什么是“纵深防御”?很多人和资料都有不同的解释,有许多资料将“纵深防御”和“分层防护”等同起来,
上次文章介绍了“分层防护”,分层防护是根据网络的应用现状情况和网络的结构,将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理等各个层级,在每个层级实施相应的防护策略和手段。“纵深防御”与“分层防护”既有区别又有联系。
“纵深防御”实际上并不是一个网络安全领域的专属名词,早在二十世纪初,前苏联元帅米·尼·图哈切夫斯基就在对第一次世界大战以及国内战争经验的基础上,提出了一种名为“大纵深作战理论”的思想。由于网络安全的本质就是黑客与开发者之间的攻防战,所以信息安全领域中的“纵深防御”概念确与战争学上的思想有着共通之处,其核心都是多点布防、以点带面、多面成体,以形成一个多层次的、立体的全方位防御体系来挫伤敌人、保障自身的整体安全。
根据《信息安全工程师教程(第2版)》的描述,纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够相互支持和补救,尽可能地阻断攻击者的威胁。目前,安全业界认为网络需要建立四道防线:安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;安全监测是网络的第二道防线,可以及时发现入侵和破坏;实施响应是网络的第三道防线,当攻击发生时维持网络"打不垮";恢复是网络的第四道防线,使网络在遭受攻击后能够以最快的速度“起死回升”,最大限度地降低安全事件带来的损失。看描述基本上是对应美国国防部提出的PDRR模型,即(Protection防护、Detection检测、Response响应、Recovery恢复)。PDRR改进了传统只有防护的单一安全防御思想,强调信息安全保障的四个重要环节。
保护(Protection)的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
检测(Detection)的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。
响应(Response)的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。
恢复(Recovery)的内容主要有数据备份、数据修复、系统恢复等。
但是PPDR模型总体还是比较局限于从技术上考虑安全问题。随着信息化的发展,人们越来越意识到信息安全涉及面非常广,除了技术,管理、制度、人员和法律等方面也是信息安全必须考虑的因素,就像一个由多块木板构成的“木桶”,木桶的容量由最短的那块短板决定。在处理信息安全问题是,需要全面考虑各方面的因素。
所以美国国家安全局(NSA)发布的信息安全保障技术框架IATF(Information Assurance Technical Framework)提出了纵深防御战略思想,其3个核心要素就是人、技术和操作。信息系统安全保障依赖于人、技术和操作来共同实现组织机构的职能。
IATF用一句话概括起来就是:一个核心思想、三个核心要素、四个焦点领域。
一个核心思想
一个核心思想就是"纵深防御",纵深防御也被称为深度防护战略(Defense-in-Depth),是指网络安全需要采用一个多层次、纵深的安全措施来保障信息安全。因为网络信息的安全不是仅仅依靠一两种技术或简单的安全防御设施就能实现,必须在各个层次、不同技术框架区域中实施保障机制,才能最大程度地降低风险,应对攻击并保护信息系统的安全。在一个规范的信息系统网络中,我们可以看到在网络出口有防火墙,在DMZ区有防火墙,在服务器前端还有防火墙,这就是纵深防御思想的一个体现。需要在多个位置部署安全措施,看似重复,但是因其面对不同的业务、其安全策略有很大的差异。
三个核心要素
三个核心要素是人、技术、操作。网络安全三分靠技术、七分靠管理,三要素中的“人”指的就是加强管理。
人是信息系统的主题,也是信息系统的拥有者、管理者和使用者,是信息安全保障的核心;
技术是重要手段,需要通过技术机制来保障各项业务的安全,是一种被动防御;
操作也称为运行或运营安全,是一种主动防御的体系和机制,包括风险评估、监控、审计、入侵检测等。
四个焦点领域
网络和基础设施、区域边界、计算环境、支撑性基础设施4个焦点领域。基于这4个焦点领域,结合IATF纵深防御的思想进行信息安全防御从而形成保障框架。
1.保护网络和基础设施
网络和其他基础设施是信息系统及业务的支撑,是整个信息系统安全的基础。应采取措施确保网络和基础设施能稳定可靠运行,不会因故障和外界影响导致服务的中断或数据延迟,确保在网络中进行传输的公共的、私人的信息能正确地被接收者获取,不会导致未受权的访问、更改等。保护网络和基础设施防护措施包括但并不限于以下方式。
- 合理规划以确保骨干网可用性。
- 使用安全的技术架构,例如在使用无线网络时考虑安全的技术架构。
- 使用冗余设备提高可用性。
- 使用虚拟专网 (VPN)保护通信。
2.保护区域边界
信息系统根据业务、管理方式和安全等级的不同,通常可以划分为多个区域,这些区或多或少都有与其他区域相连接的边界。保护区域边界关注的是如何对进出这些区域边界的数据流进行有效的控制与监视。要合理地将信息系统根据业务、管理方式和安全等级划分不同的安全区域,并明确定义不同网络区域间需要哪些数据传递。在此基础上采取措施对数据进行控制与监视。通常采取的措施包括但并不限于以下方式。
- 在区域边界设置身份认证和访问控制措施,例如部署防火墙对来访者进行身份认证。
- 在区域边界部署人侵检测系统以发现针对安全区域内的攻击行为。
- 在区域边界部署防病毒网关以发现并过滤数据中的恶意代码。
- 使用VPN设备以确保安全的接人。
- 部署抗拒绝服务攻击设备以应对拒绝服务攻击。
- 流量管理、行为管理等其他措施。
3.保护计算环境
计算环境指信息系统中的服务器、客户机及其中安装的操作系统、应用软件等。保护计算环境通常采用身份鉴别、访问控制、加密等一系列技术以确保计算环境内的数据保密性、完整性、可用性、不可否认性等。保护计算环境的措施包括但并不限于以下方式。
- 安装并使用安全的操作系统和应用软件。
- 在服务 器上部署主机入侵检测系统、防病毒软件及其他安全防护软件。
- 定期对系统进行漏洞扫描或者补丁加固,以避免系统脆弱性。
- 定期对系统进行安全配置检查,确保最优配置。
- 部署或配置对文件的完整性保护。
- 定期对 系统和数据进行备份等。
4.支撑性基础设施
支撑性基础设施是提供安全服务的基础设施及与之相关的一系列活动的综合体。IATF定义了两种类型的支撑性基础设施:密钥管理基础设施(KMI) /公钥基础设施(PKI)和检测与响应。
- KMI/PKI:提供支持密钥、授权和证书管理的密码基础设施并能实现使用网络服务人员确实的身份识别。
- 检测与响应:提供入侵检测、报告、分析、评估和响应基础设施,它能迅速检测和响应入侵、异常事件并提供运行状态的情况。
IATF的4个技术焦点区域是一个逐层递进的关系,从而形成一种纵深防御系统。因此,以上4个方面的应用充分贯彻了纵深防御的思想,对整个信息系统的各个区域、各个层次,甚至在每一个层次内部都部署了信息安全设备和安全机制,保证访问者对每一个 系统组件进行访问时都受到保障机制的监视和检测,以实现系统全方位的充分防御,将系统遭受攻进行访问时都受到保障机制的监视和检测,以实现系统全方位的充分防御,将系统遭受攻击的风险降至最低,确保数据的安全和可靠。
除了纵深防御这个核心思想之外,IATF还提出了其他一些信息安全原则,包括保护多个位置、分层防护。
1.保护多个位置
保护多个位置包括保护网络和基础设施、区域边界、计算环境等,这一原则提醒我们,仅仅在信息系统的重要敏感区域设置一些保护装置是不够的,任意一个系统漏洞都有可能导致严重的攻击和破坏后果,所以在信息系统的各个方位布置全面的防御机制,才能将风险降至最低。
2.分层防御
如果说保护多个位置原则是横向防御,那么这一原则就是纵向防御,这也是纵深防御思想的一个具体体现。分层防御即在攻击者和目标之间部署多层防御机制,每个这样的机制必须对攻击者形成一道屏障。而且每一个这样的机制还应包括保护和检测措施,以使攻击者不得不面对被检测到的风险,迫使攻击者由于高昂的攻击代价而放弃攻击行为。
可见,纵深防御是战略思想、分层防护是具体的战术实现。
资料来源:
《信息安全工程师教程(第2版)》
《CISP培训教材》