您的安全策略定義了您想要保護(hù)的內(nèi)容以及您對(duì)系統(tǒng)用戶的期望。

當(dāng)您設(shè)計(jì)新應(yīng)用程序或擴(kuò)展當(dāng)前網(wǎng)絡(luò)時(shí)，您的安全策略為安全規(guī)劃提供了基礎(chǔ)。它描述了用戶的責(zé)任，例如保護(hù)機(jī)密信息和創(chuàng)建重要的密碼。

注意：需要為組織創(chuàng)建并制定安全策略，以最大限度地降低內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)。如果正確配置， IBM? i操作系統(tǒng)固有的安全功能可以讓您最大限度地減少許多風(fēng)險(xiǎn)。但是，當(dāng)您將系統(tǒng)連接到 Internet 時(shí)，您需要提供額外的安全措施來(lái)確保內(nèi)部網(wǎng)絡(luò)的安全。

許多風(fēng)險(xiǎn)與使用互聯(lián)網(wǎng)訪問開展業(yè)務(wù)活動(dòng)相關(guān)。每當(dāng)您創(chuàng)建安全策略時(shí)，您都必須在提供服務(wù)與控制對(duì)功能和數(shù)據(jù)的訪問之間取得平衡。對(duì)于聯(lián)網(wǎng)計(jì)算機(jī)，安全性更加困難，因?yàn)橥ㄐ磐ǖ辣旧砣菀资艿焦簟?/p>

某些互聯(lián)網(wǎng)服務(wù)比其他服務(wù)更容易受到某些類型的攻擊。因此，了解您打算使用或提供的每項(xiàng)服務(wù)所帶來(lái)的風(fēng)險(xiǎn)至關(guān)重要。此外，了解可能的安全風(fēng)險(xiǎn)有助于您確定一組明確的安全目標(biāo)。

互聯(lián)網(wǎng)是對(duì)互聯(lián)網(wǎng)通信安全構(gòu)成威脅的各種個(gè)人的家園。以下列表描述了您可能遇到的一些典型安全風(fēng)險(xiǎn)：

被動(dòng)攻擊

在被動(dòng)攻擊中，犯罪者會(huì)監(jiān)視您的網(wǎng)絡(luò)流量以嘗試了解秘密。此類攻擊可以是基于網(wǎng)絡(luò)的（跟蹤通信鏈路）或基于系統(tǒng)的（用隱匿地捕獲數(shù)據(jù)的特洛伊木馬程序替換系統(tǒng)組件）。被動(dòng)攻擊是最難檢測(cè)的。因此，您需要假設(shè)有人正在竊聽您通過互聯(lián)網(wǎng)發(fā)送的所有內(nèi)容。

主動(dòng)攻擊

在主動(dòng)攻擊中，攻擊者試圖突破您的防御并進(jìn)入您的網(wǎng)絡(luò)系統(tǒng)。主動(dòng)攻擊有幾種類型：

在系統(tǒng)訪問嘗試中，攻擊者試圖利用安全漏洞來(lái)訪問和控制客戶端或服務(wù)器系統(tǒng)。

在欺騙攻擊中，攻擊者試圖通過偽裝成受信任的系統(tǒng)來(lái)突破您的防御，或者用戶說(shuō)服您向他發(fā)送秘密信息。

在拒絕服務(wù)攻擊中，攻擊者試圖通過重定向流量或用垃圾轟炸您的系統(tǒng)來(lái)干擾或關(guān)閉您的操作。

在加密攻擊中，攻擊者試圖猜測(cè)或竊取您的密碼，或使用專門的工具嘗試解密加密的數(shù)據(jù)。

多層防御

由于潛在的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)可能發(fā)生在多個(gè)級(jí)別，因此您需要設(shè)置安全措施來(lái)提供針對(duì)這些風(fēng)險(xiǎn)的多層防御。一般來(lái)說(shuō)，當(dāng)您連接到 Internet 時(shí)，您不應(yīng)該懷疑是否會(huì)遇到入侵嘗試或拒絕服務(wù)攻擊。相反，您應(yīng)該假設(shè)您將遇到安全問題。因此，最好的防守是深思熟慮和積極主動(dòng)的進(jìn)攻。在規(guī)劃互聯(lián)網(wǎng)安全策略時(shí)使用分層方法可確保滲透一層防御的攻擊者將被后續(xù)層阻止。

您的安全策略必須包括為傳統(tǒng)網(wǎng)絡(luò)計(jì)算模型的以下各層提供保護(hù)的措施。一般來(lái)說(shuō)，您需要從最基本的（系統(tǒng)級(jí)安全性）到最復(fù)雜的（事務(wù)級(jí)安全性）來(lái)規(guī)劃安全性。

• 系統(tǒng)級(jí)安全

您的系統(tǒng)安全措施是針對(duì)基于 Internet 的安全問題的最后一道防線。因此，整個(gè)互聯(lián)網(wǎng)安全策略的第一步必須是正確配置基本系統(tǒng)安全。

• 網(wǎng)絡(luò)級(jí)安全

網(wǎng)絡(luò)安全措施控制對(duì) IBM i操作系統(tǒng)和其他網(wǎng)絡(luò)系統(tǒng)的訪問。當(dāng)您將網(wǎng)絡(luò)連接到 Internet 時(shí)，您需要確保采取足夠的網(wǎng)絡(luò)級(jí)安全措施來(lái)保護(hù)您的內(nèi)部網(wǎng)絡(luò)資源免遭未經(jīng)授權(quán)的訪問和入侵。防火墻是提供網(wǎng)絡(luò)安全的最常見手段。您的 Internet 服務(wù)提供商 (ISP) 可以在您的網(wǎng)絡(luò)安全計(jì)劃中提供重要的元素。您的網(wǎng)絡(luò)安全方案需要概述您的 ISP 提供的安全措施，例如 ISP 路由器連接的過濾規(guī)則和公共域名系統(tǒng) (DNS) 預(yù)防措施。

• 應(yīng)用級(jí)安全

應(yīng)用程序級(jí)安全措施控制用戶與特定應(yīng)用程序交互的方式。一般來(lái)說(shuō)，您應(yīng)該為您使用的每個(gè)應(yīng)用程序配置安全設(shè)置。但是，您應(yīng)該特別注意為將從互聯(lián)網(wǎng)使用或向互聯(lián)網(wǎng)提供的應(yīng)用程序和服務(wù)設(shè)置安全性。這些應(yīng)用程序和服務(wù)很容易被尋求訪問您的網(wǎng)絡(luò)系統(tǒng)的方法的未經(jīng)授權(quán)的用戶濫用。您決定使用的安全措施需要包括服務(wù)器端和客戶端安全風(fēng)險(xiǎn)。

• 傳輸級(jí)安全

傳輸級(jí)安全措施可保護(hù)網(wǎng)絡(luò)內(nèi)和跨網(wǎng)絡(luò)的數(shù)據(jù)通信。當(dāng)您通過 Internet 等不受信任的網(wǎng)絡(luò)進(jìn)行通信時(shí)，您無(wú)法控制流量從源流向目的地的方式。您的流量及其承載的數(shù)據(jù)流經(jīng)許多您無(wú)法控制的不同系統(tǒng)。除非您設(shè)置安全措施，例如將應(yīng)用程序配置為使用安全套接字層 (SSL)，否則任何人都可以查看和使用您的路由數(shù)據(jù)。傳輸級(jí)別安全措施可以保護(hù)您的數(shù)據(jù)在其他安全級(jí)別邊界之間流動(dòng)時(shí)的情況。

在制定整體互聯(lián)網(wǎng)安全策略時(shí)，應(yīng)該為每一層單獨(dú)制定安全策略。此外，您應(yīng)該描述每組策略如何與其他策略交互，以便為您的企業(yè)提供全面的安全保障網(wǎng)。