安全边界：引入纵深管理体系

    在上面的讨论中，我们会发现，某一类网络安全设备所起到的安全管理作用是有一个作用域限制的。这就引出了一个安全边界的概念。这个概念猛地听上去好像很模糊，但是其实仔细一想就发现这个概念并不难理解。
 
    在网络安全管理方面的术语里，有一个名词叫做“安全域”，我们在进行网络安全管理的时候，第一步做的事情就是安全域的划分。这部分的工作就是我们把我们管理的网络按照应用，划分出不同的边界，定义出各自的安全领域。举个最简单的例子，我们在PC上安装了相关的杀毒软件，这就是一个最简单的安全域，这个安全域就是对用户需要的文件以及数据同病毒、木马等恶意程序之间的边界划分工作。

     对于一个单位来说，如何确定安全的边界？安全域应该怎样划分呢？传统的安全区域的划分可以分成两类：根据安全等级划分；根据资源位置划分。现在，我们重点根据资源位置划分来进行解释。

    根据资源位置划分的目标是将同一网络安全等级的资源，根据对企业的重要性、面临的外来攻击风险、内在的运行风险不同，划分成多个网络安全区域。

    首先，针对于不同的应用，进行不同的网络规划，进一步通过您的网络规划来制定相关的网络安全边界设置。举例来说，我们在制定安全管理策略的时候首先要把安全问题划分为内网安全和外网安全，然后再外网安全方面建设防火墙，建设隔离网栅等设备；在内网安全方面设置灾难备份，信息安全加密，审计系统等等。

    在这个例子中，首先把安全的大边界，内网和外网的边界进行划分，然后针对可能来自外网的安全威胁进行安全的保障。其次是要考虑内网的应用。在内网上有邮件的应用，那么有可能架设防垃圾邮件系统来确定合法邮件与非法邮件之间的边界，如果有涉密的电子版文件，那么需要有相关的信息保密系统来确定合法访问用户和非法访问用户之间的边界。

    此时，我们会发现，要管理内网终端，我们就得引入立体的网络管理体系，从而把内网终端、网关、网关外等几个节点都包括进去。