هر سازمان مي بايست يك فريمورك و يا چارچوب امنيتي فعال و پويا را براي خود ايجاد و به درستي از آن نگهداري نمايد . دفاع در عمق ، يك فريمورك امنيتي مناسب در اين رابط است . در اين مدل ، زيرساخت فن آوري اطلاعات يك سازمان به عنوان مجموعه اي از لايه هاي مرتبط به هم در نظر گرفته مي شود و براي هر لايه مكانيزم هاي امنيتي و حفاظتي مناسبي تعريف مي گردد .
• لايه اول : سياست هاي امنيتي ، رويه ها و اطلاع رساني
• لايه دوم : امنيت فيزيكي ( نظير حفاظت فيزيكي )
• لايه سوم : حفاظت از محدوده عملياتي يك شبكه داخلي به منظور ارتباط با ساير شبكه ها ( نظير استفاده از فايروال ها )
• لايه چهارم : ايمن سازي شبكه داخلي
• لايه پنجم : امنيت كامپيوترها و دستگاه هاي ميزبان ( ايجاد سيستم هاي تدافعي لازم )
• لايه ششم : امنيت برنامه هاي كاربردي ( نصب هاي ايمن به همراه نصب تمامي Service Packs و patch محصولات نرم افزاري موجود در سازمان به منظور پيشگيري از حملات برنامه ريزي شده با بهره گيري از نقاط ضعف موجود )
• لايه هفتم : امنيت داده ( بهره گيري از سيستم امنيتي فايل و يا فولدر سيستم فايل NTFS ، رمزنگاري ، ليست هاي كنترل دستيابي ، ايجاد نسخه هاي backup از داده ها و مكانيزم هاي لازم به منظور بازيافت اطلاعات )
جزئيات مدل امنيتي دفاع در عمق
در فريمورك امنيتي دفاع در عمق ، از افراد ، رويه ها و فن آوري هاي متعدد در لايه هاي مختلف به منظور حفاظت از زيرساخت فن آوري اطلاعات يك سازمان استفاده مي گردد . در صورتي كه يك مهاجم موفق به عبور از سيستم تدافعي يك لايه گردد ، اين بدان معني نخواهد بود كه وي توانسته است تمامي سازمان را در معرض تهديد قرار دهد . طراحي و ايجاد سيستم تدافعي هر لايه مي بايست با فرض اين كه مهاجمان توانسته اند از ساير لايه ها با موفقيت عبور نمايند ، انجام شود . بنابراين لازم است ، اقدامات لازم به منظور ايمن سازي هرلايه بدون در نظر گرفتن استحكام سيستم تدافعي لايه هاي ديگر انجام شود .
استفاده از يك رويكرد امنيتي لايه اي ، امكان تشخيص تهديدات را افزايش و شانس موفقيت مهاجمان را كاهش خواهد داد .
مدل امنيتي دفاع در عمق ، از مجموعه اي لايه هاي مرتبط به هم تشكيل مي گردد :
• سياست ها ، رويه ها و اطلاع رساني : عملكرد لايه فوق بر روي ساير لايه ها تاثير مستقيم دارد . در اين لايه عمليات متفاوتي نظير تدوين سياست ها و رويه هاي امنيتي و برنامه هاي آموزش كاربران پيش بيني مي گردد .
• امنيت فيزيكي :لايه فوق پنج لايه ديگر را در برمي گيرد . در اين لايه مي بايست از منابع انساني و غيرانساني و دستگاه هاي رديابي به منظور حفاظت فيزيكي استفاده گردد.
• محدوده عملياتي شبكه : هر شبكه داخلي داراي محيط عملياتي مختص به خود مي باشد كه ممكن است در نقاطي خاص با ساير شبكه هاي خارجي ( نظير اينترنت و يا اكسترانت ) ارتباط برقرار نمايد . به منظور حفاظت از محيط عملياتي يك شبكه داخلي ، مي بايست از امكانات و روش هاي متعددي استفاده نمود . بكارگيري فايروال هاي سخت افزاري ، نرم افزاري (يا هر دو ) و شبكه هاي VPN ( استفاده از رويه هاي قرنطينه اي ) نمونه هائي در اين زمينه مي باشد .
• شبكه داخلي : به منظور حفاظت از شبكه داخلي از امكانات و روش هاي متعددي استفاده مي گردد . بخش بندي شبكه ، استفاده از پروتكل IPSec و بكارگيري سيستم هاي تشخيص مزاحمين نمونه هائي در اين زمينه مي باشد .
• كامپيوترها و دستگاه هاي ميزبان : در هر شبكه از كامپيوترها و دستگاه هاي ميزبان متعددي استفاده مي گردد كه بر روي هر يك از آنان سيستم عامل مربوطه نصب تا مديريت منابع را برعهده گيرد . در اين لايه لازم است با تمركز بر روي دستگاه ها ، كامپيوترهاي سرويس دهنده و يا سرويس گيرنده نسبت به ايمن سازي سيستم عامل نصب شده بر روي آنان اقدام گردد . استفاده از متدهاي پيشرفته تائيد كاربران ، بكارگيري ابزارها و مكانيزم هاي لازم به منظور مديريت بهنگام سازي نرم افزارهاي پايه و استفاده از سيستم هاي تشخيص مزاحمين نمونه هائي در اين زمينه مي باشد .
• برنامه هاي كاربردي : در اين لايه با تمركز بر روي برنامه هاي كاربردي موجود در يك شبكه ، از امكانات و مكانيزم هاي مختلفي به منظور افزايش ايمن سازي آنان استفاده مي گردد . استفاده از نرم افزارهاي ضد ويروس از جمله اقدامات لازم در اين لايه است .
• داده : به منظور حفاظت از داده ها و اطلاعات حساس در يك سازمان ، مي بايست از امكانات و ابزارهاي متعددي استفاده گردد . ايجاد ليست هاي كنترل دستيابي ( ACLs ) ، رمزنگاري ، سيستم فايل رمزنگاري ( EFS ) و مديريت حقوق ديجيتالي ( DRM ) ، نمونه هائي در اين زمينه مي باشد.