網(wǎng)絡(luò )安全領(lǐng)域的發(fā)展速度太快，隔一段時(shí)間就會(huì )有一些流行語(yǔ)和技術(shù)術(shù)語(yǔ)冒出來(lái)。如果你有一段時(shí)間不關(guān)注該領(lǐng)域，則感覺(jué)已經(jīng)跟不上時(shí)代了?！翱v深防御”(Defence-in-Depth, DiD)就是這樣一個(gè)技術(shù)術(shù)語(yǔ)。

那么為什么會(huì )出現這個(gè)術(shù)語(yǔ)呢？簡(jiǎn)單地說(shuō)，DiD要求將安全性應用于多個(gè)層，其工作原理是為每個(gè)層提供不同類(lèi)型的保護，以便為提供阻止攻擊的最佳手段。這些層也可以防止不同的問(wèn)題，全方位覆蓋多個(gè)不同問(wèn)題。

那么，我們如何使用該策略呢?簡(jiǎn)單地說(shuō)，我們將不同的安全措施分組到不同的功能類(lèi)別中并應用它們。這與傳統的物理安全的實(shí)現方式或分組方式?jīng)]有太大區別。

事實(shí)上，任何負責任的安全專(zhuān)家都會(huì )告訴你，絕對沒(méi)有辦法100%保護你的IT網(wǎng)絡(luò )免受所有可能的威脅。你唯一能做的就是弄清楚你愿意承受多大程度的風(fēng)險，然后采取措施來(lái)應對其余的風(fēng)險。

這樣說(shuō)吧，安全防御行為其實(shí)就是一種平衡行為，找到安全性和可用性之間的平衡點(diǎn)，是一項困難的任務(wù)。

這種復雜性可以通過(guò)使用來(lái)自單個(gè)供應商的一套產(chǎn)品來(lái)管理，但也有其自身的缺點(diǎn)。正如一篇文章所提到的觀(guān)點(diǎn)：

最好的例子就是殺毒軟件產(chǎn)品，不同的供應商可能能夠識別大多數相同的病毒, 但處理的方法卻大相徑庭。而且，有時(shí)這些不同的產(chǎn)品會(huì )與正常的操作行為發(fā)生沖突。另一個(gè)考慮因素是，確實(shí)沒(méi)有明確的規定要求你必須采取哪些措施來(lái)保護你的IT網(wǎng)絡(luò )，因為具體的措施要施取決于你的組織規模、預算以及你嘗試保護的數據的性質(zhì)、你的組織可能會(huì )成為攻擊目標的攻擊類(lèi)型以及你愿意接受的風(fēng)險程度。

接下來(lái)，我將會(huì )討論縱深防御的解決方案包括的不同層。

在網(wǎng)絡(luò )世界里，一個(gè)機構可能遇到的攻擊者大致可分為以下5類(lèi)，每一類(lèi)都有不同的攻擊動(dòng)機和能力：

腳本小子

以“黑客”自居并沾沾自喜的初學(xué)者。腳本小子不像真正的黑客那樣發(fā)現系統漏洞，他們通常使用別人開(kāi)發(fā)的程序來(lái)惡意破壞他人系統。他們常常從某些網(wǎng)站上復制腳本代碼，然后到處粘貼，卻并不一定明白他們的方法與原理。他們欽慕于黑客的能力與探索精神，但與黑客所不同的是，腳本小子通常只是對計算機系統有基礎了解與愛(ài)好，但并不注重程序語(yǔ)言、算法、和數據結構的研究，

內部人員或解雇人員

有合法途徑使用公司網(wǎng)絡(luò )的人士他們往往是受金錢(qián)或報復驅使。

真正的黑客

他們注重程序語(yǔ)言、算法、和數據結構的研究。

有組織犯罪

他們會(huì )造成大量的電子郵件垃圾郵件并開(kāi)發(fā)常見(jiàn)的惡意軟件。

國家行為攻擊

通常是高度自律的組織，擁有進(jìn)行復雜攻擊所需的時(shí)間、資源和成本。

與政府合作或與重要國家基礎設施相關(guān)的實(shí)體或公司的IT系統，往往會(huì )成為攻擊目標。金融機構可能更有可能發(fā)現他們正面臨有組織犯罪的襲擊。了解威脅的來(lái)源可以幫助組織更有效地引導其資源并規劃其安全性，在以下案例中，我會(huì )說(shuō)明為什么研究人員不主張 “一刀切”的預防方法，這也是縱深防御策略之所以流行的原因?，F在就讓我們看一下構成縱深防御策略解決方案的一些不同部分。

無(wú)論是物理安全還是網(wǎng)絡(luò )安全，這都是最重要的原則之一。在現實(shí)世界中，這通常是通過(guò)門(mén)、柵欄和墻，甚至警衛來(lái)實(shí)現的，所有這些設計都是為了把不應該在這里的人擋在外面。在網(wǎng)絡(luò )安全的世界里，邊界防御原則也是這個(gè)道理，這通常是通過(guò)防火墻來(lái)實(shí)現的。

防火墻技術(shù)的功能主要在于及時(shí)發(fā)現并處理計算機網(wǎng)絡(luò )運行時(shí)可能存在的安全風(fēng)險、數據傳輸等問(wèn)題，其中處理措施包括隔離與保護，同時(shí)可對計算機網(wǎng)絡(luò )安全當中的各項操作實(shí)施記錄與檢測，以確保計算機網(wǎng)絡(luò )運行的安全性，保障用戶(hù)資料與信息的完整性，為用戶(hù)提供更好、更安全的計算機網(wǎng)絡(luò )使用體驗。

防火墻代主要是借助硬件和軟件的作用于內部和外部網(wǎng)絡(luò )的環(huán)境間產(chǎn)生一種保護的屏障，從而實(shí)現對計算機不安全網(wǎng)絡(luò )因素的阻斷。只有在防火墻同意情況下，用戶(hù)才能夠進(jìn)入計算機內，如果不同意就會(huì )被阻擋于外，防火墻技術(shù)的警報功能十分強大，在外部的用戶(hù)要進(jìn)入到計算機內時(shí)，防火墻就會(huì )迅速的發(fā)出相應的警報，并提醒用戶(hù)的行為，并進(jìn)行自我的判斷來(lái)決定是否允許外部的用戶(hù)進(jìn)入到內部。

不幸的是，防火墻往往不牢固，很容易犯錯誤，暴露你的整個(gè)網(wǎng)絡(luò )。

另一種用于邊界防御的常見(jiàn)解決方案是入侵檢測系統或IDS，通常在已經(jīng)受到防火墻保護的網(wǎng)絡(luò )中使用。IDS不是阻止攻擊，而是監控你的IT系統并標識任何看起來(lái)不正確的東西。從本質(zhì)上講，它是一個(gè)早期預警系統，一旦發(fā)現可疑的東西，就會(huì )在造成任何損害之前就采取行動(dòng)。這可以通過(guò)觀(guān)察整個(gè)網(wǎng)絡(luò )來(lái)實(shí)現，也可以通過(guò)關(guān)注單個(gè)計算機來(lái)實(shí)現或者兩者兼而有之。

乍一看，使用上述(防火墻和IDS)之一或兩者都使用似乎是保證網(wǎng)絡(luò )安全所需的惟一解決方案，但遺憾的是，實(shí)際情況并非如此。正如上面所提到的，錯誤地設置防火墻，調用錯誤的安全方法都可以讓這些防護措施成為擺設。

該方法就是依靠記錄日志，IT網(wǎng)絡(luò )中發(fā)生的任何操作都可以生成日志。因此記錄的所有內容都可以生成大量數據，而這些數據則需要存儲在某個(gè)位置，對于想要通覽所有數據以找到特定內容的人來(lái)說(shuō)，工作量似乎有些嚇人。

雖說(shuō)如此，記錄日志還是非常有必要的。不過(guò)，你不需要把所有發(fā)生的事情都記錄下來(lái)，但還多多益善，原因如下:

1.盡可能增加對攻擊事件識別；

2.對攻擊事件做出快速反應；

然而，如果你不對日志記錄執行任何操作，那么保留日志數據就沒(méi)有意義了。這就像在開(kāi)會(huì )時(shí)讓同事幫你做筆記一樣，如果你不讀筆記，你仍然不知道發(fā)生了什么。只要日志受到監控，它就非常有用，因為它可以告訴你很多關(guān)于網(wǎng)絡(luò )上正在發(fā)生的事情。它們可以幫助你識別任何可疑行為、任何不能正常工作的行為，甚至是網(wǎng)絡(luò )的哪些部分需要更嚴格的安全控制。當有人成功地攻擊了你的網(wǎng)絡(luò )，日志可以幫助你了解攻擊的過(guò)程、原理，以及如何防止它再次發(fā)生。

強化系統的過(guò)程，本質(zhì)上是一種“強生健體”的本質(zhì)措施，以確保攻擊者無(wú)可乘之機，這就像好的身體素質(zhì)不會(huì )經(jīng)常得病一樣。

在保護網(wǎng)絡(luò )方面，這意味著(zhù)系統要確保不必要的程序不會(huì )運行, 確保系統已經(jīng)安裝最新的安全更新,  并確保系統訪(fǎng)問(wèn)僅限于那些需要它的人。

你可以把網(wǎng)絡(luò )空間想象成一個(gè)有很多建筑的校園，如果你不在里面，就鎖上門(mén)。如果其中一棟大樓存放著(zhù)了你所有的公司機密，確保門(mén)窗安全，且只有你信任的人才能進(jìn)出。確保警報已設防，并且人們準備好在響應時(shí)做出響應。

而縱深防御這是一個(gè)很好的策略，它會(huì )為系統增加很多保護層，以減少任何可能的風(fēng)險。

前面已經(jīng)說(shuō)過(guò), 每個(gè)IT系統都是不同的, 所以加強你的系統的方法將會(huì )有所不同。

網(wǎng)絡(luò )和物理安全策略之間的界限相當模糊，因為它們都旨在對惡意行為做出反應或先發(fā)制人的管理?？v深防御的目標是確保每層都知道如何在可疑的攻擊事件中采取行動(dòng)，限制惡意或意外破壞的機會(huì )，并最大限度地提高快速識別任何安全漏洞的機會(huì )。比如：

1.讓員工先進(jìn)行篩選；

2.最低權限的設定，僅允許對某人執行其指定角色所需的系統和資源的最低級別訪(fǎng)問(wèn)權限。例如，門(mén)衛沒(méi)有理由訪(fǎng)問(wèn)閉路電視系統，或者保安人員有一個(gè)允許他們重新配置網(wǎng)絡(luò )的計算機帳戶(hù)。

3.職責分離，這樣做是為了確保不將敏感流程或特權分配給單個(gè)人，這樣做有助于通過(guò)實(shí)現檢查和平衡來(lái)防止欺詐和錯誤。一個(gè)很好的例子是在醫院，在給藥之前，需要由另一個(gè)人檢查數量和類(lèi)型，以防止出現用藥錯誤。

4.實(shí)施權限撤銷(xiāo)政策，例如立即撤銷(xiāo)任何IT或物理訪(fǎng)問(wèn)權限，以快速對危機做出反應。

員工的安全培訓和意識也應考慮進(jìn)來(lái)，甚至可以說(shuō)這與縱深防御的使用處于同一等量級上。例如，強迫員工每隔幾周更換一次密碼，并讓他們?yōu)樾枰褂玫拿總€(gè)系統使用不同的密碼，如果人們不明白其中的原因，只是圖使用方便，那么很可能會(huì )導致快捷方式的出現，進(jìn)而出現攻擊漏洞。

同樣，經(jīng)過(guò)培訓后，員工也會(huì )意識到一個(gè)組織面臨的威脅，可以促使他們參與進(jìn)來(lái)，及時(shí)報告安全事件，以便迅速做出反應。然而，正如前文描述的那樣，僅僅意識到這一點(diǎn)是不夠的。例如，如果沒(méi)有防火墻阻止攻擊者從internet訪(fǎng)問(wèn)網(wǎng)絡(luò )，那么無(wú)論你的員工多么小心地使用安全密碼也是無(wú)用的。

盡管本文的重點(diǎn)是講述保護IT系統的不同層，但是如果沒(méi)有提到物理安全措施，則縱深防御的策略就不是很完整了。如果有人偷走了你正在運行的筆記本電腦，那么任何監控日志和在你的電腦上使用的殺毒軟件都將不會(huì )起到作用。

任何公司所需的物理安全措施都將根據所運行的環(huán)境來(lái)進(jìn)行有針對性的安全配置，例如規模、位置、業(yè)務(wù)性質(zhì)等等。但是，在防止IT設備的地方，應該至少考慮一些以下的因素：

1.確保門(mén)窗安全，防止意外盜竊；

2.不使用時(shí)，把敏感設備或手提設備鎖好并保存好；

雖然，這些措施絕不能防止可能出現的盜竊，建議企業(yè)應該認真考慮實(shí)施更強大的物理安全機制。

災難發(fā)生后的數據恢復或備份

災難恢復就像它聽(tīng)起來(lái)的那樣，確保你的組織有適當的機制在最壞的情況下進(jìn)行恢復。就IT系統而言，這則意味著(zhù)有一個(gè)安全的備份，并確保在適當的時(shí)間范圍內進(jìn)行維護。沒(méi)有人希望最壞的情況發(fā)生，但做好從最壞的情況中恢復的準備，可能會(huì )決定一家企業(yè)的生存和倒閉。

縱深防御策略就像是一種保險，只有災難發(fā)生后才能知道它的價(jià)值。這篇文章已經(jīng)說(shuō)明了，盡管有多種方法可以保護網(wǎng)絡(luò )，并且每種方法都有其優(yōu)點(diǎn)，但任何一種解決方案都會(huì )留下可能防護空白。由于攻擊者有各種各樣的攻擊目標，因此，需要不同的防御層才能有效防御。

來(lái)源：網(wǎng)信防務(wù)