专栏名称: 安小圈

旨在交流网络安全知识、资讯、行业讯息、技术与产品的安全行业媒体平台。

网络中的安全VS现实中的安全--幻想篇

安小圈 · 公众号 · · 2025-01-24 08:45

正文

安小圈

第596期

网络安全 · 幻想篇

我就想写写自己的，根据我了解的网络安全架构，和OSI七层模型有紧密的联系，做了一些调整和归纳，将安全防护措施融入网络的各个层面。下面涵盖了，对六个层面的简要解析，以及每个层面"可能"采用的安全技术和措施：

1. 物理层安全：

保护网络硬件免受物理损坏、盗窃或未经授权的访问；
安全技术与措施：机房安全、门禁系统、监控摄像头、防火、防水、防静电等；

2. 接入层安全：

控制和管理用户或设备接入网络的过程；
安全技术与措施：802.1X认证、MAC地址过滤、端口安全、VLAN隔离等；

3. 系统层安全:

保护操作系统和运行在操作系统上的应用程序免受攻击；
安全技术与措施：防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、操作系统补丁管理、防病毒软件等；

4. 网络层安全：

保障数据在网络传输中的安全性；
安全技术与措施：虚拟专用网络（VPN）、加密技术（如IPsec）、路由协议安全、网络地址转换（NAT）等；

5. 应用层安全：

确保应用程序和服务的使用安全；
安全技术与措施：Web应用防火墙（WAF）、安全套接层（SSL）/传输层安全（TLS）、API安全、内容过滤等；

6. 管理层安全：

管理网络的配置、监控和审计；
安全技术与措施：网络监控、日志分析、安全管理中心（SOC）、配置管理、合规性检查等。

这六个层面的网络安全相互依赖，任何一个层面的薄弱都可能成为整个网络的突破口。因此，构建一个全面的网络安全体系需要在所有层面实施相应的安全措施，形成一个有机的整体。

—

物理层

物理层网络安全聚焦于保护实体环境和设备不受损害，确保网络基础坚固无虞。这里的关键在于三个核心领域：机房环境安全、物理设备安全和通信线路安全。

机房环境安全

想象机房就像一个高科技堡垒，需要做到：

防火防盗，防止静电和雷电的伤害；
保持适宜的温湿度，避免极端条件损伤设备；
预防电磁泄露，不让敏感信息随风飘散；

为了达到高标准，可参考《电子信息系统机房设计规范》和《数据中心通信基础设施标准》，有详细的指导，比如A级要求和Tier3级别以上的标准。

物理设备安全

设备本身也需要特别关照，重点在于：

抵御自然灾害，像地震、水灾这样不速之客；
防范电磁泄密，让秘密锁在" 保险箱 "里；
对付人为破坏，从偷盗到故意毁坏都要设防；

额外的防护措施包括：

防侧信道攻击，不让黑客从异常行为中嗅探秘密；
检测硬件木马，清除潜藏的风险；
建立硬件信任机制，确保源头纯净；
考虑容灾规划，做好最坏打算的准备；
可信硬件和电子防护，筑起多重屏障；
干扰屏蔽，隔绝外界干扰；

通信线路安全

通信线路是信息传递的生命线，需要：

日常安全操作，定期检查线路健康；
监控通信状态，及时发现潜在威胁；
防止监听窃取，保证信息在路上的安全。

综上所述，物理层网络安全是多方位、立体化的防护体系，每一个环节都是网络安全链中的关键一环，缺一不可。

—

接入层

接入层网络安全就像是网络世界的大门卫士，它负责检查每一个想进入网络的设备，确保它们都是"好同志"，不会带来麻烦。主要干两件大事：检查设备身份和防端口被"坏人"利用。

终端接入身份认证：设备的“身份证”检查

想象一下，网络就像一个大聚会，但不是谁都能进的。门卫（即认证系统）会对每个想进来的设备（如电脑、手机）进行" 身份证 "检查：

看看这设备是不是合规的，比如有没有装好杀毒软件，系统补丁是否更新，运行的软件是否安全；
如果设备不合规，比如没打疫苗（没更新补丁）或者携带病毒（有恶意软件），门卫会自动" 打标签 "，不让它进来，或者隔离起来，防止它影响其他人；

防端口攻击：堵住门缝，防止小偷

网络的门（端口）如果管理不好，小偷（攻击者）很容易钻空子。为了防止这种情况，有几项关键技术：

端口隔离，让不同的设备不能随意" 串门 "；
邻居发现防攻击，确保只有真正的邻居才能互相访问；
抑制广播风暴，避免信息大爆炸；
环路检测，防止信息在某个地方无限循环；
ARP检测和DHCP监测，确保地址分配不出错；
动态地址解析检测和IP源地址保护，防止假冒地址；
地址解析协议限速，控制信息流量；
密钥管理，确保加密通道的安全。

通过这些技术，接入层网络安全就像一个聪明的门卫，不仅检查" 身份证 "，还堵住所有可能的" 门缝 "，让网络环境更加安全可靠。

—

系统层

系统层网络安全，简单来说，就是要确保电脑系统软件的固若金汤，不让坏蛋有机可乘。它分成两大部分：设计一个安全的" 骨架 "和保证软件本身的安全。

设计安全的“骨架”

想象一下，我们要给房子设计一个既安全又牢靠的框架。体系架构安全就类似于这事儿，用的" 设计图 "包括：

动态安全循环（P2DR）：就像定期体检和及时修缮，确保房子随时都能应对突发状况；
修复能力模型（PDRR）：强调房子不仅要防得住，还要能快速" 回血 "；
纵深防御框架（IATF）：多层保护，就像给房子装上多道防盗门；
DNS系统安全：确保房子的" 门牌号 "不被篡改，防止坏人冒充；

保证软件本身的安全

软件安全技术，就是要让房子的内部装修既美观又安全，重点在于：

及时打补丁：就像给房子刷防水漆，防止雨水（病毒）渗透；
配置无误：确保门窗锁好，不给小偷留机会；
防止病毒入侵：装上防盗网，不让蚊虫（病毒）进屋；
语言处理程序：保证" 家具 "（程序）质量，用得舒心；
数据库安全：藏好" 保险箱 "，不让重要信息外泄；
辅助程序安全：确保" 备用钥匙 "安全，不会被滥用。

总的来说，系统层网络安全就是给软件穿上盔甲，从里到外都得安全，这样才能在数字世界里安心生活。

—

网络层

网络层网络安全，就像是信息高速路上的交警和路障，确保数据包安全无阻地从A点到B点。主要关注点是互联网、无线网、物联网和工控网的安全，确保传输过程中的信息不被" 偷窥 "或" 掉包 "。

互联网安全协议（IPSec）

想象一下，你的秘密信息就像装在信封里的信，IPSec就是那个负责加锁的邮差，确保你的信在传输过程中既不会被人打开偷看，也不会被冒领。通过加密和认证，它防止了网络监听和欺骗攻击。

虚拟专用网（VPN）

VPN就像一条隐形的隧道，专为特定用户服务。它让这些用户之间的交流变得安全，就像在隧道内说话，外面的人听不到。同时，它还设置了门禁，非内部人员无法进入，保证了内部网络资源的安全。

SSL：网络上的保险箱

SSL协议就像是网络上的保险箱，它通过数据加密技术，确保你的信息在网络传输过程中不会被" 小偷 "截取或窃听，让数据通信安全无忧。

其他安全技术

网络世界里还有许多" 超级英雄 "：

网络攻防专家，他们在暗处与黑客较量，保护网络安全；
安全监管人员，时刻监视着网络环境，确保一切正常；
法证追踪师，一旦发生网络犯罪，他们能追踪线索，找出" 罪犯 "；
匿名通信分析员，他们保护用户隐私，分析异常通信；
用户行为分析师，通过观察用户行为模式，提前预防潜在威胁；。

这些技术共同编织成一张安全大网，确保信息在互联网这个庞大生态系统中安全、高效地传输。

—

应用层

应用层网络安全，就像是数据的贴身保镖，确保你的信息在互联网这个大世界里既安全又私密。它主要关注点在Web安全、网络应用系统安全和应用数据安全。

Web应用安全：网购的守护神

SET协议，就相当于网络购物时的高级安全警卫。它通过公钥密码和数字证书，确保你的支付信息就像被装在保险箱里一样，只有你和商家才能打开，保证了交易的安全性。

网络应用系统安全：软件的金钟罩

国家标准GB/T 38674-2020，就像是软件开发的" 武功秘籍 "，教会开发者如何从数据加密、代码编写、资源管理到运行环境，全方位打造坚不可摧的应用系统，不让任何漏洞有机可乘。

应用软件的防火墙

针对软件，我们有各种安全技术，比如：

漏洞检测：定期体检，确保软件没病;