——我們將廣泛地研究用于防止未經(jīng)授權(quán)的人員或程序訪問您的網(wǎng)絡(luò)及其連接的設(shè)備的任務(wù),角色和工具。
網(wǎng)絡(luò)安全是一種預(yù)防和防止未經(jīng)授權(quán)的入侵企業(yè)網(wǎng)絡(luò)的做法。作為一種理念,它補(bǔ)充了針對(duì)單個(gè)設(shè)備的端點(diǎn)安全性。相反,網(wǎng)絡(luò)安全性專注于這些設(shè)備如何交互以及它們之間的結(jié)締組織。
古老的SANS研究所將網(wǎng)絡(luò)安全性的定義放得更遠(yuǎn):
網(wǎng)絡(luò)安全是指采取物理和軟件預(yù)防措施以保護(hù)基礎(chǔ)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)免遭未經(jīng)授權(quán)的訪問,濫用,故障,修改,破壞或不當(dāng)披露的過程,從而為計(jì)算機(jī),用戶和程序創(chuàng)建可以執(zhí)行其允許的安全平臺(tái)。安全環(huán)境中的關(guān)鍵功能。
但是總體目標(biāo)是相同的:網(wǎng)絡(luò)安全性是由您用來防止未經(jīng)授權(quán)的人員或程序訪問您的網(wǎng)絡(luò)及其連接設(shè)備的任務(wù)和工具實(shí)現(xiàn)的。從本質(zhì)上講,如果黑客無法通過網(wǎng)絡(luò)訪問您的計(jì)算機(jī),則無法對(duì)其進(jìn)行黑客攻擊。
網(wǎng)絡(luò)安全基礎(chǔ)
定義可以作為頂層的意圖聲明。但是,您如何制定實(shí)現(xiàn)該愿景的計(jì)劃?我們對(duì)網(wǎng)絡(luò)安全三個(gè)階段的愿景仍然很重要,應(yīng)該成為您策略的基礎(chǔ)框架??偠灾?,網(wǎng)絡(luò)安全性包括:
· 保護(hù):您應(yīng)該盡可能正確地配置系統(tǒng)和網(wǎng)絡(luò)
· 檢測(cè):您必須能夠確定何時(shí)更改了配置或何時(shí)某些網(wǎng)絡(luò)流量表明存在問題
· 響應(yīng):在迅速發(fā)現(xiàn)問題之后,您必須對(duì)它們做出響應(yīng)并盡快返回安全狀態(tài)
簡而言之,這是縱深防御 策略。如果安全專家之間有一個(gè)共同的主題,那就是依靠一個(gè)單一的防御線是危險(xiǎn)的,因?yàn)槿魏我粋€(gè)防御工具都可能被堅(jiān)定的對(duì)手擊敗。您的網(wǎng)絡(luò)不是一條直線或一條直線:它是一個(gè)領(lǐng)土,即使攻擊者入侵了它的一部分,但如果您正確地組織了防御,您仍然有資源進(jìn)行重組和驅(qū)逐它們。
網(wǎng)絡(luò)安全方法
為了深入實(shí)施這種防御,您將需要推出各種專門技術(shù)和類型的網(wǎng)絡(luò)安全。思科是網(wǎng)絡(luò)基礎(chǔ)架構(gòu)公司,它使用以下架構(gòu)來分解不同類型的網(wǎng)絡(luò)安全性,盡管其中一些是根據(jù)其產(chǎn)品類別來告知的,但這是考慮不同方式保護(hù)網(wǎng)絡(luò)安全的一種有用方法。
· 訪問控制:您應(yīng)該能夠阻止未經(jīng)授權(quán)的用戶和設(shè)備訪問您的網(wǎng)絡(luò)。允許網(wǎng)絡(luò)訪問的用戶只能使用授權(quán)的有限資源集來工作。
· 反惡意軟件:從定義上講,病毒,蠕蟲和特洛伊木馬程序試圖在整個(gè)網(wǎng)絡(luò)中傳播,并可能在受感染的計(jì)算機(jī)上潛伏數(shù)天或數(shù)周的休眠狀態(tài)。您的安全性工作應(yīng)盡最大努力防止最初的感染,并清除確實(shí)進(jìn)入網(wǎng)絡(luò)的惡意軟件。
· 應(yīng)用程序安全性:不安全的應(yīng)用程序通常是攻擊者用來訪問您的網(wǎng)絡(luò)的媒介。您需要使用硬件,軟件和安全性流程來鎖定這些應(yīng)用程序。
· 行為分析:您應(yīng)該知道正常的網(wǎng)絡(luò)行為是什么樣的,以便您可以在異?;蚱茐陌l(fā)生時(shí)發(fā)現(xiàn)它們。
· 防止數(shù)據(jù)丟失:人類不可避免的是最薄弱的安全環(huán)節(jié)。您需要實(shí)施技術(shù)和流程,以確保員工不會(huì)故意或無意間將敏感數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)外部。
· 電子郵件安全:網(wǎng)絡(luò)釣魚是攻擊者獲得網(wǎng)絡(luò)訪問權(quán)限的最常見方法之一。電子郵件安全工具可以使用敏感數(shù)據(jù)阻止傳入攻擊和出站郵件。
· 防火墻:也許是網(wǎng)絡(luò)安全領(lǐng)域的祖父,它們遵循您定義的規(guī)則,以允許或拒絕網(wǎng)絡(luò)與Internet之間的邊界處的通信,從而在您的受信任區(qū)域與外部狂野西部之間建立了屏障。它們并不排除需要縱深防御策略的必要性,但它們?nèi)匀皇潜夭豢缮俚摹?/p>
· 入侵檢測(cè)和預(yù)防:這些系統(tǒng)通常通過將網(wǎng)絡(luò)活動(dòng)簽名與已知攻擊技術(shù)的數(shù)據(jù)庫相關(guān)聯(lián),來掃描網(wǎng)絡(luò)流量以識(shí)別和阻止攻擊。
· 移動(dòng)設(shè)備和無線安全性:無線設(shè)備具有任何其他聯(lián)網(wǎng)小工具的所有潛在安全缺陷-但也可以連接到幾乎任何地方的任何無線網(wǎng)絡(luò),需要進(jìn)行仔細(xì)檢查。
· 網(wǎng)絡(luò)分段:軟件定義的分段將網(wǎng)絡(luò)流量分為不同的類別,并使執(zhí)行安全策略更加容易。
· 安全信息和事件管理(SIEM):這些產(chǎn)品旨在自動(dòng)收集來自各種網(wǎng)絡(luò)工具的信息,以提供識(shí)別和響應(yīng)威脅所需的數(shù)據(jù)。
· VPN:一種工具(通常基于IPsec或SSL),該工具對(duì)設(shè)備與安全網(wǎng)絡(luò)之間的通信進(jìn)行身份驗(yàn)證,從而在開放的Internet上創(chuàng)建安全的加密“隧道”。
· Web安全:您需要能夠控制內(nèi)部人員的Web使用,以阻止基于Web的威脅將瀏覽器用作媒介來感染您的網(wǎng)絡(luò)。
網(wǎng)絡(luò)安全與云
越來越多的企業(yè)將其一些計(jì)算需求轉(zhuǎn)移給云服務(wù)提供商,從而創(chuàng)建了混合基礎(chǔ)架構(gòu),在這些基礎(chǔ)架構(gòu)中,他們自己的內(nèi)部網(wǎng)絡(luò)必須與第三方托管的服務(wù)器無縫且安全地互操作。有時(shí),此基礎(chǔ)架構(gòu)本身是一個(gè)獨(dú)立的網(wǎng)絡(luò),可以是物理的(幾個(gè)云服務(wù)器一起工作),也可以是虛擬的(多個(gè)VM實(shí)例一起運(yùn)行并在單個(gè)物理服務(wù)器上相互“聯(lián)網(wǎng)”)。
為了處理安全方面,許多云供應(yīng)商在自己的平臺(tái)上建立集中式安全控制策略。但是,這里的技巧是,這些安全系統(tǒng)不會(huì)總是與您的內(nèi)部網(wǎng)絡(luò)策略和過程匹配,并且這種不匹配會(huì)增加網(wǎng)絡(luò)安全專業(yè)人員的工作量。您可以使用多種工具和技術(shù)來緩解這種擔(dān)憂,但事實(shí)是,該領(lǐng)域仍在不斷變化,而云計(jì)算的便利性可能使您感到網(wǎng)絡(luò)安全。
網(wǎng)絡(luò)安全軟件
要涵蓋所有這些基礎(chǔ),您的工具箱中將需要各種軟件和硬件工具。正如我們已經(jīng)指出的,最古老的是防火墻。一鼓作氣的說法是,防火墻已成為網(wǎng)絡(luò)安全總和的日子早已一去不復(fù)返了,需要深度防御來抵御防火墻后端(甚至前端)的威脅。
但是不能完全拋棄防火墻。它們無疑是您的混合縱深防御策略中的要素之一。有許多不同的防火墻類型,其中許多映射到我們前面介紹的不同類型的網(wǎng)絡(luò)安全性:
· 網(wǎng)絡(luò)防火墻
· 下一代防火墻
· Web應(yīng)用防火墻
· 數(shù)據(jù)庫防火墻
· 統(tǒng)一威脅管理
· 云防火墻
· 容器防火墻
· 網(wǎng)絡(luò)分段防火墻
除了防火墻之外,網(wǎng)絡(luò)安全專家還將部署許多工具來跟蹤其網(wǎng)絡(luò)上發(fā)生的事情。其中一些工具是大廠商的公司產(chǎn)品,而其他工具則以Unix早期以來sysadmin一直在使用的免費(fèi)開放源代碼實(shí)用程序的形式出現(xiàn)。熱門類別包括:
· 數(shù)據(jù)包嗅探器,可深入了解數(shù)據(jù)流量
· 像Nessus這樣的漏洞掃描器
· 入侵檢測(cè)和防御軟件
· 滲透測(cè)試軟件
最后一類可能會(huì)引起您的注意-畢竟,如果不嘗試侵入網(wǎng)絡(luò),那么滲透測(cè)試是什么?但是,確保被鎖定的部分工作包括了解闖入的難易程度,并且專業(yè)人士都知道。道德黑客入侵是網(wǎng)絡(luò)安全的重要組成部分。這就是為什么您會(huì)看到諸如Aircrack之類的工具(用于嗅探無線網(wǎng)絡(luò)安全密鑰的工具)以及在軟件上花費(fèi)數(shù)萬美元的固定公司產(chǎn)品的原因。
在需要使許多工具協(xié)同工作的環(huán)境中,您可能還希望部署SIEM軟件,我們?cè)谏厦嬉呀?jīng)進(jìn)行了介紹。SIEM產(chǎn)品是從日志記錄軟件演變而來的,可以分析由許多不同工具收集的網(wǎng)絡(luò)數(shù)據(jù),以檢測(cè)網(wǎng)絡(luò)上的可疑行為。
網(wǎng)絡(luò)安全工作和薪水
如果您正在尋找從事網(wǎng)絡(luò)安全的職業(yè),那么您會(huì)很幸運(yùn):這些工作需求很高,而且他們的薪水很好。人員編制機(jī)構(gòu)將 網(wǎng)絡(luò)安全分析師 列為薪酬最高的六項(xiàng)網(wǎng)絡(luò)安全工作之一,聲稱他們每年可以賺取90,000至150,000美元。
網(wǎng)絡(luò)安全分析師到底在做什么?和網(wǎng)絡(luò)安全工程師有什么不同嗎?
從理論上講,網(wǎng)絡(luò)安全工程師 更有可能構(gòu)建安全系統(tǒng),而網(wǎng)絡(luò)安全分析師 則更有可能負(fù)責(zé)梳理網(wǎng)絡(luò)安全工具中的數(shù)據(jù)以查找問題。但是現(xiàn)實(shí)是,很多人同時(shí)擁有兩種頭銜,而每一種都很少,而且您所做的將更多地取決于您的職位描述,而不是兩個(gè)單詞的頭銜。就其價(jià)值而言,Glassdoor認(rèn)為網(wǎng)絡(luò)安全分析師的薪水略低,每年約為8 萬美元,而不是網(wǎng)絡(luò)安全工程師的8.2萬美元。
信息安全國際標(biāo)準(zhǔn)ISO27001認(rèn)證
網(wǎng)絡(luò)安全認(rèn)證
盡管沒有很多證書僅關(guān)注網(wǎng)絡(luò)安全,但是有許多可以幫助您證明自己是善意的證書,因?yàn)樗鼈兪菐в芯W(wǎng)絡(luò)組件的安全證書或包含安全性內(nèi)容的網(wǎng)絡(luò)證書。一些最負(fù)盛名的包括:
· ISO - ISO/IEC 27001 信息安全管理體系認(rèn)證
· 云安全國際認(rèn)證(CSA-STAR)
· CISSP(Certification for Information System Security Professional)即信息系統(tǒng)安全專業(yè)認(rèn)證
· CISA(Certified Information Systems Auditor簡稱,中文為國際信息系統(tǒng)審計(jì)師)
作者|周曉明(北宙咨詢)
研究領(lǐng)域|研究領(lǐng)域信息技術(shù)與數(shù)字化服務(wù)規(guī)劃與管理、信息化治理與規(guī)劃、信息安全規(guī)劃與管理、運(yùn)維自動(dòng)化、智能化運(yùn)維
編輯|Viola