“分层安全”与“全面防护”哪个更安全?

我们经常可以看到,似乎所有人都在谈论"分层安全"、"分层防护"、"全面防护",但实际上却并没有人知道这些词汇究竟意味着什么。这三个词往往交替使用,但正如经常有人将使用其中两个来代表完全不同的事情,尽管在某些方面非常相似,但它们的概念其实有两方面的不同。

一、分层安全

所谓的分层安全模式指得是可以在任何层次上实现一个完整的信息安全战略。不论你是属于一台单独计算机的系统管理员,通过网吧或者家庭接入互联网的情况,还是管理一个拥有三万企业用户的广域网的关键人物,一个包含了多层安全模式的部署工具都可以帮助你提高个人资料的安全性。

换句话说,这种安全模式是基于这样的理论:即任何一种防御模式都可能是有缺陷的,找出存在缺陷的最好办法是进行攻击;因此,应该利用一系列不同的防御模式来对所有方面进行全面覆盖。防火墙、入侵检测系统、恶意软件扫描工具、全面的审查工具以及本地存储加密工具都可以提供其他方式不能提供的服务来保护信息技术资源的安全。

安全厂商提供的所谓垂直整合解决方案就是基于分层安全模式。一个常见的例子是为家庭用户的诺顿互联网安全套件,其中提供(包含了其他方面的功能)了:

1. 防病毒应用工具

2. 应用防火墙

3. 反垃圾邮件应用工具

4. 家长控制功能

5. 隐私控制功能

安全软件供应商处在一个非常有趣的位置。为了最大程度上满足其业务目标,它们必须一方面劝说客户使用综合全面的解决方案来保证自身单一供应商的地位不受到威胁;另一方面,它又必须试图销售分层安全的策略给那些不太可能购买自己集成解决方案的客户,并试图说服这些客户,这种最佳的方式优于全面的解决方案。

这种需求上的矛盾导致安全软件供应商的营销策略出现了很多矛盾的方面,并且让客户也产生了很多混乱的认识。所以出于这种原因,仅仅责怪人们不了解"分层安全"的具体定义是不合理的。

"分层安全"的具体定义指的不是实现相同效果的多种基本安全工具。举例来说,在微软Windows系统中安装ClamWin和AVG Free两种防病毒工具并不是分层安全,尽管它们的覆盖范围也不是完全相同。这仅仅是一种冗余的安全措施,并不符合分层安全的特征。分层安全指的是多种类型的安全措施,防止来自不同载体的各种攻击。

二、全面防护

全面防护的概念最早出现在军事领域,指的是比分层安全范围更全面的安全策略。但实际上。就象防火墙是分层安全策略的一个组成部分一样,分层安全仅仅是全面防护策略的一个组成部分。

分层安全模式的缺陷是会掩盖在每个组成部分结合成为整体系统的时间出现的漏洞,由于整体不仅仅是其组成部分的总和,继续关注于提高技术以确保整体系统的安全将会变得更加的复杂。相比之下,全面防护的理念来源于系统的整体安全高于局部安全。分层安全的技术,可能为整体系统的安全造成新的漏洞,从而阻碍系统安全性的进一步提高。

一个采用了分层安全模式的解决方案通常有针对的重点,通常是针对一些一般性或特定类别的攻击。举例来说,象诺顿互联网安全套件之类的分层安全软件解决方案的重点是保护家庭用户的台式机系统不受到来自互联网的恶意行为的攻击威胁。而全面防护模式,则包含了更广泛的范畴,举例来说,硬件设备被盗、数据被未经授权的人恢复就是一个例子,甚至屏幕辐射窃密这样的外来威胁也被包括在内了。

全面防护的策略中还包含了不直接产生保护效果的其它安全准备工作。这些类型的工作包括下面列出的内容:

1. 监控、警告和应急处理

2. 对授权用户的活动情况进行分析

3. 灾难恢复

4. 犯罪行为的报告

5. 攻击行为分析

经过周密计划的全面防护策略最重要的作用就是延缓攻击威胁的到来。确保在遇到袭击和自然灾害时进行迅速的反应,并减少其带来的损害。举例来说,蜜罐系统可以在未经授权的访问在网络中出现时,迅速通知安全专家,并拖延其行动到安全专家能够进行控制时为止。

三、分层安全与全面防护之比较

分层安全与全面防护是具有很多类似之处的两个不同概念。在它们之间存在的并不是竞争关系。一个效果良好的分层安全策略对于信息技术资源的保护来说是非常重要的。而全面防护的策略则是扩大了安全保护的范围,可以在新类型未知威胁出现的情况下,帮助你将威胁造成的损害减少到最低的程度。

所有这些安全方面的策略都会对处理方法带来影响,所以在绝大多数情况下,一个小范围的安全策略对已知具体类型攻击的防护效果会更好一些。总的来说,分层安全与全面防护两者是需要全面认知的,而第一步就是了解它们之间的不同之处,相同之处以及相互关系。