网络安全纵深防御五道防线.pptx

网络安全纵深防御五道防线的思考和实践 中世纪的棱堡 《信息安全管理的9大思维》  技术层 管理层 意识层 顶层 CIA思维 自上而下思维 道德法规思维 战略层 纵深防御思维 成本收益思维 全局思维 战术层 可控思维 有效性思维 不信任思维  第一道防线：边界防护 虽然网络安全日新月异，很多新概念、新技术层出不穷，边界也日益模糊，但边界防御仍是网络防护的最重要前沿。 防火墙。（仅使用其最基本的封禁能力。尽量自动化和批量化。） IDS/IPS。 WAF。（注意防误封） 攻击阻断。（结合情报进行旁路Reset阻断） Web动态防御。（阻断自动化攻击） BAS验证。（入侵和攻击模拟） 第二道防线：监测响应 通过对网络、日志等数据的监测分析，及时发现攻击行为并进而采取响应。主力工具是流量分析工具。 NTA/NDR（可以多个产品共用，可联动防火墙） WEBIDS（发现是否被控） 蜜罐/蜜网（高交互/低交互/负载均衡发布） APT防御（木马发现、隐蔽信道发现） 加密流量分析（主要在加密流量中发现木马） 功能常有重叠，往往集成沙箱检测、威胁情报、资产管理等能力。 部署实践建议 流量汇聚平台是基础设施，可实现跨中心、跨区域、跨机房流量的镜像汇集、处理和按需分配。（“数据中心流量整合及应用的研究与实践”） 业务2区 业务1区 开发测试区 网银区 外联区 员工互联网区 流量汇聚平台 NDR1设备 WEBIDS设备 NTA设备 抗APT防御 加密流量分析设备 NDR2设备 安全检测区 串接设备  智能编排 安全资源池 第三道防线：访问控制 访问控制防线是内部战场，即便攻击者进入内网，也寸步难行。这道防线体现基本功，重在日常建设。 网络方面：网络分区、VLAN隔离、准入、DNS安全 资源方面：虚拟桌面，堡垒机、特权管理 应用方面：认证、权限、加密、漏洞、口令管理等 注意：应用安全是最重要和最基本的。 第四道防线：端点防御 服务器和用户终端，作为计算端点，承载着企业的核心价值数据，是攻击的目标靶点，这道防线是技术上的最后防御。 防病毒：病毒、木马、蠕虫、恶意软件等 异常发现：网络异常（异常外联、联入，漏洞利用）、进程异常（创建、执行、隐藏）、日志监测、文件监测（暴力破解、文件写入、弱口令） 异常阻断：爆破阻断、扫描阻断、漏洞攻击拦截、文件写入拦截 安全管理：漏洞管理、安全策略、资产管理、外设管理等 在一定程度上，可以发现和防范0day 第五道防线：人的防线 网络安全攻防，较量归根结底是人在较量。 上述四道防线，最终要有人的使用、分析和响应。 一个自上而下的指挥、决策和行动体系是必要的。（高管层、科技层、支援层） 战术层面：要有很好的协同工具，减少沟通成本。 全体员工安全意识 虽然是老生常谈，但安全意识的的确确是最后的防线。 如果前面都挡不住，就靠意识来挡。 攻击者100%会使用社工手段，而且往往奏效。 要建立起强大的安全防御意识和能力，员工要能针对典型场景做出直觉反应。（案例讲解、模拟测试） 日常教育 回顾五道防线 第一道防线守住大门，第二道防线严加监测，第三道防线坚壁清野，第四道防线坚守据点，第五道防线指挥作战。 WebIDS 用纵深防御思维看零信任架构 一道防线：端口敲门技术（ SPA，单包认证）； 二道防线：SDP控制器，零信任网关； 三道防线：身份与访问管理（IAM）、微隔离等；四道防线：客户端安全，主机安全。 谢谢！ 2023年7月10日