网络信息安全之纵深防御

这篇具有很好参考价值的文章主要介绍了网络信息安全之纵深防御。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

什么是“纵深防御”?很多人和资料都有不同的解释,有许多资料将“纵深防御”和“分层防护”等同起来,
上次文章介绍了“分层防护”,分层防护是根据网络的应用现状情况和网络的结构,将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理等各个层级,在每个层级实施相应的防护策略和手段。“纵深防御”与“分层防护”既有区别又有联系。

“纵深防御”实际上并不是一个网络安全领域的专属名词,早在二十世纪初,前苏联元帅米·尼·图哈切夫斯基就在对第一次世界大战以及国内战争经验的基础上,提出了一种名为“大纵深作战理论”的思想。由于网络安全的本质就是黑客与开发者之间的攻防战,所以信息安全领域中的“纵深防御”概念确与战争学上的思想有着共通之处,其核心都是多点布防、以点带面、多面成体,以形成一个多层次的、立体的全方位防御体系来挫伤敌人、保障自身的整体安全。

根据《信息安全工程师教程(第2版)》的描述,纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够相互支持和补救,尽可能地阻断攻击者的威胁。目前,安全业界认为网络需要建立四道防线:安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;安全监测是网络的第二道防线,可以及时发现入侵和破坏;实施响应是网络的第三道防线,当攻击发生时维持网络"打不垮";恢复是网络的第四道防线,使网络在遭受攻击后能够以最快的速度“起死回升”,最大限度地降低安全事件带来的损失。看描述基本上是对应美国国防部提出的PDRR模型,即(Protection防护、Detection检测、Response响应、Recovery恢复)。PDRR改进了传统只有防护的单一安全防御思想,强调信息安全保障的四个重要环节。
保护(Protection)的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
检测(Detection)的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。
响应(Response)的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。
恢复(Recovery)的内容主要有数据备份、数据修复、系统恢复等。
网络信息安全之纵深防御

但是PPDR模型总体还是比较局限于从技术上考虑安全问题。随着信息化的发展,人们越来越意识到信息安全涉及面非常广,除了技术,管理、制度、人员和法律等方面也是信息安全必须考虑的因素,就像一个由多块木板构成的“木桶”,木桶的容量由最短的那块短板决定。在处理信息安全问题是,需要全面考虑各方面的因素。

所以美国国家安全局(NSA)发布的信息安全保障技术框架IATF(Information Assurance Technical Framework)提出了纵深防御战略思想,其3个核心要素就是人、技术和操作。信息系统安全保障依赖于人、技术和操作来共同实现组织机构的职能。
IATF用一句话概括起来就是:一个核心思想、三个核心要素、四个焦点领域
网络信息安全之纵深防御

一个核心思想
一个核心思想就是"纵深防御",纵深防御也被称为深度防护战略(Defense-in-Depth),是指网络安全需要采用一个多层次、纵深的安全措施来保障信息安全。因为网络信息的安全不是仅仅依靠一两种技术或简单的安全防御设施就能实现,必须在各个层次、不同技术框架区域中实施保障机制,才能最大程度地降低风险,应对攻击并保护信息系统的安全。在一个规范的信息系统网络中,我们可以看到在网络出口有防火墙,在DMZ区有防火墙,在服务器前端还有防火墙,这就是纵深防御思想的一个体现。需要在多个位置部署安全措施,看似重复,但是因其面对不同的业务、其安全策略有很大的差异。

三个核心要素
三个核心要素是人、技术、操作。网络安全三分靠技术、七分靠管理,三要素中的“人”指的就是加强管理。
人是信息系统的主题,也是信息系统的拥有者、管理者和使用者,是信息安全保障的核心;
技术是重要手段,需要通过技术机制来保障各项业务的安全,是一种被动防御;
操作也称为运行或运营安全,是一种主动防御的体系和机制,包括风险评估、监控、审计、入侵检测等。
网络信息安全之纵深防御

四个焦点领域
网络和基础设施、区域边界、计算环境、支撑性基础设施4个焦点领域。基于这4个焦点领域,结合IATF纵深防御的思想进行信息安全防御从而形成保障框架。

1.保护网络和基础设施
网络和其他基础设施是信息系统及业务的支撑,是整个信息系统安全的基础。应采取措施确保网络和基础设施能稳定可靠运行,不会因故障和外界影响导致服务的中断或数据延迟,确保在网络中进行传输的公共的、私人的信息能正确地被接收者获取,不会导致未受权的访问、更改等。保护网络和基础设施防护措施包括但并不限于以下方式。

  • 合理规划以确保骨干网可用性。
  • 使用安全的技术架构,例如在使用无线网络时考虑安全的技术架构。
  • 使用冗余设备提高可用性。
  • 使用虚拟专网 (VPN)保护通信。

2.保护区域边界
信息系统根据业务、管理方式和安全等级的不同,通常可以划分为多个区域,这些区或多或少都有与其他区域相连接的边界。保护区域边界关注的是如何对进出这些区域边界的数据流进行有效的控制与监视。要合理地将信息系统根据业务、管理方式和安全等级划分不同的安全区域,并明确定义不同网络区域间需要哪些数据传递。在此基础上采取措施对数据进行控制与监视。通常采取的措施包括但并不限于以下方式。

  • 在区域边界设置身份认证和访问控制措施,例如部署防火墙对来访者进行身份认证。
  • 在区域边界部署人侵检测系统以发现针对安全区域内的攻击行为。
  • 在区域边界部署防病毒网关以发现并过滤数据中的恶意代码。
  • 使用VPN设备以确保安全的接人。
  • 部署抗拒绝服务攻击设备以应对拒绝服务攻击。
  • 流量管理、行为管理等其他措施。

3.保护计算环境
计算环境指信息系统中的服务器、客户机及其中安装的操作系统、应用软件等。保护计算环境通常采用身份鉴别、访问控制、加密等一系列技术以确保计算环境内的数据保密性、完整性、可用性、不可否认性等。保护计算环境的措施包括但并不限于以下方式。

  • 安装并使用安全的操作系统和应用软件。
  • 在服务 器上部署主机入侵检测系统、防病毒软件及其他安全防护软件。
  • 定期对系统进行漏洞扫描或者补丁加固,以避免系统脆弱性。
  • 定期对系统进行安全配置检查,确保最优配置。
  • 部署或配置对文件的完整性保护。
  • 定期对 系统和数据进行备份等。

4.支撑性基础设施
支撑性基础设施是提供安全服务的基础设施及与之相关的一系列活动的综合体。IATF定义了两种类型的支撑性基础设施:密钥管理基础设施(KMI) /公钥基础设施(PKI)和检测与响应。

  • KMI/PKI:提供支持密钥、授权和证书管理的密码基础设施并能实现使用网络服务人员确实的身份识别。
  • 检测与响应:提供入侵检测、报告、分析、评估和响应基础设施,它能迅速检测和响应入侵、异常事件并提供运行状态的情况。

IATF的4个技术焦点区域是一个逐层递进的关系,从而形成一种纵深防御系统。因此,以上4个方面的应用充分贯彻了纵深防御的思想,对整个信息系统的各个区域、各个层次,甚至在每一个层次内部都部署了信息安全设备和安全机制,保证访问者对每一个 系统组件进行访问时都受到保障机制的监视和检测,以实现系统全方位的充分防御,将系统遭受攻进行访问时都受到保障机制的监视和检测,以实现系统全方位的充分防御,将系统遭受攻击的风险降至最低,确保数据的安全和可靠。

除了纵深防御这个核心思想之外,IATF还提出了其他一些信息安全原则,包括保护多个位置、分层防护。
1.保护多个位置
保护多个位置包括保护网络和基础设施、区域边界、计算环境等,这一原则提醒我们,仅仅在信息系统的重要敏感区域设置一些保护装置是不够的,任意一个系统漏洞都有可能导致严重的攻击和破坏后果,所以在信息系统的各个方位布置全面的防御机制,才能将风险降至最低。
2.分层防御
如果说保护多个位置原则是横向防御,那么这一原则就是纵向防御,这也是纵深防御思想的一个具体体现。分层防御即在攻击者和目标之间部署多层防御机制,每个这样的机制必须对攻击者形成一道屏障。而且每一个这样的机制还应包括保护和检测措施,以使攻击者不得不面对被检测到的风险,迫使攻击者由于高昂的攻击代价而放弃攻击行为。

可见,纵深防御是战略思想、分层防护是具体的战术实现

资料来源:
《信息安全工程师教程(第2版)》
《CISP培训教材》


作者博客:http://xiejava.ishareread.com/文章来源地址https://www.toymoban.com/news/detail-446656.html

到了这里,关于网络信息安全之纵深防御的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 什么是网络安全、信息安全、计算机安全,有何区别?_网络与信息安全包含 建设安全 运维安全

    这三个概念都存在,一般人可能会混为一谈。 究竟它们之间是什么关系? 并列?交叉? 可能从广义上来说它们都可以用来表示安全security这样一个笼统的概念。 但如果从狭义上理解,它们应该是有区别的,区别在哪呢? 我的理解计算机安全主要指单机(非网络环境下)的安

    2024年04月23日
    浏览(45)
  • 什么叫做信息安全?包含哪些内容?与网络安全有什么区别?

    生活中我们经常会听到要保障自己的或者企业的信息安全。那到底什么是信息安全呢?信息安全包含哪些内容?与网络安全又有什么区别呢?今天我们就一起来详细了解一下。 什么叫做信息安全? 信息安全定义如下:为数据处理系统建立和采用的技术、管理上的安全保护,

    2024年02月05日
    浏览(52)
  • 电力信息系统特点及安全防御

    电力信息系统的构建,为居民用电和企业服务提供了帮助,有利于促进电力行业的信息化发展。尤其是在大数据时代,对电力信息系统的运行提出了更高的要求,只有保障其安全性与可靠性,才能防止其对居民用电产生影响。网络是一个虚拟性和开放性极强的世界,在电力信

    2024年02月05日
    浏览(51)
  • 浪潮信息KeyarchOS——保卫数字未来的安全防御利器

    浪潮 信息 KeyarchOS——保卫数字未来的安全防御利器 前言 众所周知,目前流行的操作系统有10余种,每一款操作系统都有自己的特点。作为使用者,我们该如何选择操作系统。如果你偏重操作系统的安全可信和稳定高效,我推荐你使用浪潮信息云峦KeyarchOS; 随着数字化时代的

    2024年02月05日
    浏览(62)
  • 安全防御——三、网络安全理论知识

    下边基于这次攻击演示我们介绍一下网络安全的一些常识和术语。 资产 任何对组织业务具有价值的信息资产,包括计算机硬件、通信设施、IT 环境、数据库、软件、文档资料、信息服务和人员等。 网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不

    2024年02月04日
    浏览(44)
  • 网络防御保护——1.网络安全概述

    通信保密阶段 --- 计算机安全阶段 --- 信息系统安全 --- 网络空间安全 APT攻击 --- 高级持续性威胁 网络安全 (网络空间安全-- Cyberspace )从其本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护。不遭受破坏、更改、泄露,系统可靠正常地运行,网络服务不

    2024年01月25日
    浏览(56)
  • 网络防御之传输安全

    1.什么是数据认证,有什么作用,有哪些实现的技术手段? 数据认证是一种权威的电子文档 作用:它能保证数据的完整性、可靠性、真实性 技术手段有数字签名、加密算法、哈希函数等 2.什么是身份认证,有什么作用,有哪些实现的技术手段? 身份认证是指确认用户的身份以

    2024年02月12日
    浏览(38)
  • 网络安全-防御需知

    目录 网络安全-防御 1.网络安全常识及术语 资产 漏洞 0day 1day 后门 exploit APT 2.什么会出现网络安全问题? 网络环境的开放性 协议栈自身的脆弱性 操作系统自身的漏洞 人为原因 客观原因 硬件原因 缓冲区溢出攻击 缓冲区溢出攻击原理 其他攻击 社工攻击 防御手段: 人为因素

    2024年02月15日
    浏览(40)
  • 网络安全--防御保护02

    第二天重要的一个点是 区域 这个概念 防火墙的主要职责在于控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作 单一主机防火墙:专门有设备作为防火墙 路由集成:核心设备,可流量转发 分布式防火墙:部署多个 吞吐量 --- 防火墙同一时间处

    2024年01月24日
    浏览(44)
  • 网络安全威胁与防御策略

      随着数字化时代的快速发展,网络已经成为人们生活和工作中不可或缺的一部分。然而,网络的广泛应用也引发了一系列严峻的网络安全威胁。恶意软件、网络攻击、数据泄露等问题层出不穷,给个人和企业带来了巨大的风险。本文将深入探讨网络安全领域的主要威胁,并

    2024年02月11日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包