“分層安全”“全面防護”哪個更完美?
我們經常可以看到,似乎所有人都在談論“分層安全”、“分層防護”、“全面防護”,但實際上卻并沒有人知道這些詞匯究竟意味著什么。這三個詞往往交替使用,但正如經常有人將使用其中兩個來代表完全不同的事情,盡管在某些方面非常相似,但它們的概念其實有兩方面的不同。
一、分層安全
所謂的分層安全模式指得是可以在任何層次上實現一個完整的信息安全戰略。不論你是屬于一臺單獨計算機的系統管理員,通過網吧或者家庭接入互聯網的情況,還是管理一個擁有三萬企業用戶的廣域網的關鍵人物,一個包含了多層安全模式的部署工具都可以幫助你提高個人資料的安全性。
換句話說,這種安全模式是基于這樣的理論:即任何一種防御模式都可能是有缺陷的,找出存在缺陷的最好辦法是進行攻擊;因此,應該利用一系列不同的防御模式來對所有方面進行全面覆蓋。防火墻、入侵檢測系統、惡意軟件掃描工具、全面的審查工具以及本地存儲加密工具都可以提供其他方式不能提供的服務來保護信息技術資源的安全。
安全廠商提供的所謂垂直整合解決方案就是基于分層安全模式。一個常見的例子是為家庭用戶的諾頓互聯網安全套件,其中提供(包含了其他方面的功能)了:
1. 防病毒應用工具
2. 應用防火墻
3. 反垃圾郵件應用工具
4. 家長控制功能
5. 隱私控制功能
安全軟件供應商處在一個非常有趣的位置。為了最大程度上滿足其業務目標,它們必須一方面勸說客戶使用綜合全面的解決方案來保證自身單一供應商的地位不受到威脅;另一方面,它又必須試圖銷售分層安全的策略給那些不太可能購買自己集成解決方案的客戶,并試圖說服這些客戶,這種最佳的方式優于全面的解決方案。
這種需求上的矛盾導致安全軟件供應商的營銷策略出現了很多矛盾的方面,并且讓客戶也產生了很多混亂的認識。所以出于這種原因,僅僅責怪人們不了解“分層安全”的具體定義是不合理的。
“分層安全”的具體定義指的不是實現相同效果的多種基本安全工具。舉例來說,在微軟Windows系統中安裝ClamWin和AVG Free兩種防病毒工具并不是分層安全,盡管它們的覆蓋范圍也不是完全相同。這僅僅是一種冗余的安全措施,并不符合分層安全的特征。分層安全指的是多種類型的安全措施,防止來自不同載體的各種攻擊。
二、全面防護
全面防護的概念最早出現在軍事領域,指的是比分層安全范圍更全面的安全策略。但實際上。就象防火墻是分層安全策略的一個組成部分一樣,分層安全僅僅是全面防護策略的一個組成部分。
分層安全模式的缺陷是會掩蓋在每個組成部分結合成為整體系統的時間出現的漏洞,由于整體不僅僅是其組成部分的總和,繼續關注于提高技術以確保整體系統的安全將會變得更加的復雜。相比之下,全面防護的理念來源于系統的整體安全高于局部安全。分層安全的技術,可能為整體系統的安全造成新的漏洞,從而阻礙系統安全性的進一步提高。
一個采用了分層安全模式的解決方案通常有針對的重點,通常是針對一些一般性或特定類別的攻擊。舉例來說,象諾頓互聯網安全套件之類的分層安全軟件解決方案的重點是保護家庭用戶的臺式機系統不受到來自互聯網的惡意行為的攻擊威脅。而全面防護模式,則包含了更廣泛的范疇,舉例來說,硬件設備被盜、數據被未經授權的人恢復就是一個例子,甚至屏幕輻射竊密這樣的外來威脅也被包括在內了。
全面防護的策略中還包含了不直接產生保護效果的其它安全準備工作。這些類型的工作包括下面列出的內容:
1. 監控、警告和應急處理
2. 對授權用戶的活動情況進行分析
3. 災難恢復
4. 犯罪行為的報告
5. 攻擊行為分析
經過周密計劃的全面防護策略最重要的作用就是延緩攻擊威脅的到來。確保在遇到襲擊和自然災害時進行迅速的反應,并減少其帶來的損害。舉例來說,蜜罐系統可以在未經授權的訪問在網絡中出現時,迅速通知安全專家,并拖延其行動到安全專家能夠進行控制時為止。
三、分層安全與全面防護之比較
分層安全與全面防護是具有很多類似之處的兩個不同概念。在它們之間存在的并不是競爭關系。一個效果良好的分層安全策略對于信息技術資源的保護來說是非常重要的。而全面防護的策略則是擴大了安全保護的范圍,可以在新類型未知威脅出現的情況下,幫助你將威脅造成的損害減少到最低的程度。
所有這些安全方面的策略都會對處理方法帶來影響,所以在絕大多數情況下,一個小范圍的安全策略對已知具體類型攻擊的防護效果會更好一些。總的來說,分層安全與全面防護兩者是需要全面認知的,而第一步就是了解它們之間的不同之處,相同之處以及相互關系。
【編輯推薦】
