纵深防御(Defense in Depth)
纵深防御(Defense in Depth) 是什么?
纵深防御(Defense in Depth)通过叠加相互独立的安全控制,使任一控制失效时,其他控制仍能防御、检测或遏制攻击的策略。
纵深防御源自军事策略,旨在在人员、流程与技术上部署多种、互补且部分冗余的控制。典型层次包括边界(防火墙、WAF、抗 DDoS)、网络(分段、IDS/IPS)、终端(EDR、加固)、应用(输入校验、CSP、SAST/DAST)、身份(MFA、最小权限)、数据(加密、DLP)、监控(SIEM、SOC)与恢复(备份、IR)。其前提是没有任何单一控制是完美的;叠加层数提高攻击成本,并增加在某一层捕获已绕过其他层入侵的概率。它与质疑层间隐式信任的零信任互为补充,并与 NIST CSF、ISO/IEC 27001 等框架对齐。
● 示例
- 01
用户点开钓鱼链接:邮件网关、SmartScreen、EDR、FIDO2 MFA、最小权限与 SIEM 报警分别构成独立防线。
- 02
多层备份(快照、离线副本、不可变 WORM)能在勒索软件攻陷在线系统后仍保留可恢复数据。
● 常见问题
纵深防御(Defense in Depth) 是什么?
通过叠加相互独立的安全控制,使任一控制失效时,其他控制仍能防御、检测或遏制攻击的策略。 它属于网络安全的 合规与框架 分类。
纵深防御(Defense in Depth) 是什么意思?
通过叠加相互独立的安全控制,使任一控制失效时,其他控制仍能防御、检测或遏制攻击的策略。
纵深防御(Defense in Depth) 是如何工作的?
纵深防御源自军事策略,旨在在人员、流程与技术上部署多种、互补且部分冗余的控制。典型层次包括边界(防火墙、WAF、抗 DDoS)、网络(分段、IDS/IPS)、终端(EDR、加固)、应用(输入校验、CSP、SAST/DAST)、身份(MFA、最小权限)、数据(加密、DLP)、监控(SIEM、SOC)与恢复(备份、IR)。其前提是没有任何单一控制是完美的;叠加层数提高攻击成本,并增加在某一层捕获已绕过其他层入侵的概率。它与质疑层间隐式信任的零信任互为补充,并与 NIST CSF、ISO/IEC 27001 等框架对齐。
如何防御 纵深防御(Defense in Depth)?
针对 纵深防御(Defense in Depth) 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
● 参见
- № 994靠隐蔽求安全(Security by Obscurity)
- № 071攻击面(Attack Surface)
- № 1048单点故障(SPOF)