网络安全类型的解释

有各种各样的网络安全硬件、软件和方法可以组合起来保护敏感数据免受外部攻击和内部威胁。本文概述了网络安全核心原则和网络安全专业人员用来减少网络漏洞的最流行技术。

什么是网络安全？

网络安全是为保护网络及其数据而设计和实施的任何实践或工具。它包括软件、硬件和云解决方案。有效的网络安全工具可以阻止广泛的网络攻击，并防止在发生数据泄露时攻击在整个网络中蔓延。

在当今的网络环境中，每个组织都必须实施网络安全流程和解决方案，以维持其在线资源的正常运行时间。所有网络安全解决方案均按照网络安全的核心原则实施。

了解网络安全原理

CIA 三元组由三个共同确保网络安全的核心原则组成。任何网络安全解决方案都可以归类为支持以下原则之一：

• 机密性：保护数据免受威胁和未经授权的访问。
• 完整性：通过防止意外或故意更改或删除，数据保持准确和可信。
• 可用性：数据保留给有权访问的人访问。

网络安全组件

为了阻止网络攻击和黑客攻击，总共可以调用三种类型的网络安全组件—— 硬件、 软件和 云 安全组件。

硬件组件 包括在网络中执行一系列安全操作的服务器和设备。可以通过两种方式设置硬件组件：

• 网络流量路径外（“离线”）： 作为独立于网络流量的独立实体运行，离线安全设备的任务是监控流量并在检测到恶意数据时发出警报。
• 在网络流量路径中（“内联”）： 这两种方式中更流行的一种选择是内联硬件设备，其任务是在遇到潜在威胁时直接阻止数据包。

安全 软件组件 安装在网络上的设备上，提供额外的检测功能和威胁补救措施。最常见的软件网络安全组件形式是防病毒应用程序。

最后，云服务需要将安全基础设施卸载到云提供商上。保护策略类似于在线硬件设备，因为所有网络流量都通过云提供商。在那里，流量会在被阻止或允许进入网络之前被扫描以查找潜在威胁。

健全的网络通常依赖于同时工作的多个安全组件的组合。这种多层防御系统确保即使威胁设法从一个组件的裂缝中溜走，另一层保护也将阻止它访问网络。

分层安全

分层安全是一种网络安全实践，它结合了多种安全控制来保护网络免受威胁。通过使用分层安全方法，网络具有尽可能大的覆盖范围，以解决可能渗透到网络中的各种安全威胁。如果威胁绕过其中一个安全层，分层安全方法还为威胁检测和响应提供了额外的机会。

例如，为了保护房屋免受外部入侵者的侵害，房主可能会使用栅栏、门锁、安全摄像头和看门狗。每个增加的安全层都会提高防御策略的整体有效性，同时增加独特的威胁检测和预防功能，以补充和补充其他安全措施。

零信任框架

零信任是一种网络安全框架，它强调组织不应自动允许整个网络的流量，即使它来自内部来源。这与城堡和护城河框架不同，后者通过创建一个专注于解决外部威胁的强化安全边界来实现网络安全。

零信任的核心概念是流量在被正确验证为合法之前不能被信任。这可以保护网络免受内部威胁和内部边界内的凭据泄露，这些威胁通常会在威胁参与者在整个网络中传播时提供最小的阻力。

验证是通过多种方法和技术实现的，包括多因素身份验证 (MFA)、身份和访问管理 (IAM) 以及数据分析。在分段网络中，现有的验证系统会在流量通过每个分段时继续验证流量，以确保用户活动在整个会话期间都是合法的。

网络安全、工具和方法的类型

访问控制和身份验证

访问控制和身份验证措施通过验证用户凭据并确保仅允许这些用户访问其角色所必需的数据来保护网络和数据。辅助访问控制和身份验证的工具包括特权访问管理 (PAM)、身份即服务 (IaaS) 提供商和网络访问控制 (NAC) 解决方案。

访问控制和身份验证解决方案还用于验证有效用户是否从安全端点访问网络。为了验证，它会执行“健康检查”，以确保在端点设备上安装了最新的安全更新和必备软件。

防病毒和防恶意软件

防病毒和反恶意软件保护网络免受恶意软件的攻击，这些恶意软件被威胁行为者用来创建后门，他们可以使用该后门进一步渗透网络。重要的是要注意，虽然防病毒程序和反恶意软件程序之间存在相似之处，但它们并不完全相同。

• 防病毒： 基于预防，通过主动阻止端点设备被感染来保护网络。
• 反恶意软件： 基于治疗，通过检测和破坏已渗透到网络的恶意程序来保护网络。

由于恶意软件的性质在不断发展，同时实施这两种网络安全选项是确保网络安全的最佳方法。

应用安全

应用程序安全性确保整个网络使用的软件是安全的。通过限制使用的软件数量来确保应用程序的安全性，确保软件与最新的安全补丁保持同步，并确保为在网络中使用而开发的应用程序得到适当的加固以防止潜在的攻击。

行为分析

行为分析是一种高级威胁检测方法，它将历史网络活动数据与当前事件进行比较，以检测异常行为。例如，如果用户通常平均每天使用给定的端点设备访问特定数据库 3-4 次，则该用户使用新的端点设备多次访问不同数据库的情况将被标记为审查。

DDoS 防护

分布式拒绝服务 (DDoS) 攻击试图通过大量涌入的连接请求使网络超载来使网络崩溃。 DDoS 预防解决方案分析传入请求以识别和过滤非法流量，以保持网络对合法连接的可访问性。

DDoS 攻击要么通过执行脚本以向网络发送大量传入请求的攻击者的分布式网络执行，要么通过已被破坏并转换为称为僵尸网络的协调系统的广泛系列设备执行。

数据丢失防护 (DLP)

数据丢失防护 (DLP) 工具通过防止用户在网络外共享敏感或有价值的信息并确保数据不会丢失或误用来保护网络内的数据。这可以通过分析通过电子邮件、文件传输和即时消息发送的文件中被视为敏感的数据（例如个人身份信息 (PII)）来实现。

电子邮件安全

电子邮件安全措施保护网络免受网络钓鱼攻击，这些攻击试图诱骗用户点击恶意网站的链接或下载看似无害的附件，从而将恶意软件引入网络。电子邮件安全工具通过识别可疑电子邮件并在它们到达用户收件箱之前将其过滤掉来主动打击网络钓鱼。

根据 2019 年 Verizon 数据泄露调查报告 (DBIR)，发现 94% 的恶意软件是通过电子邮件传递的，32% 的数据泄露涉及网络钓鱼攻击。电子邮件安全工具通过减少通过网络进入用户收件箱的恶意电子邮件的数量来补充反网络钓鱼培训。

端点安全

端点安全通过确保将连接到网络的设备免受潜在威胁来保护网络。通过结合其他几种网络安全工具（例如网络访问控制、应用程序安全和网络监控）来实现端点安全和网络安全。

端点设备 是连接到局域网 (LAN) 或广域网 (WAN) 的任何硬件，例如工作站、笔记本电脑、智能手机、打印机和移动信息亭 。

防火墙

防火墙是硬件设备和软件程序，它们充当传入流量和网络之间的屏障。防火墙将通过网络发送的数据包与指示是否应允许数据进入网络的预定义策略和规则进行比较。

移动设备安全

移动设备安全中心围绕限制移动设备对网络的访问，并确保监控和管理允许在网络上的移动设备的安全漏洞。移动设备安全措施包括移动设备管理 (MDM) 解决方案，该解决方案允许管理员对移动设备上的敏感数据进行分段、实施数据加密、确定允许安装的应用程序、定位丢失或被盗的设备以及远程擦除敏感数据。

网络监控和检测系统

网络监控和检测系统包括各种旨在监控传入和传出网络流量并响应异常或恶意网络活动的应用程序。

网络监控和检测系统示例：

• 入侵防御系统 (IPS) 扫描网络流量以查找可疑活动，例如违反策略，以自动阻止入侵尝试。
• 入侵检测系统 (IDS) 的工作方式与 IPS 类似，重点是监控网络数据包并标记可疑活动以供审查。
• 安全信息和事件管理 (SIEM) 结合使用基于主机和基于网络的入侵检测方法，提供网络事件的详细概述。SIEM 系统为管理员提供有价值的日志数据，用于调查安全事件和标记可疑行为。

网络分段

网络分段是一种常见的网络安全实践 ，用于降低网络安全威胁的传播速度。网络分段涉及将较大的网络分类为多个子网，每个子网都通过自己独特的访问控制进行管理。每个子网都充当自己独特的网络，以提高监控能力、提升网络性能并增强安全性。

虚拟专用网络

虚拟专用网络提供从给定端点到网络的安全远程访问。虚拟专用网络对通过它的所有网络流量进行加密，以防止对传入和传出网络的数据进行未经授权的分析。它通常由需要安全连接到公司网络的异地工作人员使用，允许他们访问其角色所需的数据和应用程序。

网络安全

Web 安全通过主动保护端点设备免受基于 Web 的威胁来保护网络。网络过滤器等网络安全技术将使用已知恶意或易受攻击网站的数据库来维护黑名单，阻止常用网络端口，并防止用户在互联网上从事高风险活动。可以将 Web 过滤解决方案配置为仅允许 Web 过滤器白名单上的预授权域。使用白名单时，Web 过滤器将阻止对不在白名单上的所有网站的访问。Web 安全产品还可能包括分析与网站的连接请求并在允许用户访问之前确定该网站是否满足网络的最低​​安全要求的功能。

无线网络安全

无线安全措施可保护网络免受无线连接特有的漏洞的影响。Wi-Fi 网络公开广播与附近设备的连接，为附近的攻击者尝试访问网络创造了更多机会。通过加密通过无线网络传输的数据、过滤 MAC 地址以限制访问以及将网络 SSID 私有化以避免广播网络名称等方法，无线安全性得到了增强。

结论

要真正保护网络，需要安装和管理多个专用硬件和软件。通过使用支持 CIA 三元组原则的工具实施分层网络安全方法，可以保护网络免受各种漏洞的影响。