圖示SAFE設(shè)計準則:安全不是堆砌

時間：2023-05-01 10:43:56 電子通信論文我要投稿

相關(guān)推薦

思科公司制定的面向企業(yè)網(wǎng)絡(luò)的安全藍圖(SAFE)的主要目標是，為用戶提供有關(guān)設(shè)計和實施安全網(wǎng)絡(luò)的最佳實踐信息。SAFE可作為正考慮其網(wǎng)絡(luò)安全性要求的網(wǎng)絡(luò)設(shè)計人員的指南。SAFE在網(wǎng)絡(luò)安全設(shè)計方面采用了深入防御的方式。這類設(shè)計的重點在于所預(yù)測出的威脅及減輕威脅的方法，而不是單純地“將防火墻放在這兒，將入侵檢測系統(tǒng)放在那兒”等。該策略帶來了一種安全分層方式，這樣，一個安全系統(tǒng)的故障就不大可能引發(fā)對整個網(wǎng)絡(luò)資源的損壞。SAFE以思科及其合作伙伴的產(chǎn)品為基礎(chǔ)。

設(shè)計原則

SAFE最大限度地模擬了當今企業(yè)網(wǎng)絡(luò)的功能需求。實施決策取決于所需的網(wǎng)絡(luò)功能。而以下按重要順序列出的設(shè)計目標則是決策制訂過程的指導(dǎo)準則：

1 安全性和基于政策的攻擊緩解

2 整個基礎(chǔ)設(shè)施的安全實施（而非僅為具體安全設(shè)備）

3 安全性管理和報告

4 對關(guān)鍵網(wǎng)絡(luò)資源的用戶和管理員驗證與授權(quán)

5 針對關(guān)鍵資源和子網(wǎng)的入侵檢測

6 對新興聯(lián)網(wǎng)應(yīng)用的支持

7 模塊概念

盡管大多數(shù)企業(yè)網(wǎng)絡(luò)隨企業(yè)不斷提高的IT要求而發(fā)展，SAFE體系結(jié)構(gòu)使用了環(huán)保型的模塊化方式。模塊化方式有兩種主要優(yōu)勢。首先，它允許體系結(jié)構(gòu)實現(xiàn)網(wǎng)絡(luò)各功能塊間的安全關(guān)系，其次，它讓設(shè)計者可逐個模塊地評估和實施安全性，而非試圖在一個階段就完成整個體系結(jié)構(gòu)。

圖1 SAFE第一層模塊

圖1為SAFE的第一層模塊。每塊代表一個功能區(qū)域�；ヂ�(lián)網(wǎng)接入服務(wù)供應(yīng)商（ISP）模塊不由企業(yè)實施，而是用于提供ISP為緩解某些攻擊而可能需要的特定安全功能。

第二層模塊如圖2所示，對每個功能區(qū)中的模塊進行了展示，這些模塊在網(wǎng)絡(luò)中扮演特定角色，有特定的安全需求，但圖中模塊規(guī)模并不代表其在實際網(wǎng)絡(luò)中的大小。例如，代表最終用戶設(shè)備的構(gòu)建模塊可能包括80％的網(wǎng)絡(luò)設(shè)備。每個模塊的安全設(shè)計單獨描述，但作為整個企業(yè)設(shè)計的一部分加以驗證。

圖2 企業(yè)SAFE分塊構(gòu)成圖

SAFE準則

路由器目標

路由器控制網(wǎng)絡(luò)間接入。它們向網(wǎng)絡(luò)廣播信息并過濾可以使用它們的人，它們是黑客潛在的最好朋友。路由器安全性是安全部署中的關(guān)鍵元素�？蓞⒖计渌嘘P(guān)路由器安全性的文件。這些文件提供了有關(guān)下列方面的更多細節(jié)：

遠程通信網(wǎng)到路由器的接入; 簡單網(wǎng)絡(luò)

[1] [2] [3]

【圖示SAFE設(shè)計準則:安全不是堆砌】相關(guān)文章：

堆砌04-30

淺談歷史教學圖示導(dǎo)入的類型與設(shè)計04-29

IPC,Safe Consumption Provider05-02

力的圖示教案04-25

圖示理論對譯者的啟示05-03