【文章內(nèi)容簡介】 一樣，因為各種不同的系統(tǒng)和設備以不同的方式相互溝通：如固定的局域網(wǎng)、無線和移動蜂窩網(wǎng)絡、專用廣域網(wǎng)、固定電話網(wǎng)絡和互聯(lián)網(wǎng)等不同的通訊方式。在這個星云狀的網(wǎng)絡領域考慮安全的唯一有效的方法是“分層次”的保護。 ? 趨勢科技歐洲、中東和非洲地區(qū)安全總經(jīng)理 Simon Young稱，安全專業(yè)人員，已經(jīng)基本上接受了采取多層次的防御措施防御各種攻擊和威脅的觀點。一種產(chǎn)品或者技術不能防御一切可能的威脅。一種分層次的方法能夠讓企業(yè)建立多條防線。 ? 在最基本的層面上，網(wǎng)絡安全包括：使用熟悉的用戶名 /口令相結(jié)合的方法識別用戶身份 。使用卡、USB密鑰或者生物計量 (如指紋和視網(wǎng)膜掃描等 )等物理形式進行身份識別 ?；蛘呤褂媚承┓椒ńY(jié)合在一起的方式進行身份識別 (這對于訪問網(wǎng)絡中更敏感的部分是必要的 )。 ? 下一層是 防火墻 。防火墻管理識別用戶身份的服務和允許訪問的應用程序。防火墻可以防止網(wǎng)絡邊緣的 PC或者服務器上，或者安裝在 路由器 和 交換機 等物理網(wǎng)絡硬件上。 ? 除了防火墻之外， 入侵防御和檢測系統(tǒng) 接下來監(jiān)視網(wǎng)絡的狀況、惡意軟件或者可疑的行為，阻止違反網(wǎng)絡管理員定義的規(guī)則和政策的活動。 ? 但是，必須強調(diào)的是，沒有任何一種方法是絕對安全的。區(qū)別合法的和不合法的行為的難度還需要人類某種程度的干預。 ? 防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障 . 防火墻的優(yōu)點： （ 1）防火墻能強化安全策略。 （ 2）防火墻能有效地記錄 Inter上的活動。 （ 3）防火墻限制暴露用戶點 ,對網(wǎng)絡存取和訪問進行監(jiān)控審計 。防火墻能夠用來隔開網(wǎng)絡中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播。 （ 4）防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。 (5)還支持具有 Inter服務特性的 VPN。 ? VPN的英文全稱是“ Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡”。虛擬專用網(wǎng)（ VPN）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。 它可以通過特殊的加密的通訊協(xié)議在連接在 Inter上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設物理線路。 ? VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或 Windows 2k xp等軟件里也都支持 VPN功能。 ? 虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于實現(xiàn)安全連接；實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。 ? 常用的虛擬專用網(wǎng)絡協(xié)議有： ? IPSec : IPsec(縮寫 IP Security)是保護 IP協(xié)議安全通信的標準，它主要對 IP協(xié)議分組進行加密和認證。 ? IPsec作為一個協(xié)議族（即一系列相互關聯(lián)的協(xié)議）由以下部分組成：(1)保護分組流的協(xié)議； (2)用來建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個部分：加密分組流的封裝安全載荷（ ESP）及較少使用的認證頭（ AH），認證頭提供了對分組流的認證并保證其消息完整性，但不提供保密性。目前為止， IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。 ? PPTP: Point to Point Tunneling Protocol 點到點隧道協(xié)議 ? 在因特網(wǎng)上建立 IP虛擬專用網(wǎng)（ VPN）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。 ? L2F: Layer 2 Forwarding 第二層轉(zhuǎn)發(fā)協(xié)議 ? L2TP: Layer 2 Tunneling Protocol 第二層隧道協(xié)議 ? GRE： VPN的第三層隧道協(xié)議 通用路由封裝 ? SSL VPN ? MPLS VPN ? Socks5 VPN Denning入侵檢測模型 信息安全的技術層次視點 System security 物理安全 System security 運行安 全 Information security 數(shù)據(jù)安全 Information security 內(nèi)容安全 系統(tǒng)自身的安全 “系統(tǒng)安全” Information Security 信息利用的安全 “信息對抗” 信息自身的安全 “信息安全” 層次結(jié)構(gòu) 結(jié)構(gòu)層次 三級信息安全框架 信息內(nèi)容對抗 國家計算機與網(wǎng)絡安全管理中心 主任 方濱興 院士 提出 信息系統(tǒng)的安全體系 管 理 體 系 培訓 制度 法律 組織體系 技術體系 技術管理 技術機制 機構(gòu) 崗位 人事 安全 策略 與 服務 密 鑰 管 理 審計 狀態(tài) 檢測 入侵 監(jiān)控 OSI安全技術 運行環(huán)境及 系統(tǒng)安全技術 物理 安全 系統(tǒng) 安全 安全服務 安全機制 OSI 安全 管理 ? “安全是一個過程，而不是一個產(chǎn)品”，Bruce Schneier ? 網(wǎng)絡安全生命周期模型 ? 評估，設計，工程實施、開發(fā)和制造，布署，運行、管理和支持 . 安全過程與系統(tǒng)安全生命周期模型 網(wǎng)絡信息安全設計四步方法論 美國國家安全局制定的信息保障技術框架（ IATF） 信息安全的層次分析 4 開放系統(tǒng)互連 (OSI)安全體系結(jié)構(gòu) ? 網(wǎng)絡體系結(jié)構(gòu)是計算機之間相互通信的層次，以及各層中的協(xié)議和層次之間接口的集合。 ? 國際標準化組織 ISO在提出了開放系統(tǒng)互連（ Open System Interconnection， OSI）模型，這是一個定義連接異種計算機的標準主體結(jié)構(gòu)。 OSI采用了分層的結(jié)構(gòu)化技術，每層的目的都是為上層提供某種服務。 OSI參考模型 ? OSI安全體系結(jié)構(gòu)的研究始于 1982年，于1988年完成，其成果標志是 ISO發(fā)布了ISO74982標準，作為 OSI基本參考模型的補充