网络安全(四)| 网络安全(Network security)
网络安全是一类使内部网络免受攻击和数据泄露的实践和技术。它包括访问控制、网络攻击防护、恶意软件检测和其他安全措施。 “网络安全”最常用于指对大型企业网络的保护。
网络定义
网络是由两个或多个连接的计算设备组成的群体。网络的规模涵盖小型的个人区域网络 (PAN) 和局域网 (LAN) 到大型的广域网 (WAN),这些网络跨越很远的距离连接小型网络。
如今,几乎所有企业都依赖某种类型的网络来提高生产力,无论是允许员工访问互联网的 LAN、连接各个办公地点的 WAN,还是在云中执行这些功能的网络即服务 (NaaS)。
有哪些常见的网络安全风险?
像任何重要的企业资产一样,网络可能以各种方式受到损害。需要准备应对的威胁包括:
- 未经授权的访问:如果未经授权的用户进入网络,他们就可以查看本来可以保持私有的机密信息。他们还可能泄露机密数据或破坏内部系统。
- DDoS 攻击:分布式拒绝服务 (DDoS) 攻击旨在通过用垃圾流量淹没网络或服务器来减缓或拒绝向合法用户提供服务。DDoS 攻击可能使网络不堪重负,从而使其不再运作。
- 漏洞利用:攻击者可以利用登录门户、应用程序、硬件或其他方面的漏洞渗透到网络中,达到各种恶意目的。
- 恶意软件感染:常见的恶意软件感染包括加密或破坏数据的勒索软件;可以在整个网络中快速复制的恶意软件——蠕虫;以及允许攻击者跟踪用户行动的间谍软件。恶意软件可以从一系列来源进入网络,包括不安全的网站、受感染的员工设备或有针对性的外部攻击。
- 内部威胁:内部雇员或承包商在不了解安全最佳实践的情况下,会无意中破坏网络安全或泄露数据。在其他情况下,用户可能因为自己的原因而故意破坏网络或泄露数据。
有哪些重要的网络安全技术?
网络安全是一个广泛的领域。下面只是组织可以用来保护其网络的一些技术。为了减少复杂性,大多数组织尽量依靠少数供应商来实现网络安全;许多企业都在寻求能同时提供上述几种技术的供应商。
访问控制
访问控制限制对数据和用于操作该数据的软件的访问。这对于防止未经授权的访问和降低内部威胁的风险至关重要。身份和访问管理 (IAM) 解决方案可以在这个领域提供帮助。许多企业使用虚拟专用网络 (VPN) 来控制访问; 但如今,已经有了 VPN 的替代品。
用户身份验证
身份验证是访问控制的一个重要组成部分。使用双因素身份验证 (2FA) 而不是简单的密码,是使网络更安全的一个重要步骤。
防火墙
防火墙会从网络流量中过滤掉潜在威胁。它们可以阻止恶意软件攻击、漏洞利用、机器人攻击和其他威胁。传统的防火墙在企业的物理位置使用硬件设备运行。如今,许多防火墙可以在软件或云中运行,消除了对防火墙硬件的需求。
DDoS 保护
网站和网络基础设施都需要防御 DDoS 攻击以保持运作。特别是,网络基础设施需要在网络层而不是应用程序层进行 DDoS 缓解。
数据丢失防护(DLP)
防火墙和 DDoS 防护可以防止外部攻击进入网络,数据丢失防护 (DLP) 则阻止内部数据被带出网络。
浏览器隔离
从网络内部访问互联网会带来风险,因为 Web 浏览涉及到在用户设备上执行来自外部不可信源(如各种网络服务器)的代码。浏览器隔离通过在组织的内部网络之外执行代码(通常是在云服务器上执行),消除了这种风险。
企业还应该采取哪些措施来保障其网络安全?
虽然不可能完全不受攻击,但以下步骤可以进一步降低风险:
- 维持数据备份:即使是防御最严密的网络也会受到攻击。失去对内部数据和系统的部分或全部访问,对企业来说是毁灭性的;保持数据的备份有助于减轻这种攻击的影响。
- 用户教育:许多数据泄露和恶意软件感染的发生仅仅只是因为用户犯了一个错误,无论是意外打开了不安全的电子邮件附件,还是由于网络钓鱼攻击而提供了登录凭据,或者以其他方式允许外部访问。内部员工和承包商应了解如何保持安全和保护网络。
- 应用“零信任”理念:零信任安全是指默认不信任任何用户或设备的原则。