网络安全纵深防御简析：目的、要素与实践

纵深防御一词本身源自军事领域，意指战争过程中利用地理优势来设多道军事防线防御。一般多用于能力较弱的一方战略性撤退，以空间换取时间。然而，这并不是网络安全纵深防御（defense in depth）的理念和工作方式。

在网络安全领域中，纵深防御代表着一种更加系统、积极的防护战略，它要求合理利用各种安全技术的能力和特点，构建形成多方式、多层次、功能互补的安全防护能力体系，以满足企业安全工作中对纵深性、均衡性、抗易损性的多种要求。目前，纵深防御已经成为现代企业网络安全建设中的基本性原则之一。

纵深防御的价值

网络安全纵深防御的目的是假定攻击者有能力挫败或绕过某些单点性的防御措施，因此必须要通过其他工具进行弥补，并以积极的方式协同工作。纵深防御有时又叫城堡方法：好比欧洲中世纪的城堡，通过护城河和城墙等构建了多层防护模式，攻击者必须全部攻破才能进入城堡。

纵深防御之所以很重要，是由于传统的网络边界防御模型现在已经逐渐失效。由于随时随地工作以及广泛使用云计算技术，企业组织的网络边界正在变得模糊。但这并不意味着实施纵深防御策略后，组织应该丢弃防火墙及其他边界防御手段。尽管防火墙与其他任何单点安全措施一样，几乎总能被技术娴熟、目标明确的攻击者突破，但这些措施都是不可或缺的，让网络资产具备必要的防御措施是开展纵深防御的基础要求，甚至在具备条件的情况下，企业应该给重要的单点防御工具做好备份，以实现能力上的冗余。

纵深防御在许多方面与零信任安全理念相吻合。零信任架构认为网络上的任何用户或设备都应该不断受到质疑和监控，以确保访问行为的真实可靠。这种理念需要纵深防御基础架构的支撑和保障，其中重要一点就是，组织现有的安全工具和策略能够对所有设备和应用进行有效的管控。

纵深防御的构建

很多人会将纵深防御简单理解为分层安全（Layered security），因为它们有着很多相似和连结。纵深防御基础架构需要具备分层抵御攻击的安全能力，但这并不是纵深防御的全部。纵深防御不仅是技术层面的问题，同时还需要确定组织将如何响应随时可能出现的攻击，以及对事件的报告和溯源机制。纵深防御不仅需要在技术层面具有多层化的安全工具，还要有一套与之相配合的安全管理理念与策略。

网络安全纵深防御的构建要素可以分为三大类：管理控制、物理控制和技术控制。这每一类控制都很重要。

• 管理控制是创建安全环境的宏观组织战略。这包括如何选择和部署信息安全工具的策略、安全使用数据的流程以及管理第三方供应商的系统风险框架等。
• 物理控制常常被忽视，它主要是组织计算设备和应用系统的环境安全，包括门禁系统、钥匙卡、不间断电源、办公室和数据中心监控以及安保人员等。一些利用社会工程伎俩的攻击往往会通过最简单的方式来实现。
• 技术控制主要包括多层安全防护技术工具，用于保护硬件、软件和网络。

有效开展网络安全纵深防御通常需要包括以下层面：

1. 网络防护

尽管企业的网络边界正在消失，但纵深防御战略永远不能忽视边界，纵深防御策略应该首先由防火墙或IDS在网络边缘尝试阻止攻击开始。入侵防护系统及其他网络监控工具可以扫描网络上的流量，寻找防火墙已被突破的证据，然后自动做出反应或寻求人工帮助。科学等工具让用户可以更安全地连接，并验证用户身份。

2. 恶意软件防护

如果网络被突破，纵深防御体系需要包含可扫描基础架构以查找恶意软件的工具。这类工具通过将恶意软件特征与数据库对照来匹配文件，或者使用启发式方法来发现可疑模式。

3. 异常行为分析

这里的行为既包括人类用户行为，也包括自动化流程中的应用行为，通过未企业正常访问行为设定参考基准，就可以确定访问行为是否出现异常，并将异常行为标记出来以便进一步调查。如果有人突然访问了通常不会访问的数据，或是向某个不起眼的主机发送大量的加密信息，这可能表明出现了问题。

4. 数据完整性分析

保护数据资产的完整和安全是纵深防御体系的一个重要目标。企业需要随时了解文件是否被篡改、拷贝或外泄？入站文件是否与网络上的文件同名，但内容不一样？一个神秘或可疑的IP地址是否与文件相关联？如果文件被勒索软件损坏或加密，是否有备份？这些都是要通过纵深防御去实现的。

纵深防御建设实践

从理论上来说，构建纵深防御体系，增加防御的层数和能力，会显著加大企业IT系统被攻陷的难度，从而确保应用和数据资产安全。纵深防御战略中会设置多种措施来应对非法攻击者的入侵。

在政策和程序方面，企业组织需要定期组织网络钓鱼模拟、实战攻防演练等活动，以便员工保持警惕，不会被攻击者的社会工程伎俩诱骗。同时，应该定期推出安全补丁，确保攻击者的恶意软件所利用的漏洞在组织的系统上已被堵住。

在技术层面上，安装后门的木马可能被组织的电子邮件系统检测到，或者后门本身可能被反恶意软件工具查出。如果攻击者已经访问了组织的网络，行为分析工具可以在看到主机之间的横向移动或发现当前的数据外泄后，立即向安全运营中心发出警报。组织的数据库可以使用采用最小特权原则的安全身份验证工具加以保护，这意味着攻击者很难批量获取企业最宝贵的业务数据。

纵深防御战略实是一项艰巨的任务，而不是简单的交钥匙工程，它代表一种整体化的安全理念，需要持续性的运营制度来保障支撑。组织在开展纵深防御建设时，可参考以下环节：

• 做好攻击面管理。确定组织目前实施了哪些保护措施，并检测其工作有效性。
• 网络边界整合。随着零信任理念逐步普及，需要更完整的访问控制机制，对每一次访问进行身份验证和权限划分。网络边界整合要综合考虑边界类型、业务影响、网络改造难度、安全建设投入、企业管理模式、监管要求等因素，实现安全能力重点覆盖。
• 体系化能力构建。网络及业务的架构不断变化，网络安全策略也要随之适应。要从体系化防御视角，确定组织在网络系统的每一层，都需要哪些保护措施。并通过自动化编排整合这些安全措施，实现安全联防联控。
• 加强网络安全管理和运营。纵深防御体系需要实现业务层面和管理层面的分离，充分保障管理与日常运营策略的可用性。为了实现更好的防御效果，强化安全运营和安全审计必不可少，要清晰了解系统组件之间的安全缺口和薄弱环节有哪些，并采取针对性措施。