3.5.1　深度防御

深度防御（也称为分层安全）涉及使用分层防御机制，使攻击者很难侵入组织。由于采用了多层安全防护措施，因此，一层安全防护措施未能阻止攻击，只会让攻击者暴露在另一层安全防护措施中。由于这种冗余，黑客试图侵入系统变得复杂且代价高昂。深度防御战略吸引了那些认为单一安全层防护难以免受攻击的组织。因此，总是要部署一系列防御系统来保护系统、网络和数据。例如，希望保护其文件服务器的组织可以在其网络上部署入侵检测系统和防火墙。还可以在服务器上安装端点防病毒程序，并进一步加密其内容。最后，还可能禁用远程访问，并对任何登录尝试使用双因子身份验证。任何试图访问服务器中敏感文件的黑客都必须成功突破所有这些安全防护层。成功的概率非常低，因为每一个安全防护层都有自己的复杂性。

深度防御方法中的常见组件包括：

·网络安全：由于网络是最容易受到攻击的表面，因此第一道防线通常旨在保护网络。IT部门可能会安装防火墙来阻止恶意流量，还可以防止内部用户发送恶意流量或访问恶意网络。此外，网络上还部署了入侵检测系统，帮助检测可疑活动。由于针对防火墙的DDoS攻击的广泛使用，建议组织购买可持续承受此类攻击的防火墙。

·端点防病毒系统：防病毒系统对于保护计算设备免受恶意软件感染至关重要。现代防病毒系统具有附加功能，如内置防火墙，可用于进一步保护网络中的主机。

·加密：加密通常是最可信的防线，因为它建立在数学复杂性的基础之上。组织选择加密敏感数据，确保只有经过授权的人员才能访问这些数据。当这样的数据被盗时，对组织来说并不是一个很大的打击，因为大多数加密算法都不容易被破解。

·访问控制：访问控制通过认证来限制可以访问网络中资源的人数。组织通常将物理和逻辑访问控制相结合，使潜在黑客很难攻破它们。物理控制包括利用锁和保安来物理阻止人们进入敏感区域，如服务器机房。另一方面，逻辑控制需要用户在访问任何系统之前进行身份验证。传统上，只使用用户名和密码组合进行验证，但由于泄密事件增加，建议使用双因子身份验证机制。

图3-4为包含上述内容的图解说明。

图3-4　深度防御图解

深度防御是目前应用最广泛的网络防御战略。然而，它正变得越来越昂贵，也越来越无效。黑客仍然能够使用网络钓鱼等攻击技术绕过多层安全防护，网络钓鱼中终端用户成为直接的攻击目标。此外，多层安全防护层的安装和维护费用高昂，这对中小型企业来说颇具挑战，这也是考虑广度防御方法的组织不断增加的原因。