雖說資訊安全再不管在哪一個層面都需要考慮，但是也有一些通用概念是不管在哪個地方都需要謹記的。
其通用概念包含：深度防禦、零信任、IDS與IPS 防禦系統、防禦DDOS攻擊

深度防禦

描述

深度防禦是一種綜合性的資訊安全策略，通過在多個控制層面實施安全措施，以防止由於特定方面的弱點而遭受惡意攻擊並遭受損失。

常見深度防禦層面

• 物理層面：保護設備在現實世界中的安全，例如設置安全的機房、採取裝置鎖定措施等。
• 身份與訪問層面：確保資料的訪問符合認證和授權規則，並以基於角色的存取控制（RBAC）為標準。包括使用強韌的身份驗證機制、強制存取控制等。
• 網絡層面：實施網絡層面的安全措施，例如防火牆、入侵檢測系統（IDS）、入侵防禦系統（IPS）等，以防止未經授權的訪問和攻擊。
• 主機層面：確保作業系統和應用程式的安全性，包括定期更新和打補丁、配置強固的安全設置、使用防病毒軟件等。
• 應用層面：保護應用程式免受安全漏洞和攻擊，例如應用程式安全測試、程式碼審查、輸入驗證和輸出過濾等。
• 數據層面：實施適當的數據保護措施，包括數據加密、數據備份和災難恢復計劃等，以確保敏感資料的機密性和完整性。
• 教育與訓練層面：提高組織成員的資安意識，使其了解可能的安全威脅和風險，並提供相應的培訓和教育，以減少人為失誤和不當行為對安全造成的風險。
• 監控和審計層面：實施即時監控和審計機制，以監測和檢測潛在的安全事件和入侵嘗試，並採取適當的應對措施。

零信任

描述

在零信任(Zero trust)原則之下，由於認知到任何請求都有可能被偽造，而且即使在後方的伺服器，也有可能已被滲透。因此無論在哪一層，在應對任何請求時一律需要進行認證。

具體作法

• 網路零信任：在不同層與不同服務之間，仍然進行分層隔離，並設置防火牆、連線白名單
• 授權零信任：存取服務都需要認證資訊，並基於最小受全原則及搭配MFA (多重要素認證)
• 監控與警示：對任何動作進行記錄，並通過機器學習分析異常行為。

IDS與IPS 防禦系統

描述

IDS (Intrusion Detection System，入侵檢測系統) 監控網路流量及系統活動紀錄。其使用事先紀錄的常見攻擊態樣甚至使用機器學習進行比對，若發現可能攻擊風險即進行通報。

IPS(Intrusion Protection System，入侵防禦系統) 除了進行通報之外，並且即時進行防禦措施。例如將對應IP暫時加入連線黑名單中。

案例

• 監控網路流量：確認請求內容、頻率正常
• 監控系統日誌：確認各內部用戶、伺服器並未試圖進行敏感資訊存取
• 偵測病毒與惡意軟體：確認各伺服器中不存在電腦病毒或是惡意程式

優點

• 主動進行系統防禦，減低被攻擊的風險。

缺點

• 額外系統資源需求：由於在各硬體及伺服器上紀錄甚至分析請求，因此需要較高的系統資源
• 降低請求回應速度：若是設定各請求需通過分析後才放行，會降低請求回應速度

防禦DDOS: 分散式阻斷服務

描述

DDOS (Distributed denial-of-service，分散式阻斷服務) 是攻擊者透過其所控制的大量電腦進行攻擊。由於過多的服務請求，造成伺服器或應用程式超過其所能回應的上限，而使其無法回應正常使用者。

常見攻擊方式

• 佔據頻寬攻擊：通過發送大量的大容量封包請求，占滿伺服器網路的頻寬上限。其目標為提高每秒鐘的請求位元數(Byte/Sec)。
• 消耗系統資源：通過大量的請求數量，造成硬體或是應用程式的服務資源被佔據。

常見攻擊目標

• DNS攻擊：通過發送大量DNS解析請求，造成DNS伺服器無法回應一般使用者的網址解析請求。
• 應用程式攻擊：由於多數應用程式都有可同時回應的客戶端上限，通過大量的請求消耗應用程式的可服務客戶端數量。
• UDP封包攻擊：由於伺服器收到封包後，會解析對應Port是否開啟。而 UDP的廣播特性，造成其封包數量較多。因此攻擊者透過大量UDP封包請求癱瘓伺服器。
• HTTP請求攻擊：由於HTTP GET通常會下載較大檔案，而佔據頻寬，而POST請求會需要解析並由應用伺服器進行處理，需要消耗較多系統資源。通過發送大量HTTP請求而癱瘓伺服器。

常見防禦方式

• 使用CDN回應靜態檔案請求：將靜態檔案使用CDN於靠近使用者網路，而減少伺服器需要回應HTTP GET請求的負擔
• 即時流量分析：通過分析流量的IP來源及行為型態，於邊界網路阻擋攻擊者的請求。
• 雲端流量清洗服務：透過將攻擊流量導到雲端流量清洗服務，由雲端服務商協助進行流量分析後，排除攻擊者的請求，並將正常使用者的流量導回伺服器。