分層安全策略是一個很好的主意。在這一點上，大家并沒有分歧。但采用什么樣的分層安全策略才能實現真正有效的安全，這個問題是需要大家進行討論的。實際上，這個問題是需要著眼于實際的網絡環境情況，不同類型環境在需求上的差別也是很大的。

在確保分層安全策略有效時經常出現的一種錯誤是將關注重點放在邊界的安全上。前衛的安全專家們聲稱安全是沒有邊界的理論越來越受到追捧，但實際情況是：安全是存在邊界的，但對于安全來說邊界并不是最重要的。分層安全策略需要解決的是系統總體的安全，而不僅僅是邊界的安全。

現在的時代，防火墻已經不能有效地保護網絡中傳輸數據的安全了。網絡已經實現的永遠在線，系統有機的結合為不可分割的整體，尋找邊界已經顯得不那么現實了。這種情況下，從整體度選擇所有的安全措施進行系統保護是一種錯誤的做法。各部門以及不同業務用途的網絡都需要自己的保護措施，甚至需要更進一步的交叉保護。

確保網絡邊界不受到惡意的滲透是一項不可能完成的任務。到處游蕩的當地人利用筆記本計算機的無線設備尋找可以接入的網絡，其它類型的無線網絡安全破壞者，類似范·?？斯糁惙欠ㄟM入網絡資源中的樂趣或者惡意活動(至少在理論上是有可能出現的)，以及員工在進行網絡連接時沒有注意或者輕視安全方面的要求，這些行為都會繞過傳統的邊界安全措施給網絡安全帶來威脅。正是基于這方面的原因，采用分層安全策略的時間，應該不僅僅關注與怎樣防止威脅，而且也應該提供可以有效處理違規行為的方法，以便在由于某些原因導致信息泄露的時間，盡可能保證機密數據和設備的安全。

關于這方面，最常見的錯誤就是耗費大量時間和精力，采用了各種加密和認證措施來保證在邊界以外數據傳輸過程的安全，卻假定網絡內部的數據傳輸過程一定是安全的。實際上，即使是在名義上聲稱完全值得信賴的網絡中，我們也應該利用現有的IT設備進行保護。換句話說，即使是理應值得信賴的網絡也應被視為不受信任的，它并不是安全的，只是比起互聯網本身之類的安全性稍微好一些。我們應當采取的措施包含了，但不限于以下的方面：

本地系統連接到網絡的時間，登陸過程應該得到保護，畢竟在咖啡館之類的環境下通過公共無線網絡接入互聯網的時間是不存在邊界安全保護措施的。每臺系統必須使用防火墻，關閉不必要的服務，將必要的服務設置在最小權限下，最大限度的減少出現漏洞的可能性。即使你認為沒人能夠破解本地網絡的時間，也應該這么做。

用戶在使用網絡內部設備的時間必須進行安全認證。如果黑客控制了網絡內的一臺系統的話，通常情況下它會是一臺包含了網絡瀏覽器、電子郵件和即時通訊工具可以與外部網絡溝通的桌面系統，他或她也許就可以利用其來攻擊網絡中的其他系統。如果訪問郵件服務器的時間需要安全認證的話，將它變成病毒傳輸平臺的難度就變得比較大了;如果文件服務器要求安全認證的話，數據信息被盜竊的可能就會下降;如果防火墻設定了安全認證的話，它被重新容許接入互聯網的機會就很少了。作為安全認證部分的要求，只有通過了安全認證的系統才會被容許進行遠程連接。

為網絡設備提供安全保障和災難恢復等功能，舉例來說象數據完整審查和備份服務器，不應該受到來自外部或者內部的攻擊威脅。日志服務器應該只是記錄，不廣播信息;備份服務器絕不容許其它系統從這里復制數據，并進行刪除操作;數據完整審查服務器不應當受到可能導致數據完整審查操作受到影響的系統控制。

整個內部網絡中的信息交流也應該始終是加密的。如果使用者采用了是路由器/防火墻級別的網絡使用界面，就應該選擇安全超文本傳輸協議進行加密連接。如果使用者采用了Unix系統下的指定命令行處理程序的話，就應該使用OpenSSH，而不是遠程指定命令行處理程序或者其它類型的非加密工具。網絡文件的分享應該采用安全指定命令行處理程序文件系統，它包含了功能強大并且經過了同行審查的加密算法，而不要采用沒有加密、加密效果非常差或者總是部分加密的網絡文件系統或者服務器消息塊/通用網絡文件系統的分享方式。

就象一位拳擊手在比賽的時間需要帶上護齒器以保證牙齒的安全，而不僅僅是抵御住來自對手的重拳就可以成功一樣，你應該確保的是整個網絡由內而外的全面安全，利用現有的IT設備防范來自滲透或繞過邊界讓人意想不到的安全威脅。

分層安全策略可以有效地幫助大家解決一些網絡安全的問題，希望以上的內容已經讓讀者有了深刻的認識。

【編輯推薦】

1. 對抗網絡釣魚的關鍵是合作
2. 2011七大網絡安全威脅報告
3. 十年輪回 中國安全軟件的那些滄桑