網絡安全縱深防御簡析：目的、要素與實踐 - 網安 - 專業的網絡安全產業、社區、知識平臺

縱深防御一詞本身源自軍事領域，意指戰爭過程中利用地理優勢來設多道軍事防線防御。一般多用于能力較弱的一方戰略性撤退，以空間換取時間。然而，這并不是網絡安全縱深防御（defense in depth）的理念和工作方式。

在網絡安全領域中，縱深防御代表著一種更加系統、積極的防護戰略，它要求合理利用各種安全技術的能力和特點，構建形成多方式、多層次、功能互補的安全防護能力體系，以滿足企業安全工作中對縱深性、均衡性、抗易損性的多種要求。目前，縱深防御已經成為現代企業網絡安全建設中的基本性原則之一。

縱深防御的價值

網絡安全縱深防御的目的是假定攻擊者有能力挫敗或繞過某些單點性的防御措施，因此必須要通過其他工具進行彌補，并以積極的方式協同工作。縱深防御有時又叫城堡方法：好比歐洲中世紀的城堡，通過護城河和城墻等構建了多層防護模式，攻擊者必須全部攻破才能進入城堡。

縱深防御之所以很重要，是由于傳統的網絡邊界防御模型現在已經逐漸失效。由于隨時隨地工作以及廣泛使用云計算技術，企業組織的網絡邊界正在變得模糊。但這并不意味著實施縱深防御策略后，組織應該丟棄防火墻及其他邊界防御手段。盡管防火墻與其他任何單點安全措施一樣，幾乎總能被技術嫻熟、目標明確的攻擊者突破，但這些措施都是不可或缺的，讓網絡資產具備必要的防御措施是開展縱深防御的基礎要求，甚至在具備條件的情況下，企業應該給重要的單點防御工具做好備份，以實現能力上的冗余。

縱深防御在許多方面與零信任安全理念相吻合。零信任架構認為網絡上的任何用戶或設備都應該不斷受到質疑和監控，以確保訪問行為的真實可靠。這種理念需要縱深防御基礎架構的支撐和保障，其中重要一點就是，組織現有的安全工具和策略能夠對所有設備和應用進行有效的管控。

縱深防御的構建

很多人會將縱深防御簡單理解為分層安全（Layered security），因為它們有著很多相似和連結。縱深防御基礎架構需要具備分層抵御攻擊的安全能力，但這并不是縱深防御的全部。縱深防御不僅是技術層面的問題，同時還需要確定組織將如何響應隨時可能出現的攻擊，以及對事件的報告和溯源機制。縱深防御不僅需要在技術層面具有多層化的安全工具，還要有一套與之相配合的安全管理理念與策略。

網絡安全縱深防御的構建要素可以分為三大類：管理控制、物理控制和技術控制。這每一類控制都很重要。

管理控制是創建安全環境的宏觀組織戰略。這包括如何選擇和部署信息安全工具的策略、安全使用數據的流程以及管理第三方供應商的系統風險框架等。
物理控制常常被忽視，它主要是組織計算設備和應用系統的環境安全，包括門禁系統、鑰匙卡、不間斷電源、辦公室和數據中心監控以及安保人員等。一些利用社會工程伎倆的攻擊往往會通過最簡單的方式來實現。
技術控制主要包括多層安全防護技術工具，用于保護硬件、軟件和網絡。

有效開展網絡安全縱深防御通常需要包括以下層面：

1.網絡防護

盡管企業的網絡邊界正在消失，但縱深防御戰略永遠不能忽視邊界，縱深防御策略應該首先由防火墻或IDS在網絡邊緣嘗試阻止攻擊開始。入侵防護系統及其他網絡監控工具可以掃描網絡上的流量，尋找防火墻已被突破的證據，然后自動做出反應或尋求人工幫助。VPN等工具讓用戶可以更安全地連接，并驗證用戶身份。

2.惡意軟件防護

如果網絡被突破，縱深防御體系需要包含可掃描基礎架構以查找惡意軟件的工具。這類工具通過將惡意軟件特征與數據庫對照來匹配文件，或者使用啟發式方法來發現可疑模式。

3.異常行為分析

這里的行為既包括人類用戶行為，也包括自動化流程中的應用行為，通過未企業正常訪問行為設定參考基準，就可以確定訪問行為是否出現異常，并將異常行為標記出來以便進一步調查。如果有人突然訪問了通常不會訪問的數據，或是向某個不起眼的主機發送大量的加密信息，這可能表明出現了問題。

4.數據完整性分析

保護數據資產的完整和安全是縱深防御體系的一個重要目標。企業需要隨時了解文件是否被篡改、拷貝或外泄？入站文件是否與網絡上的文件同名，但內容不一樣？一個神秘或可疑的IP地址是否與文件相關聯？如果文件被勒索軟件損壞或加密，是否有備份？這些都是要通過縱深防御去實現的。

縱深防御建設實踐

從理論上來說，構建縱深防御體系，增加防御的層數和能力，會顯著加大企業IT系統被攻陷的難度，從而確保應用和數據資產安全。縱深防御戰略中會設置多種措施來應對非法攻擊者的入侵。

在政策和程序方面，企業組織需要定期組織網絡釣魚模擬、實戰攻防演練等活動，以便員工保持警惕，不會被攻擊者的社會工程伎倆誘騙。同時，應該定期推出安全補丁，確保攻擊者的惡意軟件所利用的漏洞在組織的系統上已被堵住。

在技術層面上，安裝后門的木馬可能被組織的電子郵件系統檢測到，或者后門本身可能被反惡意軟件工具查出。如果攻擊者已經訪問了組織的網絡，行為分析工具可以在看到主機之間的橫向移動或發現當前的數據外泄后，立即向安全運營中心發出警報。組織的數據庫可以使用采用最小特權原則的安全身份驗證工具加以保護，這意味著攻擊者很難批量獲取企業最寶貴的業務數據。

縱深防御戰略實是一項艱巨的任務，而不是簡單的交鑰匙工程，它代表一種整體化的安全理念，需要持續性的運營制度來保障支撐。組織在開展縱深防御建設時，可參考以下環節：

做好攻擊面管理。確定組織目前實施了哪些保護措施，并檢測其工作有效性。
網絡邊界整合。隨著零信任理念逐步普及，需要更完整的訪問控制機制，對每一次訪問進行身份驗證和權限劃分。網絡邊界整合要綜合考慮邊界類型、業務影響、網絡改造難度、安全建設投入、企業管理模式、監管要求等因素，實現安全能力重點覆蓋。
體系化能力構建。網絡及業務的架構不斷變化，網絡安全策略也要隨之適應。要從體系化防御視角，確定組織在網絡系統的每一層，都需要哪些保護措施。并通過自動化編排整合這些安全措施，實現安全聯防聯控。
加強網絡安全管理和運營。縱深防御體系需要實現業務層面和管理層面的分離，充分保障管理與日常運營策略的可用性。為了實現更好的防御效果，強化安全運營和安全審計必不可少，要清晰了解系統組件之間的安全缺口和薄弱環節有哪些，并采取針對性措施。