網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全涉及到網絡自身的安全和網絡內信息的安全兩部分。通常所說的網絡安全，一方面要保證網絡運行無障礙，還要保證網絡的內容即網絡中產生、存儲、流轉、傳輸中的信息的完整性、保密性和可用性。

一、           網絡安全分層控制理論

1.         網絡安全的主要威脅

影響網絡安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結起來，主要有六個方面構成對網絡的威脅：

1.         人為失誤：一些無意的行為，如：丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當以及疏忽大意允許不應進入網絡的人上網等，

2.         病毒感染：從“蠕蟲”病毒開始到CIH、愛蟲病毒，病毒一直是計算機系統安全最直接的威脅，

3.         來自網絡外部的攻擊：這是指來自局域網外部的惡意的攻擊，

4.         來自網絡內部的攻擊：在局域網內部，一些非法用戶冒用合法用戶的口令以合法身份登陸網站后，查看機密信息，修改信息內容及破壞應用系統的運行。

5.         系統的漏洞及“后門”：操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。另外，編程人員為自便而在軟件中留有“后門”，

6.         隱私及機密資料的存儲和傳輸：機密資料存儲在網絡系統內，當系統受到攻擊時，如不采取措施，很容易被搜集而造成泄密。同樣，機密資料在傳輸過程中，由于要經過多外節點，且難以查證，在任何中介網站均可能被讀取。因而，隱私和機密資料的存儲及傳輸也是威脅網絡安全的一個重要方面。

2.         網絡安全的分層控制方法

在網絡安全上，通常采用分層控制方案，將整個網絡分為外部網絡傳輸控制層、內外網間訪問控制層、內部網絡訪問控制層、操作系統及應用軟件層和數據存儲層，進而對各層的安全采取不同的技術措施。

1.         外部網絡傳輸控制層

外部網絡是指局域網路由器和防水墻之外的公用網。可以從四個方面采取措施：虛擬專網（VPN）技術、身份認證技術、加密技術、物理隔離。

2.         內外網間訪問控制層

在內部局域網和外部網絡之間，可以采用以下技術來對外部和內部網絡間的訪問進行控制：防火墻、防毒網關、網絡地址轉換技術、代理服務及路由器、安全掃描、入侵檢測。

3.         內部網訪問控制層

在局域網內部，非法用戶的登陸和對數據的非法修改更加不易查出。當用戶安全意識差、口令選擇或保存不慎、帳號轉借和共享都會對網絡安全造成極大的威脅，從內部網訪問控制層進行安全防護，可采取五種措施：用戶的身份認證、權限控制、加密技術、客戶端安全防護、安全檢測。

4.         操作系統及應用軟件層

操作系統是整個系統工作的基礎，也是系統安全的基礎，因而必須采取措施保證操作系統平臺的安全。安全措施主要包括：采用安全性較高的系統，對系統文件加密，操作系統防病毒、系統漏洞及入侵檢測等：采用安全性較高的系統、加密技術、病毒的防范、安全掃描、入侵檢測。

5.         數據存儲層

數據存儲在服務器或加密終端上，數據存儲的安全性是系統安全性的重要組成部分。對數據的安全保護措施可以采用以下幾種方式：、使用較安全的數據庫系統、加密技術、數據庫安全掃描、存儲介質的安全技術。

3.         網絡安全分層控制的典型代表

在網絡安全分層控制理論指導下，目前主流的安全廠商都建立了各自的網絡分層安全解決方案。以Juniper公司為代表，我們簡單介紹一下網絡安全分層控制解決方案。

Juniper公司把網絡安全分為5種安全層，并針對不同的安全層設立相應的安全目標：

n  保護遠程訪問的通信安全

n  站點間的通信安全

n  網絡外圍構筑防御工事

n  最后一道防線：保護網絡數據中心/網絡核心

n  保護局域網的安全

針對不同的安全層，Juniper公司采用各種安全組件來保證同一層的安全。基本組件包括：

n  防火墻

n  入侵防護

n  虛擬專用網VPN

n  防病毒

n  WEB 過濾

n  防垃圾郵件

二、           網絡安全分層控制兩大特點

經過對網絡安全分層控制理論及代表性解決方案的介紹，我們可以看到這種安全方式的兩大基本特點：

1.         分層安全偏重于保障網絡自身安全，對信息安全保護力度不夠

防火墻、入侵防護、防病毒、WEB過濾、防垃圾郵件這些主要的安全組件，是從網絡本身硬件、軟件和網絡系統自身安全角度出發，來保證系統連續可靠正常地運行，對于網絡所受到病毒侵襲、外部攻擊、內部攻擊保護比較多，對于信息安全的保護，主要是通過訪問控制、身份認證等手段防止非法用戶接觸信息，在信息產生、存儲、流轉、傳輸生命周期中，往往只能控制流轉部分，不能做到全生命周期保護。

2.         加密技術使用雖多，但采用的是靜態加密技術，無法滿足用戶的業務需求

當前對于信息安全的要求方面，不僅僅要求靜態的安全性，還要求與業務流程結合的動態安全性，也就是說，結合信息產生、存儲、流轉、傳輸生命周期，與用戶業務流程相結合的完整性、保密性和可用性。

加密技術有靜態加密和動態加密兩種基本方式。動態加密(Encrypt on-the-fly)是指數據在使用過程中自動(動態)對數據進行加密或解密操作，無需用戶干預，合法用戶在使用加密的文件前，也不需要進行解密操作即可使用。表面看來，訪問加密的文件和訪問未加密的文件基本相同，對合法用戶來說，這些加密文件是“透明的”，即好像沒有加密一樣，但對于沒有訪問權限的用戶，即使通過其它非常規手段得到了這些文件，由于文件是加密的，因此也無法使用。由于動態加密技術不僅不改變用戶的使用習慣，而且無需用戶太多的干預操作即可實現文檔的安全，因而近年來得到了廣泛應用。

三、           網絡信息安全分域控制理論

面對一個龐大、復雜的信息系統，單獨對每一項信息資產確定保護方法，是非常復雜的工作，暢游于疏忽或者錯誤導致安全漏洞。但是將整個系統當成一個安全等級來防護，也難免造成沒有防護層次和防范重點，對風險，尤其是內部風險的控制能力不足。

較好的處理方式是進行安全域的劃分，制定資產劃分的規則，將信息資產歸入到不同的安全域中，每個安全域的內部都有著基本相同的安全特性，如安全等級、安全威脅、安全弱點、風險等。在此安全域的基礎上確定該區域的信息系統安全保護等級和防護手段，統一安全域內的資產實施統一的保護。

安全域是由一組具有相同安全保護需求、并相互信任的系統組成的邏輯區域。同一安全域的系統共享相同的安全側綠。安全域劃分的目的是把一個大規模復雜系統的安全問題，化解為更小區域的安全保護問題，是實現大規模復雜信息系統等級保護的有效辦法。

從信息安全的基本邏輯關系來看，可以把信息安全域分為安全計算域、安全業務域和安全存儲域、安全域邊界四個子域，可以將整個內部網絡的終端、端口、服務器、磁盤、數據庫等分別歸類，按照安全域分別采用相應的控制辦法。

1、      安全存儲域

安全存儲域包括終端磁盤、服務器磁盤、移動存儲設備磁盤等。

2、      安全業務域

安全業務域主要是需要訪問安全計算域的各類客戶端和維護終端，是安全域的風險子域，這也是處理所有業務的各個終端，包括臺式機、工作站、移動終端（筆記本電腦）、遠程連接終端等。

3、      安全計算域

安全計算域主要包括服務器和數據庫。這是安全域的核心子域。需要重點防護的是計算域內的數據進行加密

4、      安全域邊界

安全域邊界主要是端口。這主要包括|：終端端口（物理端口和網絡端口）、服務器數據進出端口，內網與外網連接端口。

如下圖：

 

 

 

 

 

四、           信息安全分域控制的代表性解決方案

采用加密技術來信息安全，已經成為共識。從實際應用上看，必須結合用戶的業務流程來確保信息全生命周期安全，所以以透明動態加密技術為核心的信息安全解決方案成為當前最合適的解決辦法。下面以北京億賽通公司的數據泄露防護（DLP）解決方案簡單介紹信息安全分域控制解決方案。

億賽通基于驅動層透明動態加解密技術，采用對應客戶需求的安全策略，以透明加密功能為核心，結合文檔透明加密、文檔權限管理、文檔外發控制、文檔備份、業務流程審批、磁盤全盤加密、磁盤分區加密等基本功能，融合身份認證、日志審計、端口管理、移動存儲管控和系統容災管理等功能，構建完整的數據泄露防護（Data Leakage Prevention，DLP）體系。

億賽通DLP采用分域安全架構，將整個網絡分為終端、端口、磁盤、服務器、局域網五大安全域，并以筆記本電腦、移動存儲設備、數據庫為安全域特例，針對各個安全域采取對應的安全策略，在確保內部網絡各個節點數據安全的基礎上，實現整體一致的全面防護。