网络安全纵深防御五道防线.pdf

网络安全纵深防御 五道防线的思考和实践 中 世 纪 的 棱 堡 《信息安全管理的9大思维》 技术层 管理层 意识层 顶层 CIA思维 自上而下思维 道德法规思维 战略层 纵深防御思维 成本收益思维 全局思维 战术层 可控思维 有效性思维 不信任思维 第一道防线 ：边界防护 •虽然网络安全日新月异，很多新概念、新技术层出不穷，边界也日 益模糊，但边界防御仍是网络防护的最重要前沿。 • 防火墙。（仅使用其最基本的封禁能力。尽量自动化和批量化。） • IDS/IPS。 • WAF 。（注意防误封） • 攻击阻断。（结合情报进行旁路Reset阻断） • Web动态防御。（阻断自动化攻击） • BAS验证。（入侵和攻击模拟） 第二道防线 ：监测响应 •通过对网络、日志等数据的监测分析，及时发现攻击行为并进而采 取响应。主力工具是流量分析工具。 • NTA/NDR （可以多个产品共用，可联动防火墙） • WEBIDS （发现是否被控） • 蜜罐/蜜网 （高交互/低交互/负载均衡发布） • APT 防御 （木马发现、隐蔽信道发现） • 加密流量分析（主要在加密流量中发现木马） • 功能常有重叠，往往集成沙箱检测、威胁情报、资产管理等能力。 部署实践建议 •流量汇聚平台是基础设施，可实现跨中心、跨区域、跨机房流量的 镜像汇集、处理和按需分配。 （“数据中心流量整合及应用的研究与实践”） 业务2 NDR1设备 业务1 区 区 WEBIDS设备 NTA设备 外联区 流量汇聚平台 抗APT防御 网银区 加密流量分 析设备 NDR2设备 员工互 联网区 开发测 安全检测区 试区 串接设备智能编排 动态安全 动态安全 动态安全 动态安全 WAF WAF WAF WAF 安全资源池 第三道防线 ：访问控制