网络安全纵深防御

　　计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。

　　深入浅出的网络安全基础知识

　　准确地说，关于信息安全或者信息保障主要有两个要素：首先，正确配置系统和网络并且保持这种正确配置，因为这一点很难做到完美;第二个要素就是清楚知道进出网络的流量。这样的话，当发生严重的问题时，你就能检测出问题错在。因此，网络安全的主要任务主要包括以下三方面：

　　• 保护，我们应该尽可能正确地配置我们的系统和网络

　　• 检测，我们需要确认配置是否被更改，或者某些网络流量出现问题

　　• 反应，在确认问题后，我们应该立即解决问题，尽快让系统和网络回到安全的状态

　　纵深防御

　　因为我们并不能实现绝对的安全，所以我们需要接受一定级别的风险。风险的定义就是系统漏洞带来威胁的可能性，风险是很难计算的，不过我们可以通过分析已知的攻击面、可能被攻击者获取或者利用的漏洞等因素来确定大概的风险级别。漏洞扫描器或者渗透测试可以帮助我们衡量或者定义攻击面，可以帮助我们降低风险以及改进系统安全状况的方法就是采用多层防御措施，主要有五种基本因素来建立纵深防御：

　　• 纵深防御保护方法一般都会采用防火墙将内部可信区域与外部互联网分离，大多数安全部署都会在服务器和计算机的邮件存储和发送进行防病毒检测，这意味着所有的内部主机都受到计算机网络基础设施的相同级别的保护。这是最常见且最容易部署的安全措施，但是从实现高水准信息安全保障的角度来看，这也是实用率最低的方式，因为所有计算机包含的信息资产对于企业并不是相等重要的。

　　• 受保护的领域，这意味着将内部网络分成若干个子区域，这样网络就不是一个没有内部保护的大区域。这可以通过防火墙、、、VLAN和网络访问控制来实现。

　　• 信息中心。 一位早期著名的计算研究员Adm. Grace Hopper曾表示，“将来，在企业资产负债表上的大部分条目中都会出现‘信息’这两个字，信息将会比处理信息的硬件更加重要。”我们必须理解并且能够帮助其他人理解信息的价值。除了非常重要的知识产权信息(如专利、商标、版权等)外，企业记录数据也越来越重要。想要建立一个信息为中心的纵深防御架构，我们必须确定关键的有价值的信息的存储位置，并且必须确保部署了适当的保护。从过去来看，这是非常昂贵的并且通常被企业忽视这方面的保护，不过根据法律法规的修改，很多企业必须建立定位和标记所有信息的程序。

　　• 威胁矢量分析纵深防御与信息为中心很类似，它要求我们首先确定我们想要保护的资产(按照优先权的顺序)，对威胁可能用于利用漏洞的路径进行分析确认，并且找出如何对矢量部署控制以预防威胁利用漏洞的方法。

　　• 基于角色的访问控制(RBAC)是一种访问权限控制方法，企业部署这种控制主要是为了确保只有授权用户才能访问指定数据。与其他访问权限控制方法不同的是，基于角色的访问控制为用户分配了具体的角色，并且根据用户的工作要求为每种角色设置了权限。可以给用户分配任何角色类型以帮助用户完成每日工作任务。例如，用户可能需要开发者角色以及分析师角色等。每个角色都会定义不同的权限以访问不同的对象。有了网络访问控制，我们可以将这种控制方法从系统组群扩大到整个企业，这需要更高的配置以及更好的保护。