什么是网络基础设施安全？

强大的网络基础设施安全性是高效业务通信、高效团队和安全运营的先决条件。如果没有适当的措施，网络基础设施可能会成为一个可利用的弱点，导致数据泄露、用户体验差、代价高昂的挫折和长期的品牌损害。本文是对网络基础设施安全性的介绍。继续阅读以了解保护公司网络设备和软件的好处和方法。

什么是网络基础设施安全？

网络基础设施安全是一组保护网络底层硬件和软件的措施和流程。每个网络设置都需要独特的防御措施组合，但大多数公司依赖：

• 严格的访问控制和身份验证协议。
• 防火墙。
• 虚拟专用网络。
• 行为分析。
• 数据加密（静态、传输中和使用中）。
• 入侵检测系统。

每个运行网络的设备和系统都是入侵者的潜在入口点。网络基础设施安全旨在拒绝未经授权的访问，并防止攻击者修改、删除、控制或窃取网络资源。

这一网络安全分支保护所有负责网络通信的设备，包括：

• 路由器。
• 开关和电缆。
• 专用服务器。
• LAN cards.
• 负载均衡器。
• 域名系统 (DNS)。
• 端点（员工工作站、笔记本电脑、移动设备、平板电脑、打印机等）。

网络基础设施安全还保护网络软件，包括：

• 网络运营和管理系统。
• 网络安全应用程序。
• 网络设备上的操作系统。
• 网络服务（T-1 线路、IP 寻址、卫星、DSL、无线协议等）。

虽然网络基础设施主要容易受到外部攻击（拒绝服务攻击、未经授权的访问、垃圾邮件、勒索软件、中间人攻击、恶意软件等），但公司还需要考虑内部威胁。内部危险最常见的例子是：

• 故意删除或修改数据。
• 设备盗窃或破坏。
• 数据泄露（无论是恶意的还是无意的）。
• 意外下载恶意内容。

网络基础设施安全如何工作？

网络基础设施安全需要一种结合最佳实践和持续流程的整体方法，以确保底层基础设施始终保持安全。公司部署的安全措施取决于：

• 相关法律义务。
• 行业特定法规。
• 独特的网络和安全要求。

您可以运行网络安全审计以更好地了解网络的弱点和需求。对于更详细的分析，您可以依靠漏洞评估或组织渗透测试。一旦公司了解其网络需求，组织就可以执行下面解释的部分（或全部）最佳实践。此外，公司还可以依赖一些通用标准，例如数据加密、强密码、顶级设施安全和数据备份。

网络资源的分割和隔离

网络分段是使用单独的防火墙、访问控制和安全协议将网络分成更小的部分的过程。这种策略允许管理员根据安全问题、总体风险和系统关键性将基础设施资源（应用程序、服务器、路由器等）分组到子网中。

虽然网络分段无法阻止攻击，但该过程可以减少成功破坏的影响。分段阻止入侵者：

• 跨网络系统和设备传播恶意文件或包。
• 从单个受感染主机访问敏感数据。
• 通过网络基础设施横向移动。
• 发起全网网络攻击。

除了分割之外，公司还应该根据角色和功能来分割网络资源。隔离使管理员能够将关键网段与 Internet 和其他内部不太重要的子网分开。

基础设施攻击面的限制

网络基础设施的攻击面是入侵者可以攻击并导致安全事件的网络元素的总和。常见的攻击面元素有：

• 服务器。
• 网络应用。
• 蜜蜂。
• 路由器。
• 端点设备。
• 网络管理员。

公司可以依靠以下策略来减少基础设施的攻击面：

• 卸载并删除所有未使用的网络设备、应用程序和服务。
• 监控所有第三方组件和服务的漏洞。
• 使用最新的补丁和更新使网络软件保持最新状态。
• 对网络服务器、应用程序、数据库等实施最小权限原则。
• 隔离所有关键系统和应用程序。
• 实施多因素身份验证系统。

在开始减少基础设施的暴露之前，您应该首先映射攻击面。网络管理员应维护所有网络资产、版本和联锁的最新列表（Censys 和 Shodan 是用于攻击面映射的两个出色工具）。

删除不必要的点对点通信

允许未经过滤的点对点通信（例如工作站到工作站或路由器到路由器）会造成严重的基础设施弱点。如果入侵者破坏了主机，横向通信使攻击者能够在网络中立足并获得额外的资源。

为了应对这种威胁，公司可以：

• 限制与拒绝来自对等主机的数据包流的基于主机的防火墙的通信。
• 实施 VLAN 访问控制列表 (VACL)，这是一个额外的过滤器，用于控制对 VLAN 的访问。

保护基础设施设备

加固设备对于网络基础设施安全至关重要。管理员可以实施以下部分（或全部）实践来强化设备：

• 禁用用于管理网络基础设施（ Telnet、FTP等）的未加密远程管理协议。
• 使用 SNMPv3（或更新版本）进行网络管理。
• 禁用路由器和交换机上不必要的服务，例如发现协议、源路由、HTTP、SNMP、引导协议等。
• 建立和维护一个可靠的日志监控系统。
• 限制基础设施设备的管理权限。
• 保护对控制台和虚拟终端线路的访问。
• 限制对路由器、服务器和交换机的物理访问。
• 控制远程管理的访问列表。
• 备份所有配置并离线存储。
• 确保所有网络设备都有最新的操作系统补丁。

带外管理 (OoB)

OoB 管理允许管理员使用备用通信路径来远程管理网络设备。公司可以物理或虚拟（或通过两者的混合）实施 OoB：

• 投资额外的物理硬件可能会很昂贵，但这种方法通常是更安全的选择。
• 虚拟实施成本较低，但需要进行重大配置更改和设置后管理。

设置 OoB 管理时的良好做法是：

• 将标准网络流量与管理流量分开。
• 确保设备上的管理流量仅来自 OoB。
• 对所有管理通道应用加密。
• 加密对基础设施设备（例如终端或拨入服务器）的所有远程访问。
• 通过安全通道从专用的、完全修补的主机管理所有管理功能。

使用 OoB 管理网络基础设施通过限制访问和将用户与网络管理流量分开来增强安全性。OoB 还有助于安全监控并防止入侵者发现配置更改。

硬件和软件完整性验证

非法硬件和软件可能对网络基础设施构成严重风险。灰色市场产品会带来威胁，因为它们可能没有通过质量标准测试。为了正确验证网络基础设施中的硬件和软件，公司应该：

• 仅从授权供应商和经销商处购买。
• 定义并执行用于验证和监控网络硬件和软件的常规流程。
• 保持对供应链的直接和严格控制。
• 在安装前后检查所有设备是否有篡改迹象。
• 验证来自多个可靠来源的序列号。
• 仅从官方网站下载更新和补丁。
• 培训员工以提高对灰色市场设备的认识。

来自二级市场的产品也存在购买假冒、被盗、篡改或二手设备的风险。

网络基础设施安全的重要性

网络基础设施是新手和经验丰富的黑客的共同目标，因为网络设备通常存在许多漏洞。通常的弱点是：

• 具有众多入口点的大型攻击面。
• 社会工程攻击的许多目标。
• 员工对网络威胁缺乏认识。
• 由于不断变化的需求和设置而导致的各种安全漏洞。
• 设备保护不佳（尤其是在小型和家庭办公室）。
• 许多未加密的和遗留的协议。
• 不更改供应商默认设置、强化设备或执行定期修补的管理员。

这些弱点使网络基础设施成为恶意行为者的首选目标，旨在使用受感染的设备来监控、修改和拒绝进出公司的流量。一旦攻击者获得了网络基础设施的控制权，入侵者就无能为力了。最常见的目标是追踪敏感数据、收集情报、在尽可能多的设备上安装勒索软件以及破坏资源。

网络基础设施安全的类型

在保护网络软件和设备时，公司可以依赖多种方法。最常见的网络基础设施安全类型是：

• 访问控制：虚拟或物理防止未经授权的用户、应用程序和设备访问网络硬件和软件。
• 虚拟专用网络：虚拟专用网络对两个网络端点之间的连接进行加密，从而在 Internet 上创建安全的通信路径。
• 应用程序安全性：管理员安装的特定于应用程序的措施以锁定潜在的弱点。
• 防火墙：允许（或阻止）流量进入或离开网络的把关设备或程序。
• 防病毒程序：这些解决方案监控、识别和消除基于软件的威胁。除了病毒，防病毒程序还可以防止广告软件、键盘记录程序、间谍软件、URL 威胁、垃圾邮件和网络钓鱼攻击。
• 行为分析： BA 工具自动分析网络活动并检测可疑行为。
• 无线安全：专门用于阻止入侵者进入无线网络的系统。
• 入侵检测系统 (IDS)：这些系统监视、记录和报告网络内的任何潜在危险活动。
• 入侵防御系统 (IPS)：除了监控和报告恶意活动外，IPS 还可以通过脚本响应计划自动响应威胁。

虽然您可能不需要上面列出的所有安全措施，但公司应该依靠多种方法来扩大其网络基础设施防御。

网络基础设施安全的好处

网络基础设施安全的主要好处是公司可以可靠地控制和保护运行网络的底层硬件和软件。但是，提高网络基础设施的安全性还具有其他优势：

• 更好的网络性能：可靠的基础架构可增加正常运行时间并提高网络性能。公司还享有更快的上市时间、更可预测的扩展和一致的应用程序性能。
• 安全 BYOD： 随着公司希望利用依赖员工自有设备的好处，自带设备越来越受欢迎。高级别的网络基础设施安全确保公司能够实时识别任何与 BYOD 相关的问题或威胁。这同样适用于员工带到工作场所的所有个人设备。
• 快速识别使用不当的资产：网络资产可能在一个地方不必要地使用，但在另一个地方却非常需要。适当的基础设施监控可以快速识别此问题并重定向资源，而不是浪费金钱来弥补这种不平衡。
• 有限的爆炸半径：如果入侵者破坏了网络基础设施，安全协议会立即通知防御团队。恶意行为者造成破坏的时间更少，网络将阻止任何横向移动的尝试。
• 改进带宽使用：强大的网络基础设施安全性导致对网络带宽容量的可靠管理。公司通过快速识别流量特征来节省资金，包括随时使用多少带宽以及用于什么目的。

网络基础设施安全的挑战

除了初始投资外，改善网络基础设施的保护没有明显的缺点。但是，在提高网络基础设施安全性时，您应该了解几个挑战：

• 如果有多个不同的子网和业务站点，集中流量可能会很困难。在这种情况下，网络可见性、监控和管理也可能具有挑战性。
• 删除重复数据对于网络基础设施安全的有效性至关重要。如果解决方案处理过多的重复数据，则防御措施在检测威胁方面可能会变得不那么有效。
• 如果一家公司依赖多个网络安全提供商，确保系统将正确的数据发送到正确的工具可能会很复杂。

除了这些困难之外，维持高水平基础设施安全的最大挑战是粗心或不知情的员工。与大多数安全工作一样，人员是最薄弱的环节，因此请确保您的员工：

• 了解网络安全最佳实践。
• 了解保持网络基础设施安全的重要性。
• 了解公司如何保护网络设备和软件。
• 知道如果他们检测到可疑活动该怎么办。

任何具有网络安全意识的组织都必须这样做

强大的基础架构可降低运营成本、提高生产力，并使敏感数据远离入侵者。虽然没有任何安全策略可以阻止 100% 的攻击尝试，但网络基础设施安全可以最大限度地减少网络攻击后的后果，并确保您尽快恢复运营。