搭建纵深防御体系要考虑哪些层面
搭建纵深防御体系要考虑以下层面:
资产和防御策略梳理:资产清晰,现有防御策略清晰,是所有防御策略的前奏。需要梳理所有的资产系统、使用的系统、应用软件、版本信息、补丁信息、IP地址(公网、内网)、网络设备、安全设备、数据库、接口调用信息等。还要理清所有安全防御和访问策略,上架的安全设备配置的策略,不同安全域之间的访问策略,如互联网入口、内外网之间、各业务系统之间、主机、集权系统、供应链入口、各网络接入口的所有安全策略,禁止使用全通策略和私开网络和服务。结合战线整理工作的成果,形成清晰的资产列表和对应资产安全防护策略。
互联网侧防御:这是流量的入口也是攻击起始点,是重中之中的防护区域,这点做好可能防御和过滤90%以上的攻击流量。这个区域防御可以部署网络安全防护设备和漏洞检测两方面展开。部署安全防护设备包括:下一代防火墙、动态防御设备、Web防御网关、防病毒网关、全流量分析设备、防垃圾邮件网关、入侵防御等。漏洞检测方面可以定期做完整的渗透测试服务,对自身漏洞和防御策略有个清晰的认识,对存在的漏洞及时修复和加强防御。
主机加固防护:攻防终极目标就是主机权限,主机防御是最后一道屏障,如果主机被拿下,所有的工作可能都会功亏一篑。在这块防御上可以实行主机白名单和最小权限访问原则、结合堡垒机实行多因子认证登录访问、最小化应用安装、关闭不必要的服务和端口、基线扫描加固、漏洞及时补丁、修改主机相关弱口令、定期对主机进行渗透测试、部署相关蜜罐设备;部署主机安全防护设备,对重要文件目录和应用程序进程进行实时监控、开启各类的安全审计日志功能。
供应链以及下属单位网络安全:与供应链厂商和下级单位建立起相应的安全防御机制和应急响应机制。供应链厂商对提供的产品和接入的网络线路有一定的安全措施和应急措施,产品的研发和发布需要提供应有的安全保障,例如对应的安全测试,使用出现漏洞的补救措施。下级单位专线接入也需要做一定的安全防御和攻击流量监控。