傳統的網絡縱深防御機制存在哪些問題

傳統的網絡縱深防御機制存在以下問題：

• 網絡結構安全缺陷：網絡安全域的劃分較為粗放，缺乏進一步的內部細分及隔離措施，網絡攻擊面廣，惡意入侵者突破網絡邊界后，可以在安全域內大范圍橫向移動，造成更大的破壞影響。而企業未從全網角度統籌進行網絡邊界的整合，同類型的網絡邊界各自獨立防護，安全防護能力不一致，安全建設投資大。網絡業務平面與管理平面未分離，無法充分保障管理通道資源的可用性，對資產自身的安全防護和運維管控能力較弱。

• 網絡邊界防御縱深不足：網絡邊界安全防護措施部署不完善，未全面覆蓋邊界的各種訪問連接場景，無法滿足最新的《信息安全技術 網絡安全等級保護基本要求》《關鍵信息基礎設施安全保護條例》等合規管控要求，存在安全檢測和防護的盲區。同時網絡邊界防御缺乏縱深，在第一層邊界突破后，缺乏有效的第二層邊界措施，無法形成真正的防御策略，難以抵御高級持續性威脅的攻擊。

• 廣域網防御縱深不足：廣域網匯聚節點缺乏安全防護措施，網絡攻擊面極廣，分支機構到總部、分支機構間可以任意訪問；無法在廣域網層檢測網絡威脅的活動情況，為全局態勢感知提供數據支撐；無法在廣域網層遏制網絡威脅的傳播行為，全局限制網絡威脅的影響范圍。

• 部署方式不靈活：傳統的網絡安全防護設備以專用硬件為主，通常以“葫蘆串”的方式在網絡邊界上部署，存在較多問題和不足。例如，網絡的高可用性結構設計容易被破壞，網絡節點故障隱患多；隨著鏈路帶寬的增加，擴容成本隨之增加，只能升級替換原有設備，無法彈性擴展安全能力；無法按需編排調度網絡流量，安全能力部署不靈活，實施難度大。

• 運行管理效率低：全網大量的網絡安全設備缺乏統一的運行管理措施，無法實現統一的資產管理、安全策略控制；運行管理自動化的程度不高，無法規避人為誤操作風險，整體效率較低。

傳統的網絡縱深防御機制存在問題的預防措施如下：

• 做好攻擊面管理：確定組織目前實施了哪些保護措施，并檢測其工作有效性。

• 網絡邊界整合：隨著零信任理念逐步普及，需要更完整的訪問控制機制，對每一次訪問進行身份驗證和權限劃分。網絡邊界整合要綜合考慮邊界類型、業務影響、網絡改造難度、安全建設投入、企業管理模式、監管要求等因素，實現安全能力重點覆蓋。

• 體系化能力構建：網絡及業務的架構不斷變化，網絡安全策略也要隨之適應。要從體系化防御視角，確定組織在網絡系統的每一層，都需要哪些保護措施。并通過自動化編排整合這些安全措施，實現安全聯防聯控。

• 加強網絡安全管理和運營：縱深防御體系需要實現業務層面和管理層面的分離，充分保障管理與日常運營策略的可用性。為了實現更好的防御效果，強化安全運營和安全審計必不可少，要清晰了解系統組件之間的安全缺口和薄弱環節有哪些，并采取針對性措施。

回答所涉及的環境：聯想天逸510S、Windows 10。