網絡安全是一種預防和防止未經授權的入侵企業網絡的做法。作為一種理念，它補充了針對單個設備的端點安全性。相反，網絡安全性專注于這些設備如何交互以及它們之間的結締組織。

古老的SANS研究所将網絡安全性的定義放得更遠：

網絡安全是指采取物理和軟件預防措施以保護基礎網絡基礎結構免遭未經授權的訪問，濫用，故障，修改，破壞或不當披露的過程，從而為計算機，用戶和程序創建可以執行其允許的安全平台。安全環境中的關鍵功能。

但是總體目标是相同的：網絡安全性是由您用來防止未經授權的人員或程序訪問您的網絡及其連接設備的任務和工具實現的。從本質上講，如果黑客無法通過網絡訪問您的計算機，則無法對其進行黑客攻擊。

定義可以作為頂層的意圖聲明。但是，您如何制定實現該願景的計劃？我們對網絡安全三個階段的願景仍然很重要，應該成為您策略的基礎框架。總而言之，網絡安全性包括：

· 保護：您應該盡可能正确地配置系統和網絡

· 檢測：您必須能夠确定何時更改了配置或何時某些網絡流量表明存在問題

· 響應：在迅速發現問題之後，您必須對它們做出響應并盡快返回安全狀态

簡而言之，這是縱深防禦 策略。如果安全專家之間有一個共同的主題，那就是依靠一個單一的防禦線是危險的，因為任何一個防禦工具都可能被堅定的對手擊敗。您的網絡不是一條直線或一條直線：它是一個領土，即使攻擊者入侵了它的一部分，但如果您正确地組織了防禦，您仍然有資源進行重組和驅逐它們。

為了深入實施這種防禦，您将需要推出各種專門技術和類型的網絡安全。思科是網絡基礎架構公司，它使用以下架構來分解不同類型的網絡安全性，盡管其中一些是根據其産品類别來告知的，但這是考慮不同方式保護網絡安全的一種有用方法。

· 訪問控制：您應該能夠阻止未經授權的用戶和設備訪問您的網絡。允許網絡訪問的用戶隻能使用授權的有限資源集來工作。

· 反惡意軟件：從定義上講，病毒，蠕蟲和特洛伊木馬程序試圖在整個網絡中傳播，并可能在受感染的計算機上潛伏數天或數周的休眠狀态。您的安全性工作應盡最大努力防止最初的感染，并清除确實進入網絡的惡意軟件。

· 應用程序安全性：不安全的應用程序通常是攻擊者用來訪問您的網絡的媒介。您需要使用硬件，軟件和安全性流程來鎖定這些應用程序。

· 行為分析：您應該知道正常的網絡行為是什麼樣的，以便您可以在異常或破壞發生時發現它們。

· 防止數據丢失：人類不可避免的是最薄弱的安全環節。您需要實施技術和流程，以确保員工不會故意或無意間将敏感數據發送到網絡外部。

· 電子郵件安全：網絡釣魚是攻擊者獲得網絡訪問權限的最常見方法之一。電子郵件安全工具可以使用敏感數據阻止傳入攻擊和出站郵件。

· 防火牆：也許是網絡安全領域的祖父，它們遵循您定義的規則，以允許或拒絕網絡與Internet之間的邊界處的通信，從而在您的受信任區域與外部狂野西部之間建立了屏障。它們并不排除需要縱深防禦策略的必要性，但它們仍然是必不可少的。

· 入侵檢測和預防：這些系統通常通過将網絡活動簽名與已知攻擊技術的數據庫相關聯，來掃描網絡流量以識别和阻止攻擊。

· 移動設備和無線安全性：無線設備具有任何其他聯網小工具的所有潛在安全缺陷-但也可以連接到幾乎任何地方的任何無線網絡，需要進行仔細檢查。

· 網絡分段：軟件定義的分段将網絡流量分為不同的類别，并使執行安全策略更加容易。

· 安全信息和事件管理（SIEM）：這些産品旨在自動收集來自各種網絡工具的信息，以提供識别和響應威脅所需的數據。

· VPN：一種工具（通常基于IPsec或SSL），該工具對設備與安全網絡之間的通信進行身份驗證，從而在開放的Internet上創建安全的加密“隧道”。

· Web安全：您需要能夠控制内部人員的Web使用，以阻止基于Web的威脅将浏覽器用作媒介來感染您的網絡。

網絡安全與雲

越來越多的企業将其一些計算需求轉移給雲服務提供商，從而創建了混合基礎架構，在這些基礎架構中，他們自己的内部網絡必須與第三方托管的服務器無縫且安全地互操作。有時，此基礎架構本身是一個獨立的網絡，可以是物理的（幾個雲服務器一起工作），也可以是虛拟的（多個VM實例一起運行并在單個物理服務器上相互“聯網”）。

為了處理安全方面，許多雲供應商在自己的平台上建立集中式安全控制策略。但是，這裡的技巧是，這些安全系統不會總是與您的内部網絡策略和過程匹配，并且這種不匹配會增加網絡安全專業人員的工作量。您可以使用多種工具和技術來緩解這種擔憂，但事實是，該領域仍在不斷變化，而雲計算的便利性可能使您感到網絡安全。

要涵蓋所有這些基礎，您的工具箱中将需要各種軟件和硬件工具。正如我們已經指出的，最古老的是防火牆。一鼓作氣的說法是，防火牆已成為網絡安全總和的日子早已一去不複返了，需要深度防禦來抵禦防火牆後端（甚至前端）的威脅。

但是不能完全抛棄防火牆。它們無疑是您的混合縱深防禦策略中的要素之一。有許多不同的防火牆類型，其中許多映射到我們前面介紹的不同類型的網絡安全性：

· 網絡防火牆

· 下一代防火牆

· Web應用防火牆

· 數據庫防火牆

· 統一威脅管理

· 雲防火牆

· 容器防火牆

· 網絡分段防火牆

除了防火牆之外，網絡安全專家還将部署許多工具來跟蹤其網絡上發生的事情。其中一些工具是大廠商的公司産品，而其他工具則以Unix早期以來sysadmin一直在使用的免費開放源代碼實用程序的形式出現。熱門類别包括：

· 數據包嗅探器，可深入了解數據流量

· 像Nessus這樣的漏洞掃描器

· 入侵檢測和防禦軟件

· 滲透測試軟件

最後一類可能會引起您的注意-畢竟，如果不嘗試侵入網絡，那麼滲透測試是什麼？但是，确保被鎖定的部分工作包括了解闖入的難易程度，并且專業人士都知道。道德黑客入侵是網絡安全的重要組成部分。這就是為什麼您會看到諸如Aircrack之類的工具（用于嗅探無線網絡安全密鑰的工具）以及在軟件上花費數萬美元的固定公司産品的原因。

在需要使許多工具協同工作的環境中，您可能還希望部署SIEM軟件，我們在上面已經進行了介紹。SIEM産品是從日志記錄軟件演變而來的，可以分析由許多不同工具收集的網絡數據，以檢測網絡上的可疑​​行為。

如果您正在尋找從事網絡安全的職業，那麼您會很幸運：這些工作需求很高，而且他們的薪水很好。人員編制機構将 網絡安全分析師 列為薪酬最高的六項網絡安全工作之一，聲稱他們每年可以賺取90,000至150,000美元。

網絡安全分析師到底在做什麼？和網絡安全工程師有什麼不同嗎？

從理論上講，網絡安全工程師 更有可能構建安全系統，而網絡安全分析師 則更有可能負責梳理網絡安全工具中的數據以查找問題。但是現實是，很多人同時擁有兩種頭銜，而每一種都很少，而且您所做的将更多地取決于您的職位描述，而不是兩個單詞的頭銜。就其價值而言，Glassdoor認為網絡安全分析師的薪水略低，每年約為8 萬美元，而不是網絡安全工程師的8.2萬美元。

信息安全國際标準ISO27001認證

盡管沒有很多證書僅關注網絡安全，但是有許多可以幫助您證明自己是善意的證書，因為它們是帶有網絡組件的安全證書或包含安全性内容的網絡證書。一些最負盛名的包括：

· ISO - ISO/IEC 27001 信息安全管理體系認證

· 雲安全國際認證（CSA-STAR）

· CISSP（Certification for Information System Security Professional）即信息系統安全專業認證

· CISA（Certified Information Systems Auditor簡稱，中文為國際信息系統審計師）

作者｜周曉明（北宙咨詢）

研究領域｜研究領域信息技術與數字化服務規劃與管理、信息化治理與規劃、信息安全規劃與管理、運維自動化、智能化運維

編輯｜Viola

本文中内容僅供參考，若與您了解有任何不符之處請與我們聯系

關注我們，歡迎留言給出意見與建議，共同學習與交流

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!