久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展速度太快，隔一段時(shí)間就會(huì)有一些流行語和技術(shù)術(shù)語冒出來。如果你有一段時(shí)間不關(guān)注該領(lǐng)域，則感覺已經(jīng)跟不上時(shí)代了?！翱v深防御”(Defence-in-Depth, DiD)就是這樣一個(gè)技術(shù)術(shù)語。

那么為什么會(huì)出現(xiàn)這個(gè)術(shù)語呢？簡(jiǎn)單地說，DiD要求將安全性應(yīng)用于多個(gè)層，其工作原理是為每個(gè)層提供不同類型的保護(hù)，以便為提供阻止攻擊的最佳手段。這些層也可以防止不同的問題，全方位覆蓋多個(gè)不同問題。

那么，我們?nèi)绾问褂迷摬呗阅?簡(jiǎn)單地說，我們將不同的安全措施分組到不同的功能類別中并應(yīng)用它們。這與傳統(tǒng)的物理安全的實(shí)現(xiàn)方式或分組方式?jīng)]有太大區(qū)別。

事實(shí)上，任何負(fù)責(zé)任的安全專家都會(huì)告訴你，絕對(duì)沒有辦法100%保護(hù)你的IT網(wǎng)絡(luò)免受所有可能的威脅。你唯一能做的就是弄清楚你愿意承受多大程度的風(fēng)險(xiǎn)，然后采取措施來應(yīng)對(duì)其余的風(fēng)險(xiǎn)。

這樣說吧，安全防御行為其實(shí)就是一種平衡行為，找到安全性和可用性之間的平衡點(diǎn)，是一項(xiàng)困難的任務(wù)。

這種復(fù)雜性可以通過使用來自單個(gè)供應(yīng)商的一套產(chǎn)品來管理，但也有其自身的缺點(diǎn)。正如一篇文章所提到的觀點(diǎn)：

最好的例子就是殺毒軟件產(chǎn)品，不同的供應(yīng)商可能能夠識(shí)別大多數(shù)相同的病毒, 但處理的方法卻大相徑庭。而且，有時(shí)這些不同的產(chǎn)品會(huì)與正常的操作行為發(fā)生沖突。另一個(gè)考慮因素是，確實(shí)沒有明確的規(guī)定要求你必須采取哪些措施來保護(hù)你的IT網(wǎng)絡(luò)，因?yàn)榫唧w的措施要施取決于你的組織規(guī)模、預(yù)算以及你嘗試保護(hù)的數(shù)據(jù)的性質(zhì)、你的組織可能會(huì)成為攻擊目標(biāo)的攻擊類型以及你愿意接受的風(fēng)險(xiǎn)程度。

接下來，我將會(huì)討論縱深防御的解決方案包括的不同層。

在網(wǎng)絡(luò)世界里，一個(gè)機(jī)構(gòu)可能遇到的攻擊者大致可分為以下5類，每一類都有不同的攻擊動(dòng)機(jī)和能力：

腳本小子

以“黑客”自居并沾沾自喜的初學(xué)者。腳本小子不像真正的黑客那樣發(fā)現(xiàn)系統(tǒng)漏洞，他們通常使用別人開發(fā)的程序來惡意破壞他人系統(tǒng)。他們常常從某些網(wǎng)站上復(fù)制腳本代碼，然后到處粘貼，卻并不一定明白他們的方法與原理。他們欽慕于黑客的能力與探索精神，但與黑客所不同的是，腳本小子通常只是對(duì)計(jì)算機(jī)系統(tǒng)有基礎(chǔ)了解與愛好，但并不注重程序語言、算法、和數(shù)據(jù)結(jié)構(gòu)的研究，

內(nèi)部人員或解雇人員

有合法途徑使用公司網(wǎng)絡(luò)的人士他們往往是受金錢或報(bào)復(fù)驅(qū)使。

真正的黑客

他們注重程序語言、算法、和數(shù)據(jù)結(jié)構(gòu)的研究。

有組織犯罪

他們會(huì)造成大量的電子郵件垃圾郵件并開發(fā)常見的惡意軟件。

國(guó)家行為攻擊

通常是高度自律的組織，擁有進(jìn)行復(fù)雜攻擊所需的時(shí)間、資源和成本。

與政府合作或與重要國(guó)家基礎(chǔ)設(shè)施相關(guān)的實(shí)體或公司的IT系統(tǒng)，往往會(huì)成為攻擊目標(biāo)。金融機(jī)構(gòu)可能更有可能發(fā)現(xiàn)他們正面臨有組織犯罪的襲擊。了解威脅的來源可以幫助組織更有效地引導(dǎo)其資源并規(guī)劃其安全性，在以下案例中，我會(huì)說明為什么研究人員不主張 “一刀切”的預(yù)防方法，這也是縱深防御策略之所以流行的原因?，F(xiàn)在就讓我們看一下構(gòu)成縱深防御策略解決方案的一些不同部分。

無論是物理安全還是網(wǎng)絡(luò)安全，這都是最重要的原則之一。在現(xiàn)實(shí)世界中，這通常是通過門、柵欄和墻，甚至警衛(wèi)來實(shí)現(xiàn)的，所有這些設(shè)計(jì)都是為了把不應(yīng)該在這里的人擋在外面。在網(wǎng)絡(luò)安全的世界里，邊界防御原則也是這個(gè)道理，這通常是通過防火墻來實(shí)現(xiàn)的。

防火墻技術(shù)的功能主要在于及時(shí)發(fā)現(xiàn)并處理計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行時(shí)可能存在的安全風(fēng)險(xiǎn)、數(shù)據(jù)傳輸?shù)葐栴}，其中處理措施包括隔離與保護(hù)，同時(shí)可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全當(dāng)中的各項(xiàng)操作實(shí)施記錄與檢測(cè)，以確保計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計(jì)算機(jī)網(wǎng)絡(luò)使用體驗(yàn)。

防火墻代主要是借助硬件和軟件的作用于內(nèi)部和外部網(wǎng)絡(luò)的環(huán)境間產(chǎn)生一種保護(hù)的屏障，從而實(shí)現(xiàn)對(duì)計(jì)算機(jī)不安全網(wǎng)絡(luò)因素的阻斷。只有在防火墻同意情況下，用戶才能夠進(jìn)入計(jì)算機(jī)內(nèi)，如果不同意就會(huì)被阻擋于外，防火墻技術(shù)的警報(bào)功能十分強(qiáng)大，在外部的用戶要進(jìn)入到計(jì)算機(jī)內(nèi)時(shí)，防火墻就會(huì)迅速的發(fā)出相應(yīng)的警報(bào)，并提醒用戶的行為，并進(jìn)行自我的判斷來決定是否允許外部的用戶進(jìn)入到內(nèi)部。

不幸的是，防火墻往往不牢固，很容易犯錯(cuò)誤，暴露你的整個(gè)網(wǎng)絡(luò)。

另一種用于邊界防御的常見解決方案是入侵檢測(cè)系統(tǒng)或IDS，通常在已經(jīng)受到防火墻保護(hù)的網(wǎng)絡(luò)中使用。IDS不是阻止攻擊，而是監(jiān)控你的IT系統(tǒng)并標(biāo)識(shí)任何看起來不正確的東西。從本質(zhì)上講，它是一個(gè)早期預(yù)警系統(tǒng)，一旦發(fā)現(xiàn)可疑的東西，就會(huì)在造成任何損害之前就采取行動(dòng)。這可以通過觀察整個(gè)網(wǎng)絡(luò)來實(shí)現(xiàn)，也可以通過關(guān)注單個(gè)計(jì)算機(jī)來實(shí)現(xiàn)或者兩者兼而有之。

乍一看，使用上述(防火墻和IDS)之一或兩者都使用似乎是保證網(wǎng)絡(luò)安全所需的惟一解決方案，但遺憾的是，實(shí)際情況并非如此。正如上面所提到的，錯(cuò)誤地設(shè)置防火墻，調(diào)用錯(cuò)誤的安全方法都可以讓這些防護(hù)措施成為擺設(shè)。

該方法就是依靠記錄日志，IT網(wǎng)絡(luò)中發(fā)生的任何操作都可以生成日志。因此記錄的所有內(nèi)容都可以生成大量數(shù)據(jù)，而這些數(shù)據(jù)則需要存儲(chǔ)在某個(gè)位置，對(duì)于想要通覽所有數(shù)據(jù)以找到特定內(nèi)容的人來說，工作量似乎有些嚇人。

雖說如此，記錄日志還是非常有必要的。不過，你不需要把所有發(fā)生的事情都記錄下來，但還多多益善，原因如下:

1.盡可能增加對(duì)攻擊事件識(shí)別；

2.對(duì)攻擊事件做出快速反應(yīng)；

然而，如果你不對(duì)日志記錄執(zhí)行任何操作，那么保留日志數(shù)據(jù)就沒有意義了。這就像在開會(huì)時(shí)讓同事幫你做筆記一樣，如果你不讀筆記，你仍然不知道發(fā)生了什么。只要日志受到監(jiān)控，它就非常有用，因?yàn)樗梢愿嬖V你很多關(guān)于網(wǎng)絡(luò)上正在發(fā)生的事情。它們可以幫助你識(shí)別任何可疑行為、任何不能正常工作的行為，甚至是網(wǎng)絡(luò)的哪些部分需要更嚴(yán)格的安全控制。當(dāng)有人成功地攻擊了你的網(wǎng)絡(luò)，日志可以幫助你了解攻擊的過程、原理，以及如何防止它再次發(fā)生。

強(qiáng)化系統(tǒng)的過程，本質(zhì)上是一種“強(qiáng)生健體”的本質(zhì)措施，以確保攻擊者無可乘之機(jī)，這就像好的身體素質(zhì)不會(huì)經(jīng)常得病一樣。

在保護(hù)網(wǎng)絡(luò)方面，這意味著系統(tǒng)要確保不必要的程序不會(huì)運(yùn)行, 確保系統(tǒng)已經(jīng)安裝最新的安全更新,  并確保系統(tǒng)訪問僅限于那些需要它的人。

你可以把網(wǎng)絡(luò)空間想象成一個(gè)有很多建筑的校園，如果你不在里面，就鎖上門。如果其中一棟大樓存放著了你所有的公司機(jī)密，確保門窗安全，且只有你信任的人才能進(jìn)出。確保警報(bào)已設(shè)防，并且人們準(zhǔn)備好在響應(yīng)時(shí)做出響應(yīng)。

而縱深防御這是一個(gè)很好的策略，它會(huì)為系統(tǒng)增加很多保護(hù)層，以減少任何可能的風(fēng)險(xiǎn)。

前面已經(jīng)說過, 每個(gè)IT系統(tǒng)都是不同的, 所以加強(qiáng)你的系統(tǒng)的方法將會(huì)有所不同。

網(wǎng)絡(luò)和物理安全策略之間的界限相當(dāng)模糊，因?yàn)樗鼈兌贾荚趯?duì)惡意行為做出反應(yīng)或先發(fā)制人的管理?？v深防御的目標(biāo)是確保每層都知道如何在可疑的攻擊事件中采取行動(dòng)，限制惡意或意外破壞的機(jī)會(huì)，并最大限度地提高快速識(shí)別任何安全漏洞的機(jī)會(huì)。比如：

1.讓員工先進(jìn)行篩選；

2.最低權(quán)限的設(shè)定，僅允許對(duì)某人執(zhí)行其指定角色所需的系統(tǒng)和資源的最低級(jí)別訪問權(quán)限。例如，門衛(wèi)沒有理由訪問閉路電視系統(tǒng)，或者保安人員有一個(gè)允許他們重新配置網(wǎng)絡(luò)的計(jì)算機(jī)帳戶。

3.職責(zé)分離，這樣做是為了確保不將敏感流程或特權(quán)分配給單個(gè)人，這樣做有助于通過實(shí)現(xiàn)檢查和平衡來防止欺詐和錯(cuò)誤。一個(gè)很好的例子是在醫(yī)院，在給藥之前，需要由另一個(gè)人檢查數(shù)量和類型，以防止出現(xiàn)用藥錯(cuò)誤。

4.實(shí)施權(quán)限撤銷政策，例如立即撤銷任何IT或物理訪問權(quán)限，以快速對(duì)危機(jī)做出反應(yīng)。

員工的安全培訓(xùn)和意識(shí)也應(yīng)考慮進(jìn)來，甚至可以說這與縱深防御的使用處于同一等量級(jí)上。例如，強(qiáng)迫員工每隔幾周更換一次密碼，并讓他們?yōu)樾枰褂玫拿總€(gè)系統(tǒng)使用不同的密碼，如果人們不明白其中的原因，只是圖使用方便，那么很可能會(huì)導(dǎo)致快捷方式的出現(xiàn)，進(jìn)而出現(xiàn)攻擊漏洞。

同樣，經(jīng)過培訓(xùn)后，員工也會(huì)意識(shí)到一個(gè)組織面臨的威脅，可以促使他們參與進(jìn)來，及時(shí)報(bào)告安全事件，以便迅速做出反應(yīng)。然而，正如前文描述的那樣，僅僅意識(shí)到這一點(diǎn)是不夠的。例如，如果沒有防火墻阻止攻擊者從internet訪問網(wǎng)絡(luò)，那么無論你的員工多么小心地使用安全密碼也是無用的。

盡管本文的重點(diǎn)是講述保護(hù)IT系統(tǒng)的不同層，但是如果沒有提到物理安全措施，則縱深防御的策略就不是很完整了。如果有人偷走了你正在運(yùn)行的筆記本電腦，那么任何監(jiān)控日志和在你的電腦上使用的殺毒軟件都將不會(huì)起到作用。

任何公司所需的物理安全措施都將根據(jù)所運(yùn)行的環(huán)境來進(jìn)行有針對(duì)性的安全配置，例如規(guī)模、位置、業(yè)務(wù)性質(zhì)等等。但是，在防止IT設(shè)備的地方，應(yīng)該至少考慮一些以下的因素：

1.確保門窗安全，防止意外盜竊；

2.不使用時(shí)，把敏感設(shè)備或手提設(shè)備鎖好并保存好；

雖然，這些措施絕不能防止可能出現(xiàn)的盜竊，建議企業(yè)應(yīng)該認(rèn)真考慮實(shí)施更強(qiáng)大的物理安全機(jī)制。

災(zāi)難發(fā)生后的數(shù)據(jù)恢復(fù)或備份

災(zāi)難恢復(fù)就像它聽起來的那樣，確保你的組織有適當(dāng)?shù)臋C(jī)制在最壞的情況下進(jìn)行恢復(fù)。就IT系統(tǒng)而言，這則意味著有一個(gè)安全的備份，并確保在適當(dāng)?shù)臅r(shí)間范圍內(nèi)進(jìn)行維護(hù)。沒有人希望最壞的情況發(fā)生，但做好從最壞的情況中恢復(fù)的準(zhǔn)備，可能會(huì)決定一家企業(yè)的生存和倒閉。

縱深防御策略就像是一種保險(xiǎn)，只有災(zāi)難發(fā)生后才能知道它的價(jià)值。這篇文章已經(jīng)說明了，盡管有多種方法可以保護(hù)網(wǎng)絡(luò)，并且每種方法都有其優(yōu)點(diǎn)，但任何一種解決方案都會(huì)留下可能防護(hù)空白。由于攻擊者有各種各樣的攻擊目標(biāo)，因此，需要不同的防御層才能有效防御。

來源：網(wǎng)信防務(wù)