五层全方位网络安全保护策略分析

五层全方位网络安全保护策略分析

作者：韩桂明

来源：《硅谷》2013年第23期

摘 要 影响网络安全的因素有很多，去其表现现象，剖析风险实质，可归纳为物理层风险、网络层风险、系统层风险、应用层风险以及管理层风险。文章分析了网络安全的需求，并提出了从物理、网络、系统、应用到管理的五个层次全方位的网络安全防护策略。 关键词 五层次；全方位；网络安全；防护

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2013）23-0105-01

Internet起源于美国，最初应用于美国国防部高级研究计划管理局ARPA，用于美国军方信息通信，后来逐渐转为民用。

在信息技术的推动和牵引下，人类社会已由工业时代迈进信息时代。计算机网络对人类经济和生活的冲击是其它信息载体所无法比拟的，它的高速发展和全方位渗透，推动了整个社会的信息化进程。网络的机遇与挑战并存，影响网络安全的因素也日益显露。 1 网络安全的需求

影响网络安全的因素有很多，从宏观角度来分析，影响网络安全的方面有：物理层安全、网络层安全、系统层安全、应用层安全及管理层安全，这也与网络架构中的开放系统互连模型OSI七层结构异曲同工。 1.1 物理层网络安全及需求

网络的物理安全是影响网络安全的基础，可谓是网络安全的第一道防线，它可细分为环境安全、设备安全、存储介质安全和防电磁泄漏等。其中环境安全是最重要的，而防电磁泄漏是最容易被忽视的，这两点在物理安全中应当重点考虑。 1.2 网络层安全及需求

网络层安全总体目标可归纳为“进不来”、“出不去”、“拿不走”、“读不懂”、“跑不掉”。具体要求是利用计算机及通信技术，防范未经授权的人员非法访问网络资源。

非法访问网络的手段有：针对IP地址欺骗的ARP攻击、消耗大量网络资源的拒绝服务攻击、针对数据库堆栈溢出、Web应用的网站篡改等。 1.3 系统层安全及需求

龙源期刊网 http://www.qikan.com.cn

系统安全可分为服务器系统安全和用户主机系统安全。影响安全的因素主要来自系统漏洞补丁、系统的端口及服务、主机密码、系统病毒等。 1.4 应用层安全及需求

应用层安全包括应用软件安全和数据安全。应用软件安全的需求包括及时安装补丁程序，对应用程序设置的身份认证和授权访问控制机制。应用系统要具有数据备份和恢复手段，以防止系统故障而导致数据丢失。 1.5 管理层安全及需求

俗话说“三分技术、七分管理”，网络安全仅用技术手段是做不到全方位的防护的，必须从管理的角度让使用网络的人懂得怎样使用网络。 2 五层全方位网络防护策略 2.1 物理安全防护策略

网络设计与规划之初，要考虑核心机房及数据中心的选址问题。机房要选择在可控区域内，并与非可控区域间隔300米外，在现实条件无法满足的情况下，对机房采取安全屏蔽措施。机房对楼层的选择尽量就低不就高，避免在楼顶。

在涉密单位，重要的政府机关、机要及军政、部队网络要与互联网物理隔离，不同等级的网络之间采用最小耦合。

在物理环境安全中要注重通风、降温及消防。在机房内采用机房专用精密空调，将机房的整体温度控制在21℃±2℃范围内。适度的温度可以延长服务器的使用寿命，减少故障的发生机率。

机房的消防一定要采用气体联动消防，切勿使用水或传统的干粉，这些方法虽然可以灭火，但对设备的影响，却是不可逆的，它的影响远大于灭火本身。 2.2 网络层安全防护策略

网络层安全防护应从网络拓扑结构进行分析，防护的方法是：在网络边界部署抗拒绝服务攻击系统、防火墙、入侵检测系统实时监测网络流量数据，发现违规操作后告警并阻断，形成防火墙与入侵检测系统联动的边界防护安全域。在核心交换机旁路部署安全审计系统、网络分析系统及漏洞扫描系统，利用安全审计系统对全网行为、数据库进行实时审计，通过网络分析系统抓取数据包，准确、及时定位故障，还原数据包行为来取证违规违纪操作。将服务器划分为内、外服务器域，保护不同的应用数据。利用虚拟局域网技术、身份认证准入机制及三层交换的ACL管理控制策略配合使用形成用户的不同域安全防护。

龙源期刊网 http://www.qikan.com.cn

2.3 系统层安全防护策略

对操作系统和数据库系统配置高强度用户名及密码，启用登陆失败处理、传输加密等措施。对用户主机使用8位以上的口令，禁用guest用户、更改administrator用户名。对服务器主机进行访问控制的配置，管理员分级分权限控制，对重要信息（文件、数据库等）进行标记，设定访问控制策略进行访问控制，开启服务器日志审计功能。通过软件防火墙关闭服务器及用户主机端口，利用系统组策略关闭不必要的服务。 2.4 应用层安全防护策略

对重要的应用层系统及软件如WWW、DNS系统进行备份，可制作双机备份系统，一主一备，一旦一个系统出现故障，另一个系统自动启动，实现应用层的无缝实时切换。 数据是网络的核心，因此保护数据也是应用层安全防护的要点。最好的方法是建立异地容灾备份中心，可简称为两地三中心。本地有数据中心及备份中心，异地有容灾中心。数据备份采用光纤SAN网络架构，ISCSI协议与TCP/IP协议不同，两网之间不进行网络通信，保证网络的安全。 2.5 管理层安全

安全的最高境界不是产品，也不是服务，而是管理。没有好的管理思想、严格的管理制度、负责的管理人员和实施到位管理程序，就没有真正的信息安全。对人员的管理和安全制度的制订是否有效，直接影响这一层的安全问题。

管理层安全包括管理制度、管理技术。管理制度须制订一系列的安全管理制度，普及安全教育，包括：用户守则的制订。管理技术包括安全理论知识的培训、对安全产品使用培训、建立安全信息分发系统、及时通报最新安全事件、建立安全论坛、交流安全技术等。 3 結束语

网络安全影响因素万变不离物理层安全、网络层安全、系统层安全、应用层安全、及管理层安全这五类。物理安全是网络安全的基础，网络层安全是网络安全的关键，系统层安全是网络安全的个体体现，应用层安全是网络安全的重点，管理层安全是网络安全长治久安成效的重要保障。总之，网络安全不能脱离这五个方面的任何一个层次而谈，忽略了任何一个方面，网络安全都将会存在短板，“木桶效应”将展现。 参考文献

[1]顾昕.某内部网络安全防护系统的设计与实现[D].四川大学，2006.

[2]曾金繁.局域网网络安全防护工作剖析[J].网络安全技术与应用，2012（02）.

龙源期刊网 http://www.qikan.com.cn

[3]特日格乐，张善勇.计算机网络的安全防护分析及发展研究[J].内蒙古科技与经济，2012（22）.

[4]朱洪洁，辛元.计算机网络安全防护技术研究[J].科技创新导报，2008（19）.