网络如果想要稳定，健康的运行，安全问题是必须解决的，可以说，安全是保证网络工作的前提。得安全者得长生，网管员如果能够保证了网络的安全，便相当于握住了网络的“长生剑”。

长生剑——边界解决安全问题

随着时间的发展，安全威胁无论在形式上还是在数量上，都已呈现出爆炸性的增长；现在每天都有成百种新型病毒在网上出现，而主流应用平台的安全漏洞更是数以千计。用户的防御体系，早已从单点设备防护转移到如何治理混合型威胁的趋势中来。这些混合攻击大多可以绕过现有的安全节点，如独立的VPN、防火墙和防毒产品，形成各种形态持续的攻击流。混合攻击以及蠕虫木马病毒增加了数据外泄与丢失的可能性，而配置错误和缺乏管理等问题更使实现整体安全防御的难度增加。另外，企业核心资料、涉密资料丢失方面的信息安全问题，内网安全问题也是我们需要考虑的。

网管员面对时刻变化的安全问题应该如何处理？应该以怎样的思路来解决安全问题？我们在这里向您提出建议，想要处理好安全问题，请关注您的安全边界。

实际上，我们所有的安全问题都是在解决一个安全边界的问题。这个概念猛地听上去好象很模糊，但是其实仔细一想就发现这个概念并不难理解。

在安全方面的术语里，有一个名词叫作“安全域”，我们在进行网络安全管理的时候，第一步做的事情就是安全域的划分。这部分的工作就是我们把我们管理的网络按照应用，划分出不同的边界，定义出各自的安全领域。举个最简单的例子，我们在PC上安装了相关的杀毒软件，这就是一个最简单的安全域，这个安全域就是对用户需要的文件以及数据同病毒、木马等恶意程序之间的边界划分工作。

边界从何而来？

我们需要制定安全边界首先要知道的就是边界的来源。边界是从哪里来的呢？在考虑这个问题的时候首先我们要明确网络安全工作的目的。我们进行了大量的安全工作，其目的是让我们有一个健康稳定的网络平台，使得在这个平台上的各种应用能够顺利地运行。所以，网络安全所要达到的效果是保证网络应用，网络安全边界也应该从应用中来。举例而言，很多提供邮件服务的服务商都会选用相关的反垃圾邮件系统，因为对于他们来说，网络应用就是提供邮件服务，如果这部分的服务没有完善，那么他们的用户就会流失，所以，他们为了邮件这一应用，确定了合法邮件和非法邮件之间的边界。我们常说安全方面的三分技术，七分管理，这七分管理工作实际上就是在制定安全的边界，并且通过管理手段和技术完善巩固边界。

用户是如此，安全厂商也是如此，所有安全厂商的安全产品实际上都是在不断的巩固自己产品所管理的边界。比方说杀毒软件厂商在不断的更新自己的病毒库，实际上就是在完善合法数据和非法数据之间的边界工作。

边界的划分

对于一个单位来说，如何确定安全的边界？安全域应该怎样划分呢？传统的安全区域的划分可以分成两类：根据安全等级划分；根据资源位置划分。

　　根据资源位置划分

　　根据资源位置划分的目标是将同一网络安全等级的资源，根据对企业的重要性、面临的外来攻击风险、内在的运行风险不同，划分成多个网络安全区域。我们需要注意服务器方面的安全，这实际上首先要做的就是计算安全区域的边界划分，执行划分的原则是将同一网络安全层次内服务器之间的连接控制在相同的安全域内，尽量消除不同安全层次之间的联系，实施相互逻辑或物理隔离。在运行维护风险方面，网络设备的故障和各种操作失误都会对相关设备造成影响，有效的分区隔离，可以将这种影响限制在较小的区域内部，有利于保证整体应用系统的网络安全运行。在安全防护风险方面，由于不同安全区域之间是采用隔离的方式，黑客的攻击不可能继续扩散到其他区域，使得入侵被控制在最小的范围内。除了计算资源的安全域划分，我们还要注意到根据资源位置划分的安全域还包括类似针对交换机和路由器的网络传输资源的安全域划分，针对涉密文件的涉密资源安全域划分等等。

　　这样的安全边界划分工作看上去似乎非常的繁琐，实际上操作起来并不难。您首先需要考虑的是您所在的单位得网络应用，针对于不同的应用，进行不同的网络规划，进一步通过您的网络规划来制定相关的网络安全边界设置。举例来说，我们在制定安全管理策略的时候首先要把安全问题划分为内网安全和外网安全，然后再外网安全方面建设防火墙，建设隔离网栅等设备；在内网安全方面设置灾难备份，信息安全加密，审计系统等等。在这个例子中，首先把安全的大边界，内网和外网的边界进行划分，然后针对可能来自外网的安全威胁进行安全的保障。其次是要考虑内网的应用。在内网上有邮件的应用，那么有可能架设防垃圾邮件系统来确定合法邮件与非法邮件之间的边界，如果有涉密的电子版文件，那么需要有相关的信息保密系统来确定合法访问用户和非法访问用户之间的边界。总之，一切的边界设置要从网络应用出发，把应用由大到小进行分析，并且设置出相关的安全域。

根据安全等级划分

　　这也是我们通常所说的“垂直分层”管理模型。每个单位对于网络的应用是不一样的，关注的重点也不一样。如何对不同等的安全域确定相对应安全等级呢？我们给您的建议是，越是贴近您的核心应用的业务，安全域的安全等级便越高。

　　我们在网络上的应用非常的多，每一种网络应用都有对应的安全威胁。如果说我们把我们所有的应用都加以完全的安全保障是不现实的，在进行安全保障的时候，神州泰岳软件股份有限公司的副总经理王志刚先生提出了一个名词非常有意思——“适度安全”。也就是说，您只需要针对一些比较重要的应用制定不同的安全等级就可以了。这个安全等级的划分实际上就是一个安全域高低的划分。甚至在某些重要的应用中，我们会设置出安全域的叠加
。

　　比方说，应用服务对我们来说非常重要，我们对涉及到应用系统的相关安全等级就应该比较高。我们可以将承载不同应用的主机分为4个网络安全层次：核心层、应用层、隔离层与接入层。对应用系统实施网络分层防护，有效地增加了系统的安全防护纵深，使得外部的侵入需要穿过多层防护机制，不仅增加恶意攻击的难度，还为主动防御提供了时间上的保证。

　  这个安全方案通过外部和内部的防火墙划分出了两个嵌套在一起的安全域，当外部攻击穿过第一层安全域，也就是外层防护机制进入应用服务区后，进一步的侵入受到了第二层安全域，也就是应用层和核心层防护机制的制约。由于外层防护机制已经检测到入侵，并及时通知了管理员，当黑客再次试图进入应用区时，管理员可以监控到黑客的行为，收集相关证据，并随时切断黑客的攻击路径，这样，通过两层边界的划分，对于SQL服务器的保护机制是最完善的。