有各種各樣的網(wǎng)絡安全硬件、軟件和方法可以組合起來保護敏感數(shù)據(jù)免受外部攻擊和內部威脅。本文概述了網(wǎng)絡安全核心原則和網(wǎng)絡安全專業(yè)人員用來減少網(wǎng)絡漏洞的最流行技術。

什么是網(wǎng)絡安全？

網(wǎng)絡安全是為保護網(wǎng)絡及其數(shù)據(jù)而設計和實施的任何實踐或工具。它包括軟件、硬件和云解決方案。有效的網(wǎng)絡安全工具可以阻止廣泛的網(wǎng)絡攻擊，并防止在發(fā)生數(shù)據(jù)泄露時攻擊在整個網(wǎng)絡中蔓延。

在當今的網(wǎng)絡環(huán)境中，每個組織都必須實施網(wǎng)絡安全流程和解決方案，以維持其在線資源的正常運行時間。所有網(wǎng)絡安全解決方案均按照網(wǎng)絡安全的核心原則實施。

了解網(wǎng)絡安全原理

CIA 三元組由三個共同確保網(wǎng)絡安全的核心原則組成。任何網(wǎng)絡安全解決方案都可以歸類為支持以下原則之一：

• 機密性：保護數(shù)據(jù)免受威脅和未經(jīng)授權的訪問。
• 完整性：通過防止意外或故意更改或刪除，數(shù)據(jù)保持準確和可信。
• 可用性：數(shù)據(jù)保留給有權訪問的人訪問。

網(wǎng)絡安全組件

為了阻止網(wǎng)絡攻擊和黑客攻擊，總共可以調用三種類型的網(wǎng)絡安全組件——?硬件、?軟件和?云?安全組件。

硬件組件?包括在網(wǎng)絡中執(zhí)行一系列安全操作的服務器和設備。可以通過兩種方式設置硬件組件：

• 網(wǎng)絡流量路徑外（“離線”）：?作為獨立于網(wǎng)絡流量的獨立實體運行，離線安全設備的任務是監(jiān)控流量并在檢測到惡意數(shù)據(jù)時發(fā)出警報。
• 在網(wǎng)絡流量路徑中（“內聯(lián)”）：?這兩種方式中更流行的一種選擇是內聯(lián)硬件設備，其任務是在遇到潛在威脅時直接阻止數(shù)據(jù)包。

安全?軟件組件?安裝在網(wǎng)絡上的設備上，提供額外的檢測功能和威脅補救措施。最常見的軟件網(wǎng)絡安全組件形式是防病毒應用程序。

最后，云服務需要將安全基礎設施卸載到云提供商上。保護策略類似于在線硬件設備，因為所有網(wǎng)絡流量都通過云提供商。在那里，流量會在被阻止或允許進入網(wǎng)絡之前被掃描以查找潛在威脅。

健全的網(wǎng)絡通常依賴于同時工作的多個安全組件的組合。這種多層防御系統(tǒng)確保即使威脅設法從一個組件的裂縫中溜走，另一層保護也將阻止它訪問網(wǎng)絡。

分層安全

分層安全是一種網(wǎng)絡安全實踐，它結合了多種安全控制來保護網(wǎng)絡免受威脅。通過使用分層安全方法，網(wǎng)絡具有盡可能大的覆蓋范圍，以解決可能滲透到網(wǎng)絡中的各種安全威脅。如果威脅繞過其中一個安全層，分層安全方法還為威脅檢測和響應提供了額外的機會。

例如，為了保護房屋免受外部入侵者的侵害，房主可能會使用柵欄、門鎖、安全攝像頭和看門狗。每個增加的安全層都會提高防御策略的整體有效性，同時增加獨特的威脅檢測和預防功能，以補充和補充其他安全措施。

零信任框架

零信任是一種網(wǎng)絡安全框架，它強調組織不應自動允許整個網(wǎng)絡的流量，即使它來自內部來源。這與城堡和護城河框架不同，后者通過創(chuàng)建一個專注于解決外部威脅的強化安全邊界來實現(xiàn)網(wǎng)絡安全。

零信任的核心概念是流量在被正確驗證為合法之前不能被信任。這可以保護網(wǎng)絡免受內部威脅和內部邊界內的憑據(jù)泄露，這些威脅通常會在威脅參與者在整個網(wǎng)絡中傳播時提供最小的阻力。

驗證是通過多種方法和技術實現(xiàn)的，包括多因素身份驗證 (MFA)、身份和訪問管理 (IAM) 以及數(shù)據(jù)分析。在分段網(wǎng)絡中，現(xiàn)有的驗證系統(tǒng)會在流量通過每個分段時繼續(xù)驗證流量，以確保用戶活動在整個會話期間都是合法的。

網(wǎng)絡安全、工具和方法的類型

訪問控制和身份驗證

訪問控制和身份驗證措施通過驗證用戶憑據(jù)并確保僅允許這些用戶訪問其角色所必需的數(shù)據(jù)來保護網(wǎng)絡和數(shù)據(jù)。輔助訪問控制和身份驗證的工具包括特權訪問管理 (PAM)、身份即服務 (IaaS) 提供商和網(wǎng)絡訪問控制 (NAC) 解決方案。

訪問控制和身份驗證解決方案還用于驗證有效用戶是否從安全端點訪問網(wǎng)絡。為了驗證，它會執(zhí)行“健康檢查”，以確保在端點設備上安裝了最新的安全更新和必備軟件。

防病毒和防惡意軟件

防病毒和反惡意軟件保護網(wǎng)絡免受惡意軟件的攻擊，這些惡意軟件被威脅行為者用來創(chuàng)建后門，他們可以使用該后門進一步滲透網(wǎng)絡。重要的是要注意，雖然防病毒程序和反惡意軟件程序之間存在相似之處，但它們并不完全相同。

• 防病毒：?基于預防，通過主動阻止端點設備被感染來保護網(wǎng)絡。
• 反惡意軟件：?基于治療，通過檢測和破壞已滲透到網(wǎng)絡的惡意程序來保護網(wǎng)絡。

由于惡意軟件的性質在不斷發(fā)展，同時實施這兩種網(wǎng)絡安全選項是確保網(wǎng)絡安全的最佳方法。

應用安全

應用程序安全性確保整個網(wǎng)絡使用的軟件是安全的。通過限制使用的軟件數(shù)量來確保應用程序的安全性，確保軟件與最新的安全補丁保持同步，并確保為在網(wǎng)絡中使用而開發(fā)的應用程序得到適當?shù)募庸桃苑乐節(jié)撛诘墓簟?/p>

行為分析

行為分析是一種高級威脅檢測方法，它將歷史網(wǎng)絡活動數(shù)據(jù)與當前事件進行比較，以檢測異常行為。例如，如果用戶通常平均每天使用給定的端點設備訪問特定數(shù)據(jù)庫 3-4 次，則該用戶使用新的端點設備多次訪問不同數(shù)據(jù)庫的情況將被標記為審查。

DDoS 防護

分布式拒絕服務 (DDoS) 攻擊試圖通過大量涌入的連接請求使網(wǎng)絡超載來使網(wǎng)絡崩潰。?DDoS 預防解決方案分析傳入請求以識別和過濾非法流量，以保持網(wǎng)絡對合法連接的可訪問性。

DDoS 攻擊要么通過執(zhí)行腳本以向網(wǎng)絡發(fā)送大量傳入請求的攻擊者的分布式網(wǎng)絡執(zhí)行，要么通過已被破壞并轉換為稱為僵尸網(wǎng)絡的協(xié)調系統(tǒng)的廣泛系列設備執(zhí)行。

數(shù)據(jù)丟失防護 (DLP)

數(shù)據(jù)丟失防護?(DLP) 工具通過防止用戶在網(wǎng)絡外共享敏感或有價值的信息并確保數(shù)據(jù)不會丟失或誤用來保護網(wǎng)絡內的數(shù)據(jù)。這可以通過分析通過電子郵件、文件傳輸和即時消息發(fā)送的文件中被視為敏感的數(shù)據(jù)（例如個人身份信息 (PII)）來實現(xiàn)。

電子郵件安全

電子郵件安全措施保護網(wǎng)絡免受網(wǎng)絡釣魚攻擊，這些攻擊試圖誘騙用戶點擊惡意網(wǎng)站的鏈接或下載看似無害的附件，從而將惡意軟件引入網(wǎng)絡。電子郵件安全工具通過識別可疑電子郵件并在它們到達用戶收件箱之前將其過濾掉來主動打擊網(wǎng)絡釣魚。

根據(jù) 2019 年 Verizon 數(shù)據(jù)泄露調查報告 (DBIR)，發(fā)現(xiàn) 94% 的惡意軟件是通過電子郵件傳遞的，32% 的數(shù)據(jù)泄露涉及網(wǎng)絡釣魚攻擊。電子郵件安全工具通過減少通過網(wǎng)絡進入用戶收件箱的惡意電子郵件的數(shù)量來補充反網(wǎng)絡釣魚培訓。

端點安全

端點安全通過確保將連接到網(wǎng)絡的設備免受潛在威脅來保護網(wǎng)絡。通過結合其他幾種網(wǎng)絡安全工具（例如網(wǎng)絡訪問控制、應用程序安全和網(wǎng)絡監(jiān)控）來實現(xiàn)端點安全和網(wǎng)絡安全。

端點設備?是連接到局域網(wǎng) (LAN) 或廣域網(wǎng) (WAN) 的任何硬件，例如工作站、筆記本電腦、智能手機、打印機和移動信息亭?。

防火墻

防火墻是硬件設備和軟件程序，它們充當傳入流量和網(wǎng)絡之間的屏障。防火墻將通過網(wǎng)絡發(fā)送的數(shù)據(jù)包與指示是否應允許數(shù)據(jù)進入網(wǎng)絡的預定義策略和規(guī)則進行比較。

移動設備安全

移動設備安全中心圍繞限制移動設備對網(wǎng)絡的訪問，并確保監(jiān)控和管理允許在網(wǎng)絡上的移動設備的安全漏洞。移動設備安全措施包括移動設備管理 (MDM) 解決方案，該解決方案允許管理員對移動設備上的敏感數(shù)據(jù)進行分段、實施數(shù)據(jù)加密、確定允許安裝的應用程序、定位丟失或被盜的設備以及遠程擦除敏感數(shù)據(jù)。

網(wǎng)絡監(jiān)控和檢測系統(tǒng)

網(wǎng)絡監(jiān)控和檢測系統(tǒng)包括各種旨在監(jiān)控傳入和傳出網(wǎng)絡流量并響應異常或惡意網(wǎng)絡活動的應用程序。

網(wǎng)絡監(jiān)控和檢測系統(tǒng)示例：

• 入侵防御系統(tǒng) (IPS) 掃描網(wǎng)絡流量以查找可疑活動，例如違反策略，以自動阻止入侵嘗試。
• 入侵檢測系統(tǒng) (IDS)?的工作方式與 IPS 類似，重點是監(jiān)控網(wǎng)絡數(shù)據(jù)包并標記可疑活動以供審查。
• 安全信息和事件管理 (SIEM)?結合使用基于主機和基于網(wǎng)絡的入侵檢測方法，提供網(wǎng)絡事件的詳細概述。SIEM 系統(tǒng)為管理員提供有價值的日志數(shù)據(jù)，用于調查安全事件和標記可疑行為。

網(wǎng)絡分段

網(wǎng)絡分段是一種常見的網(wǎng)絡安全實踐?，用于降低網(wǎng)絡安全威脅的傳播速度。網(wǎng)絡分段涉及將較大的網(wǎng)絡分類為多個子網(wǎng)，每個子網(wǎng)都通過自己獨特的訪問控制進行管理。每個子網(wǎng)都充當自己獨特的網(wǎng)絡，以提高監(jiān)控能力、提升網(wǎng)絡性能并增強安全性。

虛擬專用網(wǎng)絡

虛擬專用網(wǎng)絡提供從給定端點到網(wǎng)絡的安全遠程訪問。虛擬專用網(wǎng)絡對通過它的所有網(wǎng)絡流量進行加密，以防止對傳入和傳出網(wǎng)絡的數(shù)據(jù)進行未經(jīng)授權的分析。它通常由需要安全連接到公司網(wǎng)絡的異地工作人員使用，允許他們訪問其角色所需的數(shù)據(jù)和應用程序。

網(wǎng)絡安全

Web 安全通過主動保護端點設備免受基于 Web 的威脅來保護網(wǎng)絡。網(wǎng)絡過濾器等網(wǎng)絡安全技術將使用已知惡意或易受攻擊網(wǎng)站的數(shù)據(jù)庫來維護黑名單，阻止常用網(wǎng)絡端口，并防止用戶在互聯(lián)網(wǎng)上從事高風險活動。可以將 Web 過濾解決方案配置為僅允許 Web 過濾器白名單上的預授權域。使用白名單時，Web 過濾器將阻止對不在白名單上的所有網(wǎng)站的訪問。Web 安全產(chǎn)品還可能包括分析與網(wǎng)站的連接請求并在允許用戶訪問之前確定該網(wǎng)站是否滿足網(wǎng)絡的最低??安全要求的功能。

無線網(wǎng)絡安全

無線安全措施可保護網(wǎng)絡免受無線連接特有的漏洞的影響。Wi-Fi 網(wǎng)絡公開廣播與附近設備的連接，為附近的攻擊者嘗試訪問網(wǎng)絡創(chuàng)造了更多機會。通過加密通過無線網(wǎng)絡傳輸?shù)臄?shù)據(jù)、過濾 MAC 地址以限制訪問以及將網(wǎng)絡 SSID 私有化以避免廣播網(wǎng)絡名稱等方法，無線安全性得到了增強。

結論

要真正保護網(wǎng)絡，需要安裝和管理多個專用硬件和軟件。通過使用支持 CIA 三元組原則的工具實施分層網(wǎng)絡安全方法，可以保護網(wǎng)絡免受各種漏洞的影響。