縱深防御安全架構體系由什么組成

縱深防御安全架構體系由以下方面組成：

• 展現層：展現層分為app客戶端以及web網頁端，app客戶端主要有DEX加殼保護，內存防dump，資源文件保護，防二次打包以及防調試保護等等，現在移動互聯網化，所以防御戰場很多轉向移動app端處理，特別是金融和游戲領域顯得尤為重要。另外一種就是web網頁端，雖然現在網頁版比較少，但是基于可動態調整的H5版本化也逐漸流行，所以這一塊的防護也是不容忽視，主要是js的混淆加密，以及頁面混淆加密機制。

• 網絡層：網絡層是中間人攻擊的主要手段，所以信息的脫敏變得尤為重要，數據的加密傳輸，HTTPS的加密傳輸協議甚至自定義加密傳輸協議（特別適用于app客戶端）就顯得比不可少，數據脫敏可以采取非對稱加密，但是非對稱加密有一個比較大的問題，cpu資源耗損較大，如果能在數據傳輸階段就直接采用不可逆加密使最好的，例如密碼加密傳輸可以直接采用MD5加簽傳輸，即使在網絡層獲取也無從得知明文，或者說得知明文的代價很大。網絡層還有一種就是類似云防御機制的WAF系統，通過流量導入，對接口請求的參數進行整體過濾防御，例如xss攻擊，sql注入，惡意文件后門傳輸等可以做到有效防御。

• 代理層：代理層主要是指類似nginx的代理層，這一層是流量進入系統的最后一個環節，所以nginx代理層的作用也非常重要，主要防護措施可以有：白名單限制，refer域名限制，以及流量控制等等。例如某個不法IP在一段時間之內訪問頻次過高，就直接將此ip下發到防火墻一層，直接通過網絡層把非法IP封殺過濾掉，例如有些電商的秒殺系統就有此做法。

• 接入層：接入層其實就可以說是系統業務處理的第一層關卡了，在這一層業務邏輯以及用戶行為的一些數據都可以獲取到，可以進行基于歷史數據進行智能模型建模，線上實時行為數據采集通過模型計算出本次訪問的風險系數，業務系統可以依據風險系數進行有效防御。這個系統要做好有價值的一個關鍵因素是數據，通過大量的線上數據喂給算法進行學習，算法會依據數據吐出一個模型框架，這個模型框架的準確度關系到實時風控的有效性。一個好的風控系統除了有大量有價值的數據之外，其次就是算法，算法的有效性直接決定了模型的有效性。

• 邏輯層：邏輯層負責進行數據運算的，所以在這一層主要還是一點，就是數據的脫敏，以及加密算法的選擇。例如密碼，在邏輯層密碼不應該顯示打印，而且在對密碼加密的算法選擇上需要精細考量，為什么呢？加密算法是一個cpu耗損型運算，而密碼又是一個極其敏感的數據，簡單加密很有可能慘遭破解，那如何平衡之間的關系就顯得很重要了。建議密碼存儲不能做簡單的一次hash運行算，可以通過倒置，混淆，重復疊加多次hash運算來實現。另外對于邏輯層還需要主意邏輯漏洞的防護，對客戶端傳遞的一切參數秉承不信任的做法。

• 存儲層：存儲層原則上是終極核心層，可以實施權限管控，這里所要說的其實是另外一個處理方式，就是在存儲層做”蜜罐”處理，”蜜罐”是安全防御領域里面的一個象形詞，它的基本做法是多復制幾個表，在表的取名上近似相像，如果有人操作這些表，就通過監控機制直接告警，使得問題盡早的暴露出來，達到一個早期防御的功效。

回答所涉及的環境：聯想天逸510S、Windows 10。