我們經(jīng)?？梢钥吹?，似乎所有人都在談?wù)摗胺謱影踩?、“分層防護(hù)”、“全面防護(hù)”，但實(shí)際上卻并沒有人知道這些詞匯究竟意味著什么。這三個(gè)詞往往交替使用，但正如經(jīng)常有人將使用其中兩個(gè)來代表完全不同的事情，盡管在某些方面非常相似，但它們的概念其實(shí)有兩方面的不同。

一、分層安全

所謂的分層安全模式指得是可以在任何層次上實(shí)現(xiàn)一個(gè)完整的信息安全戰(zhàn)略。不論你是屬于一臺單獨(dú)計(jì)算機(jī)的系統(tǒng)管理員，通過網(wǎng)吧或者家庭接入互聯(lián)網(wǎng)的情況，還是管理一個(gè)擁有三萬企業(yè)用戶的廣域網(wǎng)的關(guān)鍵人物，一個(gè)包含了多層安全模式的部署工具都可以幫助你提高個(gè)人資料的安全性。

換句話說，這種安全模式是基于這樣的理論：即任何一種防御模式都可能是有缺陷的，找出存在缺陷的最好辦法是進(jìn)行攻擊;因此，應(yīng)該利用一系列不同的防御模式來對所有方面進(jìn)行全面覆蓋。防火墻、入侵檢測系統(tǒng)、惡意軟件掃描工具、全面的審查工具以及本地存儲加密工具都可以提供其他方式不能提供的服務(wù)來保護(hù)信息技術(shù)資源的安全。

安全廠商提供的所謂垂直整合解決方案就是基于分層安全模式。一個(gè)常見的例子是為家庭用戶的諾頓互聯(lián)網(wǎng)安全套件，其中提供(包含了其他方面的功能)了：

1. 防病毒應(yīng)用工具

2. 應(yīng)用防火墻

3. 反垃圾郵件應(yīng)用工具

4. 家長控制功能

5. 隱私控制功能

安全軟件供應(yīng)商處在一個(gè)非常有趣的位置。為了最大程度上滿足其業(yè)務(wù)目標(biāo)，它們必須一方面勸說客戶使用綜合全面的解決方案來保證自身單一供應(yīng)商的地位不受到威脅;另一方面，它又必須試圖銷售分層安全的策略給那些不太可能購買自己集成解決方案的客戶，并試圖說服這些客戶，這種最佳的方式優(yōu)于全面的解決方案。

這種需求上的矛盾導(dǎo)致安全軟件供應(yīng)商的營銷策略出現(xiàn)了很多矛盾的方面，并且讓客戶也產(chǎn)生了很多混亂的認(rèn)識。所以出于這種原因，僅僅責(zé)怪人們不了解“分層安全”的具體定義是不合理的。

“分層安全”的具體定義指的不是實(shí)現(xiàn)相同效果的多種基本安全工具。舉例來說，在微軟Windows系統(tǒng)中安裝ClamWin和AVG Free兩種防病毒工具并不是分層安全，盡管它們的覆蓋范圍也不是完全相同。這僅僅是一種冗余的安全措施，并不符合分層安全的特征。分層安全指的是多種類型的安全措施，防止來自不同載體的各種攻擊。

二、全面防護(hù)

全面防護(hù)的概念最早出現(xiàn)在軍事領(lǐng)域，指的是比分層安全范圍更全面的安全策略。但實(shí)際上。就象防火墻是分層安全策略的一個(gè)組成部分一樣，分層安全僅僅是全面防護(hù)策略的一個(gè)組成部分。

分層安全模式的缺陷是會掩蓋在每個(gè)組成部分結(jié)合成為整體系統(tǒng)的時(shí)間出現(xiàn)的漏洞，由于整體不僅僅是其組成部分的總和，繼續(xù)關(guān)注于提高技術(shù)以確保整體系統(tǒng)的安全將會變得更加的復(fù)雜。相比之下，全面防護(hù)的理念來源于系統(tǒng)的整體安全高于局部安全。分層安全的技術(shù)，可能為整體系統(tǒng)的安全造成新的漏洞，從而阻礙系統(tǒng)安全性的進(jìn)一步提高。

一個(gè)采用了分層安全模式的解決方案通常有針對的重點(diǎn)，通常是針對一些一般性或特定類別的攻擊。舉例來說，象諾頓互聯(lián)網(wǎng)安全套件之類的分層安全軟件解決方案的重點(diǎn)是保護(hù)家庭用戶的臺式機(jī)系統(tǒng)不受到來自互聯(lián)網(wǎng)的惡意行為的攻擊威脅。而全面防護(hù)模式，則包含了更廣泛的范疇，舉例來說，硬件設(shè)備被盜、數(shù)據(jù)被未經(jīng)授權(quán)的人恢復(fù)就是一個(gè)例子，甚至屏幕輻射竊密這樣的外來威脅也被包括在內(nèi)了。

全面防護(hù)的策略中還包含了不直接產(chǎn)生保護(hù)效果的其它安全準(zhǔn)備工作。這些類型的工作包括下面列出的內(nèi)容：

1. 監(jiān)控、警告和應(yīng)急處理

2. 對授權(quán)用戶的活動情況進(jìn)行分析

3. 災(zāi)難恢復(fù)

4. 犯罪行為的報(bào)告

5. 攻擊行為分析

經(jīng)過周密計(jì)劃的全面防護(hù)策略最重要的作用就是延緩攻擊威脅的到來。確保在遇到襲擊和自然災(zāi)害時(shí)進(jìn)行迅速的反應(yīng)，并減少其帶來的損害。舉例來說，蜜罐系統(tǒng)可以在未經(jīng)授權(quán)的訪問在網(wǎng)絡(luò)中出現(xiàn)時(shí)，迅速通知安全專家，并拖延其行動到安全專家能夠進(jìn)行控制時(shí)為止。

三、分層安全與全面防護(hù)之比較

分層安全與全面防護(hù)是具有很多類似之處的兩個(gè)不同概念。在它們之間存在的并不是競爭關(guān)系。一個(gè)效果良好的分層安全策略對于信息技術(shù)資源的保護(hù)來說是非常重要的。而全面防護(hù)的策略則是擴(kuò)大了安全保護(hù)的范圍，可以在新類型未知威脅出現(xiàn)的情況下，幫助你將威脅造成的損害減少到最低的程度。

所有這些安全方面的策略都會對處理方法帶來影響，所以在絕大多數(shù)情況下，一個(gè)小范圍的安全策略對已知具體類型攻擊的防護(hù)效果會更好一些?？偟膩碚f，分層安全與全面防護(hù)兩者是需要全面認(rèn)知的，而第一步就是了解它們之間的不同之處，相同之處以及相互關(guān)系。

【編輯推薦】

1. 利用全面的分層防御 應(yīng)對互聯(lián)網(wǎng)惡意軟件威脅