网络安全旨在保护关键系统和敏感信息免受数字攻击。文章介绍了网络安全的核心领域,包括关键基础设施、网络、应用、云安全等;分析了常见的网络流言与误解;详细阐述了恶意软件、勒索软件、钓鱼等威胁类型;并提出了身份管理、零信任策略等最佳实践建议。
网络安全是保护关键系统和敏感信息免受数字攻击的做法。网络安全措施也称为信息技术 (IT) 安全,旨在对抗针对网络系统和应用程序的威胁,无论这些威胁来自组织内部还是外部。
2020 年,全球数据泄露的平均成本为 386 万美元。这些成本包括发现和响应违规的费用、停机成本和收入损失,以及对企业及其品牌的长期声誉损害。网络犯罪分子针对客户的个人身份信息 (PII) — 姓名、地址、国民身份证号码(例如,美国的社会安全号码、意大利的财政代码)和信用卡信息 — 然后在地下数字市场中出售这些记录。受损的 PII 通常会导致客户失去信任、受到监管罚款,甚至是法律诉讼。
由不同的技术和缺乏内部专业知识造成的安全系统复杂性可能会放大这些成本。但是,拥有全面网络安全战略、受最佳实践管理并使用高级分析、人工智能 (AI) 和机器学习实现自动化的组织,可以更有效地应对网络威胁,并在漏洞发生时缩短其生命周期和影响。
强大的网络安全战略具有多层保护,可防御网络犯罪,包括试图访问、更改或破坏数据的网络攻击;向用户或组织勒索钱财;或旨在破坏正常的业务运营。
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济与社会健康发展、维护公共利益和公民合法权益具有重大意义。
保护计算机网络免受入侵者的安全措施,包括有线和无线 (Wi-Fi) 连接。利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。
计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。
应用程序安全是在应用程序中开发、添加和测试安全功能的过程,以防止安全漏洞抵御未经授权的访问和修改等威胁。
应用程序安全描述了应用程序级别的安全措施,旨在防止应用程序内的数据或代码被盗或劫持。它包含在应用程序开发和设计过程中发生的安全注意事项,但也涉及在应用程序部署后保护应用程序的系统和方法。
应用程序安全可能包括硬件、软件和识别或最小化安全漏洞的程序。阻止任何人从 Internet 查看计算机 IP 地址的路由器是一种硬件应用程序安全形式。但应用程序级别的安全措施通常也内置于软件中,例如严格定义允许和禁止哪些活动的应用程序防火墙。程序可以包含诸如应用程序安全例程之类的东西,其中包括诸如定期测试之类的协议。
有助于保护在本地和云中运行的应用程序的流程。应在设计阶段将安全性内置到应用程序中,并考虑如何处理数据、用户身份验证等。
具体来说,真正的机密计算对静止(存储中)、运动中(在云中往返和在云中传输)和使用中(处理期间)的云数据进行加密,以支持客户隐私、业务需求和法规遵从性标准。
云安全(Cloud Security)技术是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到 Server 端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
简称信安,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术等多种综合性技术。
ISO(国际标准化组织)的定义为:为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
通过数据保护措施,例如通用数据保护条例或 GDPR,可保护您最敏感的数据免遭未经授权的访问、暴露或盗窃。
在整个组织中建立安全意识以加强端点安全。例如,可以训练用户删除可疑的电子邮件附件、避免使用未知的 USB 设备等。用户往往是安全链条中最薄弱的一环,因此持续的教育和意识提升至关重要。
指自然或人为灾害后,重新启用信息系统的数据、硬件及软体设备,恢复正常商业运作的过程。灾难恢复规划是涵盖面更广的业务连续规划的一部分,其核心即对企业或机构的灾难性风险做出评估、防范,特别是对关键性业务数据、流程予以及时记录、备份、保护。
全球网络安全事件的数量正在上升,但误解继续存在,包括以下观念:
网络犯罪分子是局外人。 实际上,网络安全漏洞通常是恶意内部人员为自己工作或与外部黑客合作的结果。这些内部人员可以是由民族国家支持的组织良好的团体的一部分。内部威胁往往更难检测,因为他们拥有合法的访问权限。
风险是众所周知的 事实上,风险面仍在扩大,新旧应用程序和设备中报告了数千个新漏洞。人为错误的机会——特别是疏忽导致数据泄露的员工或承包商——不断增加。零日漏洞(Zero-day vulnerabilities)的出现使得已知防护手段失效。
定向攻击 网络犯罪分子一直在寻找新的攻击媒介——包括 Linux 系统、操作技术 (OT)、物联网 (IoT) 设备和云环境。随着万物互联的发展,攻击面显著扩大。
我的行业是安全的 每个行业都有其网络安全风险,网络对手利用几乎每个政府和私营部门组织内的通信网络的必要性。例如,勒索软件攻击针对的部门比以往任何时候都多,包括地方政府和非营利组织,对供应链、".gov"网站和关键基础设施的威胁也有所增加。
尽管网络安全专业人员努力缩小安全漏洞,但攻击者一直在寻找新的方法来逃避 IT 部门的注意、规避防御措施并利用新出现的弱点。最新的网络安全威胁利用在家工作的环境、远程访问工具和新的云服务,为'已知'威胁带来了新的变化。
术语'恶意软件'是指提供未经授权的访问或对计算机造成损害的恶意软件变体,例如蠕虫、病毒、特洛伊木马和间谍软件。恶意软件攻击越来越'无文件',旨在绕过熟悉的检测方法,例如扫描恶意文件附件的防病毒工具。它们可以通过宏脚本、PowerShell 或其他合法工具执行载荷。
勒索软件是一种恶意软件,它会锁定文件、数据或系统,并威胁要删除或破坏数据 - 或向公众公开私人或敏感数据 - 除非向发起攻击的网络犯罪分子支付赎金。最近的勒索软件攻击针对的是州和地方政府,它们比组织更容易被破坏,并且面临支付赎金以恢复公民所依赖的应用程序和网站的压力。现代勒索软件采用双重勒索策略,不仅加密数据还窃取数据以防不支付。
网络钓鱼是一种社会工程形式,它诱骗用户提供自己的 PII 或敏感信息。在网络钓鱼诈骗中,电子邮件或短信似乎来自合法公司,要求提供敏感信息,例如信用卡数据或登录信息。FBI 注意到与大流行相关的网络钓鱼激增,这与远程工作的增长有关。鱼叉式网络钓鱼(Spear Phishing)则针对特定个人或组织进行定制化攻击。
现任或前任员工、业务合作伙伴、承包商或过去曾访问过系统或网络的任何人如果滥用访问权限,则可能被视为内部威胁。内部威胁对于防火墙和入侵检测系统等专注于外部威胁的传统安全解决方案来说是不可见的。这类威胁通常源于不满情绪、财务压力或被收买。
DDoS 攻击试图通过使服务器、网站或网络过载来使服务器、网站或网络崩溃,这些流量通常来自多个协调的系统。DDoS 攻击通过用于调制解调器、打印机、交换机、路由器和服务器的简单网络管理协议 (SNMP) 淹没企业网络。反射和放大攻击是 DDoS 的常见变种,利用 DNS 或 NTP 服务器放大流量。
在 APT 中,一个入侵者或一组入侵者渗透到系统中并在很长一段时间内保持未被发现。入侵者保持网络和系统完好无损,以便入侵者可以监视业务活动并窃取敏感数据,同时避免激活防御措施。最近 Solar Winds 对美国政府系统的破坏就是 APT 的一个例子。APT 通常由国家支持的实体执行,目标明确且持久。
Man-in-the-middle 是一种窃听攻击,网络犯罪分子截取并在两方之间传递消息以窃取数据。例如,在不安全的 Wi-Fi 网络上,攻击者可以拦截在访客设备和网络之间传递的数据。加密通信(如 HTTPS)可以有效缓解此类风险。
以下最佳实践和技术可以帮助您的组织实施强大的网络安全,从而降低您对网络攻击的脆弱性并保护您的关键信息系统,而不会影响用户或客户体验:
定义了每个用户的角色和访问权限,以及授予或拒绝他们权限的条件。方法包括单点登录,它使用户能够登录到网络一次,而无需在同一会话期间重新输入凭据;多因素身份验证,需要两个或更多访问凭据;特权用户帐户,仅向某些用户授予管理权限;和用户生命周期管理,它管理从初始注册到退休的每个用户的身份和访问权限。IAM 是安全架构的基石。
可以保护多个环境中的敏感信息,包括混合多云环境。最好的数据安全平台提供对数据漏洞的自动化、实时可见性,以及在数据漏洞和风险成为数据泄露之前提醒他们的持续监控;他们还应该简化对政府和行业数据隐私法规的遵守。备份和加密对于保证数据安全也至关重要。数据分类是实施有效保护的前提。
汇总和分析来自安全事件的数据,以自动检测可疑用户活动并触发预防性或补救性响应。SIEM 系统结合日志管理和事件关联分析,帮助安全团队快速响应潜在威胁。集成 SOAR(安全编排、自动化与响应)可以进一步提升效率。
今天的企业以前所未有的方式联系在一起。同一人的系统、用户和数据都在不同的环境中生活和运行。基于边界的安全性不再足够,但在每个环境中实施安全控制会产生复杂性。这两种情况的结果都是降低对您最重要资产的保护。零信任策略假定妥协并设置控制以验证每个用户、设备和连接到业务的真实性和目的。为了成功执行零信任策略,组织需要一种组合安全信息的方法,以生成通知和执行验证控制的上下文(设备安全、位置等)。零信任的核心原则是'永不信任,始终验证'。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
生成新的随机RSA私钥和公钥pem证书。 在线工具,RSA密钥对生成器在线工具,online
基于 Mermaid.js 实时预览流程图、时序图等图表,支持源码编辑与即时渲染。 在线工具,Mermaid 预览与可视化编辑在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
