从万里长城防御体系看软件安全体系建设@安全历史03

长城，是中华民族的一张重要名片，是中华民族坚韧不屈、自强不息的精神象征，被联合国教科文组织列入世界文化遗产名录。那么在古代，长城是如何以其复杂的防御体系，一次次抵御外族入侵，而这些防御体系又能给软件安全行业以什么启示呢？

多层次防御，成体系建设

长城的防御体系是一个由城墙、敌楼、关城、墩堡、营城、卫所、镇城烽火台等多种防御工事所组成的完整体系，由点到线、由线到面，把长城沿线的隘口、军堡、关城和军事重镇连接成一张严密的网，来犯的敌人难以越过多层次的安全屏障，只能望“墙”兴叹。

在软件安全领域，单一的防护手段往往只能防御某一类型的威胁或攻击，而无法对所有潜在的安全风险进行有效应对，并产生大量的误报漏报。

因此，企业应采用多层次的防御体系，多种防御策略并举，组成一道道“安全城墙”，以应对多样化的网络攻击方式，系统化保障软件安全。

严密监控，迅速响应

长城的烽燧系统是古代中国用于远距离军情报警的重要设施，在防御体系中扮演着举足轻重的角色。当有敌情发生时，烽火台会立即点燃烽火或放烟进行报警，通知援军，为边疆防御提供了有力保障。

而在软件系统中，如果漏洞在产生后不能及时发现并修复，后期将对系统的安全性、稳定性及业务连续性造成很大影响。

因此，及时发现安全威胁并迅速响应至关重要，企业应建立监控机制和应急响应机制，并迅速采取修复行动，将新产生的危机扼杀在摇篮中，避免安全缺口的进一步扩大。

集中管理，分散防御

长城的关城是防线上最为集中的防御据点，而城墙、敌楼等则分散部署，打造出了一套集中管理+分散防御的模式。关城作为防线上的战略要地，将防御力量集中于这些关键点，能够更有效地抵御敌人的进攻。城墙和敌楼等分散部署的设施，将防御范围扩大，相互配合保持防御状态，减缓敌人的进攻速度，并为反击创造机会。

在安全建设中，也应采取与长城类似的集中式的安全管理与分散安全防护措施相结合的策略。DevSecOps中的流水线管理平台类似于长城防线上的关城，负责全局的安全策略制定、监控、管理和响应。而分散的安全防护措施分布在开发过程各个关键部位，高效协作，相互支援，配合防御不同类型的攻击、漏洞，打造高效、安全的研发体系。

翻开历史课本，世界奇迹万里长城纵横高山峻岭，于塞北边疆抵御外敌，保家国固若金汤。如今步入信息时代，捍卫国家安全的“长城”也不仅仅停留于“有形”。在防御理念上，长城也能给我们以深刻启发，推动企业建立牢不可摧的安全防御体系，筑造软件安全的“万里长城”。

推荐阅读

从东汉的衰亡中，我们能学到什么软件安全知识？ @安全历史02

从故宫修建看「软件物料清单」的重要性 @安全历史01