網路資訊保安之縱深防禦

語言: CN / TW / HK
時間 2022-03-30 18:30:28

什麼是“縱深防禦”?很多人和資料都有不同的解釋,有許多資料將“縱深防禦”和“分層防護”等同起來,

上次文章介紹了“ 分層防護 ”,分層防護是根據網路的應用現狀情況和網路的結構,將安全防範體系的層次劃分為物理層安全、系統層安全、網路層安全、應用層安全和安全管理等各個層級,在每個層級實施相應的防護策略和手段。“縱深防禦”與“分層防護”既有區別又有聯絡。

“縱深防禦”實際上並不是一個網路安全領域的專屬名詞,早在二十世紀初,前蘇聯元帥米·尼·圖哈切夫斯基就在對第一次世界大戰以及國內戰爭經驗的基礎上,提出了一種名為“大縱深作戰理論”的思想。由於網路安全的本質就是黑客與開發者之間的攻防戰,所以資訊保安領域中的“縱深防禦”概念確與戰爭學上的思想有著共通之處,其核心都是多點佈防、以點帶面、多面成體,以形成一個多層次的、立體的全方位防禦體系來挫傷敵人、保障自身的整體安全。

根據《資訊保安工程師教程(第2版)》的描述, 縱深防禦模型的基本思路就是將資訊網路安全防護措施有機組合起來,針對保護物件,部署合適的安全措施,形成多道保護線,各安全防護措施能夠相互支援和補救,儘可能地阻斷攻擊者的威脅 。目前,安全業界認為網路需要建立四道防線:安全保護是網路的第一道防線,能夠阻止對網路的入侵和危害;安全監測是網路的第二道防線,可以及時發現入侵和破壞;實施響應是網路的第三道防線,當攻擊發生時維持網路”打不垮”;恢復是網路的第四道防線,使網路在遭受攻擊後能夠以最快的速度“起死回升”,最大限度地降低安全事件帶來的損失。看描述基本上是對應美國國防部提出的PDRR模型,即(Protection防護、Detection檢測、Recovery恢復、Response響應)。PDRR改進了傳統的只有防護的單一安全防禦思想,強調資訊保安保障的四個重要環節。

保護(Protection)的內容主要有加密機制、資料簽名機制、訪問控制機制、認證機制、資訊隱藏、防火牆技術等。

檢測(Detection)的內容主要有入侵檢測、系統脆弱性檢測、資料完整性檢測、攻擊性檢測等。

恢復(Recovery)的內容主要有資料備份、資料修復、系統恢復等。

響應(Response)的內容主要有應急策略、應急機制、應急手段、入侵過程分析及安全狀態評估等。

但是PPDR模型總體還是比較侷限與從技術上考慮安全問題。隨著資訊化的發展,人們越來越意識到資訊保安涉及面非常廣,除了技術,管理、制度、人員和法律等方面也是資訊保安必須考慮的因素,就像一個由多塊木板構成的“木桶”,木桶的容量由最短的那塊短板決定。在處理資訊保安問題是,需要全面考慮各方面的因素。

所以美國國家安全域性(NSA)釋出的資訊保安保障技術框架IATF(Information Assurance Technical Framework)提出了縱深防禦戰略思想,其3個核心要素就是人、技術和操作。資訊系統安全保障依賴於人、技術和操作來共同實現組織機構的職能。

IATF用一句話概括起來就是: 一個核心思想、三個核心要素、四個焦點領域

一個核心思想

一個核心思想就是”縱深防禦”, 縱深防禦也被稱為深度防護戰略(Defense-in-Depth),是指網路安全需要採用一個多層次、縱深的安全措施來保障資訊保安。因為網路資訊的安全不是僅僅依靠一兩種技術或簡單的安全防禦設施就能實現,必須在各個層次、不同技術框架區域中實施保障機制,才能最大程度地降低風險,應對攻擊並保護資訊系統的安全 。在一個規範的資訊系統網路中,我們可以看到在網路出口有防火牆,在DMZ區有防火牆,在伺服器前端還有防火牆,這就是縱深防禦思想的一個體現。需要在多個位置部署安全措施,看似重複,但是因其面對不同的業務、其安全策略有很大的差異。

三個核心要素

三個核心要素是人、技術、操作。網路安全三分靠技術、七分靠管理,三要素中的“人”指的就是加強管理。

人是資訊系統的主題,包括資訊系統的擁有者、管理者和使用者,是資訊保安保障的核心;

技術是重要手段,需要通過技術機制來保障各項業務的安全,是一種被動防禦;

操作也稱為執行或運營安全,是一種主動防禦的體系和機制,包括風險評估、監控、審計、入侵檢測等。

四個焦點領域

網路和基礎設施、區域邊界、計算環境、支撐性基礎設施4個焦點領域。基於這4個焦點領域,結合IATF縱深防禦的思想進行資訊保安防禦從而形成保障框架。

1.保護網路和基礎設施

網路和其他基礎設施是資訊系統及業務的支撐,是整個資訊系統安全的基礎。應採取昔施確保網路和基礎設施能穩定可靠執行,不會因故障和外界影響導致服務的中斷或資料延遲,確保在網路中進行傳輸的公共的、私人的資訊能正確地被接收者獲取,不會導致未受權的訪問、更改等。保護網路和基礎設施防護措施包括但並不限於以下方式。

  • 合理規劃以確保骨幹網可用性。
  • 使用安全的技 術架構,例如在使用無線網路時考慮安全的技術架構。
  • 使用冗餘裝置提高可用性。
  • 使用虛擬專網 ( VPN)保護通訊。

2.保護區域邊界

資訊系統根據業務、管理方式和安全等級的不同,通常可以劃分為多個區域,這些區或多或少都有與其他區域相連線的邊界。保護區域邊界關注的是如何對進出這此區域邊界的資料流進行有效的控制與監視。要合理地將資訊系統根據業務、管理方式和安全等級劃分不同的安全區域,並明確定義不同網路區域間需要哪些資料傳遞。在此基礎上採取措施對資料進行控制與監視。通常採取的措施包括但並不限於以下方式。

  • 在區域邊界設 置身份認證和訪問控制措施,例如部署防火牆對來訪者進行身份認證。
  • 在區域邊 界部署人侵檢測系統以發現針對安全區域內的攻擊行為。
  • 在區域邊界部署防病毒閘道器以發現並過濾資料中的惡意程式碼。
  • 使用VPN裝置以確保安全的接人。
  • 部署抗拒絕服務攻擊裝置以應對拒絕服務攻擊。
  • 流量管理、行為管理等其他措施。

3.保護計算環境

計算環境指資訊系統中的伺服器、客戶機及其中安裝的作業系統、應用軟體等。保護計算環境通常採用身份鑑別、訪問控制、加密等一系列技術以確保計算環境內的資料保密性、完整性、可用性、不可否認性等。保護計算環境的措施包括但並不限於以下方式。

安裝並使用安全的作業系統和應用軟體。

  • 在服務 器上部署主機入侵檢測系統、防病毒軟體及其他安全防護軟體。
  • 定期對系統進行漏洞掃描或者補丁加固,以避免系統脆弱性。
  • 定期對系統進行安全配置檢查,確保最優配置。
  • 部署或配置對檔案的完整性保護。
  • 定期對 系統和資料進行備份等。

4.支撐性基礎設施

支撐性基礎設施是提供安全服務的基礎設施及與之相關的一系列活動的綜合體。IATF定義了兩種型別的支撐性基礎設施:金鑰管理基礎設施( KMI) /公鑰基礎設施( PKI)和檢測與響應。

  • KMI/PKI:提供支援金鑰、授權和證書管理的密碼基礎設施並能實現使用網路服務人員確實的身份識別。
  • 檢測與響應:提供入侵檢測、報告、分析、評估和響應基礎設施,它能迅速檢測和響應入侵、異常事件並提供執行狀態的情況。

IATF的4個技術焦點區域是一個逐層遞進的關係,從而形成一種縱深防禦系統。因此,以上4個方面的應用充分貫徹了縱深防禦的思想,對整個資訊系統的各個區域、各個層次,甚至在每一個層次內部都部署了資訊保安裝置和安全機制,保證訪問者對每一個 系統元件進行訪問時都受到保障機制的監視和檢測,以實現系統全方位的充分防禦,將系統遭受攻進行訪問時都受到保障機制的監視和檢測,以實現系統全方位的充分防禦,將系統遭受攻擊的風險降至最低,確保資料的安全和可靠。

除了縱深防禦這個核心思想之外,IATF還提出了其他一些資訊保安原則,包括保護多個位置、分層防護。

1.保護多個位置

保護多個位置包括保護網路和基礎設施、區域邊界、計算環境等,這一原則提醒我們,僅僅在資訊系統的重要敏感區域設定一些保護裝置 是不夠的,任意一個系統漏洞都有可能導致嚴重的攻擊和破壞後果,所以在資訊系統的各個方位佈置全面的防禦機制,才能將風險降至最低。

2.分層防禦

如果說保護多個位置原則是橫向防禦,那麼這一原則就是縱向防禦,這也是縱深防禦思想的一個具體體現。分層防禦即在攻擊者和目標之間部署多層防禦機制,每個這樣的機制必須對攻擊者形成一道屏障。而且每一個這樣的機制還應包括保護和檢測措施,以使攻擊者不得不面對被檢測到的風險,迫使攻擊者由於高昂的攻擊代價而放棄攻擊行為。

可見,縱深防禦是戰略思想、分層防護是具體的戰術實現。

資料來源:

《資訊保安工程師教程(第2版)》

《CISP培訓教材》

作者部落格: http://xiejava.ishareread.com/