搭建縱深防御體系要考慮哪些層面

搭建縱深防御體系要考慮以下層面：

• 資產和防御策略梳理：資產清晰，現有防御策略清晰，是所有防御策略的前奏。需要梳理所有的資產系統、使用的系統、應用軟件、版本信息、補丁信息、IP地址（公網、內網）、網絡設備、安全設備、數據庫、接口調用信息等。還要理清所有安全防御和訪問策略，上架的安全設備配置的策略，不同安全域之間的訪問策略，如互聯網入口、內外網之間、各業務系統之間、主機、集權系統、供應鏈入口、各網絡接入口的所有安全策略，禁止使用全通策略和私開網絡和服務。結合戰線整理工作的成果，形成清晰的資產列表和對應資產安全防護策略。

• 互聯網側防御：這是流量的入口也是攻擊起始點，是重中之中的防護區域，這點做好可能防御和過濾90%以上的攻擊流量。這個區域防御可以部署網絡安全防護設備和漏洞檢測兩方面展開。部署安全防護設備包括：下一代防火墻、動態防御設備、Web防御網關、防病毒網關、全流量分析設備、防垃圾郵件網關、入侵防御等。漏洞檢測方面可以定期做完整的滲透測試服務，對自身漏洞和防御策略有個清晰的認識，對存在的漏洞及時修復和加強防御。

• 主機加固防護：攻防終極目標就是主機權限，主機防御是最后一道屏障，如果主機被拿下，所有的工作可能都會功虧一簣。在這塊防御上可以實行主機白名單和最小權限訪問原則、結合堡壘機實行多因子認證登錄訪問、最小化應用安裝、關閉不必要的服務和端口、基線掃描加固、漏洞及時補丁、修改主機相關弱口令、定期對主機進行滲透測試、部署相關蜜罐設備；部署主機安全防護設備，對重要文件目錄和應用程序進程進行實時監控、開啟各類的安全審計日志功能。

• 供應鏈以及下屬單位網絡安全：與供應鏈廠商和下級單位建立起相應的安全防御機制和應急響應機制。供應鏈廠商對提供的產品和接入的網絡線路有一定的安全措施和應急措施，產品的研發和發布需要提供應有的安全保障，例如對應的安全測試，使用出現漏洞的補救措施。下級單位專線接入也需要做一定的安全防御和攻擊流量監控。

回答所涉及的環境：聯想天逸510S、Windows 10。