2.1   安全的基本要素

要为组织建立一个有效的安全防御体系,必须要了解安全的基本要素,然后将这些要素运用到企业的安全策略中并进行具体实施。
 
安全基本要素主要包括以下六类:
 
l  划分安全级别
l  划分安全域
l  身份认证
l  访问控制
l  加密
l  安全审核

<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />2.1.1 划分安全级别<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

网络安全策略的第一步就是为企业的各种网络资源划分安全级别。在划分安全级别之前,我们需要先了解企业中包括了哪些网络资源。

 

²  网络资源分组

企业的网络资源一般可以分为以下几类:
 
l  终端用户资源。包括客户工作站以及相关外设,主要作为企业员工平常办公所用。
l  网络资源。包括路由器、交换机、集线器、配线柜以及墙里的网线等,作为网络互联的中间系统,进行网络数据的路由、存储和转发。
l  服务器资源。为企业用户提供各种服务,如WWW E-MailFTP服务等。
l  信息存储资源。一般为数据库服务器,存储了企业种运作所需的各种数据信息,如信用卡号、人力资源和敏感信息等。

 

²  网络资源安全级别的划分

在将企业资源进行分类后,就可以根据它们在企业网络中扮演的角色以及数据的敏感程度进行安全级别的划分以便进行不同级别的安全保护。
 
一般企业网络资源的安全级别可以划分为以下三类:
 
l  级别一,商业运作的中心。级别一的资源是一些运行关键业务并有高可需求的系统,不能容忍几小时甚至几分钟的停机,如电子商务公司的Web 服务器或企业网络的域控制器。此类资源一般占系统比例的5%左右,但安全的保护级别却最高,需要额外的安全措施、专用的系统级审核以及监视和其它安全功能等。
l  级别二,商业运作需要的,但不是至关重要的的资源。如存储员工通讯信息的数据库被破坏,对组织不会造成致命影响,所受的损失只是工作上的不方便而已。级别二资源通常约占系统比例的20% ,需要普通的安全保护、审核和恢复措施。
l  级别三,普通系统。此类系一般为终端用户资源,在组织中比例最大,约占75% 左右,但它的破坏通常不会对级别一和级别二产生影响。

2.1.2 划分安全域

一般常常理解的安全域(网络安全域)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。广义上则可认为安全域是具有相同业务要求和安全要求的IT系统要素的集合。一个安全域内可进一步被划分为安全子域,安全子域也可继续依次细化。
任何一处的安全薄弱点被恶意***者利用的话,都有可能导致整个安全体系的崩溃,这就是安全的“木桶原理”。但我们如果进行了安全域的划分,则可能将这种破坏屏蔽在一个单个的域中。所以安全域的分割是抗***的防护方式,安全域边界是灾难发生时的抑制点,防止影响的扩散,同时安全域也是基于网络和系统进行安全建设部署的依据,是基于网络和系统进行安全检查和评估的基础。

 

²  安全域划分的原则

IT系统网结构的安全域划分与传统意义上的物理隔离不同。物理隔离是由于存在信息安全的威胁而消极地隔断网络使信息不能得以共享。而安全域划分是在认真分析各套IT系统的安全需求和面临的安全威胁的前提下,既重视各类安全威胁,也允许IT系统之间以及与其他系统之间正常传输和交换的合法数据。
 
在安全域划分时应该遵循以下的一些基本原则:
 
1、根据角色和安全级别进行划分。根据IT系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分。
2、在划分的同时有针对性的考虑安全产品的部署。从网络构架层面来讲, IT系统网络整体结构安全域的划分是与安全产品的部署密不可分的,一方面安全域的划分为安全产品的部署提供了一个健康规范灵活的网络环境。另一方面,将安全域划分为域内划分和域外划分两种,域和域之间主要采用通过交换设备划分VLAN和防火墙来彼此策略隔离,在域内主要根据不同被保护对象的安全需求采用部署AAAIDS和防病毒系统等来完成,因此,安全域的划分不能脱离安全产品的部署。
3、安全域的个数不应过多。安全域数量过多,会导致在安全策略设置上过于复杂,会给今后管理带来很大不便。
3、兼容当前的IT结构。安全域划分的目的是发挥安全产品的整体效能,并不是对运营商IT系统原有局域网整体结构的彻底颠覆。因此在对运营商IT系统局域网结构改造的同时需要考虑保护已有投资,避免重复投入与建设。
²  安全域划分的方法

为满足组织网络安全分区防护的需求,我们需要为企业网络划分不同的安全区域。划分安全区域可以根据以下方法进行:
 
l  基于分布式结构划分安全域

 
分布式结构的网络是将分布在不同地点的计算机通过线路互连起来的一种网络形式,由于采用分散控制,即使整个网络中的某个局部出现故障,也不会影响全网的操作,因而具有很高的可靠性。分布式结构可以进行域内划分也可进行域外划分,如在域内可划分为核心交换区、生产区、日常维护区、互联区和DMZ区,而在域外划分可将网络安全区域划分为本地网络、远程网络、公众网络以及伙伴访问网络等四个大的区域。

 
l  基于业务流程优化安全域

 
一套完整的业务流程可能由不同厂商的基于异构平台的多种服务组合而成,每个服务都具有各自独立的安全域。这些安全域可能由不同企业的不同部门负责管理和维护。

 
l  基于层次结构构建立防护体系

 
对网络进行分层防护,有效地增加了系统的安全防护纵深,使得外部的侵入需要穿过多层防护机制,不仅增加恶意***的难度,还为主动防御提供了时间上的保证。如可以将网络分为核心层、汇聚层和接入层,每个网络安全层次内部包含的服务器具有相似的应用处理功能和相同的安全防护等级。而在不同的安全域之间则需要进行访问控制以作适度的安全隔离。

 
l  基于生命周期展开持续的防护

 
安全域的划分可以从一个IT业务系统建立的完整生命周期去考虑问题,即分别在系统的设计、规划、实施、运维和废弃等几个阶段考虑了IT安全建设的问题,而目前国内企业中可能大多都是基于已建造好的IT业务系统上考虑安全问题,所以必须考虑到生产系统上的安全解决方案的可操作性问题,此外还需要满足采用的措施不能影响系统正常运行,同时应便于维护以及安全措施的操作简易性,因为措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
²  某企业安全域划分示例

某组织按照机构职能和安全需求,根据具体的网络拓朴结构和网络应用情况,对组织内进行安全域划分。不同的安全域之间采用防火墙或 VLAN 进行隔离,并根据业务的实际情况出发对不同安全域间的通信关系进行系统分析,如配置 VLAN 间路由和访问控制列表( ACL) ,既保证 VLAN 间的通信,又保护各 VLAN 之间的安全。划分的结果如下表 所示。
 

2.1.3  身份认证

身份验证是用来验证实体或对象是谁或它的要求是什么的过程,它 是计算机系统安全保密防范最基本的措施, 也是网络操作系统验证用户、系统或系统组件身份的一种能力。在整个安全防御体系中,身份验证技术是 第一道防线,这种技术是对用户的身份进行识别和验证,以防止非法登录和访问。
认证方式一般有基于口令的认证方式、基于智能卡的认证方式和基于生物特征的认证方式。

 

²  基于口令的身份认证

基于口令的认证方式是最传统也是最常用的一种技术,是一种单因素的认证。由于其安全性依赖于口令强度、口令保护手段和口令更换周期,口令一旦泄露,用户即可被冒充,就将存在严重的安全问题。因此,基于口令的身份鉴别,必须加强对口令的管理。
普通系统用户的口令设置尽量不要设置为生日等具有明显联想色彩的弱口令,而安全性要求比较高的系统,口令的长度要根据信息系统处理国家秘密信息的密级决定。强度特别高的访问控制应使用一次性口令机制。

 

²  基于智能卡的身份认证

智能卡具有硬件加密功能,有较高的安全性。所有的智能卡都有微芯片,芯片中可以包含所有者的详细信息,如个人信用卡帐号、驾照信息和医疗信息等。智能卡读卡器是一种用于扫描智能卡的电子设备。在进行认证时,用户需要输入PIN(个人身份识别码,PIN 不必是一列数字,它也可以使用其他字母数字字符),智能卡认证PIN,成功后,即可读出智能卡中的秘密信息,进而利用该秘密信息与主机之间进行认证。
通过智能卡为登录到网络提供了很强的身份验证方式,如在验证进入域的用户时,这种方式使用了基于加密的身份验证和所有权证据。
基于智能卡的认证方式是一种双因素的认证方式(PIN+智能卡),除非同时获得用户的智能卡和个人识别码 (PIN) 才能假扮用户。由于需要其它层的信息才能假扮用户,因而这种组合可以减少***的可能性。另一个好处是连续几次输入错误的 PIN 后,智能卡将被锁定,因而使得词典***智能卡非常困难。另外,对智能卡的***逃脱不过检测,因为恶意***的人必须具有自己拥有的智能卡,而该智能卡的合法主人将会发现自己丢失了智能卡。

 

²  基于生物特征的身份认证

基于生物特征的认证方式是以人体惟一的、可靠的、稳定的生物特征(如指纹、虹膜、脸部、掌纹等)为依据,采用计算机的强大功能和网络技术进行图像处理和模式识别。该技术具有很好的安全性、可靠性和有效性,与传统的身份确认手段相比,无疑产生了质的飞跃。

2.1.4  访问控制

访问控制是计算机安全保密防范的第二道防线,是网络安全防范和保护的主要核心策略。它的主要任务是保证网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。这种控制是指对合法用户进行文件或数据操作权限的限制。这种权限主要包括对信息资源的读、写、删、改、拷贝、执行等。在内部网中,应该确定合法用户对系统资源有何种权限,可以进行什么类型的访问操作,防止合法用户对系统资源的越权使用。对涉密程度不高的系统,可以按用户类别进行访问权限控制;对涉密程度高的系统,访问权限必须控制到单个用户。
 
通常访问控制策略可以划分为自主访问控制、强制访问控制和基于角色的访问控制三种。
 
l  自主访问控制(Discretionary Access Control )。自主访问控制是一种允许主体对访问控制施加特定限制的访问控制类型。它允许主体针对访问资源的用户设置访问控制权限,用户对资源的每次访问都会检查用户对资源的访问权限,只有通过验证的用户才能访问资源。在自主访问控制策略环境中,为了保证安全,默认参考设置是拒绝访问,以提高信息的安全性。同时,自主访问控制是基于用户的,故此具有很高的灵活性,这使得这种策略适合各类操作系统和应用程序,特别是在商业和工业领域。
l  强制访问控制(Mandatory Access Control )。强制访问控制是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制,通过比较资源的敏感性与主体的级别来确定是否允许访问。当一个主体访问一个客体时必须符合各自的安全级别需求。强制访问控制的安全性比自主访问控制的安全性有了提高,但灵活性要差一些。强制访问控制在军事和市政安全领域应用较多。例如,某些对安全要求很高的操作系统中规定了强制访问控制策略,安全级别由系统管理员按照严格程序设置,不允许用户修改。如果系统设置的用户安全级别不允许用户访问某个文件,那么不论用户是否是该文件的拥有者都不能进行访问。
l  基于角色的访问控制(Role Based Access Control )。基于角色的访问控制是指在应用环境中,通过对合法的访问者进行角色认证来确定访问者在系统中对哪类信息有什么样的访问权限。系统只问用户是什么角色,而不管用户是谁。角色访问控制的优点有:便于授权管理、便于赋予最小特权、便于根据工作需要分级、责任独立、便于文件分级管理、便于大规模实现。角色访问是一种有效而灵活的安全措施,系统管理模式明确,节约管理开销,当前流行的数据管理系统都采用了角色策略来管理权限。

2.1.5  加密

加密是通过加密算法将需要存储或传送的信息(明文)进行各种变换和处理从而成为密文的过程。加密是信息安全的重要手段,对于经过加密的信息,即使被非法访问者窃取,也不能知道其中的具体内容,而只有授权的使用者用相应的密钥才可以将密文恢复成密文。
 
在信息安全系统中,信息加密主要有两种方式:传输加密和存储加密。
 
l  传输加密。信息传输加密用来防止通信线路上的窃听、泄漏、篡改和破坏。在开发式网络中,对网络通信的加密也越来越重要了,如对电子邮件的加密。传输加密方法很多,如可以利用IPSec IP层加密数据,如用SSLTLS在应用层加密。
l  存储加密。对于重要的涉密主机,由于涉密信息是存储于主机上的,应使用存储加密的方式,保证在PC 主机的重要涉密数据信息以密态储存,提高安全性。如Windows 2000内置的加密文件系统EFS就是一种很好的存储加密技术。

2.1.6   安全审核

安全审核就是通过各种技术或非技术手段,对现有组织构架内部所规定的各种策略、规定的一种检查,并通过日志的形式记录好与安全相关的事件。我们可以通过对安全日志的分析,发现和跟踪可疑事件,找到有关***者活动的相关法律证据,从而防止对各种敏感资源的破坏和滥用,保证系统的正常运作。
 
通过实施审核策略,使得计算机可以执行以下操作:
 
l  跟踪事件的成功和失败。如试图登录,试图通过特定的用户读取指定文件,修改某个用户帐号或组成员资格,以及修改安全设置等。
l  将未授权而使用资源的风险最小化。通过安全审核,可以帮助我们找到一些潜在的问题,如易受***的服务、防火墙设置漏洞、员工安全培训中的不足、不完善的***检测规则以及系统级别安全更新的忽略等问题,从而即时修复和改进,使资源的风险最小化。
l  维护有关用户和管理员活动的记录。通过安全日志对用户和管理员活动的记录,发现有意或无意的破坏行为,即时处理,保证系统的正常运行。

 

²  安全审核的类型

安全申核一般可以分为以下两种类型:
 
l  被动审核(Passive auditing )。是指计算机仅根据管理员的设置简单地记录相关安全事件,对***行为不作任何有效的阻断和反应。它不是一种实时的监测机制,管理员需要通过事后或定期的日志查看和分析,才能够发现问题并根据日志中的信息采取行动。这种审核类型如Windows 2000内置的审核功能,可以对登录以及对象的访问等事件作一定的安全日志记录,但不能做到实时有主动防御。此外,审计日志也很容易被***者删除,存在着一定安全隐患。
l  主动审核(Active auditing )。主动审核能对***事件进行主动的防御,它能实时的记录并主动对非法访问和侵入作出反应。反应包括结束会话、阻止访问特定主机(包括网站、FTP服务器和电子邮件服务器)以及跟踪非法活动源等。这种审核类型多见于各种***检测产品。
²  安全审核策略

过多的审核会给系统资源施加不必要的压力,而且你所有关心的审核记录将淹没在其他的垃圾信息里面;但审核太少又达不到安全分析所需要的信息量,会给系统带来不必要的安全隐患。所以在进行安全审核之前,需要制定相应的安全审核策略,通过可行性分析和风险分析来对资源进行安全级别的划分,然后通过不同的安全级别设置不同审核级别。
 
下表列出了不同的安全审核级别。
在制定了安全审核策略后,就要进行严格的实施。对涉密程度高的系统,安全日志应该能够自动检测并记录侵犯系统安全保密的事件,并能够及时自动告警。系统安全保密员应该定期审查安全日志,对于涉及国家机密级和国家秘密级的系统,审查周期不超过一个月;对于涉及国家绝密级的系统,审查周期不超过一周。审计信息对于发现网络是否被***和确定***源非常重要,也是查处各种侵犯系统安全保密事件的有力证据。因此,除使用一般的网管软件和系统监控功能外,还应使用目前较为成熟的网络监控设备或实时***检测设备,以便对网络操作进行实时检查、监控、报警和阻断,从而防止针对网络的***行为。

2.2   网络安全策略

随着互联网的普及和信息化的要求,越来越多的商业活动需要通过Web 协作或者即时消息等网络形式来实现增长、生产和通信。但随之新的安全问题也在不断涌现,DOS/DDOS频繁发生,***损失越来越大;蠕虫病毒从漏洞宣布到大规模在网络出现并攻陷全球网络的时间越来越短;间谍软件、***功利性越来越强,以盗取用户账号、密码、窃取机密信息为目的的案例明显增多;Web***日益猖狂,***手段越来越隐蔽;种类繁多的P2P/IM、热门游戏、垃圾应用在占用大量带宽的同时,极大地降低了工作效率……网络安全已成为当今世界关注的焦点问题之一。
面对网上的各种风险,企业需要的不是退缩,不是被动的防御,而是勇于面对,主动防御。评估企业网络安全风险,制定灵活、实用、有效的企业网络安全策略是企业网络安全首要的任务。

2.2.1 网络安全策略概述

安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。安全策略是信息网络系统安全的核心,对信息网络系统的安全起着至关重要的作用。安全策略允许构造一个有效的安全基础结构,并为整个组织机构的安全体系统建立提供指导方针。
 
在建立安全策略时,需要考虑以下三个重要组成部分,即:
 
l  法律。安全的基石是社会法律、法规与手段,通过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
l  管理。建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
l  技术。先进的安全技术是信息安全的根本保障。基于对信息网络系统面临的威胁进行风险评估分析,可采取相应的技术来保障信息系统安全。

2.2.2 基础安全原则

网络安全性要求高,访问限制必多,易用性不好;但易用性好了,网络安全方面存在的隐患必然增多。网络安全策略需要在更好的安全性和更好的易用性之间找到一个合理的平衡点。不管其易用性和安全性如何平衡,一个组织网络都需要达到一个最基本的安全,这种最基本的安全需要达到一个最基础的安全原则。
 
基础安全原则的可能涉及到以下方面:
 
l  可接受的使用策略。这是在管理层面上要做的,需要做一份所有员工和相关人员均需签署的协议或必须要遵守的规章制度。内容要具体、可执行,并定义哪些是可以接受的计算机行为,哪些是不可接受的行为(如严禁公司内部员工要组织内私用modem 上网、禁止员工私自安装软件以及禁止上某些网站等),明确说明个人或员工组对建立、修改和实现策略应付的责任,并附以相应的奖惩制度,从而确保安全策略的强制执行。
l  减少受***面。移除不必要的软件、关闭不必要的端口、停止或禁用一些风险较大且不必要的服务,并对可以被访问到的应用程序与端口等进行严格监控。
l  即时安全更新。随着网络系统日益复杂,系统和应用程序的安全漏洞将层出不穷。只有即时的进行安全更新,才能避免因漏洞的出现而受到***。
l  服务器和用户按角色进行分组。网络中的服务器和用户都有自己特定的角色,可以按角色分组,并按角色设置相应的安全和审计策略。
l  最小权利原则。任何安全个体、服务以及应用应以最小的安全权限执行其工作与职能并绝不能超越此权限。所以管理员在赋权时要特别小心,应仅赋予该对象需要完成其指定任务的特权,而且决不再多。
l  员工安全培训。应定期对从事操作和维护信息系统的工作人员进行培训,包括:计算机操作维护培训、应用软件操作培训、信息系统安全培训等,保证只有经过培训的人员才能上岗。对于涉及安全设备操作和管理的人员,除进行上述培训外,还应由相应部门进行安全保密专门培训,上岗后仍需不定期接受安全保密教育和培训。对于安全负责人要进行高级安全培训,并且取得“上岗证书”后方可任职。

2.2.3 整体安全体系结构

一个完整的安全防御体系,应当以整体安全策略为基础,在其上使用安全技术措施,建立相应的安全管理体系,从而实现对系统的安全保护。
整体安全体系统结构如下图所示。
从图中我们可以看出,整体安全策略在整个安全体系结构的最底层,它为整个安全体系统结构提供整体的规划和指导,是建立安全系统的第一道防线。
在整体安全策略的指导下,整体安全体系结构分为了安全技术措施和安全管理系统两个部分。
1、安全技术措施是信息网络系统安全的手段。从技术层面上,利用多种成熟、先进的技术措施,实现网络各个层次的安全防护。针对信息网络,安全技术所涉及的范围包括:物理安全、运行安全(防病毒、备份/恢复)、网络通讯安全、网络区域边界安全、信息加密、身份认证、PKI/CA等。
2、安全管理体系是信息网络系统安全的保证,尽管可以采取各种安全技术措施,但是没有相应的管理体系配合,整个系统还是有不安全的。一个完整的安全管理体系,包括安全管理机构、管理制度、管理技术以及对人员的管理等。
信息网络系统安全是一项牵涉面广的系统工程,我们需要充分考虑到各方面的要求,以技术手段,实现身份验证、访问控制、安全审计,之后,为进一步保障,又以各种附加安全产品,对单机和网络安全进行全方面加强,针对网络、操作系统、数据库、信息共享授权提出具体的措施。在技术外,再辅以管理的加强,以制度化和技术化的管理,全面加强安全整体体系。

2.3   纵深防御网络安全模型

纵深防御思想(Defense in Depth)也是近年来发展起来的一个崭新的安全思想,它从各个层面中(包括主机、网络、系统边界和支撑性基础设施等)、根据信息资产保护的不同等级来保障信息与信息系统的安全,实现预警、保护、检测、反应和恢复这五个安全内容。
通过使用分层的纵深防御体系统,可以增加***者被检测到的风险,并降低***者的成功几率。
目前,对于信息安全保障,业界已经存在较为成熟的可遵循的网络安全模型,如PDRRMPDRRPADIMEE以及微软的纵深防御体系等。本节将对MPDRR网络安全模型和微软纵深防御安全模型作一个介绍。

2.3.1 PDRR网络安全模型

MPDRR模型是一个最常见的具有纵深防御体系的网络安全模型。MPDRR模型就是5个英文单词的头字符:Management(安全管理)、Protection(安全防护)、Detection(***检测)、Reaction(安全响应)、Recovery(安全恢复)。MPDRR模型是在PDRR模型基础上发展而成,它吸取了PDRR模型的优点,并加入了PDRR没有管理这方面的因素,从而将技术和管理融为一体,整个安全体系的建立必须经过安全管理进行统一协调和实施。MPDRR网络安全模型如下图所示。

下面列出了MPDRR安全模型的各个环节:
 
l  第一环节:安全管理(M )。安全管理包括安全策略、过程和意识,是建立任何成功安全系统的基础,其制定的安全策略是整个网络安全模型体系的指导方针,它将安全模型中的各个环境进行有机的组合和协调。安全策略的执行需要技术和管理方面的进行,在管理方面需要制定相应的安全规章和制度,根据员工的角色定期进行的安全教育,并对安全的实施过程进行严格的监控制。
l  第二环节:安全防护(P )。安全保护是预先阻止可能发生的***,让***者无法顺利地***,可以减少大多数的***事件。除了物理层的安全保护外,它还包括防火墙、用户身份认证和访问控制、防病毒、数据加密等。
l  第三环节:安全检测(D )。通过防护系统可以阻止大多数的***事件,但是它不能阻止所有的***。特别是那些利用新的系统和应用的缺陷以及发生在内部***,防护能够起到的安全保护有效。因此MPDRR的第三个安全环节就是检测,即当***行为发生时可以即时检测出来。检测常用的工具是***检测系统(IDS)。IDS是一个硬件系统和软件程序的组合,它的功能是检测出正在发生或已经发生的***事件并作出相应的响应事件(IDS的内容我们将在随后的章节中讲到)。
l  第四环节:安全响应(R )。MPDRR模型中的第四个环节就是响应。响应是针对一个已知***事件进行的处理。在一个大规模的网络中,响应这个工作都是有一个特殊部门如计算机响应小组负责。响应的主要工作可以分为两种,即紧急响应和其他事件处理。紧急响应就是当安全事件发生时即时采取应对措施,如***检测系统的报警以及其与防火墙联动主动阻止连接,当然也包括通过其他方式的汇报和事故处理等。其他事件处理则主要包括咨询、培训和技术支持等。
l  第五环节:安全恢复(R )。没有绝对的安全,尽管我们采用了各种安全防护措施,但网络***以及其它灾难事件还是不可避免的发生了。恢复是MPDRR模型中的最后一个环节,***事件发生后,可以即时把系统恢复到原来或者比原来更加安全的状态。恢复可以分为系统恢复和信息恢复两个方面。系统恢复是根据检测和响应环节提供有关事件的资料进行的,它主要是修补被***者所利用的各种系统缺陷以及消除后门,不让***再次利用相同的漏洞***,如系统升级、软件升级和打补丁等。信息恢复指的是对丢失数据的恢复,主要是从备份和归档的数据恢复原来数据。数据丢失的原因可能是由于******造成,也可以是由于系统故障、自然灾害等原因造成的。信息恢复过程跟数据备份过程有很大的关系,数据备份做得是否充分对信息恢复有很大的影响。在信息恢复过程中要注意信息恢复的优先级别。直接影响日常生活和工作的信息必须先恢复,这样可以提高信息恢复的效率。

2.3.2 微软纵深防御安全模型

如下图所示,微软深度防御安全模型确定了 7 层安全防御。与其它安全模型相比,它的层次更加分明,更具纵深,技术上的实现更加具体和全面,它的设计确保威胁组织安全的企图受到层层防御,成功突破所有七层防御的几率几乎于零。如果按照这个模型在技术上和管理上严格实施,可以为企业网络建立坚固的防御体系统。