Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 333

纵深防御(Defense in Depth)

审核人Cybersecurity entrepreneur & security researcher

纵深防御(Defense in Depth) 是什么?

纵深防御(Defense in Depth)通过叠加相互独立的安全控制,使任一控制失效时,其他控制仍能防御、检测或遏制攻击的策略。


纵深防御源自军事策略,旨在在人员、流程与技术上部署多种、互补且部分冗余的控制。典型层次包括边界(防火墙、WAF、抗 DDoS)、网络(分段、IDS/IPS)、终端(EDR、加固)、应用(输入校验、CSP、SAST/DAST)、身份(MFA、最小权限)、数据(加密、DLP)、监控(SIEM、SOC)与恢复(备份、IR)。其前提是没有任何单一控制是完美的;叠加层数提高攻击成本,并增加在某一层捕获已绕过其他层入侵的概率。它与质疑层间隐式信任的零信任互为补充,并与 NIST CSF、ISO/IEC 27001 等框架对齐。

示例

  1. 01

    用户点开钓鱼链接:邮件网关、SmartScreen、EDR、FIDO2 MFA、最小权限与 SIEM 报警分别构成独立防线。

  2. 02

    多层备份(快照、离线副本、不可变 WORM)能在勒索软件攻陷在线系统后仍保留可恢复数据。

常见问题

纵深防御(Defense in Depth) 是什么?

通过叠加相互独立的安全控制,使任一控制失效时,其他控制仍能防御、检测或遏制攻击的策略。 它属于网络安全的 合规与框架 分类。

纵深防御(Defense in Depth) 是什么意思?

通过叠加相互独立的安全控制,使任一控制失效时,其他控制仍能防御、检测或遏制攻击的策略。

如何防御 纵深防御(Defense in Depth)?

针对 纵深防御(Defense in Depth) 的防御通常结合技术控制与运营实践,详见上方完整定义。

相关术语

另见