分層安全策略是一個很好的主意。在這一點上，大家并沒有分歧。但采用什么樣的分層安全策略才能實現(xiàn)真正有效的安全，這個問題是需要大家進行討論的。實際上，這個問題是需要著眼于實際的網(wǎng)絡環(huán)境情況，不同類型環(huán)境在需求上的差別也是很大的。

在確保分層安全策略有效時經(jīng)常出現(xiàn)的一種錯誤是將關注重點放在邊界的安全上。前衛(wèi)的安全專家們聲稱安全是沒有邊界的理論越來越受到追捧，但實際情況是：安全是存在邊界的，但對于安全來說邊界并不是最重要的。分層安全策略需要解決的是系統(tǒng)總體的安全，而不僅僅是邊界的安全。

現(xiàn)在的時代，防火墻已經(jīng)不能有效地保護網(wǎng)絡中傳輸數(shù)據(jù)的安全了。網(wǎng)絡已經(jīng)實現(xiàn)的永遠在線，系統(tǒng)有機的結合為不可分割的整體，尋找邊界已經(jīng)顯得不那么現(xiàn)實了。這種情況下，從整體度選擇所有的安全措施進行系統(tǒng)保護是一種錯誤的做法。各部門以及不同業(yè)務用途的網(wǎng)絡都需要自己的保護措施，甚至需要更進一步的交叉保護。

確保網(wǎng)絡邊界不受到惡意的滲透是一項不可能完成的任務。到處游蕩的當?shù)厝死霉P記本計算機的無線設備尋找可以接入的網(wǎng)絡，其它類型的無線網(wǎng)絡安全破壞者，類似范·埃克攻擊之類非法進入網(wǎng)絡資源中的樂趣或者惡意活動(至少在理論上是有可能出現(xiàn)的)，以及員工在進行網(wǎng)絡連接時沒有注意或者輕視安全方面的要求，這些行為都會繞過傳統(tǒng)的邊界安全措施給網(wǎng)絡安全帶來威脅。正是基于這方面的原因，采用分層安全策略的時間，應該不僅僅關注與怎樣防止威脅，而且也應該提供可以有效處理違規(guī)行為的方法，以便在由于某些原因導致信息泄露的時間，盡可能保證機密數(shù)據(jù)和設備的安全。

關于這方面，最常見的錯誤就是耗費大量時間和精力，采用了各種加密和認證措施來保證在邊界以外數(shù)據(jù)傳輸過程的安全，卻假定網(wǎng)絡內部的數(shù)據(jù)傳輸過程一定是安全的。實際上，即使是在名義上聲稱完全值得信賴的網(wǎng)絡中，我們也應該利用現(xiàn)有的IT設備進行保護。換句話說，即使是理應值得信賴的網(wǎng)絡也應被視為不受信任的，它并不是安全的，只是比起互聯(lián)網(wǎng)本身之類的安全性稍微好一些。我們應當采取的措施包含了，但不限于以下的方面：

本地系統(tǒng)連接到網(wǎng)絡的時間，登陸過程應該得到保護，畢竟在咖啡館之類的環(huán)境下通過公共無線網(wǎng)絡接入互聯(lián)網(wǎng)的時間是不存在邊界安全保護措施的。每臺系統(tǒng)必須使用防火墻，關閉不必要的服務，將必要的服務設置在最小權限下，最大限度的減少出現(xiàn)漏洞的可能性。即使你認為沒人能夠破解本地網(wǎng)絡的時間，也應該這么做。

用戶在使用網(wǎng)絡內部設備的時間必須進行安全認證。如果黑客控制了網(wǎng)絡內的一臺系統(tǒng)的話，通常情況下它會是一臺包含了網(wǎng)絡瀏覽器、電子郵件和即時通訊工具可以與外部網(wǎng)絡溝通的桌面系統(tǒng)，他或她也許就可以利用其來攻擊網(wǎng)絡中的其他系統(tǒng)。如果訪問郵件服務器的時間需要安全認證的話，將它變成病毒傳輸平臺的難度就變得比較大了;如果文件服務器要求安全認證的話，數(shù)據(jù)信息被盜竊的可能就會下降;如果防火墻設定了安全認證的話，它被重新容許接入互聯(lián)網(wǎng)的機會就很少了。作為安全認證部分的要求，只有通過了安全認證的系統(tǒng)才會被容許進行遠程連接。

為網(wǎng)絡設備提供安全保障和災難恢復等功能，舉例來說象數(shù)據(jù)完整審查和備份服務器，不應該受到來自外部或者內部的攻擊威脅。日志服務器應該只是記錄，不廣播信息;備份服務器絕不容許其它系統(tǒng)從這里復制數(shù)據(jù)，并進行刪除操作;數(shù)據(jù)完整審查服務器不應當受到可能導致數(shù)據(jù)完整審查操作受到影響的系統(tǒng)控制。

整個內部網(wǎng)絡中的信息交流也應該始終是加密的。如果使用者采用了是路由器/防火墻級別的網(wǎng)絡使用界面，就應該選擇安全超文本傳輸協(xié)議進行加密連接。如果使用者采用了Unix系統(tǒng)下的指定命令行處理程序的話，就應該使用OpenSSH，而不是遠程指定命令行處理程序或者其它類型的非加密工具。網(wǎng)絡文件的分享應該采用安全指定命令行處理程序文件系統(tǒng)，它包含了功能強大并且經(jīng)過了同行審查的加密算法，而不要采用沒有加密、加密效果非常差或者總是部分加密的網(wǎng)絡文件系統(tǒng)或者服務器消息塊/通用網(wǎng)絡文件系統(tǒng)的分享方式。

就象一位拳擊手在比賽的時間需要帶上護齒器以保證牙齒的安全，而不僅僅是抵御住來自對手的重拳就可以成功一樣，你應該確保的是整個網(wǎng)絡由內而外的全面安全，利用現(xiàn)有的IT設備防范來自滲透或繞過邊界讓人意想不到的安全威脅。

分層安全策略可以有效地幫助大家解決一些網(wǎng)絡安全的問題，希望以上的內容已經(jīng)讓讀者有了深刻的認識。

【編輯推薦】

1. 對抗網(wǎng)絡釣魚的關鍵是合作
2. 2011七大網(wǎng)絡安全威脅報告
3. 十年輪回 中國安全軟件的那些滄桑