信息安全中三个比较重要的概念，分别是网络边界、计算环境和通信网络，从这三个层面进行技术防护，可保护系统资产不受损害，下面就结合地铁乘车安全对这三个概念及其防护措施进行类比说明。

　　大家都有乘地铁的经历，乘地铁需要排队过人工安检，背包要过X光安检机，通过安检后购买乘车票，使用乘车卡刷开入口闸机，选定乘车方向等待地铁来临，地铁闸门开启后进入地铁车厢，地铁抵达目标站点后出地铁车厢，使用乘车卡刷开出口闸机，离开地铁站点。

　　如果以地铁乘车安全来类比信息安全的相关概念，进出地铁的乘客可比作为一段段的数据流量，地铁安检区可比作为网络边界，购票、换乘、候车区域可比作为计算环境，飞驰的地铁及其一节节车厢可比作为通信网络。

　　我们想一下，在地铁安检区，会有哪些防护措施呢?首先安检区作为地铁乘车的唯一入口，所有进入地铁乘车的乘客都必须从安检区通过，对应到网络边界中就是明确的系统边界，所有的数据都通过这个明确的系统边界出入。

　　其次，乘客均需要通过人工安检和X光安检机进行安检，确保没有携带违禁物品，对应到网络边界中就是区域边界的包过滤，所有的数据都需要经过检测，确保没有携带恶意指令或代码。

　　另外，安检区安装有监控摄像头，用于记录来往乘客的身份信息，对应到网络边界中，就是区域边界安全审计，确保流量及访问行为都能被记录、审计。

　　安检区一般都会配备警卫人员及防爆、防恐装置，用于保障地铁乘客的人身安全，对应到网络边界中，就是区域边界完整性保护和恶意代码防护，确保进入网络的数据都是完整的、未遭破坏的(需要一套完整的机制实现，这里简化描述)，确保进入网络的数据都是非恶意的、可信的。

　　通过安检区后，就到了购票、换乘、候车区，在这一区域又有哪些防护措施呢?身着特殊服装、配有臂章、装戴工作证件的是地铁工作人员，只有这样装束的人员才可以刷卡出入地铁的指挥室或调度室，对应到计算环境中就是身份鉴别和访问控制，通过分配身份标识符，结合权限划分，能确保核心数据或设备不被随意访问，避免数据泄露或被恶意攻击。

　　购票、换乘、候车区也部署有监控摄像头，用于记录来往乘客身份信息及其行为，对应到计算环境中就是安全审计，能确保所有的数据及操作行为被记录在案，方便审查追踪;

　　购票、换乘、候车区四处张贴的警示标语，以及经过加固的栏杆、护栏、灭火设施都是为了保障乘客的人身安全，对应到计算环境中，就是数据完整性保护，能确保数据不被篡改、不被随意改动，保障数据的完整性。

　　购票、换乘、候车区会经常打扫和消毒，对应到计算环境中，就是客体安全重用，能确保数据信息在计算环境中不留下痕迹，规避泄露的风险。

　　购票、换乘、候车区一般也会配备警卫人员及防恐装置，用于保障地铁乘客的生命、财产安全，对应到计算环境中，就是恶意代码防范。

　　在地铁车厢以及地铁运行过程中，也有一系列安全防护措施，车厢中安装的监控摄像头用于监控乘客行为及车厢状态，对应到通信网络中就是通信安全审计，确保通信行为及流量能被记录，便于审计追查。

　　候车站台上的工作人员、驾驶员开动地铁前的对线检查、地铁车厢内的灭火器、应急锤、紧急制动装置以及张贴的警示标语都是为了保障行车过程中乘客的人身安全，对应到通信网络中就是通信数据完整性保护，确保通信的数据是完整的，未遭到篡改和破坏。地铁车厢内的温感、烟感、监控摄像头以及运行速度监测等装置(过程控制及数据采集装置-PCS)，是为了监测地铁运行状况，出现异常现象及时告警，避免运行安全事故的发生，对应到通信网络中就是异常检测，异常检测能对通信行为、数据、流量进行实时检测。

　　信息安全防护同地铁乘车一样，需要从各个层面进行技术防护，包括了网络边界的访问控制、包过滤、安全审计、边界完整性保护、恶意代码防范，计算环境的身份鉴别、访问控制、安全审计、数据完整性、客体安全重用、恶意代码防范，通信网络的安全审计、完整性保护、异常检测。