Question

信息安全的防御遵从木桶原理，这个观点在安全界受到一致认可，所以整个应用安全状态不是由某一个业务点或者功能点决定，需要从根源去解决安全问题。

我认为企业安全防御包含两点：横向细化策略和纵深策略。横向细化策略的精髓在于坚持能杀掉一个是一个的原则，依靠规则量来填补空洞，规则做得越细，拦掉的攻击越多。这是在提升黑客的攻击成本，而缺点在于同样也提升了防御成本，需要更多的投入。而纵深防御策略是假设上一层防御策略失效而设计的内网防御策略。这两种安全原则不仅仅用在企业整体安全建设上，更是要细化到每个应用设计上面。

本章将介绍横向细化策略和纵深策略的具体实施方法和典型案例，如给一个后台登录口加上手机短信验证，加上验证码，再加上密码错误次数限制等，这些手段都是为了防止暴力破解行为。而当攻击者通过其他手段得到了内网访问权限，这时候登录还需要设置手机短信验证码来验证登录权限等手段。