縱深防御：專家關(guān)于構(gòu)建多層網(wǎng)絡(luò)安全策略的見解

來源：湖北國菱計算機(jī)科技有限公司-湖北國聯(lián)計算機(jī)科技有限公司-荊州網(wǎng)站建設(shè)-荊州軟件開發(fā)-政府網(wǎng)站建設(shè)公司 時間：2025-03-07

在組織面臨日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅和法規(guī)的背景下，擁有深層次的網(wǎng)絡(luò)安全防護(hù)已不再是可望而不可及的目標(biāo)，而是變得至關(guān)重要。因此，縱深防御的理念比以往任何時候都更加重要。

之前，我們與資深網(wǎng)絡(luò)安全專家David Clarke 進(jìn)行了交流，探討了人們對于加密存儲態(tài)度的變化，并聽取了他對 NIS2 指令和《數(shù)字運(yùn)營韌性法案》（DORA） 及其影響的看法。

這次，我們與David 進(jìn)行了交流，以深入了解縱深防御的概念、內(nèi)涵，以及組織在實(shí)施多層次、穩(wěn)健的網(wǎng)絡(luò)安全戰(zhàn)略時應(yīng)追求的目標(biāo)。

Clarke 擁有豐富的經(jīng)驗(yàn)，曾領(lǐng)導(dǎo)全球最大的金融交易網(wǎng)絡(luò)的安全工作，并管理著歐洲最大的安全運(yùn)營中心之一。以下是他的主要觀點(diǎn)概述，以及這次富有洞察力的采訪完整視頻。

縱深防御的概念

縱深防御是一種多層次的安全防護(hù)方法，旨在通過實(shí)施多層防御來保護(hù)信息。Clarke 解釋說，這一概念已存在數(shù)百年，其歷史可追溯到古代城堡的建設(shè)時期，城堡被設(shè)計成擁有護(hù)城河、城墻等多重防護(hù)層。而今，這一概念已轉(zhuǎn)化為多種相互協(xié)作的安全措施，共同保護(hù)組織的數(shù)據(jù)和系統(tǒng)。

漏洞和風(fēng)險管理

縱深防御的一個關(guān)鍵方面是漏洞管理。Clarke 強(qiáng)調(diào)了定期修補(bǔ)漏洞以防止被利用的重要性。他分享了自己在金融領(lǐng)域的一個經(jīng)驗(yàn)：

我們有一個環(huán)境，那里每年允許的停機(jī)時間不能超過24 秒，每個月不能超過 2 秒。因此，必須設(shè)計這樣一個環(huán)境，使其一部分在修補(bǔ)的同時，其他部分仍在運(yùn)行。

這種方法可以確保漏洞得到及時且持續(xù)的處理，同時不會干擾業(yè)務(wù)運(yùn)營。

作為漏洞管理的一部分，進(jìn)行有效的風(fēng)險評估并實(shí)施緩解措施是實(shí)現(xiàn)強(qiáng)大縱深防御戰(zhàn)略的關(guān)鍵措施。

定期風(fēng)險評估可讓組織識別和了解自身的漏洞，從而據(jù)此確定緩解措施的優(yōu)先級。此外，通過將風(fēng)險評估和緩解措施納入更廣泛的漏洞管理過程，可以確保組織能夠積極主動地管理風(fēng)險，并增強(qiáng)對網(wǎng)絡(luò)安全威脅的抵御能力。

多層防御的重要性

Clarke 強(qiáng)調(diào)，僅僅依賴單一的安全措施是不夠的。例如，如果僅僅依靠一個防火墻，組織就可能會面臨遭受攻擊的風(fēng)險。相反，如果采用多層防護(hù)措施，比如部署不同廠商提供的防火墻，則有助于降低單點(diǎn)故障的風(fēng)險。這種方法可以確保，即使某一層防護(hù)措施被攻破，仍有其他防護(hù)措施在正常運(yùn)行，以保護(hù)系統(tǒng)或流程的安全。

管理超級用戶

如果超級用戶（即擁有更高訪問權(quán)限的個人）的帳戶被攻破，將會帶來極大的風(fēng)險。Clarke 解釋道：

一旦超級用戶的帳戶被攻破，日志就會關(guān)閉或遭刪除，數(shù)據(jù)也會泄露，而你甚至都毫不知情。但是，如果你設(shè)置了多個訪問點(diǎn)，尤其是針對超級用戶，那么想要達(dá)到這種程度的攻破就會難上加難。

Clarke 接著主張對超級用戶帳戶實(shí)施更嚴(yán)格的控制措施，如限時訪問和多層身份驗(yàn)證。這可以最大限度地降低未經(jīng)授權(quán)的訪問風(fēng)險，并確保任何潛在的攻破都能被迅速發(fā)現(xiàn)和緩解。

員工培訓(xùn)與安全衛(wèi)生規(guī)范

員工培訓(xùn)是構(gòu)建強(qiáng)大縱深防御策略的關(guān)鍵一環(huán)。Clarke 強(qiáng)調(diào)，必須教育員工學(xué)會識別和上報潛在的安全事件。將有效的培訓(xùn)計劃納入廣泛的安全衛(wèi)生規(guī)范之中，可以大幅縮短應(yīng)對安全事件的時間，從而降低對組織的影響。

事件響應(yīng)與恢復(fù)

Clarke 強(qiáng)調(diào)了制定明確的事件響應(yīng)與恢復(fù)計劃的重要性。組織必須確保所有員工都了解如何上報疑似事件，并確保關(guān)鍵利益相關(guān)者已做好準(zhǔn)備，能夠?qū)κ录M(jìn)行快速分類并有效應(yīng)對。迅速高效的事件響應(yīng)對于最大限度地減少損害并確?？焖倩謴?fù)至關(guān)重要。

基于硬件的加密的作用

硬件加密在任何縱深防御策略中都發(fā)揮著基礎(chǔ)性作用。Clarke 指出，與基于軟件的加密相比，硬件加密的USB 閃存盤和移動固態(tài)硬盤具有多種優(yōu)勢。更具體一點(diǎn)，他表示：

如果您使用的是集中管理的軟件加密，一旦其被攻破，您便沒有了加密保護(hù)！

硬件加密通常更安全的原因在于它不易受到軟件漏洞的影響。加密過程由閃存盤上的專用安全微處理器處理，該處理器與計算機(jī)的操作系統(tǒng)相隔離。這種隔離使得惡意軟件或黑客更難攻破加密。

硬件加密設(shè)備還設(shè)計有防密碼猜測攻擊的功能。如果有人試圖通過猜測密碼來訪問閃存盤，他們可以觸發(fā)一種加密擦除防御機(jī)制，該機(jī)制會擦除整個閃存盤，使數(shù)據(jù)無法訪問。這種稱為“暴力破解密碼攻擊保護(hù)”的“始終啟用”功能，為物理攻擊提供了額外的防護(hù)層。

相應(yīng)地，硬件加密存儲可以幫助組織滿足法規(guī)和合規(guī)性要求，并展示其對數(shù)據(jù)安全的承諾。這對于處理敏感信息的行業(yè)尤為重要，如金融、醫(yī)療、政府或供應(yīng)鏈行業(yè)。例如，Kingston IronKey 硬件加密 USB 閃存盤和移動固態(tài)硬盤提供強(qiáng)大的硬件加密，確保敏感數(shù)據(jù)的安全，并符合行業(yè)和監(jiān)管標(biāo)準(zhǔn)。

更具體地說，Kingston IronKey D500S 和 Keypad 200 閃存盤正在等待獲得FIPS 140-3 Level 3 認(rèn)證，這將確保組織可以信賴其最敏感的數(shù)據(jù)得到了全球領(lǐng)先的安全機(jī)構(gòu) NIST 所規(guī)定的強(qiáng)大軍用級加密和保護(hù)的保障。對于那些需要大容量存儲的用戶，獲得 FIPS 197 認(rèn)證的 Vault Privacy 80 移動固態(tài)硬盤提供高達(dá)8TB 的容量，為敏感數(shù)據(jù)的物理隔離備份提供了安全解決方案。

結(jié)論

縱深防御是一種廣泛的網(wǎng)絡(luò)安全方法，涉及多個領(lǐng)域，包括多層防御、定期的漏洞管理、對超級用戶的嚴(yán)格控制以及有效的員工培訓(xùn)。

Clarke 的見解強(qiáng)調(diào)了這一策略在保護(hù)組織免受不斷演變的網(wǎng)絡(luò)威脅方面的重要性，以及硬件加密存儲在其中發(fā)揮的關(guān)鍵作用。通過實(shí)施全面的縱深防御方法，組織可以提升其安全態(tài)勢，更有效地保護(hù)其關(guān)鍵數(shù)據(jù)和系統(tǒng)。