《Linux系统安全：纵深防御、安全扫描与入侵检测 》 —1.3　安全的原则

1.3　安全的原则

通过大量的实践，我们总结出10个最关键且有效的安全原则，分别是纵深防御、运用PDCA模型、最小权限法则、白名单机制、安全地失败、避免通过隐藏来实现安全、入侵检测、不要信任基础设施、不要信任服务、交付时保持默认是安全的。

1.3.1　纵深防御

在安全领域，有一种最基本的假设：任何单一的安全措施都是不充分的，任何单一的安全措施都是可以绕过的。

试想一下，在一些谍战影片中，最核心的机密文件一般放在哪里？

最核心的机密文件不会放在别人能轻易接触到的地方，而是放在有重兵把守的深宅大院里面，房间的门会配置重重的铁锁，进入房间后还有保险柜，打开保险柜之后，会发现原来机密文件还是加密过的。在这样的场景中，守门的精兵强将、铁锁、保险柜都是防止机密文件被接触到的防御手段，加密是最后一道防御，防止机密文件万一被窃取后导致的信息泄露。这是典型的纵深防御的例子。

早在1998年，由美国国家安全局和国防部联合组织编写的《信息保障技术框架（Information Assurance Technical Framework，IATF）》出版。该书针对美国的“信息基础设施”防护，提出了“纵深防御策略”（该策略包括了网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施等深度防御目标）。从此，信息安全领域的纵深防御的思想被广泛流传开来。

纵深防御（Defense in depth）也被称为“城堡方法（Castle Approach）”，是指在信息系统上实施多层的安全控制（防御）。实施纵深防御的目标是提供冗余的安全控制，也就是在一种控制措施失效或者被突破之后，可以用另外的安全控制来阻挡进一步的危害。换句话说，纵深防御的目标也就是增加攻击者被发现的几率和降低攻击者攻击成功的几率。

纵深防御的概念如图1-4所示。

图1-4　纵深防御体系

为了保护核心数据，我们需要在多个层面进行控制和防御，一般来说包括物理安全防御（如服务器加锁、安保措施等）、网络安全防御（例如，使用防火墙过滤网络包等）、主机安全防御（例如，保障用户安全、软件包管理和文件系统防护等）、应用安全防御（例如，对Web应用防护等），以及对数据本身的保护（例如，对数据加密等）。如果没有纵深防御体系，就难以构建真正的系统安全体系。