什么是“縱深防御”？很多人和資料都有不同的解釋，有許多資料將“縱深防御”和“分層防護(hù)”等同起來(lái)，
上次文章介紹了“分層防護(hù)”，分層防護(hù)是根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀情況和網(wǎng)絡(luò)的結(jié)構(gòu)，將安全防范體系的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理等各個(gè)層級(jí)，在每個(gè)層級(jí)實(shí)施相應(yīng)的防護(hù)策略和手段?！翱v深防御”與“分層防護(hù)”既有區(qū)別又有聯(lián)系。

“縱深防御”實(shí)際上并不是一個(gè)網(wǎng)絡(luò)安全領(lǐng)域的專屬名詞，早在二十世紀(jì)初，前蘇聯(lián)元帥米·尼·圖哈切夫斯基就在對(duì)第一次世界大戰(zhàn)以及國(guó)內(nèi)戰(zhàn)爭(zhēng)經(jīng)驗(yàn)的基礎(chǔ)上，提出了一種名為“大縱深作戰(zhàn)理論”的思想。由于網(wǎng)絡(luò)安全的本質(zhì)就是黑客與開(kāi)發(fā)者之間的攻防戰(zhàn)，所以信息安全領(lǐng)域中的“縱深防御”概念確與戰(zhàn)爭(zhēng)學(xué)上的思想有著共通之處，其核心都是多點(diǎn)布防、以點(diǎn)帶面、多面成體，以形成一個(gè)多層次的、立體的全方位防御體系來(lái)挫傷敵人、保障自身的整體安全。

根據(jù)《信息安全工程師教程（第2版）》的描述，縱深防御模型的基本思路就是將信息網(wǎng)絡(luò)安全防護(hù)措施有機(jī)組合起來(lái)，針對(duì)保護(hù)對(duì)象，部署合適的安全措施，形成多道保護(hù)線，各安全防護(hù)措施能夠相互支持和補(bǔ)救，盡可能地阻斷攻擊者的威脅。目前，安全業(yè)界認(rèn)為網(wǎng)絡(luò)需要建立四道防線：安全保護(hù)是網(wǎng)絡(luò)的第一道防線，能夠阻止對(duì)網(wǎng)絡(luò)的入侵和危害；安全監(jiān)測(cè)是網(wǎng)絡(luò)的第二道防線，可以及時(shí)發(fā)現(xiàn)入侵和破壞；實(shí)施響應(yīng)是網(wǎng)絡(luò)的第三道防線，當(dāng)攻擊發(fā)生時(shí)維持網(wǎng)絡(luò)"打不垮"；恢復(fù)是網(wǎng)絡(luò)的第四道防線，使網(wǎng)絡(luò)在遭受攻擊后能夠以最快的速度“起死回升”，最大限度地降低安全事件帶來(lái)的損失?？疵枋龌旧鲜菍?duì)應(yīng)美國(guó)國(guó)防部提出的PDRR模型，即（Protection防護(hù)、Detection檢測(cè)、Response響應(yīng)、Recovery恢復(fù)）。PDRR改進(jìn)了傳統(tǒng)只有防護(hù)的單一安全防御思想，強(qiáng)調(diào)信息安全保障的四個(gè)重要環(huán)節(jié)。
保護(hù)（Protection）的內(nèi)容主要有加密機(jī)制、數(shù)據(jù)簽名機(jī)制、訪問(wèn)控制機(jī)制、認(rèn)證機(jī)制、信息隱藏、防火墻技術(shù)等。
檢測(cè)（Detection）的內(nèi)容主要有入侵檢測(cè)、系統(tǒng)脆弱性檢測(cè)、數(shù)據(jù)完整性檢測(cè)、攻擊性檢測(cè)等。
響應(yīng)（Response）的內(nèi)容主要有應(yīng)急策略、應(yīng)急機(jī)制、應(yīng)急手段、入侵過(guò)程分析及安全狀態(tài)評(píng)估等。
恢復(fù)（Recovery）的內(nèi)容主要有數(shù)據(jù)備份、數(shù)據(jù)修復(fù)、系統(tǒng)恢復(fù)等。

但是PPDR模型總體還是比較局限于從技術(shù)上考慮安全問(wèn)題。隨著信息化的發(fā)展，人們?cè)絹?lái)越意識(shí)到信息安全涉及面非常廣，除了技術(shù)，管理、制度、人員和法律等方面也是信息安全必須考慮的因素，就像一個(gè)由多塊木板構(gòu)成的“木桶”，木桶的容量由最短的那塊短板決定。在處理信息安全問(wèn)題是，需要全面考慮各方面的因素。

所以美國(guó)國(guó)家安全局（NSA）發(fā)布的信息安全保障技術(shù)框架IATF（Information Assurance Technical Framework）提出了縱深防御戰(zhàn)略思想，其3個(gè)核心要素就是人、技術(shù)和操作。信息系統(tǒng)安全保障依賴于人、技術(shù)和操作來(lái)共同實(shí)現(xiàn)組織機(jī)構(gòu)的職能。
IATF用一句話概括起來(lái)就是：一個(gè)核心思想、三個(gè)核心要素、四個(gè)焦點(diǎn)領(lǐng)域。

一個(gè)核心思想
一個(gè)核心思想就是"縱深防御"，縱深防御也被稱為深度防護(hù)戰(zhàn)略（Defense-in-Depth），是指網(wǎng)絡(luò)安全需要采用一個(gè)多層次、縱深的安全措施來(lái)保障信息安全。因?yàn)榫W(wǎng)絡(luò)信息的安全不是僅僅依靠一兩種技術(shù)或簡(jiǎn)單的安全防御設(shè)施就能實(shí)現(xiàn)，必須在各個(gè)層次、不同技術(shù)框架區(qū)域中實(shí)施保障機(jī)制，才能最大程度地降低風(fēng)險(xiǎn)，應(yīng)對(duì)攻擊并保護(hù)信息系統(tǒng)的安全。在一個(gè)規(guī)范的信息系統(tǒng)網(wǎng)絡(luò)中，我們可以看到在網(wǎng)絡(luò)出口有防火墻，在DMZ區(qū)有防火墻，在服務(wù)器前端還有防火墻，這就是縱深防御思想的一個(gè)體現(xiàn)。需要在多個(gè)位置部署安全措施，看似重復(fù)，但是因其面對(duì)不同的業(yè)務(wù)、其安全策略有很大的差異。

三個(gè)核心要素
三個(gè)核心要素是人、技術(shù)、操作。網(wǎng)絡(luò)安全三分靠技術(shù)、七分靠管理，三要素中的“人”指的就是加強(qiáng)管理。
人是信息系統(tǒng)的主題，也是信息系統(tǒng)的擁有者、管理者和使用者，是信息安全保障的核心；
技術(shù)是重要手段，需要通過(guò)技術(shù)機(jī)制來(lái)保障各項(xiàng)業(yè)務(wù)的安全，是一種被動(dòng)防御；
操作也稱為運(yùn)行或運(yùn)營(yíng)安全，是一種主動(dòng)防御的體系和機(jī)制，包括風(fēng)險(xiǎn)評(píng)估、監(jiān)控、審計(jì)、入侵檢測(cè)等。

四個(gè)焦點(diǎn)領(lǐng)域
網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境、支撐性基礎(chǔ)設(shè)施4個(gè)焦點(diǎn)領(lǐng)域?；谶@4個(gè)焦點(diǎn)領(lǐng)域，結(jié)合IATF縱深防御的思想進(jìn)行信息安全防御從而形成保障框架。

1.保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施
網(wǎng)絡(luò)和其他基礎(chǔ)設(shè)施是信息系統(tǒng)及業(yè)務(wù)的支撐，是整個(gè)信息系統(tǒng)安全的基礎(chǔ)。應(yīng)采取措施確保網(wǎng)絡(luò)和基礎(chǔ)設(shè)施能穩(wěn)定可靠運(yùn)行，不會(huì)因故障和外界影響導(dǎo)致服務(wù)的中斷或數(shù)據(jù)延遲，確保在網(wǎng)絡(luò)中進(jìn)行傳輸?shù)墓驳摹⑺饺说男畔⒛苷_地被接收者獲取，不會(huì)導(dǎo)致未受權(quán)的訪問(wèn)、更改等。保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施防護(hù)措施包括但并不限于以下方式。

• 合理規(guī)劃以確保骨干網(wǎng)可用性。
• 使用安全的技術(shù)架構(gòu)，例如在使用無(wú)線網(wǎng)絡(luò)時(shí)考慮安全的技術(shù)架構(gòu)。
• 使用冗余設(shè)備提高可用性。
• 使用虛擬專網(wǎng) (VPN)保護(hù)通信。

2.保護(hù)區(qū)域邊界
信息系統(tǒng)根據(jù)業(yè)務(wù)、管理方式和安全等級(jí)的不同，通?？梢詣澐譃槎鄠€(gè)區(qū)域，這些區(qū)或多或少都有與其他區(qū)域相連接的邊界。保護(hù)區(qū)域邊界關(guān)注的是如何對(duì)進(jìn)出這些區(qū)域邊界的數(shù)據(jù)流進(jìn)行有效的控制與監(jiān)視。要合理地將信息系統(tǒng)根據(jù)業(yè)務(wù)、管理方式和安全等級(jí)劃分不同的安全區(qū)域，并明確定義不同網(wǎng)絡(luò)區(qū)域間需要哪些數(shù)據(jù)傳遞。在此基礎(chǔ)上采取措施對(duì)數(shù)據(jù)進(jìn)行控制與監(jiān)視。通常采取的措施包括但并不限于以下方式。

• 在區(qū)域邊界設(shè)置身份認(rèn)證和訪問(wèn)控制措施，例如部署防火墻對(duì)來(lái)訪者進(jìn)行身份認(rèn)證。
• 在區(qū)域邊界部署人侵檢測(cè)系統(tǒng)以發(fā)現(xiàn)針對(duì)安全區(qū)域內(nèi)的攻擊行為。
• 在區(qū)域邊界部署防病毒網(wǎng)關(guān)以發(fā)現(xiàn)并過(guò)濾數(shù)據(jù)中的惡意代碼。
• 使用VPN設(shè)備以確保安全的接人。
• 部署抗拒絕服務(wù)攻擊設(shè)備以應(yīng)對(duì)拒絕服務(wù)攻擊。
• 流量管理、行為管理等其他措施。

3.保護(hù)計(jì)算環(huán)境
計(jì)算環(huán)境指信息系統(tǒng)中的服務(wù)器、客戶機(jī)及其中安裝的操作系統(tǒng)、應(yīng)用軟件等。保護(hù)計(jì)算環(huán)境通常采用身份鑒別、訪問(wèn)控制、加密等一系列技術(shù)以確保計(jì)算環(huán)境內(nèi)的數(shù)據(jù)保密性、完整性、可用性、不可否認(rèn)性等。保護(hù)計(jì)算環(huán)境的措施包括但并不限于以下方式。

• 安裝并使用安全的操作系統(tǒng)和應(yīng)用軟件。
• 在服務(wù) 器上部署主機(jī)入侵檢測(cè)系統(tǒng)、防病毒軟件及其他安全防護(hù)軟件。
• 定期對(duì)系統(tǒng)進(jìn)行漏洞掃描或者補(bǔ)丁加固，以避免系統(tǒng)脆弱性。
• 定期對(duì)系統(tǒng)進(jìn)行安全配置檢查，確保最優(yōu)配置。
• 部署或配置對(duì)文件的完整性保護(hù)。
• 定期對(duì) 系統(tǒng)和數(shù)據(jù)進(jìn)行備份等。

4.支撐性基礎(chǔ)設(shè)施
支撐性基礎(chǔ)設(shè)施是提供安全服務(wù)的基礎(chǔ)設(shè)施及與之相關(guān)的一系列活動(dòng)的綜合體。IATF定義了兩種類型的支撐性基礎(chǔ)設(shè)施：密鑰管理基礎(chǔ)設(shè)施(KMI) /公鑰基礎(chǔ)設(shè)施(PKI)和檢測(cè)與響應(yīng)。

• KMI/PKI：提供支持密鑰、授權(quán)和證書管理的密碼基礎(chǔ)設(shè)施并能實(shí)現(xiàn)使用網(wǎng)絡(luò)服務(wù)人員確實(shí)的身份識(shí)別。
• 檢測(cè)與響應(yīng)：提供入侵檢測(cè)、報(bào)告、分析、評(píng)估和響應(yīng)基礎(chǔ)設(shè)施，它能迅速檢測(cè)和響應(yīng)入侵、異常事件并提供運(yùn)行狀態(tài)的情況。

IATF的4個(gè)技術(shù)焦點(diǎn)區(qū)域是一個(gè)逐層遞進(jìn)的關(guān)系，從而形成一種縱深防御系統(tǒng)。因此，以上4個(gè)方面的應(yīng)用充分貫徹了縱深防御的思想，對(duì)整個(gè)信息系統(tǒng)的各個(gè)區(qū)域、各個(gè)層次，甚至在每一個(gè)層次內(nèi)部都部署了信息安全設(shè)備和安全機(jī)制，保證訪問(wèn)者對(duì)每一個(gè) 系統(tǒng)組件進(jìn)行訪問(wèn)時(shí)都受到保障機(jī)制的監(jiān)視和檢測(cè)，以實(shí)現(xiàn)系統(tǒng)全方位的充分防御，將系統(tǒng)遭受攻進(jìn)行訪問(wèn)時(shí)都受到保障機(jī)制的監(jiān)視和檢測(cè)，以實(shí)現(xiàn)系統(tǒng)全方位的充分防御，將系統(tǒng)遭受攻擊的風(fēng)險(xiǎn)降至最低,確保數(shù)據(jù)的安全和可靠。

除了縱深防御這個(gè)核心思想之外，IATF還提出了其他一些信息安全原則，包括保護(hù)多個(gè)位置、分層防護(hù)。
1.保護(hù)多個(gè)位置
保護(hù)多個(gè)位置包括保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境等，這一原則提醒我們，僅僅在信息系統(tǒng)的重要敏感區(qū)域設(shè)置一些保護(hù)裝置是不夠的，任意一個(gè)系統(tǒng)漏洞都有可能導(dǎo)致嚴(yán)重的攻擊和破壞后果，所以在信息系統(tǒng)的各個(gè)方位布置全面的防御機(jī)制，才能將風(fēng)險(xiǎn)降至最低。
2.分層防御
如果說(shuō)保護(hù)多個(gè)位置原則是橫向防御，那么這一原則就是縱向防御，這也是縱深防御思想的一個(gè)具體體現(xiàn)。分層防御即在攻擊者和目標(biāo)之間部署多層防御機(jī)制，每個(gè)這樣的機(jī)制必須對(duì)攻擊者形成一道屏障。而且每一個(gè)這樣的機(jī)制還應(yīng)包括保護(hù)和檢測(cè)措施，以使攻擊者不得不面對(duì)被檢測(cè)到的風(fēng)險(xiǎn)，迫使攻擊者由于高昂的攻擊代價(jià)而放棄攻擊行為。

可見(jiàn)，縱深防御是戰(zhàn)略思想、分層防護(hù)是具體的戰(zhàn)術(shù)實(shí)現(xiàn)。

資料來(lái)源：
《信息安全工程師教程（第2版）》
《CISP培訓(xùn)教材》

作者博客：http://xiejava.ishareread.com/文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-446656.html

到了這里，關(guān)于網(wǎng)絡(luò)信息安全之縱深防御的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！