传统的网络纵深防御机制存在哪些问题
传统的网络纵深防御机制存在以下问题:
网络结构安全缺陷:网络安全域的划分较为粗放,缺乏进一步的内部细分及隔离措施,网络攻击面广,恶意入侵者突破网络边界后,可以在安全域内大范围横向移动,造成更大的破坏影响。而企业未从全网角度统筹进行网络边界的整合,同类型的网络边界各自独立防护,安全防护能力不一致,安全建设投资大。网络业务平面与管理平面未分离,无法充分保障管理通道资源的可用性,对资产自身的安全防护和运维管控能力较弱。
网络边界防御纵深不足:网络边界安全防护措施部署不完善,未全面覆盖边界的各种访问连接场景,无法满足最新的《信息安全技术 网络安全等级保护基本要求》《关键信息基础设施安全保护条例》等合规管控要求,存在安全检测和防护的盲区。同时网络边界防御缺乏纵深,在第一层边界突破后,缺乏有效的第二层边界措施,无法形成真正的防御策略,难以抵御高级持续性威胁的攻击。
广域网防御纵深不足:广域网汇聚节点缺乏安全防护措施,网络攻击面极广,分支机构到总部、分支机构间可以任意访问;无法在广域网层检测网络威胁的活动情况,为全局态势感知提供数据支撑;无法在广域网层遏制网络威胁的传播行为,全局限制网络威胁的影响范围。
部署方式不灵活:传统的网络安全防护设备以专用硬件为主,通常以“葫芦串”的方式在网络边界上部署,存在较多问题和不足。例如,网络的高可用性结构设计容易被破坏,网络节点故障隐患多;随着链路带宽的增加,扩容成本随之增加,只能升级替换原有设备,无法弹性扩展安全能力;无法按需编排调度网络流量,安全能力部署不灵活,实施难度大。
运行管理效率低:全网大量的网络安全设备缺乏统一的运行管理措施,无法实现统一的资产管理、安全策略控制;运行管理自动化的程度不高,无法规避人为误操作风险,整体效率较低。
传统的网络纵深防御机制存在问题的预防措施如下:
做好攻击面管理:确定组织目前实施了哪些保护措施,并检测其工作有效性。
网络边界整合:随着零信任理念逐步普及,需要更完整的访问控制机制,对每一次访问进行身份验证和权限划分。网络边界整合要综合考虑边界类型、业务影响、网络改造难度、安全建设投入、企业管理模式、监管要求等因素,实现安全能力重点覆盖。
体系化能力构建:网络及业务的架构不断变化,网络安全策略也要随之适应。要从体系化防御视角,确定组织在网络系统的每一层,都需要哪些保护措施。并通过自动化编排整合这些安全措施,实现安全联防联控。
加强网络安全管理和运营:纵深防御体系需要实现业务层面和管理层面的分离,充分保障管理与日常运营策略的可用性。为了实现更好的防御效果,强化安全运营和安全审计必不可少,要清晰了解系统组件之间的安全缺口和薄弱环节有哪些,并采取针对性措施。