网络安全系统的基本组成

本文涉及的产品
云防火墙,500元 1000GB
简介:

以下内容摘自业界唯一一本真正从全局视角介绍网络安全系统设计的图书——《网络工程师必读——网络安全系统设计》一书。目前该书在卓越网上仅需要72折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&uid=479-8465001-9671654&prodid=bkbk975360

1.1.4 网络安全系统的基本组成

上节介绍到了,网络安全系统是一个相对完整的安全保障体系。那么这些安全保障措施具体包括哪些,又如何体现呢?这可以从OSI/RM的7层网络结构来一一分析。因为计算机的网络通信,都离不开OSIR/RM的这7层(注意,并不是所有计算机网络通信都需要经过完整的7层)。当然,网络安全系统又不仅体现在OSI/RM的7层结构中,因为安全风险还可以不是在计算机网络通信过程中产生的,如我们的操作系统(是属于系统层的)、应用软件、用户账户信息的保护、数据的容灾和备份,以及机房的管理等。

针对上节介绍的这几类主要安全隐患类型,我们所采取的安全策略最常见的就包括:

n 安装专业的网络版病毒防护系统(目前通常都已包括木马、恶意软件的检测和清除功能),当然也要加强内部网络的安全管理,因为这些也可以通过内部网络进行传播的;

n 配置好防火墙、路由器过滤策略和系统本身的各项安全措施(如针对各类攻击所进行的通信协议安全配置);

n 及时安装操作系统、应用软件的安全漏洞补丁,尽可能地堵住操作系统、应用软件本身所带来的安全漏洞;

n 有条件的用户还可在内、外网之间安装网络扫描检测、网络嗅探器(Sniffer)、入侵检测(IDS)和入侵防御(IPS)系统,以便及时发现和阻止来自各方面的攻击;

n 配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络安全管理,严格实行“最小权限”原则,为各用户配置好恰当的用户权利和权限;同时对一些敏感数据进行加密保护,对发出去的数据还可采取数字签名措施;

n 根据企业实际需要配置好相应的数据容易策略,并按策略认真执行。

以上具体安全措施将在本书后章中体现。但总体来说,一个完善的网络安全系统应该包括计算机网络通信过程中针对OSI/RM的全部层次安全保护和系统层的安全保护,如图1-1所示。系统层次的安全保护主要包括操作系统、应用服务器和数据库服务器等的安全保护。这样就可以构成一个立体的多层次、全方位的安全保护体系。

clip_image002

图1-1 网络安全系统的基本组成

OSI/RM各个层次的安全保护就是为了预防非法入侵、非法访问、病毒感染和黑客攻击。而非计算机网络通信过程中的安全保护则是为了预防网络的物理瘫痪和网络数据损坏。

【注意】并不是所有计算机网络通信都需要对OSI/RM的所有7层采取安全保护措施,因为有些计算机网络中只有其中的少数几层,如同一个局域网内部的通信仅物理层和数据链路层两层,在TCP/IP网络中,又可以把OSI/RM参考模型中的“会话层”、“表示层”和“应用层”合并在一个TCP/IP参考模型中的“应用层”,不必一层层采取单独的安全保护措施。

总的来说,网络安全系统的防护策略中应包括以下四大方面:

n 计算机病毒、木马、恶意软件的清除与预防

这个很常见,大家也很容易理解。主要措施就是安装各类专业的计算机病毒、木马和恶意软件防护系统,有单机版,也有网络版,在企业网络中,通常是采用网络版的。

n 黑客攻击的拦截与预防

网络安全威胁中绝大部分是来自黑客攻击的,因为它带来的后果可能非常大,也可能是毁灭性的。别看“攻击”就这两个字,现在的“攻击”可不再是那么简单了,可以针对OSI/RM的所有7层进行,还可以针对所有应用软件和网络设备进行,可以说攻击风险无处不在,防不胜防。

n 物理损坏的阻止与预防

这主要包括正常情况下的网络设备和网络线路故障,以及非正常情况下,一些别有用心的用户对网络设备和网络线路的故意破坏,这通常是由于管理不善造成的。

n 数据保护

这是网络安全的最后防线,网络可以瘫痪,可以重建,但数据不能损坏,不能丢失,因为数据无法重新人为得到。单位的网络数据有时关系着企业的发展和存亡。

以上这四个方面(当然具体涉及到非常多的安全技术和防护方案)就构成了一个完善的网络安全系统。OSI/RM参考模型中各层可采取的安全措施如图1-2所示,各层的安全保护分析将在下节分析。当然,这里显示的不可能是所有可以采用的安全保护方案的汇总,而仅提供一个基本防护方向,具体的安全保护方案不仅非常之多,而且还会不断发生变化,不断有新的可行安全保护方案的出现。各层所用的主要安全技术、产品和方案将在本书后面各章具体介绍。

clip_image004

图1-2 OSI/RM参考模型各层可采取的安全保护措施

本文转自王达博客51CTO博客,原文链接http://blog.51cto.com/winda/319463如需转载请自行联系原作者


茶乡浪子

相关文章
|
12天前
|
机器学习/深度学习 人工智能 算法
基于Python深度学习的眼疾识别系统实现~人工智能+卷积网络算法
眼疾识别系统,本系统使用Python作为主要开发语言,基于TensorFlow搭建卷积神经网络算法,并收集了4种常见的眼疾图像数据集(白内障、糖尿病性视网膜病变、青光眼和正常眼睛) 再使用通过搭建的算法模型对数据集进行训练得到一个识别精度较高的模型,然后保存为为本地h5格式文件。最后使用Django框架搭建了一个Web网页平台可视化操作界面,实现用户上传一张眼疾图片识别其名称。
62 4
基于Python深度学习的眼疾识别系统实现~人工智能+卷积网络算法
|
1月前
|
机器学习/深度学习 人工智能 算法
猫狗宠物识别系统Python+TensorFlow+人工智能+深度学习+卷积网络算法
宠物识别系统使用Python和TensorFlow搭建卷积神经网络,基于37种常见猫狗数据集训练高精度模型,并保存为h5格式。通过Django框架搭建Web平台,用户上传宠物图片即可识别其名称,提供便捷的宠物识别服务。
283 55
|
2月前
|
监控 安全 Linux
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景,包括 ping(测试连通性)、traceroute(跟踪路由路径)、netstat(显示网络连接信息)、nmap(网络扫描)、ifconfig 和 ip(网络接口配置)。掌握这些命令有助于高效诊断和解决网络问题,保障网络稳定运行。
108 2
|
3月前
|
机器学习/深度学习 数据采集 人工智能
未来的守护神:AI驱动的网络安全之盾,如何用智慧的光芒驱散网络黑暗势力?揭秘高科技防御系统背后的惊天秘密!
【10月更文挑战第3天】随着网络技术的发展,网络安全问题日益严峻,传统防御手段已显不足。本文探讨了构建AI驱动的自适应网络安全防御系统的必要性及其关键环节:数据采集、行为分析、威胁识别、响应决策和执行。通过Python库(如scapy、scikit-learn和TensorFlow)的应用实例,展示了如何利用AI技术提升网络安全防护水平。这种系统能够实时监控、智能分析并自动化响应,显著提高防护效率与准确性,为数字世界提供更强大的安全保障。
78 2
|
1月前
|
机器学习/深度学习 人工智能 算法
【宠物识别系统】Python+卷积神经网络算法+深度学习+人工智能+TensorFlow+图像识别
宠物识别系统,本系统使用Python作为主要开发语言,基于TensorFlow搭建卷积神经网络算法,并收集了37种常见的猫狗宠物种类数据集【'阿比西尼亚猫(Abyssinian)', '孟加拉猫(Bengal)', '暹罗猫(Birman)', '孟买猫(Bombay)', '英国短毛猫(British Shorthair)', '埃及猫(Egyptian Mau)', '缅因猫(Maine Coon)', '波斯猫(Persian)', '布偶猫(Ragdoll)', '俄罗斯蓝猫(Russian Blue)', '暹罗猫(Siamese)', '斯芬克斯猫(Sphynx)', '美国斗牛犬
188 29
【宠物识别系统】Python+卷积神经网络算法+深度学习+人工智能+TensorFlow+图像识别
|
30天前
|
数据采集 监控 安全
公司网络监控软件:Zig 语言底层优化保障系统高性能运行
在数字化时代,Zig 语言凭借出色的底层控制能力和高性能特性,为公司网络监控软件的优化提供了有力支持。从数据采集、连接管理到数据分析,Zig 语言确保系统高效稳定运行,精准处理海量网络数据,保障企业信息安全与业务连续性。
47 4
|
2月前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
89 32
|
2月前
|
弹性计算 监控 数据库
制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程
本文通过一个制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程,展示了企业级应用上云的实践方法与显著优势,包括弹性计算资源、高可靠性、数据安全及降低维护成本等,为企业数字化转型提供参考。
68 5
|
2月前
|
存储 数据可视化 API
重磅干货,免费三方网络验证[用户系统+CDK]全套API接口分享教程。
本套网络验证系统提供全面的API接口,支持用户注册、登录、数据查询与修改、留言板管理等功能,适用于不想自建用户系统的APP开发者。系统还包含CDK管理功能,如生成、使用、查询和删除CDK等。支持高自定义性,包括20个自定义字段,满足不同需求。详细接口参数及示例请参考官方文档。
|
2月前
|
监控 安全 测试技术
网络信息系统的整个生命周期
网络信息系统规划、设计、集成与实现、运行维护及废弃各阶段介绍。从企业需求出发,经过可行性研究和技术评估,详细设计系统架构,完成设备安装调试和系统集成测试,确保稳定运行,最终安全退役。
64 1
网络信息系统的整个生命周期