曾经不止一次被问到“我该怎么实施安全防护?”我比较无语!该怎么说呢?你总得告诉我你要防护什么吧?要达到是么样的防护程度吧?……后来,想了想,可能问我的人,需要的是一个普遍的框架吧!
        早在1998年的时候,由美国国家安全局和国防部联合组织编写的《信息保障技术框架(IATF: Information Assurance Technical Framework)》开始出版。该书针对美国的“信基础设施”防护,提出了“纵深防御策略”(该策略包括了网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施等深度防御目标)。这个概念离我们一般人较远,但是纵深防御的思想被流传了下来。
        针对企业安全防护而言,实施纵深防御(Defense In Depth)是指建立多层防御,每一层针对不同的保护对象指定具体措施。实施纵深防御的目标在于:1、增加***者被发现的机率;2、降低***者***成功的机率。
        微软公司,也针对纵深防御制定了比较通用的纵深防御模型,图示如下:
纵深防御及MS纵深防御模型
微软最新的资料请参考:Understanding Defense in Depth
http://www.microsoft.com/technet/community/columns/secmgmt/default.mspx
        请注意,很多公司都纵深防御都有自己的理解(尽可能突出自己的产品),请大家注意了!haha^^