37、保障网络安全：全面策略与实施指南

保障网络安全：全面策略与实施指南

1. 网络分类与风险考量

在进行网络安全规划时，我们会逐渐意识到可能遗漏某些类型的安全需求。若未发现缺失，可能是未充分考虑系统的安全需求。网络分类方案主要受两方面因素驱动：
- 通信模式：若一台计算机无需以特定方式与另一台计算机通信，则不应被允许这样做。
- 敏感度管理：不同敏感度的计算机应采用不同的管理方式，确保一台计算机被攻破时，其他计算机不受影响。

常见的错误是未将数据库服务器与应用服务器分开考虑。使用正确编写的数据库中间件（仅调用数据库中公开的存储过程并使用最小权限）时，应用服务器的敏感度通常低于数据库服务器。对数据库服务器的无限制访问意味着可以完全访问其上的所有数据，而对应用服务器的无限制访问则仅能访问数据库提供的数据。

在网络威胁建模过程中，我们假设对特定计算机的访问级别没有差异，或者这种差异与该过程无关。尽管Windows有一定的隔离机制防止普通用户完全控制计算机，但为简化模型，我们采用最坏情况假设，即基于攻击者完全控制计算机后可能的行为来设计隔离技术。例如，若攻击者控制了协作服务器，其对数据库服务器的访问权限取决于网络管理方式（哪些用户登录协作服务器）以及两者之间允许的流量。

若分类方案无法准确反映网络现状或预期，可采取两种解决方法：修改分类方案或改变假设。分类方案可能不适合风险管理策略，此时可调整方案以匹配策略；或者发现风险管理策略在理论上可行，但实际难以实施。这是验证策略实施可行性的机会，若没有风险管理策略，应借此机会制定。

2. 设计隔离策略

当拥有合理的网络威胁模型后，即可开始推导隔离策略。该策略主要基于已识别的通信模式，应在合理范围内尽可能严格。可通