对于网络层的安全考虑就如同大楼设置守门人一样。 守门人会仔细察看每一位来访者, 一旦发现危险的来访者, 便会将其拒之门外。

通过网络通道对网络系统进行访问的时候, 每一个用户都会拥有一个独立的IP 地址,这一IP 地址能够大致表明用户的来源所在地和来源系统。 目标网站通过对来源IP 进行分析, 便能够初步判断这一IP 的数据是否安全, 是否会对本网络系统造成危害, 以及来自这一IP 的用户是否有权使用本网络的数据。 一旦发现某些数据来自不可信任的IP 地址, 系统便会自动将这些数据挡在系统之外。 并且大多数系统能够自动记录曾经危害过的IP 地址,使得它们的数据将无法第二次造成伤害。

用于解决网络层安全性问题的产品主要有防火墙和虚拟专用网(VPN)。 防火墙的主要目的在于判断来源IP, 将危险或者未经授权的IP 数据拒之系统之外, 而只让安全的IP 通过。 一般来说, 公司的内部网络只要与Internet 相连, 就应该在二者之间配置防火墙, 防止公司内部数据外泄。 VPN 主要解决的是数据传输的安全问题, 如果公司各部在地域上跨度较大, 使用专网、专线过于昂贵, 则可以考虑使用VPN。 其目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行频繁的交换。

2.系统的安全性

在系统的安全性问题中, 主要考虑两个问题： 一是病毒对于网络的威胁, 二是黑客对于网络的破坏和侵入。

病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络, 多数病毒不仅能够直接感染网络上的计算机, 还能将自身在网络上复制, 同时, 电子邮件、文件传输以及网络页面中的恶意Java 和ActiveX 控件, 甚至文档文件都能够携带对网络和系统有破坏作用的病毒。 这些病毒在网络上进行传播和破坏的多种途径和手段, 使得网络环境中的防病毒工作变得更加复杂, 网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。

对于网络黑客而言, 他们的主要目的在于窃取数据和非法修改系统, 其手段之一是窃取合法用户的口令, 在合法身份的掩护下进行非法操作； 手段之二是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令, 如在UNIX 系统的默认安装过程中,会自动安装大多数系统指令, 据统计, 系统指令中大约有300 个指令是大多数合法用户根本不会使用的, 但这些指令往往会被黑客所利用。

要弥补这些漏洞, 我们就需要使用专用的系统风险评估工具, 来帮助系统管理员找出哪些指令是不应该安装的, 哪些指令是应该缩小其用户使用权限的。 在完成了这些工作后, 操作系统自身的安全性问题将在一定程度上得到保障。

3.用户的安全性(www.xing528.com)

在用户的安全性问题中, 一般要考虑： 是否只有那些真正被授权的用户才能够使用系统中的资源和数据呢。

要对用户进行分组管理, 并且针对安全性问题而分组。 也就是说, 应该根据不同的安全级别将用户分为若干个等级, 每一等级的用户只能访问与其等级相对应的系统资源和数据。然后应该考虑的是强有力的身份认证, 确保用户的密码不会被他人所猜测到。

在大型的应用系统之中, 有时会存在多重的登录系统, 用户如需进入最高层的应用, 往往需要多次输入不同的密码, 如果管理不严多重密码的存在也会造成安全问题上的漏洞。 所以在某些先进的登录系统中, 用户只需要输入一个密码, 系统就能自动识别用户的安全级别, 从而使用户进入不同的应用层次。 这种单一登录体系要比多重登录体系能提供更高的系统安全性。

4.应用程序的安全性

在应用程序的安全性问题中, 我们需要考虑的是, 是否只有合法的用户才能对特定的数据进行合法的操作。

这其中涉及两个方面的问题： 一是应用程序对数据的合法权限； 二是应用程序对用户的合法权限。 例如, 在公司内部, 上级部门的应用程序应能存取下级部门的数据, 而下级部门的应用程序一般不应该允许存取上级部门的数据。 同级部门的应用程序的存取权限也应该有所限制, 如同一部门不同业务的应用程序也不该互相访问对方的数据, 这一方面是为避免数据的意外损坏, 另一方面也是安全方面的考虑。

5.数据的安全性

在数据的安全性问题中, 我们所要回答的问题是, 机密数据是否还处于机密状态。

在数据的保存过程中, 机密的数据即使处于安全的空间, 也要对其进行加密处理, 以保证万一数据失窃, 偷盗者(如网络黑客) 也不能读懂其中的内容。 这虽然是一种比较被动的安全手段, 但往往能收到最好的效果。