有各種各樣的網(wǎng)絡(luò )安全硬件、軟件和方法可以組合起來(lái)保護敏感數據免受外部攻擊和內部威脅。本文概述了網(wǎng)絡(luò )安全核心原則和網(wǎng)絡(luò )安全專(zhuān)業(yè)人員用來(lái)減少網(wǎng)絡(luò )漏洞的最流行技術(shù)。

什么是網(wǎng)絡(luò )安全？

網(wǎng)絡(luò )安全是為保護網(wǎng)絡(luò )及其數據而設計和實(shí)施的任何實(shí)踐或工具。它包括軟件、硬件和云解決方案。有效的網(wǎng)絡(luò )安全工具可以阻止廣泛的網(wǎng)絡(luò )攻擊，并防止在發(fā)生數據泄露時(shí)攻擊在整個(gè)網(wǎng)絡(luò )中蔓延。

在當今的網(wǎng)絡(luò )環(huán)境中，每個(gè)組織都必須實(shí)施網(wǎng)絡(luò )安全流程和解決方案，以維持其在線(xiàn)資源的正常運行時(shí)間。所有網(wǎng)絡(luò )安全解決方案均按照網(wǎng)絡(luò )安全的核心原則實(shí)施。

了解網(wǎng)絡(luò )安全原理

CIA 三元組由三個(gè)共同確保網(wǎng)絡(luò )安全的核心原則組成。任何網(wǎng)絡(luò )安全解決方案都可以歸類(lèi)為支持以下原則之一：

• 機密性：保護數據免受威脅和未經(jīng)授權的訪(fǎng)問(wèn)。
• 完整性：通過(guò)防止意外或故意更改或刪除，數據保持準確和可信。
• 可用性：數據保留給有權訪(fǎng)問(wèn)的人訪(fǎng)問(wèn)。

網(wǎng)絡(luò )安全組件

為了阻止網(wǎng)絡(luò )攻擊和黑客攻擊，總共可以調用三種類(lèi)型的網(wǎng)絡(luò )安全組件——?硬件、?軟件和?云?安全組件。

硬件組件?包括在網(wǎng)絡(luò )中執行一系列安全操作的服務(wù)器和設備?？梢酝ㄟ^(guò)兩種方式設置硬件組件：

• 網(wǎng)絡(luò )流量路徑外（“離線(xiàn)”）：?作為獨立于網(wǎng)絡(luò )流量的獨立實(shí)體運行，離線(xiàn)安全設備的任務(wù)是監控流量并在檢測到惡意數據時(shí)發(fā)出警報。
• 在網(wǎng)絡(luò )流量路徑中（“內聯(lián)”）：?這兩種方式中更流行的一種選擇是內聯(lián)硬件設備，其任務(wù)是在遇到潛在威脅時(shí)直接阻止數據包。

安全?軟件組件?安裝在網(wǎng)絡(luò )上的設備上，提供額外的檢測功能和威脅補救措施。最常見(jiàn)的軟件網(wǎng)絡(luò )安全組件形式是防病毒應用程序。

最后，云服務(wù)需要將安全基礎設施卸載到云提供商上。保護策略類(lèi)似于在線(xiàn)硬件設備，因為所有網(wǎng)絡(luò )流量都通過(guò)云提供商。在那里，流量會(huì )在被阻止或允許進(jìn)入網(wǎng)絡(luò )之前被掃描以查找潛在威脅。

健全的網(wǎng)絡(luò )通常依賴(lài)于同時(shí)工作的多個(gè)安全組件的組合。這種多層防御系統確保即使威脅設法從一個(gè)組件的裂縫中溜走，另一層保護也將阻止它訪(fǎng)問(wèn)網(wǎng)絡(luò )。

分層安全

分層安全是一種網(wǎng)絡(luò )安全實(shí)踐，它結合了多種安全控制來(lái)保護網(wǎng)絡(luò )免受威脅。通過(guò)使用分層安全方法，網(wǎng)絡(luò )具有盡可能大的覆蓋范圍，以解決可能滲透到網(wǎng)絡(luò )中的各種安全威脅。如果威脅繞過(guò)其中一個(gè)安全層，分層安全方法還為威脅檢測和響應提供了額外的機會(huì )。

例如，為了保護房屋免受外部入侵者的侵害，房主可能會(huì )使用柵欄、門(mén)鎖、安全攝像頭和看門(mén)狗。每個(gè)增加的安全層都會(huì )提高防御策略的整體有效性，同時(shí)增加獨特的威脅檢測和預防功能，以補充和補充其他安全措施。

零信任框架

零信任是一種網(wǎng)絡(luò )安全框架，它強調組織不應自動(dòng)允許整個(gè)網(wǎng)絡(luò )的流量，即使它來(lái)自?xún)炔縼?lái)源。這與城堡和護城河框架不同，后者通過(guò)創(chuàng )建一個(gè)專(zhuān)注于解決外部威脅的強化安全邊界來(lái)實(shí)現網(wǎng)絡(luò )安全。

零信任的核心概念是流量在被正確驗證為合法之前不能被信任。這可以保護網(wǎng)絡(luò )免受內部威脅和內部邊界內的憑據泄露，這些威脅通常會(huì )在威脅參與者在整個(gè)網(wǎng)絡(luò )中傳播時(shí)提供最小的阻力。

驗證是通過(guò)多種方法和技術(shù)實(shí)現的，包括多因素身份驗證 (MFA)、身份和訪(fǎng)問(wèn)管理 (IAM) 以及數據分析。在分段網(wǎng)絡(luò )中，現有的驗證系統會(huì )在流量通過(guò)每個(gè)分段時(shí)繼續驗證流量，以確保用戶(hù)活動(dòng)在整個(gè)會(huì )話(huà)期間都是合法的。

網(wǎng)絡(luò )安全、工具和方法的類(lèi)型

訪(fǎng)問(wèn)控制和身份驗證

訪(fǎng)問(wèn)控制和身份驗證措施通過(guò)驗證用戶(hù)憑據并確保僅允許這些用戶(hù)訪(fǎng)問(wèn)其角色所必需的數據來(lái)保護網(wǎng)絡(luò )和數據。輔助訪(fǎng)問(wèn)控制和身份驗證的工具包括特權訪(fǎng)問(wèn)管理 (PAM)、身份即服務(wù) (IaaS) 提供商和網(wǎng)絡(luò )訪(fǎng)問(wèn)控制 (NAC) 解決方案。

訪(fǎng)問(wèn)控制和身份驗證解決方案還用于驗證有效用戶(hù)是否從安全端點(diǎn)訪(fǎng)問(wèn)網(wǎng)絡(luò )。為了驗證，它會(huì )執行“健康檢查”，以確保在端點(diǎn)設備上安裝了最新的安全更新和必備軟件。

防病毒和防惡意軟件

防病毒和反惡意軟件保護網(wǎng)絡(luò )免受惡意軟件的攻擊，這些惡意軟件被威脅行為者用來(lái)創(chuàng )建后門(mén)，他們可以使用該后門(mén)進(jìn)一步滲透網(wǎng)絡(luò )。重要的是要注意，雖然防病毒程序和反惡意軟件程序之間存在相似之處，但它們并不完全相同。

• 防病毒：?基于預防，通過(guò)主動(dòng)阻止端點(diǎn)設備被感染來(lái)保護網(wǎng)絡(luò )。
• 反惡意軟件：?基于治療，通過(guò)檢測和破壞已滲透到網(wǎng)絡(luò )的惡意程序來(lái)保護網(wǎng)絡(luò )。

由于惡意軟件的性質(zhì)在不斷發(fā)展，同時(shí)實(shí)施這兩種網(wǎng)絡(luò )安全選項是確保網(wǎng)絡(luò )安全的最佳方法。

應用安全

應用程序安全性確保整個(gè)網(wǎng)絡(luò )使用的軟件是安全的。通過(guò)限制使用的軟件數量來(lái)確保應用程序的安全性，確保軟件與最新的安全補丁保持同步，并確保為在網(wǎng)絡(luò )中使用而開(kāi)發(fā)的應用程序得到適當的加固以防止潛在的攻擊。

行為分析

行為分析是一種高級威脅檢測方法，它將歷史網(wǎng)絡(luò )活動(dòng)數據與當前事件進(jìn)行比較，以檢測異常行為。例如，如果用戶(hù)通常平均每天使用給定的端點(diǎn)設備訪(fǎng)問(wèn)特定數據庫 3-4 次，則該用戶(hù)使用新的端點(diǎn)設備多次訪(fǎng)問(wèn)不同數據庫的情況將被標記為審查。

DDoS 防護

分布式拒絕服務(wù) (DDoS) 攻擊試圖通過(guò)大量涌入的連接請求使網(wǎng)絡(luò )超載來(lái)使網(wǎng)絡(luò )崩潰。?DDoS 預防解決方案分析傳入請求以識別和過(guò)濾非法流量，以保持網(wǎng)絡(luò )對合法連接的可訪(fǎng)問(wèn)性。

DDoS 攻擊要么通過(guò)執行腳本以向網(wǎng)絡(luò )發(fā)送大量傳入請求的攻擊者的分布式網(wǎng)絡(luò )執行，要么通過(guò)已被破壞并轉換為稱(chēng)為僵尸網(wǎng)絡(luò )的協(xié)調系統的廣泛系列設備執行。

數據丟失防護 (DLP)

數據丟失防護?(DLP) 工具通過(guò)防止用戶(hù)在網(wǎng)絡(luò )外共享敏感或有價(jià)值的信息并確保數據不會(huì )丟失或誤用來(lái)保護網(wǎng)絡(luò )內的數據。這可以通過(guò)分析通過(guò)電子郵件、文件傳輸和即時(shí)消息發(fā)送的文件中被視為敏感的數據（例如個(gè)人身份信息 (PII)）來(lái)實(shí)現。

電子郵件安全

電子郵件安全措施保護網(wǎng)絡(luò )免受網(wǎng)絡(luò )釣魚(yú)攻擊，這些攻擊試圖誘騙用戶(hù)點(diǎn)擊惡意網(wǎng)站的鏈接或下載看似無(wú)害的附件，從而將惡意軟件引入網(wǎng)絡(luò )。電子郵件安全工具通過(guò)識別可疑電子郵件并在它們到達用戶(hù)收件箱之前將其過(guò)濾掉來(lái)主動(dòng)打擊網(wǎng)絡(luò )釣魚(yú)。

根據 2019 年 Verizon 數據泄露調查報告 (DBIR)，發(fā)現 94% 的惡意軟件是通過(guò)電子郵件傳遞的，32% 的數據泄露涉及網(wǎng)絡(luò )釣魚(yú)攻擊。電子郵件安全工具通過(guò)減少通過(guò)網(wǎng)絡(luò )進(jìn)入用戶(hù)收件箱的惡意電子郵件的數量來(lái)補充反網(wǎng)絡(luò )釣魚(yú)培訓。

端點(diǎn)安全

端點(diǎn)安全通過(guò)確保將連接到網(wǎng)絡(luò )的設備免受潛在威脅來(lái)保護網(wǎng)絡(luò )。通過(guò)結合其他幾種網(wǎng)絡(luò )安全工具（例如網(wǎng)絡(luò )訪(fǎng)問(wèn)控制、應用程序安全和網(wǎng)絡(luò )監控）來(lái)實(shí)現端點(diǎn)安全和網(wǎng)絡(luò )安全。

端點(diǎn)設備?是連接到局域網(wǎng) (LAN) 或廣域網(wǎng) (WAN) 的任何硬件，例如工作站、筆記本電腦、智能手機、打印機和移動(dòng)信息亭?。

防火墻

防火墻是硬件設備和軟件程序，它們充當傳入流量和網(wǎng)絡(luò )之間的屏障。防火墻將通過(guò)網(wǎng)絡(luò )發(fā)送的數據包與指示是否應允許數據進(jìn)入網(wǎng)絡(luò )的預定義策略和規則進(jìn)行比較。

移動(dòng)設備安全

移動(dòng)設備安全中心圍繞限制移動(dòng)設備對網(wǎng)絡(luò )的訪(fǎng)問(wèn)，并確保監控和管理允許在網(wǎng)絡(luò )上的移動(dòng)設備的安全漏洞。移動(dòng)設備安全措施包括移動(dòng)設備管理 (MDM) 解決方案，該解決方案允許管理員對移動(dòng)設備上的敏感數據進(jìn)行分段、實(shí)施數據加密、確定允許安裝的應用程序、定位丟失或被盜的設備以及遠程擦除敏感數據。

網(wǎng)絡(luò )監控和檢測系統

網(wǎng)絡(luò )監控和檢測系統包括各種旨在監控傳入和傳出網(wǎng)絡(luò )流量并響應異?；驉阂饩W(wǎng)絡(luò )活動(dòng)的應用程序。

網(wǎng)絡(luò )監控和檢測系統示例：

• 入侵防御系統 (IPS) 掃描網(wǎng)絡(luò )流量以查找可疑活動(dòng)，例如違反策略，以自動(dòng)阻止入侵嘗試。
• 入侵檢測系統 (IDS)?的工作方式與 IPS 類(lèi)似，重點(diǎn)是監控網(wǎng)絡(luò )數據包并標記可疑活動(dòng)以供審查。
• 安全信息和事件管理 (SIEM)?結合使用基于主機和基于網(wǎng)絡(luò )的入侵檢測方法，提供網(wǎng)絡(luò )事件的詳細概述。SIEM 系統為管理員提供有價(jià)值的日志數據，用于調查安全事件和標記可疑行為。

網(wǎng)絡(luò )分段

網(wǎng)絡(luò )分段是一種常見(jiàn)的網(wǎng)絡(luò )安全實(shí)踐?，用于降低網(wǎng)絡(luò )安全威脅的傳播速度。網(wǎng)絡(luò )分段涉及將較大的網(wǎng)絡(luò )分類(lèi)為多個(gè)子網(wǎng)，每個(gè)子網(wǎng)都通過(guò)自己獨特的訪(fǎng)問(wèn)控制進(jìn)行管理。每個(gè)子網(wǎng)都充當自己獨特的網(wǎng)絡(luò )，以提高監控能力、提升網(wǎng)絡(luò )性能并增強安全性。

虛擬專(zhuān)用網(wǎng)絡(luò )

虛擬專(zhuān)用網(wǎng)絡(luò )提供從給定端點(diǎn)到網(wǎng)絡(luò )的安全遠程訪(fǎng)問(wèn)。虛擬專(zhuān)用網(wǎng)絡(luò )對通過(guò)它的所有網(wǎng)絡(luò )流量進(jìn)行加密，以防止對傳入和傳出網(wǎng)絡(luò )的數據進(jìn)行未經(jīng)授權的分析。它通常由需要安全連接到公司網(wǎng)絡(luò )的異地工作人員使用，允許他們訪(fǎng)問(wèn)其角色所需的數據和應用程序。

網(wǎng)絡(luò )安全

Web 安全通過(guò)主動(dòng)保護端點(diǎn)設備免受基于 Web 的威脅來(lái)保護網(wǎng)絡(luò )。網(wǎng)絡(luò )過(guò)濾器等網(wǎng)絡(luò )安全技術(shù)將使用已知惡意或易受攻擊網(wǎng)站的數據庫來(lái)維護黑名單，阻止常用網(wǎng)絡(luò )端口，并防止用戶(hù)在互聯(lián)網(wǎng)上從事高風(fēng)險活動(dòng)?？梢詫?Web 過(guò)濾解決方案配置為僅允許 Web 過(guò)濾器白名單上的預授權域。使用白名單時(shí)，Web 過(guò)濾器將阻止對不在白名單上的所有網(wǎng)站的訪(fǎng)問(wèn)。Web 安全產(chǎn)品還可能包括分析與網(wǎng)站的連接請求并在允許用戶(hù)訪(fǎng)問(wèn)之前確定該網(wǎng)站是否滿(mǎn)足網(wǎng)絡(luò )的最低??安全要求的功能。

無(wú)線(xiàn)網(wǎng)絡(luò )安全

無(wú)線(xiàn)安全措施可保護網(wǎng)絡(luò )免受無(wú)線(xiàn)連接特有的漏洞的影響。Wi-Fi 網(wǎng)絡(luò )公開(kāi)廣播與附近設備的連接，為附近的攻擊者嘗試訪(fǎng)問(wèn)網(wǎng)絡(luò )創(chuàng )造了更多機會(huì )。通過(guò)加密通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò )傳輸的數據、過(guò)濾 MAC 地址以限制訪(fǎng)問(wèn)以及將網(wǎng)絡(luò ) SSID 私有化以避免廣播網(wǎng)絡(luò )名稱(chēng)等方法，無(wú)線(xiàn)安全性得到了增強。

結論

要真正保護網(wǎng)絡(luò )，需要安裝和管理多個(gè)專(zhuān)用硬件和軟件。通過(guò)使用支持 CIA 三元組原則的工具實(shí)施分層網(wǎng)絡(luò )安全方法，可以保護網(wǎng)絡(luò )免受各種漏洞的影響。