有各種各樣的網(wǎng)絡(luò)安全硬件、軟件和方法可以組合起來(lái)保護(hù)敏感數(shù)據(jù)免受外部攻擊和內(nèi)部威脅。本文概述了網(wǎng)絡(luò)安全核心原則和網(wǎng)絡(luò)安全專(zhuān)業(yè)人員用來(lái)減少網(wǎng)絡(luò)漏洞的最流行技術(shù)。

什么是網(wǎng)絡(luò)安全？

網(wǎng)絡(luò)安全是為保護(hù)網(wǎng)絡(luò)及其數(shù)據(jù)而設(shè)計(jì)和實(shí)施的任何實(shí)踐或工具。它包括軟件、硬件和云解決方案。有效的網(wǎng)絡(luò)安全工具可以阻止廣泛的網(wǎng)絡(luò)攻擊，并防止在發(fā)生數(shù)據(jù)泄露時(shí)攻擊在整個(gè)網(wǎng)絡(luò)中蔓延。

在當(dāng)今的網(wǎng)絡(luò)環(huán)境中，每個(gè)組織都必須實(shí)施網(wǎng)絡(luò)安全流程和解決方案，以維持其在線(xiàn)資源的正常運(yùn)行時(shí)間。所有網(wǎng)絡(luò)安全解決方案均按照網(wǎng)絡(luò)安全的核心原則實(shí)施。

了解網(wǎng)絡(luò)安全原理

CIA 三元組由三個(gè)共同確保網(wǎng)絡(luò)安全的核心原則組成。任何網(wǎng)絡(luò)安全解決方案都可以歸類(lèi)為支持以下原則之一：

• 機(jī)密性：保護(hù)數(shù)據(jù)免受威脅和未經(jīng)授權(quán)的訪(fǎng)問(wèn)。
• 完整性：通過(guò)防止意外或故意更改或刪除，數(shù)據(jù)保持準(zhǔn)確和可信。
• 可用性：數(shù)據(jù)保留給有權(quán)訪(fǎng)問(wèn)的人訪(fǎng)問(wèn)。

網(wǎng)絡(luò)安全組件

為了阻止網(wǎng)絡(luò)攻擊和黑客攻擊，總共可以調(diào)用三種類(lèi)型的網(wǎng)絡(luò)安全組件——?硬件、?軟件和?云?安全組件。

硬件組件?包括在網(wǎng)絡(luò)中執(zhí)行一系列安全操作的服務(wù)器和設(shè)備。可以通過(guò)兩種方式設(shè)置硬件組件：

• 網(wǎng)絡(luò)流量路徑外（“離線(xiàn)”）：?作為獨(dú)立于網(wǎng)絡(luò)流量的獨(dú)立實(shí)體運(yùn)行，離線(xiàn)安全設(shè)備的任務(wù)是監(jiān)控流量并在檢測(cè)到惡意數(shù)據(jù)時(shí)發(fā)出警報(bào)。
• 在網(wǎng)絡(luò)流量路徑中（“內(nèi)聯(lián)”）：?這兩種方式中更流行的一種選擇是內(nèi)聯(lián)硬件設(shè)備，其任務(wù)是在遇到潛在威脅時(shí)直接阻止數(shù)據(jù)包。

安全?軟件組件?安裝在網(wǎng)絡(luò)上的設(shè)備上，提供額外的檢測(cè)功能和威脅補(bǔ)救措施。最常見(jiàn)的軟件網(wǎng)絡(luò)安全組件形式是防病毒應(yīng)用程序。

最后，云服務(wù)需要將安全基礎(chǔ)設(shè)施卸載到云提供商上。保護(hù)策略類(lèi)似于在線(xiàn)硬件設(shè)備，因?yàn)樗芯W(wǎng)絡(luò)流量都通過(guò)云提供商。在那里，流量會(huì)在被阻止或允許進(jìn)入網(wǎng)絡(luò)之前被掃描以查找潛在威脅。

健全的網(wǎng)絡(luò)通常依賴(lài)于同時(shí)工作的多個(gè)安全組件的組合。這種多層防御系統(tǒng)確保即使威脅設(shè)法從一個(gè)組件的裂縫中溜走，另一層保護(hù)也將阻止它訪(fǎng)問(wèn)網(wǎng)絡(luò)。

分層安全

分層安全是一種網(wǎng)絡(luò)安全實(shí)踐，它結(jié)合了多種安全控制來(lái)保護(hù)網(wǎng)絡(luò)免受威脅。通過(guò)使用分層安全方法，網(wǎng)絡(luò)具有盡可能大的覆蓋范圍，以解決可能滲透到網(wǎng)絡(luò)中的各種安全威脅。如果威脅繞過(guò)其中一個(gè)安全層，分層安全方法還為威脅檢測(cè)和響應(yīng)提供了額外的機(jī)會(huì)。

例如，為了保護(hù)房屋免受外部入侵者的侵害，房主可能會(huì)使用柵欄、門(mén)鎖、安全攝像頭和看門(mén)狗。每個(gè)增加的安全層都會(huì)提高防御策略的整體有效性，同時(shí)增加獨(dú)特的威脅檢測(cè)和預(yù)防功能，以補(bǔ)充和補(bǔ)充其他安全措施。

零信任框架

零信任是一種網(wǎng)絡(luò)安全框架，它強(qiáng)調(diào)組織不應(yīng)自動(dòng)允許整個(gè)網(wǎng)絡(luò)的流量，即使它來(lái)自?xún)?nèi)部來(lái)源。這與城堡和護(hù)城河框架不同，后者通過(guò)創(chuàng)建一個(gè)專(zhuān)注于解決外部威脅的強(qiáng)化安全邊界來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全。

零信任的核心概念是流量在被正確驗(yàn)證為合法之前不能被信任。這可以保護(hù)網(wǎng)絡(luò)免受內(nèi)部威脅和內(nèi)部邊界內(nèi)的憑據(jù)泄露，這些威脅通常會(huì)在威脅參與者在整個(gè)網(wǎng)絡(luò)中傳播時(shí)提供最小的阻力。

驗(yàn)證是通過(guò)多種方法和技術(shù)實(shí)現(xiàn)的，包括多因素身份驗(yàn)證 (MFA)、身份和訪(fǎng)問(wèn)管理 (IAM) 以及數(shù)據(jù)分析。在分段網(wǎng)絡(luò)中，現(xiàn)有的驗(yàn)證系統(tǒng)會(huì)在流量通過(guò)每個(gè)分段時(shí)繼續(xù)驗(yàn)證流量，以確保用戶(hù)活動(dòng)在整個(gè)會(huì)話(huà)期間都是合法的。

網(wǎng)絡(luò)安全、工具和方法的類(lèi)型

訪(fǎng)問(wèn)控制和身份驗(yàn)證

訪(fǎng)問(wèn)控制和身份驗(yàn)證措施通過(guò)驗(yàn)證用戶(hù)憑據(jù)并確保僅允許這些用戶(hù)訪(fǎng)問(wèn)其角色所必需的數(shù)據(jù)來(lái)保護(hù)網(wǎng)絡(luò)和數(shù)據(jù)。輔助訪(fǎng)問(wèn)控制和身份驗(yàn)證的工具包括特權(quán)訪(fǎng)問(wèn)管理 (PAM)、身份即服務(wù) (IaaS) 提供商和網(wǎng)絡(luò)訪(fǎng)問(wèn)控制 (NAC) 解決方案。

訪(fǎng)問(wèn)控制和身份驗(yàn)證解決方案還用于驗(yàn)證有效用戶(hù)是否從安全端點(diǎn)訪(fǎng)問(wèn)網(wǎng)絡(luò)。為了驗(yàn)證，它會(huì)執(zhí)行“健康檢查”，以確保在端點(diǎn)設(shè)備上安裝了最新的安全更新和必備軟件。

防病毒和防惡意軟件

防病毒和反惡意軟件保護(hù)網(wǎng)絡(luò)免受惡意軟件的攻擊，這些惡意軟件被威脅行為者用來(lái)創(chuàng)建后門(mén)，他們可以使用該后門(mén)進(jìn)一步滲透網(wǎng)絡(luò)。重要的是要注意，雖然防病毒程序和反惡意軟件程序之間存在相似之處，但它們并不完全相同。

• 防病毒：?基于預(yù)防，通過(guò)主動(dòng)阻止端點(diǎn)設(shè)備被感染來(lái)保護(hù)網(wǎng)絡(luò)。
• 反惡意軟件：?基于治療，通過(guò)檢測(cè)和破壞已滲透到網(wǎng)絡(luò)的惡意程序來(lái)保護(hù)網(wǎng)絡(luò)。

由于惡意軟件的性質(zhì)在不斷發(fā)展，同時(shí)實(shí)施這兩種網(wǎng)絡(luò)安全選項(xiàng)是確保網(wǎng)絡(luò)安全的最佳方法。

應(yīng)用安全

應(yīng)用程序安全性確保整個(gè)網(wǎng)絡(luò)使用的軟件是安全的。通過(guò)限制使用的軟件數(shù)量來(lái)確保應(yīng)用程序的安全性，確保軟件與最新的安全補(bǔ)丁保持同步，并確保為在網(wǎng)絡(luò)中使用而開(kāi)發(fā)的應(yīng)用程序得到適當(dāng)?shù)募庸桃苑乐節(jié)撛诘墓簟?/p>

行為分析

行為分析是一種高級(jí)威脅檢測(cè)方法，它將歷史網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)與當(dāng)前事件進(jìn)行比較，以檢測(cè)異常行為。例如，如果用戶(hù)通常平均每天使用給定的端點(diǎn)設(shè)備訪(fǎng)問(wèn)特定數(shù)據(jù)庫(kù) 3-4 次，則該用戶(hù)使用新的端點(diǎn)設(shè)備多次訪(fǎng)問(wèn)不同數(shù)據(jù)庫(kù)的情況將被標(biāo)記為審查。

DDoS 防護(hù)

分布式拒絕服務(wù) (DDoS) 攻擊試圖通過(guò)大量涌入的連接請(qǐng)求使網(wǎng)絡(luò)超載來(lái)使網(wǎng)絡(luò)崩潰。?DDoS 預(yù)防解決方案分析傳入請(qǐng)求以識(shí)別和過(guò)濾非法流量，以保持網(wǎng)絡(luò)對(duì)合法連接的可訪(fǎng)問(wèn)性。

DDoS 攻擊要么通過(guò)執(zhí)行腳本以向網(wǎng)絡(luò)發(fā)送大量傳入請(qǐng)求的攻擊者的分布式網(wǎng)絡(luò)執(zhí)行，要么通過(guò)已被破壞并轉(zhuǎn)換為稱(chēng)為僵尸網(wǎng)絡(luò)的協(xié)調(diào)系統(tǒng)的廣泛系列設(shè)備執(zhí)行。

數(shù)據(jù)丟失防護(hù) (DLP)

數(shù)據(jù)丟失防護(hù)?(DLP) 工具通過(guò)防止用戶(hù)在網(wǎng)絡(luò)外共享敏感或有價(jià)值的信息并確保數(shù)據(jù)不會(huì)丟失或誤用來(lái)保護(hù)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)。這可以通過(guò)分析通過(guò)電子郵件、文件傳輸和即時(shí)消息發(fā)送的文件中被視為敏感的數(shù)據(jù)（例如個(gè)人身份信息 (PII)）來(lái)實(shí)現(xiàn)。

電子郵件安全

電子郵件安全措施保護(hù)網(wǎng)絡(luò)免受網(wǎng)絡(luò)釣魚(yú)攻擊，這些攻擊試圖誘騙用戶(hù)點(diǎn)擊惡意網(wǎng)站的鏈接或下載看似無(wú)害的附件，從而將惡意軟件引入網(wǎng)絡(luò)。電子郵件安全工具通過(guò)識(shí)別可疑電子郵件并在它們到達(dá)用戶(hù)收件箱之前將其過(guò)濾掉來(lái)主動(dòng)打擊網(wǎng)絡(luò)釣魚(yú)。

根據(jù) 2019 年 Verizon 數(shù)據(jù)泄露調(diào)查報(bào)告 (DBIR)，發(fā)現(xiàn) 94% 的惡意軟件是通過(guò)電子郵件傳遞的，32% 的數(shù)據(jù)泄露涉及網(wǎng)絡(luò)釣魚(yú)攻擊。電子郵件安全工具通過(guò)減少通過(guò)網(wǎng)絡(luò)進(jìn)入用戶(hù)收件箱的惡意電子郵件的數(shù)量來(lái)補(bǔ)充反網(wǎng)絡(luò)釣魚(yú)培訓(xùn)。

端點(diǎn)安全

端點(diǎn)安全通過(guò)確保將連接到網(wǎng)絡(luò)的設(shè)備免受潛在威脅來(lái)保護(hù)網(wǎng)絡(luò)。通過(guò)結(jié)合其他幾種網(wǎng)絡(luò)安全工具（例如網(wǎng)絡(luò)訪(fǎng)問(wèn)控制、應(yīng)用程序安全和網(wǎng)絡(luò)監(jiān)控）來(lái)實(shí)現(xiàn)端點(diǎn)安全和網(wǎng)絡(luò)安全。

端點(diǎn)設(shè)備?是連接到局域網(wǎng) (LAN) 或廣域網(wǎng) (WAN) 的任何硬件，例如工作站、筆記本電腦、智能手機(jī)、打印機(jī)和移動(dòng)信息亭?。

防火墻

防火墻是硬件設(shè)備和軟件程序，它們充當(dāng)傳入流量和網(wǎng)絡(luò)之間的屏障。防火墻將通過(guò)網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包與指示是否應(yīng)允許數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)的預(yù)定義策略和規(guī)則進(jìn)行比較。

移動(dòng)設(shè)備安全

移動(dòng)設(shè)備安全中心圍繞限制移動(dòng)設(shè)備對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)，并確保監(jiān)控和管理允許在網(wǎng)絡(luò)上的移動(dòng)設(shè)備的安全漏洞。移動(dòng)設(shè)備安全措施包括移動(dòng)設(shè)備管理 (MDM) 解決方案，該解決方案允許管理員對(duì)移動(dòng)設(shè)備上的敏感數(shù)據(jù)進(jìn)行分段、實(shí)施數(shù)據(jù)加密、確定允許安裝的應(yīng)用程序、定位丟失或被盜的設(shè)備以及遠(yuǎn)程擦除敏感數(shù)據(jù)。

網(wǎng)絡(luò)監(jiān)控和檢測(cè)系統(tǒng)

網(wǎng)絡(luò)監(jiān)控和檢測(cè)系統(tǒng)包括各種旨在監(jiān)控傳入和傳出網(wǎng)絡(luò)流量并響應(yīng)異常或惡意網(wǎng)絡(luò)活動(dòng)的應(yīng)用程序。

網(wǎng)絡(luò)監(jiān)控和檢測(cè)系統(tǒng)示例：

• 入侵防御系統(tǒng) (IPS) 掃描網(wǎng)絡(luò)流量以查找可疑活動(dòng)，例如違反策略，以自動(dòng)阻止入侵嘗試。
• 入侵檢測(cè)系統(tǒng) (IDS)?的工作方式與 IPS 類(lèi)似，重點(diǎn)是監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包并標(biāo)記可疑活動(dòng)以供審查。
• 安全信息和事件管理 (SIEM)?結(jié)合使用基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)方法，提供網(wǎng)絡(luò)事件的詳細(xì)概述。SIEM 系統(tǒng)為管理員提供有價(jià)值的日志數(shù)據(jù)，用于調(diào)查安全事件和標(biāo)記可疑行為。

網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段是一種常見(jiàn)的網(wǎng)絡(luò)安全實(shí)踐?，用于降低網(wǎng)絡(luò)安全威脅的傳播速度。網(wǎng)絡(luò)分段涉及將較大的網(wǎng)絡(luò)分類(lèi)為多個(gè)子網(wǎng)，每個(gè)子網(wǎng)都通過(guò)自己獨(dú)特的訪(fǎng)問(wèn)控制進(jìn)行管理。每個(gè)子網(wǎng)都充當(dāng)自己獨(dú)特的網(wǎng)絡(luò)，以提高監(jiān)控能力、提升網(wǎng)絡(luò)性能并增強(qiáng)安全性。

虛擬專(zhuān)用網(wǎng)絡(luò)

虛擬專(zhuān)用網(wǎng)絡(luò)提供從給定端點(diǎn)到網(wǎng)絡(luò)的安全遠(yuǎn)程訪(fǎng)問(wèn)。虛擬專(zhuān)用網(wǎng)絡(luò)對(duì)通過(guò)它的所有網(wǎng)絡(luò)流量進(jìn)行加密，以防止對(duì)傳入和傳出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的分析。它通常由需要安全連接到公司網(wǎng)絡(luò)的異地工作人員使用，允許他們?cè)L問(wèn)其角色所需的數(shù)據(jù)和應(yīng)用程序。

網(wǎng)絡(luò)安全

Web 安全通過(guò)主動(dòng)保護(hù)端點(diǎn)設(shè)備免受基于 Web 的威脅來(lái)保護(hù)網(wǎng)絡(luò)。網(wǎng)絡(luò)過(guò)濾器等網(wǎng)絡(luò)安全技術(shù)將使用已知惡意或易受攻擊網(wǎng)站的數(shù)據(jù)庫(kù)來(lái)維護(hù)黑名單，阻止常用網(wǎng)絡(luò)端口，并防止用戶(hù)在互聯(lián)網(wǎng)上從事高風(fēng)險(xiǎn)活動(dòng)。可以將 Web 過(guò)濾解決方案配置為僅允許 Web 過(guò)濾器白名單上的預(yù)授權(quán)域。使用白名單時(shí)，Web 過(guò)濾器將阻止對(duì)不在白名單上的所有網(wǎng)站的訪(fǎng)問(wèn)。Web 安全產(chǎn)品還可能包括分析與網(wǎng)站的連接請(qǐng)求并在允許用戶(hù)訪(fǎng)問(wèn)之前確定該網(wǎng)站是否滿(mǎn)足網(wǎng)絡(luò)的最低??安全要求的功能。

無(wú)線(xiàn)網(wǎng)絡(luò)安全

無(wú)線(xiàn)安全措施可保護(hù)網(wǎng)絡(luò)免受無(wú)線(xiàn)連接特有的漏洞的影響。Wi-Fi 網(wǎng)絡(luò)公開(kāi)廣播與附近設(shè)備的連接，為附近的攻擊者嘗試訪(fǎng)問(wèn)網(wǎng)絡(luò)創(chuàng)造了更多機(jī)會(huì)。通過(guò)加密通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)、過(guò)濾 MAC 地址以限制訪(fǎng)問(wèn)以及將網(wǎng)絡(luò) SSID 私有化以避免廣播網(wǎng)絡(luò)名稱(chēng)等方法，無(wú)線(xiàn)安全性得到了增強(qiáng)。

結(jié)論

要真正保護(hù)網(wǎng)絡(luò)，需要安裝和管理多個(gè)專(zhuān)用硬件和軟件。通過(guò)使用支持 CIA 三元組原則的工具實(shí)施分層網(wǎng)絡(luò)安全方法，可以保護(hù)網(wǎng)絡(luò)免受各種漏洞的影響。