为了保证系统的机密性、可靠性、稳定性，我们要围绕系统的核心建立一些防御措施，最常见的防御措施模型有两种，分别被描述为棒棒糖和洋葱。

棒棒糖模型

最常见的防御模型被称为便捷安全，也就是围绕有价值的对象建立一个屏障，这个屏障可以是逻辑上的也可以是物理的。很多机构都会选择采用这样的防御模式，比如断绝企业内网与英特网的连接，或者在内外网的交界处放置防火墙，或者有些企业在网络边界上设置认证服务器等。

这样的防御方式，就像一个棒棒糖一样，外层是保护屏障，中心是被保护的信息。

这种模型的好处很明显，就是物料成本和人工成本都较低；但是缺点也是很明显的，一旦边界被入侵者攻破，内部数据就会全部开放。

这种模型还有两个重要的缺点。一是，它为所有的内部数据提供了同样级别的保护，而任何一个机构，需要保护的数据的级别都是各不相同的。这个模型无法提供针对性的保护。第二个是，它无法应对来自内部的破坏，一旦出现了内部人员蓄意破坏之类的行为，这样的模型无法提供任何保护。

所以，就有了另外一种保护模型：洋葱模型。

洋葱模型

与棒棒糖模型不同，洋葱模型对不同的数据提供了不同的防御层次，并且这些防御共同形成了一个完整的防御体系。


图中层次仅为示意，并不是说只能有5个层次。

洋葱模型并不是指的要布设5层防火墙，而是指的利用综合手段进行防御。

这些手段包括：防火墙、访问控制、加密、打补丁、身份认证、数据隔离、物理防御等等。

同时，这些防御手段也可以进行相应的分层布置，比如多层的身份认证：在登录系统时需要输入用户名和密码、在进行数据修改时需要验证二级密码、在批量删除数据时验证生物信息或者身份卡。

洋葱模型通过多层的保护避免了某一种防御措施失效导致整个系统的对外暴露。

本文首发于微信公众号：听雨的安全屋 tysafehouse

欢迎大家关注，在这里，我们不说技术，只聊管理。

最常见的两种防御模型|安全千字文系列2