4.4 網絡系統安全管理

從層次上來講，網絡安全可以分為物理安全（主機、網絡設備、線路等物理介質的損壞造成的安全問題）、網絡層安全、系統安全（操作系統本身的安全）、應用層安全以及人員管理安全等方面。本節將介紹在管理一個網絡時所面臨的主要安全問題及其解決方案。首先對安全理論和技術進行一個簡單的概述，然后針對防火墻、入侵檢測、虛擬專用網等廣泛使用的安全防護技術進行介紹，最后簡單介紹網絡安全設計的內容。

4.4.1 網絡安全概述

互聯網在世界范圍內取得了巨大的成功，但在設計之初，并沒有對網絡安全問題給予高度重視，所以目前的互聯網是非常脆弱的，極易受到黑客和內部人員的攻擊和惡意破壞，這對電子商務、網絡金融等新興產業構成了巨大挑戰。本節對網絡管理中面臨的安全問題和解決方法進行簡要介紹。

根據所受到的安全威脅可以把安全問題歸納為機密性（保證機密信息不被非授權者獲取）、完整性（避免信息傳輸過程中信息的丟失、重復、時序差異，非法篡改等）、有效性（保證信息在網絡故障、操作失誤、病毒、黑客攻擊等潛在威脅下的有效性）、真實性（對信息傳輸各方進行身份進行認證）、不可否認性（用技術手段避免信息傳輸各方對信息傳輸和處理行為的否認）、可控性（對網絡系統的內部訪問和外部訪問進行嚴格的訪問控制）以及可靠性等。

從發展歷史來看，網絡安全技術和理論經歷了從20世紀60年代的通信保密（ComSec），到六七十年代的計算機安全（CompuSec），再到七八十年代的信息安全（InfoSec），直到目前的信息保障（IA）四個階段。而目前保障信息安全所需的理論和技術包括：

1．密碼學

1949年仙農（Shannon）的論文“保密系統的信息理論”奠定了現代密碼學的理論基礎，對于信息的保護是依靠密鑰的保密性而不是算法的保密性而實現的；1949年到1975年之間，以DES（數據加密標準）為代表的對稱密鑰密碼算法得到了飛速發展，這些算法至今依然發揮著巨大的作用；2001年DES因為密鑰長度太短而由AES（高級加密標準）取代。另一方面，用于破解密碼算法的“密碼分析學”也迅速發展起來，1967年Kahn的論文“The Codebreakers”是這一領域的里程碑；1976年，Diffie和Hellman的“密碼學的新方向”標志著具有革命性的公鑰密碼算法誕生。目前密碼算法已經逐步完整并成熟，成為包括加/解密、簽名/驗證、身份認證、消息認證、消息摘要、密鑰管理等領域的龐大技術體系。

其中，以DES、AES為代表的對稱加密算法用于進行高速的數據加/解密運算；以RSA、ELGAMAL為代表的公鑰加密算法用于完成密鑰分配和數字簽名等任務；以MD5、SHA-1為代表的HASH（摘要）算法以及MAC（消息認證碼）算法用于保證數據的完整性；數字簽名/驗證算法用于保證數據通信和處理的真實和不可否認性，所有這些算法和技術方案構成了當前保障信息安全的技術基礎，被廣泛運用在商業、政務、軍事等領域中。

2．公鑰基礎設施（PKI）

PKI是用來為網絡建立安全計算環境的框架。在這個框架下，參加某種網絡應用活動（例如網絡購物、網絡金融交易）的主體都用數字證書來表明自己的身份，并認證其余參與者的身份，認證中心CA為這些證書提供信用保證。PKI可以為各種網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰，從而保證傳輸信息的安全、真實、完整和不可抵賴。這種框架技術的普及將為網絡金融等活動的深入開展提供必要的保證。

PKI通過數字證書把用戶的身份與其公鑰關聯起來，進而提供不可否認的數字簽名功能。數字證書一般由第三方認證機構CA（certificate authority）頒發，CA為其簽發的數字證書提供信用保證。另外，CA之間也可以互相認證，CA的信用等級越高，它所簽發的證書就越可信。每個CA維護它所簽發的證書的有效性，提供注冊、注銷、簽發、更新、撤銷、驗證等服務。PKI可以提供會話保密、認證、完整性、訪問控制、源不可否認、目的不可否認、安全通信、密鑰恢復和安全時間戳等九項信息安全所需要的服務。在整個PKI框架中，公鑰算法居于中心地位。而對于最終用戶來說，只需去CA進行注冊并得到一個證書，在以后的重要網絡活動中，只要出示證書就可以確認對方身份并保證信息交換的安全性了。

3．應用標準（SSL, SET）

PKI技術為實現網絡金融應用的安全性提供了基礎，但是怎樣利用PKI這樣的基礎設施來保護金融、商務、政務等重要的網絡活動就是一個需要解決的問題。人們設計了很多保護網絡應用的安全通信協議，這些協議具有各自的適用范圍和技術路線，其中SSL/TLS是目前使用廣泛的保護Web應用的安全傳輸協議，工作在傳輸層；SET是針對在線支付體系的安全協議，工作在應用層。

安全套接字層（secure socket layer, SSL）協議用于保護Web通信，也是最早的可以用于電子商務的安全協議。它可以提供服務器認證、客戶端認證（可選）、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。1996年，Netscape推出了實用的SSL第三版。1997年IETF在SSL3.0的基礎上推出了傳輸層安全（transport layer security, TLS）協議的1.0版（也稱SSL3.1），并發表了Draft,1999年IETF正式發布了RFC2246。SSL/TLS建立在PKI框架下，使用公鑰體制（例如RSA）和X.509數字證書保護兩臺機器之間Web通信的機密性和完整性。SSL/TLS位于傳輸層（實際上是在TCP協議之上），使用TCP協議傳輸數據，可以為所有的應用層協議（HTTP、Telnet、FTP等）提供安全連接服務。SSL協議棧包括握手協議、記錄協議、報警協議和更改密碼規格協議等內容，使用簡便，成本較低；但也有一些缺點，包括非強制身份認證、不能對交易提供不可否認性服務、用戶的資料將會暴露給商家，缺少對多方交易過程的全方位保護等。

1996年美國Visa和MasterCard兩大信用卡組織聯合IBM、微軟等多家國際科技機構，共同開發了用于網絡上的以銀行卡為基礎進行在線交易的安全標準SET（secure electronic transaction），并于1997年發布1.0版。目前SET是唯一能夠保證信用卡信息安全的在線交易協議，保證了對所有交易參與者（消費者、商家和銀行）之間的認證，確保了交易數據的安全性、完整性、可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家。SET也使用公鑰密碼體制和X.509證書，可以說SET是PKI框架下的一個典型實現。SET協議中的支付系統由持卡人（cardholder）、商家（merchant）、發卡行（issuing bank）、付款行（acquiring bank）、支付網關（payment gateway）、CA（certificate authority）認證中心等六個部分組成，其設計目標包括付款安全（用戶資料不泄漏，對持卡人、商家、銀行進行身份認證，并定義安全通信所需的算法及協議）、互通性（提供一個開放的標準，保證不同廠商開發的應用程序可以兼容并可以應用于各種軟硬件平臺）、全球市場可接受性（對商家、持卡人影響最小及容易使用的前提下達到全球普遍性）。相比之下，SET對于電子商務和網絡金融活動來說更加合適，可以為各方面規避風險提供保障，但是SSL更加靈活，且已經占有很大的市場。

4．網絡安全（防火墻、入侵檢測）

互聯網連接起了無數的組織機構以便它們獲取信息、提供服務，但是內部網絡往往遭到來自外部網絡中的惡意或無意的破壞和入侵。為此人們采用防火墻和入侵檢測等技術實現內部網絡和外部網絡之間的信息交換過程中的安全。關于防火墻和入侵檢測的具體內容將在下文中詳細描述。

5．數據庫安全

數據庫中往往存放著極為重要的數據和信息，對數據庫的威脅主要來自于不正確的訪問、故意破壞、未經授權非法訪問、未經授權非法修改、來自外部網絡的惡意訪問等。尤其是在金融和商務單位中，數據庫往往受到來自外部和內部人員的入侵和破壞，所以怎樣防護數據庫系統的安全就成為操作系統安全之外的一個專門的議題。

數據庫的安全問題比較復雜，僅僅采用安全操作系統和防火墻等網絡防護技術是不夠的，還應包括以下幾個方面：

（1）訪問控制。訪問控制技術用于對數據對象分類，對用戶分級，并定義不同級別的用戶對不同數據對象的訪問權限，以便合法用戶按照授權正常訪問數據，同時避免非授權用戶的訪問。訪問控制是保護數據安全的前沿屏障和核心技術，也是最有效的手段。

（2）數據完整性。數據完整性包含正確性、有效性和一致性三個方面。在多用戶的數據庫系統中，多個事務的并行也可能導致數據完整性受到破壞，因此需要有并發控制機制來控制。另外安全的數據庫系統還必須提供數據庫恢復機制。數據庫的完整性包括語義完整性、結構完整性和數據項完整性三個方面。

（3）數據庫審計。其主要任務是對應用程序或用戶使用數據庫的情況進行記錄和審查，一旦出現問題，審計人員將對事件記錄進行分析，查出原因并做出相應處理。主要內容包括設備安全審計（安全策略、安全措施、恢復計劃）、操作審計（各種操作涉及的事務、進程、用戶、終端、時間、日期等）、應用審計（建立在數據庫系統之上的應用程序的功能、控制邏輯、數據流等）、攻擊審計（已發生的攻擊和危害系統安全的事件或企圖）等。

（4）數據庫加密。訪問控制和審計也不能完全保護數據庫系統的安全，一些專業人員（例如黑客）很可能繞過操作系統直接獲得數據庫文件，因此對數據的加密保護十分重要。必須考慮加密粒度、密鑰管理、加密算法、時空復雜度（效率）等問題。

6．計算機病毒防護

目前計算機病毒是網絡的巨大威脅之一，尤其是對參與網絡交易的個人和企業用戶的計算機更是易受攻擊的目標，例如各種蠕蟲和木馬程序可以侵入用戶的個人計算機并盜取信用卡號碼、賬戶等金融信息，企業網絡中的計算機也會遭到病毒的襲擊甚至在企業網絡內部快速傳染，進而導致網絡癱瘓。病毒具有隱蔽性、潛伏性、傳播性、激發性、破壞性的特點。按病毒入侵和系統的途徑可將病毒分為源碼病毒（source code viruses）、入侵病毒（intrusive viruses）、操作系統病毒（operating system viruses）、外殼病毒（shell viruses）等。為了預防和消除病毒，個人用戶和企業的網絡管理員應該采取以下措施：

（1）對于重要文件只允許使用讀操作。

（2）對于計算機系統中的程序要定期進行查毒工作。

（3）謹慎使用公共軟件；在設置各種口令時盡量復雜增加破譯難度。

（4）盡量不要將外來程序帶入本系統（除非嚴格檢查測試確認無毒）。

（5）安裝高質量的病毒防火墻防止病毒從網絡傳入本機，一旦感染用殺毒軟件進行查殺。

7．系統備份與恢復

永遠沒有絕對安全的系統，當系統受到入侵、破壞甚至來自自然界的突發災難時，必須要有辦法及時恢復系統中的重要資料，及時恢復系統的運行和服務。備份和恢復就是這方面的專門技術。

對數據完整性的威脅主要包括人為原因、硬件故障、網絡故障、突發災難等。針對這些挑戰，人們提出了很多保護數據完整性的方法，主要包括備份、歸檔、分級存儲管理（hierarchical storage management, HSM）、鏡像技術、廉價磁盤冗余磁盤陣列（redundant array of inexpensive disks, RAID）、容災計劃等。

8．計算機取證

跟現實世界中一樣，網絡中也時時發生犯罪事件，即使再完善的安全措施也不能保證網絡系統在被惡意的或者惡作劇的攻擊時不受損失，就好像在現實世界中再完善的法律和執法部門也不能杜絕犯罪和消除犯罪所造成的損失。尤其是開展網絡金融和網絡交易活動的機構和企業，一旦出現安全問題，損失是不可預料的。因此，當組織內部網絡或者個人用戶的系統受到非法的入侵和破壞之后，怎樣追蹤犯罪線索、收集證據、并為法庭提供證據就顯得非常重要，因此計算機取證也發展成為一個專門的安全議題了。

計算機取證（computer forensics）是運用計算機技術對計算機犯罪行為進行分析，以確認罪犯及電子證據并據此提起訴訟的一門技術，包括對計算機入侵與犯罪進行證據獲取、保存、分析和出示。IOCE（計算機證據國際組織）把電子證據定義為法庭上可能成為證據的以二進制形式存儲或傳送的信息。電子證據形式多樣，包括電子文檔、圖形、視頻、已刪除文件（沒有被覆蓋）、隱藏文件、系統文件、電子郵件、光盤、網頁和域名等。其特點包括多樣性、電子性、準確性、脆弱性、揮發性和高科技性。

計算機取證一般包含6個步驟：證據獲取（seizure process）、位拷貝（bit copy process）、分析檢查（examination process）、取證提交（reporting process）、證據存檔（archiving process）和證據呈供（deposition&testimony process）。

4.4.2 網絡防火墻

所謂防火墻，就是內部網和外部網之間傳輸的信息所必須經過的一個安全設備，就好像在內部網和外部網之間豎起一道墻，只有通過審查的信息流才能順利流通，否則就會被阻擋，這也是防火墻名稱的含義。防火墻是網絡安全方面最早、最成熟的技術。其基本功能是確保網絡信息傳輸的合法性，但又不能成為內外信息交換的性能瓶頸。防火墻可以是純硬件的，也可以是純軟件的，也可能是軟、硬兼有的。

防火墻的工作原理是按照配置好的策略和規則，監測并過濾所有信息流，只允許授權的數據通過。其授權策略基本可以分為兩種，一種比較嚴格但不方便：所有與規則匹配的信息流可以通過；另一種比較寬松但不可靠：所有與規則匹配的信息流不能通過。另外，防火墻還能記錄連接信息、通信量以及試圖闖入者的事件，以便管理員檢測和跟蹤。

防火墻的作用主要包括屏蔽不安全服務、站點訪問控制、集中安全保護、網絡連接日志及使用統計等。防火墻雖然能夠有效為內網建立一個比較安全的環境，但是防火墻也具有一些局限性，比如不能防御內部攻擊者、不能防御繞過防火墻的攻擊（例如后門）、不能防御全新的威脅、不能防御數據驅動的攻擊（例如病毒）。

1．防火墻的分類

防火墻的種類可以分為兩大類：包過濾型和代理型。包過濾防火墻一般配置在路由器上，所以有時又叫包過濾路由器。包過濾防火墻又分為靜態包過濾（static packet filtering）和狀態監測（state inspection）防火墻，而代理型防火墻又可分為電路級網關（circuit level gateways）防火墻和應用級網關（application level gateways）防火墻。

靜態包過濾防火墻工作在IP層。依據事先制定好的過濾邏輯（靜態規則）檢查過往信息流，根據源地址、目的地址、端口號、協議以及包頭中的各種標志位或它們的組合來確定是否允許該數據包通過。靜態包過濾防火墻的優點是邏輯簡單、價格便宜、對網絡性能的影響較小、有較強的透明性、與應用層無關（無需改動任何客戶機和主機上的應用程序）。其缺點是對管理員要求高（需要對IP、TCP、UDP和ICMP等各種協議有深入了解）、過濾規則只依據網絡層和傳輸層的有限信息、不能徹底防止地址欺騙及外部客戶與內部主機直接連接、不提供用戶的認證機制。

為克服靜態包過濾防火墻必須開放一些特定端口的弱點，人們提出了動態包過濾防火墻技術并提出了狀態檢測技術，其原理是根據數據包頭信息打開或關閉端口。狀態包過濾防火墻采用一個在網關上執行網絡安全策略的監測模塊，對網絡通信各層實施監測分析，提取相關的通信和狀態信息，并存儲在動態連接表中。這些表被持續更新，為下一個通信檢查累積數據。狀態包過濾防火墻還能對基于UDP的應用（DNS、WAIS等服務）和基于RPC的應用（NFS、NIS等）提供安全支持，而靜態包過濾防火墻和代理網關都不支持。總之，狀態包過濾防火墻減少了端口開放時間，支持幾乎所有服務。缺點是它也允許外部客戶和內部主機的直接連接，不提供用戶的認證機制。

應用級網關通常也稱為應用代理服務器，常見的HTTP和FTP代理服務器就是這種防火墻。它工作于應用層，用來控制應用層服務，起到外網向內網或內網向外網請求服務時的轉接作用。也就是說內網只接受代理的服務請求而不接受外網直接請求。當外網向內網請求服務時，先對用戶進行身份認證，通過認證后把請求轉發給內網的服務器并監控用戶操作（拒絕不合法的訪問），而當內網向外網請求服務時正好相反。應用網關的優點是：易于配置，不允許內外網主機直接連接，可以提供更詳細的日志記錄，可以隱藏內部IP地址，可以給單個用戶授權，可以為用戶提供透明的加密機制，可以與認證和授權等手段方便地集成；其缺點是：速度比包過濾慢，另外對用戶不透明，給用戶的使用帶來不便，而且這種代理技術需要針對每種協議設置一個不同的代理服務器。

電路級網關是通用的代理服務器，它工作在TCP層，適用于多個協議，但它不能識別在同一個協議棧上運行的不同的應用，當然也就不需要針對不同應用設置不同的代理模塊。電路級網關接受客戶端的連接請求，代表客戶端完成網絡連接，建立起一個回路，對數據包起轉發作用，數據包則交給應用層來處理。目前常見的socks 4、socks 5代理服務器就是這種防火墻。

2．防火墻的體系結構

如前文所述，防火墻是處在內網和外網之間的一個關鍵點，因此確定這個點的位置是很重要的。在防火墻與網絡的配置上有以下三種典型結構：雙宿/多宿主機模式、屏蔽主機模式和屏蔽子網模式。

雙宿/多宿主機防火墻（dual-homed/multi-homed firewall）是一種具有兩個或多個連接不同網絡的接口的防火墻，這種防火墻通常配置在一臺裝有兩塊或多塊網卡的堡壘主機（配置了較全面安全防范措施的計算機，是管理員認為最強壯的系統）上。其中一個網卡連接到外網，其余每個網卡連接一個內網。這種防火墻的特點是：主機的路由功能是被禁止的，兩個網絡之間的通信通過應用層代理服務來完成。如果一旦黑客侵入堡壘主機并使其具有路由功能，那么防火墻將變得無用。

屏蔽主機防火墻（screened firewall）由包過濾路由器和堡壘主機組成。通常在路由器設置過濾規則，把堡壘主機配置在內網并設置成外網唯一可直接到達的主機。這樣的兩層保護提高了防火墻的安全控制能力，實現了網絡層和應用層的安全。這種防火墻中包過濾路由器的配置是關鍵，如果路由表遭到破壞則堡壘主機就可能被越過，使內部網絡完全暴露。因此人們又提出了雙宿主堡壘主機的屏蔽主機防火墻，在堡壘主機上安裝兩個網卡，從物理上把內網和外網分開，所有流量都必須由堡壘主機轉發，這樣即使路由器被攻破，也不能繞過堡壘主機。

屏蔽子網防火墻（screened subnet mode firewall）采用兩個包過濾路由器和一個堡壘主機，在內外網之間建立了一個被隔離的子網，管理員將堡壘主機、Web服務器、E-mail服務器等公用信息服務器放在隔離區內。內網和外網都可訪問屏蔽子網，但不能繞過屏蔽子網直接通信。在這中配置中，即使堡壘主機被入侵，內網仍受到內部包過濾路由器保護。

4.4.3 入侵檢測系統（IDS）

防火墻技術雖然能夠有效監控信息流，控制對內網的訪問，但是防火墻是被動防御技術，只能按照既定規則對過往信息流進行控制，對于內部人員的惡意行為以及盜取了合法身份但懷有惡意目的的外部過往信息流卻無能為力，對于全新的攻擊方式也缺乏保護手段。為此人們提出了入侵檢測技術，可以對防火墻技術形成有益補充。

入侵檢測能夠快速發現網絡攻擊行為，擴展了管理員的能力（安全審計、監視、進攻識別和響應），提高了網絡安全基礎結構的完整性。其基本思想是從網絡系統中若干關鍵點收集信息，并分析這些信息，以確定網絡中是否有違反安全策略的行為和遭到襲擊的跡象，并把所有的記錄和分析結果補充到“知識庫”中，以便提高日后應對重復攻擊的能力，也就是說入侵檢測系統可以具有某種程度上的“學習能力”。另外由于入侵檢測只是“默默”地收集和分析信息，并不影響網絡性能，因此入侵檢測被認為是防火墻之后的第二道安全閘門，提供對內部攻擊、外部攻擊和誤操作的實時保護。

入侵檢測系統的工作流程是，首先提取相應的流量統計特征值，利用入侵知識庫與這些特征進行匹配，耦合度較高的流量被認為是進攻，進而報警或進行某種反制。入侵檢測系統所收集的信息的內容包括網絡流量的內容、用戶連接活動的狀態和行為等。分析方法包括模式匹配、統計分析和完整性分析。前兩種方法用于實時入侵檢測，第三種用于事后分析。其中，模式匹配技術已相當成熟，它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高，但是需要不斷地升級以對付不斷出現的黑客攻擊手法，并且不能有效檢測到從未出現過的黑客攻擊手段；統計分析方法首先對信息對象（如用戶、連接、文件、目錄和設備等）創建統計描述，然后統計網絡正常時的測量屬性，用這些測量屬性的平均值作為標準，當觀察值在正常偏差之外時，就認為有入侵發生，這種方法優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高；完整性分析主要關注某個文件或對象是否被更改，這種方法發現被惡意更改、被特洛伊化的應用程序方面特別有效，利用HASH算法（例如MD5）進行完整性分析能識別極微小的變化。這種方法優點是能發現任何導致文件或其他對象發生改變的攻擊，缺點是不能實時響應。

目前應用人工智能技術來提高IDS系統的能力是一個研究熱點，通過引入人工智能技術，IDS可以提供高質量的數據分析、詳盡的入侵知識描述庫、比防火墻更準確更嚴格更全面的審查。

與防火墻不同，部署IDS唯一的要求是掛接在所關注流量必經的鏈路上。也就是盡可能靠近攻擊源和受保護資源的地方。這些地方通常處于服務器區域的交換機上、Internet接入路由器之后的第一臺交換機上、重點保護網段的局域網交換機上等。

4.4.4 虛擬專用網（VPN）

VPN是為了滿足人們日益增強的利用公眾網絡資源來實現對專有網絡的需求而提出的技術。所謂VPN是指在公網中建立私有的專用網絡，利用加密的安全通道在公網中傳輸私有數據、共享資源的技術。利用VPN技術，分布在各地的企業分支機構可以通過公網來相互傳遞信息，還可以允許自己的用戶安全地進入企業局域網中享受服務。

目前建立VPN連接的標準包括IPSec和L2TP（layer 2 transfer protocol）。IPSec是IETF正式定制的開放IP安全標準，提供網絡層的安全特性，目前已經較為成熟，因此這里簡單介紹利用IPSec來建立VPN的技術。

IPSec是一個安全的IP協議集，它能提供鏈路上數據傳輸的安全性。IPSec通過公鑰加密、對稱密鑰算法和MAC（消息認證碼）來提供認證、保密、完整性和密鑰管理。在兩臺設備通過IPSec進行通信前，他們必須先通過一個握手過程來協商如何進行通信，包括使用哪種加密算法、多長的密鑰、通過哪種協議、這種協議工作在哪種模型里等。這些協商好的內容記錄和儲存在安全關聯（security association, SA）中。IPSec用認證頭（authentication header, AH）提供認證功能，用有效壓縮安全負荷（encapsulation security payload, ESP）提供數據完整性功能，用互聯網密鑰管理協議（Internet key management protocol, IKMP）提供數據保密功能。IPSec使用的密鑰交換協議是IKE（Internet密鑰交換）。它被用于在兩臺設備間產生、交換和管理對稱密鑰。

用IPSec可以配置VPN（虛擬專用網絡）、安全隧道等應用，Windows和Linux等主流操作系統也都支持IPSec，用戶可以在操作系統中自行配置。

4.4.5 網絡安全設計與實施

網絡安全涉及的內容既有技術方面的問題，也有管理方面的問題，技術方面側重于防范外部用戶的非法攻擊，管理方面側重于內部人為因素的影響。網絡安全的設計需要綜合考慮這兩方面的內容，制定出可靠的針對各個層次的安全策略，進而指導對于網絡安全產品的購買和網絡安全技術的實施。

1．網絡安全設計原則

網絡安全設計的一些基本原則包括：

（1）木桶原則。所謂網絡安全管理的木桶原則是指網絡安全的漏洞產生于網絡中最脆弱的環節。網絡系統往往非常復雜，容易造成漏洞的地方非常多，尤其是多用戶網絡系統自身的復雜性、資源共享性使單純的技術保護防不勝防。另一方面，攻擊者卻使用“最易滲透原則”去攻擊最容易被攻破的漏洞，因此對網絡安全的漏洞和威脅的分析應該盡量做到充分、全面、完整，這是設計網絡安全系統的必要前提條件。

（2）整體性原則。也就是說一個完整的網絡安全系統應當至少包括安全防護機制、安全監測機制和安全恢復機制三個方面，缺一不可。

（3）平衡原則。也就是說，應當在建立網絡安全系統時綜合考慮信息安全和信息利用兩個方面。一方面，為彌補系統漏洞會采取多種技術手段和管理措施，另一方面，過多的安全防護措施勢必給系統的運行和用戶的使用造成額外的負擔，因此安全和高效有時是一對矛盾，應當平衡處理，而不應為了絕對的安全而忽略了易用性。

（4）分級原則。良好的網絡安全系統應當分為不同等級，包括信息保密程度、用戶操作權限、網絡安全程度、系統實現結構等。這樣可以針對不同級別的對象提供針對性的安全保護，為不同層次的需求提供服務。

（5）設計優先原則。安全系統的設計應與網絡設計緊密結合，而不是在出了問題之后再進行彌補，也就是說好的設計才能帶來好的安全性保證。

（6）可控原則。并非最復雜的安全產品一定會帶來最好的安全效益，應當本著可控的原則來考慮安全產品的選擇，另外完全依賴國外進口產品也會帶來相當大的不可控因素。

（7）價值原則。考慮安全方案的同時必須考慮性價比，應當考慮昂貴的安全產品帶來的安全性與所花費的成本相比是否值得。

2．網絡安全的實施

網絡安全的實施包括以下幾個步驟：

（1）確定面臨的各種攻擊和風險。設計階段需要根據具體的系統和網絡環境分析、評估和檢測，確定系統的潛在安全漏洞和威脅。

（2）確定安全策略。確定網絡安全系統的目標和原則，包括系統整體安全性、對原系統的負荷和影響（如網絡通信延時、數據擴展等）、便于管理和配置、可擴展并便于更新和升級、用戶界面友好、投資總額和工程時間等。

（3）建立安全模型。有效的模型可以簡化問題，安全模型包括各個安全子系統，比如安全體制、網絡安全連接和網絡安全傳輸等。安全體制包括安全算法庫、安全信息庫和用戶接口界面；網絡安全連接包括安全協議和網絡通信接口模塊；網絡安全傳輸包括網絡安全管理系統、網絡安全支撐系統和網絡安全傳輸系統。

（4）選擇并實現安全服務。包括物理層安全（防止物理通路的損壞、竊聽、攻擊等）、鏈路層安全（劃分VLAN、加密通信等）、網絡層安全（用戶授權，避免網絡層的攻擊、監聽、攔截等）、操作系統安全（保護重要資料、訪問控制、對應用進行審計）、應用平臺安全（保護應用軟件和服務的安全，如數據庫服務器、電子郵件服務器，Web服務器等）、應用系統（如通信內容安全，身份認證，審計等）。

（5）安全產品的選型。測試選型工作應當嚴格按照企業規范、綜合利用技術手段對安全產品進行功能、性能與可用性等方面的測試。測試工作應該由專業的中立組織進行，應當綜合采用國際標準、國家標準與企業規范。