讓安全滲透進網絡

2013-12-03 17:08:33 電力信息化　點擊量：評論 (0)

摘要：本文分析了網絡安全的特點，提出了具體的行之有效的安全理念及解決方案。由于是實踐的總結，因此具有一定的參考性。關鍵詞：網絡安全安全滲透解決方案一、網絡安全形勢分析大家知道，自從1995年開始在網

摘要：本文分析了網絡安全的特點，提出了具體的行之有效的安全理念及解決方案。由于是實踐的總結，因此具有一定的參考性。

關鍵詞：網絡安全安全滲透解決方案

一、網絡安全形勢分析

大家知道，自從1995年開始在網絡中引進防火墻以來，網絡安全解決方案已經定型成為以防火墻為主的解決方案。這個解決方案的特點就是：將網絡劃分成不同安全等級的網段，在網段邊界放置防火墻，進行網段隔離和訪問控制。即使后來出現了針對應用層威脅的IDS產品，也無法動搖防火墻在網絡安全解決方案的核心地位。

通過分析這幾年的網絡安全發展形勢，我們發現這個傳統的網絡安全解決方案已經不能滿足網絡安全的需求了。原因是傳統的網絡安全解決方案對安全威脅的認識存在著誤區。

傳統網絡安全解決方案的認識誤區

þ 誤區1： 80％的安全威脅來自Internet。

產生這個誤區的歷史原因是：在1995～2000年人們談網絡安全的時候，大部分的計算機還是臺式機，臺式機固定在辦公區內，所遇到的安全威脅比較少，病毒的傳播還以軟盤傳播為主。那時候的安全威脅主要來自Internet，而且能夠有意識發動威脅攻擊是部分技術高手。

þ 誤區2：網絡安全就是防火墻。

產生這個誤區的歷史原因是：傳統觀念的網絡安全主要還是要基于邊界模式。該觀念認為通過把不同的網段劃分成不同安全級別的網段，在不同的網段之間設置防火墻，就可以保證80％的安全問題得到解決。最多再加上IDS，對應用層威脅進行監控，就可以基本上萬事大吉。

þ 誤區3：主機和應用層的安全防御和網絡無關。

產生這個誤區的歷史原因是：由于技術的限制，網絡產品如果要涉足主機和應用層的安全，必然造成該產品成為性能瓶頸－吞吐量低、延遲大。因此，該觀念認為網絡應該做的事情就是路由和交換。相應的，這個觀念所帶來的解決方案基于主機的安全軟件解決方案，例如在主機上裝各種各樣的防病毒軟件、主機IDS/IPS等等。主機的安全防御與網絡隔離，無法形成一個整體解決方案。

但是時過境遷，網絡安全技術和形勢的發展，使我們必須對傳統的網絡安全解決方案進行一下反思，必須對傳統的誤區進行澄清：