การป้องกันเชิงลึกเป็นแนวคิดที่ใช้ในความปลอดภัยของข้อมูลโดยมีการวางการควบคุมความปลอดภัย (การป้องกัน) หลายชั้นไว้ทั่วทั้ง ระบบ เทคโนโลยีสารสนเทศ (IT) จุดประสงค์คือเพื่อให้เกิดความซ้ำซ้อนในกรณีที่การควบคุมความปลอดภัยล้มเหลวหรือช่องโหว่ถูกโจมตี^{[ 1 ]}

แนวคิดเบื้องหลังแนวทางการป้องกันเชิงลึกคือการป้องกันระบบจากการโจมตีใดๆ โดยใช้วิธีการอิสระหลายวิธี^{[ 2 ]}เป็นกลยุทธ์การวางชั้น ซึ่งคิดค้นโดยสำนักงานความมั่นคงแห่งชาติ (NSA) เป็นแนวทางที่ครอบคลุมด้านความปลอดภัยของข้อมูลและอิเล็กทรอนิกส์^{[ 3 ] [ 4 ]}

การป้องกันเชิงลึกบางครั้งถูกมองว่าเป็นการสร้างชั้นของหัวหอม โดยมีข้อมูลอยู่ที่แกนกลางของหัวหอม บุคคลเป็นชั้นนอกสุดถัดไปของหัวหอม และความปลอดภัยของเครือข่ายความปลอดภัยบนโฮสต์ และความปลอดภัยของแอปพลิเคชันเป็นชั้นนอกสุดของหัวหอม^{[ 5 ]}

การป้องกันเชิงลึกสามารถแบ่งออกเป็นสามด้านหลัก ได้แก่ ด้านกายภาพ ด้านเทคนิค และด้านการบริหาร^{[ 6 ]}

การควบคุมทางกายภาพคือสิ่งใดก็ตามที่จำกัดหรือป้องกันการเข้าถึงระบบไอทีในเชิงกายภาพ ตัวอย่างของการรักษาความปลอดภัยเชิงป้องกันทางกายภาพ ได้แก่ รั้ว ยาม สุนัข และระบบกล้องวงจรปิด^{[ 3 ]}

การควบคุมทางเทคนิคคือฮาร์ดแวร์หรือซอฟต์แวร์ที่มีจุดประสงค์เพื่อปกป้องระบบและทรัพยากร ตัวอย่างของการควบคุมทางเทคนิค ได้แก่ การเข้ารหัสดิสก์ ซอฟต์แวร์ความสมบูรณ์ของไฟล์ การตรวจสอบสิทธิ์^{[ 7 ]} การควบคุมความปลอดภัยของเครือข่าย โปรแกรม ป้องกันไวรัสและซอฟต์แวร์วิเคราะห์พฤติกรรม^{[ 8 ]}

ในกรณีที่ชั้นป้องกันชั้นหนึ่งล้มเหลว การป้องกันเชิงลึกมีเป้าหมายเพื่อให้มั่นใจในความปลอดภัยของเครือข่ายผ่านการป้องกันชั้นที่สอง^{[ 3 ]}ตัวอย่างเช่น หากผู้โจมตีเจาะระบบคอมพิวเตอร์ที่ชั้น OSI ที่กำหนด (เช่นชั้น 3 ) ควรมีการสำรองข้อมูลที่ชั้นอื่น ( ชั้น 7 ) เพื่อให้มั่นใจถึงการป้องกันแบบหลายชั้น^{[ 3 ]}

• การตรวจสอบสิทธิ์ การอนุญาต และการบันทึกบัญชี
• การรักษาความลับ ความซื่อสัตย์ และความพร้อมใช้งาน
• การตรวจสอบสิทธิ์และความปลอดภัยของรหัสผ่าน

• การเข้ารหัส
• การแฮช

• ความปลอดภัยของแอปพลิเคชัน
• ไฟร์วอลล์แอปพลิเคชันเว็บ^{[ 7 ]}

• เครื่องสแกนช่องโหว่
• แซนด์บ็อกซ์
• การตรวจจับและการตอบสนองจุดสิ้นสุด^{[ 7 ]}

• การบันทึกข้อมูล
• ระบบตรวจจับการบุกรุก^{[ 7 ]}
• ไฟร์วอลล์^{[ 7 ]}
• เขตปลอดทหาร
• การแบ่งส่วนเครือข่าย^{[ 9 ]}
• เครือข่ายส่วนตัวเสมือน

การควบคุมการบริหาร คือนโยบายและขั้น ^ตอน ขององค์กร และควบคุม ทรัพยากรบุคคลเทคโนโลยีและการดำเนินงานขององค์กร^{[ 3} ]

• การตรวจสอบสิทธิ์แบบหลายปัจจัย^{[ 9 ]}
• นโยบายรหัสผ่าน^{[ 9 ] [ 3 ]}
• การฝึกอบรมการรับรู้ด้านความปลอดภัยทางอินเทอร์เน็ต^{[ 7 ] [ 3 ]}

• การจัดการแพทช์^{[ 9 ]}
• การประเมินความเสี่ยง^{[ 3 ]}
• การรับประกันข้อมูล^{[ 3 ]}

• หลักการของสิทธิพิเศษขั้นต่ำ^{[ 9 ]}

หลักการป้องกันเชิงลึกสอดคล้องกับกรอบกฎระเบียบหลายประการที่กำหนดให้มีการควบคุมความปลอดภัยหลายระดับ แทนที่จะพึ่งพามาตรการป้องกันเพียงอย่างเดียว

กฎ ความปลอดภัย ของพระราชบัญญัติการคุ้มครองข้อมูลสุขภาพ (HIPAA) บังคับใช้แนวทางการป้องกันแบบหลายชั้นโดยปริยาย โดยกำหนดให้หน่วยงานที่อยู่ภายใต้ขอบเขตของกฎหมายต้องนำมาตรการป้องกันด้านการบริหาร (45 CFR 164.308) มาตรการป้องกันด้านกายภาพ (45 CFR 164.310) และมาตรการป้องกันด้านเทคนิค (45 CFR 164.312) มาใช้เป็นชั้นเสริมเพื่อปกป้องข้อมูลสุขภาพที่ได้รับการคุ้มครอง"สรุปกฎความปลอดภัยของ HIPAA"กระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐอเมริกาสืบค้นเมื่อ1เมษายน2569ประกาศร่างกฎระเบียบด้านความปลอดภัยของ HIPAA เดือนธันวาคม 2024 (90 FR 898) จะกำหนดระบบป้องกันหลายชั้นให้ชัดเจนยิ่งขึ้น โดยกำหนดให้มีการแบ่งส่วนเครือข่าย การเข้ารหัส การตรวจสอบสิทธิ์แบบหลายปัจจัย การติดตั้งโปรแกรมป้องกันมัลแวร์ และการตรวจสอบอย่างต่อเนื่อง เป็นมาตรการควบคุมความปลอดภัยที่แตกต่างกันแต่ทับซ้อนกัน"กฎระเบียบด้านความปลอดภัยของ HIPAA เพื่อเสริมสร้างความมั่นคงทางไซเบอร์ของข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์"วารสารรัฐบาลกลาง 6 มกราคม 2025 สืบค้นเมื่อ1 เมษายน 2026

เอกสาร NIST Special Publication 800-53จัดกลุ่มการควบคุมความปลอดภัยออกเป็น 20 กลุ่มย่อย ครอบคลุมด้านการจัดการ การปฏิบัติงาน และด้านเทคนิค โดยให้กรอบการป้องกันเชิงลึกที่ครอบคลุมสำหรับระบบสารสนเทศของรัฐบาลกลาง" NIST SP 800-53 Rev. 5: การควบคุมความปลอดภัยและความเป็นส่วนตัว"สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ กันยายน 2020 สืบค้นเมื่อ1 เมษายน 2026กรอบงานความปลอดภัยทางไซเบอร์ NIST 2.0 จัดโครงสร้างมาตรการป้องกันในลักษณะเดียวกันครอบคลุมฟังก์ชันการระบุ การปกป้อง การตรวจจับ การตอบสนอง และการกู้คืน ซึ่งเป็นการเสริมสร้างแนวทางการรักษาความปลอดภัยแบบหลายชั้น" กรอบงานความปลอดภัยทางไซเบอร์ NIST 2.0"สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ กุมภาพันธ์ 2024 สืบค้นเมื่อ1 เมษายน 2026

• กลยุทธ์การป้องกันประเทศ (ด้านคอมพิวเตอร์)
• แบบจำลองชีสสวิส