国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　分層安全策略是一個(gè)很好的主意。在這一點(diǎn)上，大家并沒(méi)有分歧。但采用什么樣的分層安全策略才能實(shí)現(xiàn)真正有效的安全，這個(gè)問(wèn)題是需要大家進(jìn)行討論的。實(shí)際上，這個(gè)問(wèn)題是需要著眼于實(shí)際的網(wǎng)絡(luò)環(huán)境情況，不同類型環(huán)境在需求上的差別也是很大的。

　　在確保分層安全策略有效時(shí)經(jīng)常出現(xiàn)的一種錯(cuò)誤是將關(guān)注重點(diǎn)放在邊界的安全上。前衛(wèi)的安全專家們聲稱安全是沒(méi)有邊界的理論越來(lái)越受到追捧，但實(shí)際情況是：安全是存在邊界的，但對(duì)于安全來(lái)說(shuō)邊界并不是最重要的。分層安全策略需要解決的是系統(tǒng)總體的安全，而不僅僅是邊界的安全。

　　現(xiàn)在的時(shí)代，已經(jīng)不能有效地保護(hù)網(wǎng)絡(luò)中傳輸數(shù)據(jù)的安全了。網(wǎng)絡(luò)已經(jīng)實(shí)現(xiàn)的永遠(yuǎn)在線，系統(tǒng)有機(jī)的結(jié)合為不可分割的整體，尋找邊界已經(jīng)顯得不那么現(xiàn)實(shí)了。這種情況下，從整體度選擇所有的安全措施進(jìn)行系統(tǒng)保護(hù)是一種錯(cuò)誤的做法。各部門以及不同業(yè)務(wù)用途的網(wǎng)絡(luò)都需要自己的保護(hù)措施，甚至需要更進(jìn)一步的交叉保護(hù)。

　　確保網(wǎng)絡(luò)邊界不受到惡意的滲透是一項(xiàng)不可能完成的任務(wù)。到處游蕩的當(dāng)?shù)厝死糜?jì)算機(jī)的尋找可以接入的網(wǎng)絡(luò)，其它類型的網(wǎng)絡(luò)安全破壞者，類似范·?？斯糁惙欠ㄟM(jìn)入網(wǎng)絡(luò)資源中的樂(lè)趣或者惡意活動(dòng)(至少在理論上是有可能出現(xiàn)的)，以及員工在進(jìn)行網(wǎng)絡(luò)連接時(shí)沒(méi)有注意或者輕視安全方面的要求，這些行為都會(huì)繞過(guò)傳統(tǒng)的邊界安全措施給網(wǎng)絡(luò)安全帶來(lái)威脅。正是基于這方面的原因，采用分層安全策略的時(shí)間，應(yīng)該不僅僅關(guān)注與怎樣防止威脅，而且也應(yīng)該提供可以有效處理違規(guī)行為的方法，以便在由于某些原因?qū)е滦畔⑿孤兜臅r(shí)間，盡可能保證機(jī)密數(shù)據(jù)和設(shè)備的安全。

　　關(guān)于這方面，最常見(jiàn)的錯(cuò)誤就是耗費(fèi)大量時(shí)間和精力，采用了各種加密和認(rèn)證措施來(lái)保證在邊界以外數(shù)據(jù)傳輸過(guò)程的安全，卻假定網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)傳輸過(guò)程一定是安全的。實(shí)際上，即使是在名義上聲稱完全值得信賴的網(wǎng)絡(luò)中，我們也應(yīng)該利用現(xiàn)有的IT設(shè)備進(jìn)行保護(hù)。換句話說(shuō)，即使是理應(yīng)值得信賴的網(wǎng)絡(luò)也應(yīng)被視為不受信任的，它并不是安全的，只是比起本身之類的安全性稍微好一些。我們應(yīng)當(dāng)采取的措施包含了，但不限于以下的方面：

　　· 本地系統(tǒng)連接到網(wǎng)絡(luò)的時(shí)間，登陸過(guò)程應(yīng)該得到保護(hù)，畢竟在咖啡館之類的環(huán)境下通過(guò)公共無(wú)線網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的時(shí)間是不存在邊界安全保護(hù)措施的。每臺(tái)系統(tǒng)必須使用防火墻，關(guān)閉不必要的服務(wù)，將必要的服務(wù)設(shè)置在最小權(quán)限下，最大限度的減少出現(xiàn)漏洞的可能性。即使你認(rèn)為沒(méi)人能夠破解本地網(wǎng)絡(luò)的時(shí)間，也應(yīng)該這么做。

　　· 用戶在使用網(wǎng)絡(luò)內(nèi)部設(shè)備的時(shí)間必須進(jìn)行安全認(rèn)證。如果控制了網(wǎng)絡(luò)內(nèi)的一臺(tái)系統(tǒng)的話，通常情況下它會(huì)是一臺(tái)包含了網(wǎng)絡(luò)、電子郵件和可以與外部網(wǎng)絡(luò)溝通的桌面系統(tǒng)，他或她也許就可以利用其來(lái)攻擊網(wǎng)絡(luò)中的其他系統(tǒng)。如果訪問(wèn)郵件的時(shí)間需要安全認(rèn)證的話，將它變成傳輸平臺(tái)的難度就變得比較大了;如果文件服務(wù)器要求安全認(rèn)證的話，數(shù)據(jù)信息被盜竊的可能就會(huì)下降;如果防火墻設(shè)定了安全認(rèn)證的話，它被重新容許接入互聯(lián)網(wǎng)的機(jī)會(huì)就很少了。作為安全認(rèn)證部分的要求，只有通過(guò)了安全認(rèn)證的系統(tǒng)才會(huì)被容許進(jìn)行遠(yuǎn)程連接。

　　· 為網(wǎng)絡(luò)設(shè)備提供安全保障和災(zāi)難恢復(fù)等功能，舉例來(lái)說(shuō)象數(shù)據(jù)完整審查和備份服務(wù)器，不應(yīng)該受到來(lái)自外部或者內(nèi)部的攻擊威脅。日志服務(wù)器應(yīng)該只是記錄，不廣播信息;備份服務(wù)器絕不容許其它系統(tǒng)從這里復(fù)制數(shù)據(jù)，并進(jìn)行刪除操作;數(shù)據(jù)完整審查服務(wù)器不應(yīng)當(dāng)受到可能導(dǎo)致數(shù)據(jù)完整審查操作受到影響的系統(tǒng)控制。

　　· 整個(gè)內(nèi)部網(wǎng)絡(luò)中的信息交流也應(yīng)該始終是加密的。如果使用者采用了是/防火墻級(jí)別的網(wǎng)絡(luò)使用界面，就應(yīng)該選擇安全超文本傳輸協(xié)議進(jìn)行加密連接。如果使用者采用了Unix系統(tǒng)下的指定命令行處理程序的話，就應(yīng)該使用OpenSSH，而不是遠(yuǎn)程指定命令行處理程序或者其它類型的非加密工具。網(wǎng)絡(luò)文件的分享應(yīng)該采用安全指定命令行處理程序文件系統(tǒng)，它包含了功能強(qiáng)大并且經(jīng)過(guò)了同行審查的加密算法，而不要采用沒(méi)有加密、加密效果非常差或者總是部分加密的網(wǎng)絡(luò)文件系統(tǒng)或者服務(wù)器消息塊/通用網(wǎng)絡(luò)文件系統(tǒng)的分享方式。

　　就象一位拳擊手在比賽的時(shí)間需要帶上護(hù)齒器以保證牙齒的安全，而不僅僅是抵御住來(lái)自對(duì)手的重拳就可以成功一樣，你應(yīng)該確保的是整個(gè)網(wǎng)絡(luò)由內(nèi)而外的全面安全，利用現(xiàn)有的IT設(shè)備防范來(lái)自滲透或繞過(guò)邊界讓人意想不到的安全威脅。