网络信息安全之纵深防御
什么是“纵深防御”?很多人和资料都有不同的解释,有许多资料将“纵深防御”和“分层防护”等同起来,
上次文章介绍了“分层防护”,分层防护是根据网络的应用现状情况和网络的结构,将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理等各个层级,在每个层级实施相应的防护策略和手段。“纵深防御”与“分层防护”既有区别又有联系。
“纵深防御”实际上并不是一个网络安全领域的专属名词,早在二十世纪初,前苏联元帅米·尼·图哈切夫斯基就在对第一次世界大战以及国内战争经验的基础上,提出了一种名为“大纵深作战理论”的思想。由于网络安全的本质就是黑客与开发者之间的攻防战,所以信息安全领域中的“纵深防御”概念确与战争学上的思想有着共通之处,其核心都是多点布防、以点带面、多面成体,以形成一个多层次的、立体的全方位防御体系来挫伤敌人、保障自身的整体安全。
根据《信息安全工程师教程(第2版)》的描述,纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够相互支持和补救,尽可能地阻断攻击者的威胁。目前,安全业界认为网络需要建立四道防线:安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;安全监测是网络的第二道防线,可以及时发现入侵和破坏;实施响应是网络的第三道防线,当攻击发生时维持网络"打不垮";恢复是网络的第四道防线,使网络在遭受攻击后能够以最快的速度“起死回升”,最大限度地降低安全事件带来的损失。看描述基本上是对应美国国防部提出的PDRR模型,即(Protection防护、Detection检测、Response响应、Recovery恢复)。PDRR改进了传统只有防护的单一安全防御思想,强调信息安全保障的四个重要环节。
保护(Protection)的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
检测(Detection)的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。
响应(Response)的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。
恢复(Recovery)的内容主要有数据备份、数据修复、系统恢复等。
但是PPDR模型总体还是比较局限于从技术上考虑安全问题。随着信息化的发展,人们越来越意识到信息安全涉及面非常广,除了技术,管理、制度、人员和法律等方面也是信息安全必须考虑的因素,就像一个由多块木板构成的“木桶”,木桶的容量由最短的那块短板决定。在处理信息安全问题是,需要全面考虑各方面的因素。
所以美国国家安全局(NSA)发布的信息安全保障技术框架IATF(Information Assurance Technical Framework)提出了纵深防御战略思想,其3个核心要素就是人、技术和操作。信息系统安全保障依赖于人、技术和操作来共同实现组织机构的职能。
IATF用一句话概括起来就是:一个核心思想、三个核心要素、四个焦点领域。
一个核心思想
一个核心思想就是"纵深防御",纵深防御也被称为深度防护战略(Defense-in-Depth),是指网络安全需要采用一个多层次、纵深的安全措施来保障信息安全。因为网络信息的安全不是仅仅依靠一两种技术或简单的安全防御设施就能实现,必须在各个层次、不同技术框架区域中实施保障机制,才能最大程度地降低风险,应对攻击并保护信息系统的安全。在一个规范的信息系统网络中,我们可以看到在网络出口有防火墙,在DMZ区有防火墙,在服务器前端还有防火墙,这就是纵深防御思想的一个体现。需要在多个位置部署安全措施,看似重复,但是因其面对不同的业务、其安全策略有很大的差异。
三个核心要素
三个核心要素是人、技术、操作。网络安全三分靠技术、七分靠管理,三要素中的“人”指的就是加强管理。
人是信息系统的主题,也是信息系统的拥有者、管理者和使用者,是信息安全保障的核心;
技术是重要手段,需要通过技术机制来保障各项业务的安全,是一种被动防御;
操作也称为运行或运营安全,是一种主动防御的体系和机制,包括风险评估、监控、审计、入侵检测等。
四个焦点领域
网络和基础设施、区域边界、计算环境、支撑性基础设施4个焦点领域。基于这4个焦点领域,结合IATF纵深防御的思想进行信息安全防御从而形成保障框架。
1.保护网络和基础设施
网络和其他基础设施是信息系统及业务的支撑,是整个信息系统安全的基础。应采取措施确保网络和基础设施能稳定可靠运行,不会因故障和外界影响导致服务的中断或数据延迟,确保在网络中进行传输的公共的、私人的信息能正确地被接收者获取,不会导致未受权的访问、更改等。保护网络和基础设施防护措施包括但并不限于以下方式。
- 合理规划以确保骨干网可用性。
- 使用安全的技术架构,例如在使用无线网络时考虑安全的技术架构。
- 使用冗余设备提高可用性。
- 使用虚拟专网 (VPN)保护通信。
2.保护区域边界
信息系统根据业务、管理方式和安全等级的不同,通常可以划分为多个区域,这些区或多或少都有与其他区域相连接的边界。保护区域边界关注的是如何对进出这些区域边界的数据流进行有效的控制与监视。要合理地将信息系统根据业务、管理方式和安全等级划分不同的安全区域,并明确定义不同网络区域间需要哪些数据传递。在此基础上采取措施对数据进行控制与监视。通常采取的措施包括但并不限于以下方式。
- 在区域边界设置身份认证和访问控制措施,例如部署防火墙对来访者进行身份认证。
- 在区域边界部署人侵检测系统以发现针对安全区域内的攻击行为。
- 在区域边界部署防病毒网关以发现并过滤数据中的恶意代码。
- 使用VPN设备以确保安全的接人。
- 部署抗拒绝服务攻击设备以应对拒绝服务攻击。
- 流量管理、行为管理等其他措施。
3.保护计算环境
计算环境指信息系统中的服务器、客户机及其中安装的操作系统、应用软件等。保护计算环境通常采用身份鉴别、访问控制、加密等一系列技术以确保计算环境内的数据保密性、完整性、可用性、不可否认性等。保护计算环境的措施包括但并不限于以下方式。
- 安装并使用安全的操作系统和应用软件。
- 在服务 器上部署主机入侵检测系统、防病毒软件及其他安全防护软件。
- 定期对系统进行漏洞扫描或者补丁加固,以避免系统脆弱性。
- 定期对系统进行安全配置检查,确保最优配置。
- 部署或配置对文件的完整性保护。
- 定期对 系统和数据进行备份等。
4.支撑性基础设施
支撑性基础设施是提供安全服务的基础设施及与之相关的一系列活动的综合体。IATF定义了两种类型的支撑性基础设施:密钥管理基础设施(KMI) /公钥基础设施(PKI)和检测与响应。
- KMI/PKI:提供支持密钥、授权和证书管理的密码基础设施并能实现使用网络服务人员确实的身份识别。
- 检测与响应:提供入侵检测、报告、分析、评估和响应基础设施,它能迅速检测和响应入侵、异常事件并提供运行状态的情况。
IATF的4个技术焦点区域是一个逐层递进的关系,从而形成一种纵深防御系统。因此,以上4个方面的应用充分贯彻了纵深防御的思想,对整个信息系统的各个区域、各个层次,甚至在每一个层次内部都部署了信息安全设备和安全机制,保证访问者对每一个 系统组件进行访问时都受到保障机制的监视和检测,以实现系统全方位的充分防御,将系统遭受攻进行访问时都受到保障机制的监视和检测,以实现系统全方位的充分防御,将系统遭受攻击的风险降至最低,确保数据的安全和可靠。
除了纵深防御这个核心思想之外,IATF还提出了其他一些信息安全原则,包括保护多个位置、分层防护。
1.保护多个位置
保护多个位置包括保护网络和基础设施、区域边界、计算环境等,这一原则提醒我们,仅仅在信息系统的重要敏感区域设置一些保护装置是不够的,任意一个系统漏洞都有可能导致严重的攻击和破坏后果,所以在信息系统的各个方位布置全面的防御机制,才能将风险降至最低。
2.分层防御
如果说保护多个位置原则是横向防御,那么这一原则就是纵向防御,这也是纵深防御思想的一个具体体现。分层防御即在攻击者和目标之间部署多层防御机制,每个这样的机制必须对攻击者形成一道屏障。而且每一个这样的机制还应包括保护和检测措施,以使攻击者不得不面对被检测到的风险,迫使攻击者由于高昂的攻击代价而放弃攻击行为。
可见,纵深防御是战略思想、分层防护是具体的战术实现。
资料来源:
《信息安全工程师教程(第2版)》
《CISP培训教材》
作者博客:http://xiejava.ishareread.com/
网络信息安全之纵深防御相关推荐
- 网络信息安全的防御措施有哪些?
网络信息安全是指保护计算机网络中的信息和资产免受未经授权的访问.窃取.破坏.篡改等威胁的一系列技术和措施.以下是网络信息安全的一些防御措施: 防火墙:防火墙是一个网络安全设备,可帮助防止未经授权的网络 ...
- 纵深防御仍对付得了当今的网络威胁吗?
大概15年前,纵深防御首次运用于网络安全行业时,彻底改变了这个行业.如今,使用一系列安全对策来保护网络这个想法已成了公认的最佳实践,而网络安全领域的传统思想领袖(金融服务公司和美国联邦政府)更是将它奉 ...
- 网络信息安全的重要性
一.信息安全技术概论 1.网络安全的重要作用 在互联网普及的初期,人们更关注单纯的连接性,以不受任何限制地建立互联网为最终目的.正如事情都具有两面性,互联网的便捷性给人们带来了负面问题,计算机病毒的侵 ...
- 网络安全:网络信息安全的概述.
网络安全:网络信息安全的概述 网络信息安全是一门涉及计算机科学,网络技术,通信技术.密码技术.信息安全技术.应用数学.数论.信息论等多种学科的综合性学科. 它主要是指网络系统的硬件.软件及其系统中的数 ...
- 新书推荐 |《Linux系统安全:纵深防御、安全扫描与入侵检测》
新书推荐 <Linux系统安全:纵深防御.安全扫描与入侵检测> 点击上图了解及购买 资深Linux系统安全/运维专家撰写,腾讯.阿里技术专家高度评价,从纵深防御.安全扫描.入侵检测3个维度 ...
- (软考--信息安全工程师中级)一、网络信息安全概述
1.1.网络信息安全基本属性 1.1.1.机密性(Confidentiality):网络信息不泄露给非授权用户. 1.1.2.完整性(Integrity):网络信息未经授权 ...
- 《信息安全工程师教程》——网络信息安全概述
网络发展现状与重要性认识 计算机网络演变成人类活动的新空间,即网络空间,它是国家继陆.海.空.天后的第五个疆域. 网络信息安全相关概念 网络信息安全的发展历经了通信保密.计算机安全.信息保障.可信计算 ...
- 《NJUPT》网络信息安全_期末PPT整理笔记
零.基础知识 信息安全包括:信息安全管理.物理场所安全.设备的硬件安全.软件安全(操作系统/其他系统软件应用软件).网络信息安全(TCP/IP ).密码学的应用.信息隐藏.其他不常见技术 不同的研究方 ...
- 云安全三大趋势:纵深防御、软件定义安全、设备虚拟化
云安全三大趋势:纵深防御.软件定义安全.设备虚拟化 发表于2014-06-25 13:50| 3686次阅读| 来源CSDN| 3 条评论| 作者白小勇 云计算云安全DiDSDISSDV allowt ...
- 笔记-网络信息安全概述
<信息安全工程师教程>第2版 相关概念 狭义上的网络信息安全特指网络信息系统的各组成要素符合安全属性的要求,即机密性.完整性.可用性.抗抵赖性.可控性. 广义上的则是涉及国家安全.城市安全 ...
最新文章
- 关于大数据的完整讲解
- poi解析excel读取日期为数字的问题
- 日常生活中的法语积累2
- 总线接口与计算机通信(五)CAN总线
- ios中通过ALAssetsLibrary获取所有图片
- disaster——我都做了些什么啊!
- 今天学习jquery 希望开个好头
- 201771010120 苏浪浪 《面向对象程序设计(java)》第二周学习总结
- 苹果2019款iPad新机曝光:后置浴霸三摄
- 《Android应用开发揭秘》读者问题汇总
- Class的三种构造方法
- hp服务器系统检测,HP服务器检测步骤
- Windows was unable to connect to wifi 电脑windows连不上路由器但是连得上手机wifi?
- 大学英语 unit 2 第五题
- 人的成熟不是年龄,而是懂得了放弃。Python_China的博客
- java学习代码01 范围:基本测试、标识符、数据类型、运算符、控制语句
- 用 regedit 命令把注册表 .reg 文件导入注册表- -
- U盘突然提示格式化怎么办?里面的数据怎么办?
- VBA和VBScript的AES加密算法
- 丁火生于未月命理分析_丁火生于未月