譯者 | 劉濤

審校 | 孫淑娟

如今，網(wǎng)絡(luò)安全正迅速成為各大組織關(guān)注的焦點。由于對數(shù)字化系統(tǒng)的依賴性越來越強，網(wǎng)絡(luò)威脅對于各種規(guī)模的企業(yè)來說都是主要的挑戰(zhàn)。網(wǎng)絡(luò)攻擊可能導(dǎo)致數(shù)據(jù)泄露、敏感信息被竊取、財產(chǎn)損失和企業(yè)名譽受損。

本文旨在深入研究網(wǎng)絡(luò)安全可實現(xiàn)的主要等級，并全面概述了組織可以采取哪些措施來保護其IT基礎(chǔ)設(shè)施。

一、IT基礎(chǔ)架構(gòu)安全性分為4個層級

您能想象每39秒就有一次網(wǎng)絡(luò)攻擊嗎？實際上，在互聯(lián)網(wǎng)上，每天發(fā)生的網(wǎng)絡(luò)攻擊事件超過2000起。

首席信息官把網(wǎng)絡(luò)安全放在了諸如云和人工智能等更有戰(zhàn)略意義的 IT投資之上。在物理層面上還是數(shù)字層面上，他們都采取了相應(yīng)的措施來保護自己的設(shè)備和系統(tǒng)。一般而言， IT基礎(chǔ)設(shè)施的安全管理分為四個層次：

1.數(shù)據(jù)

您擁有的數(shù)據(jù)越多，在企業(yè)網(wǎng)絡(luò)中保護它就越困難。這意味著需要關(guān)注更多的終端。

企業(yè)終端網(wǎng)絡(luò)安全工具包括：

• 網(wǎng)址過濾；
• 防病毒程序；
• 沙盒；
• 確保電子郵件網(wǎng)關(guān)的安全（SEGs）；
• 終端檢測和響應(yīng)工具（EDRs）。

另一個有效的策略就是對數(shù)據(jù)進行編碼，只允許被授權(quán)的個人訪問。此外，還可采用數(shù)據(jù)加密，備份，匿名等技術(shù)來保證數(shù)據(jù)的安全性。

2.應(yīng)用程序

應(yīng)用程序級的安全包括保護數(shù)據(jù)庫不受 SQL注入等事件的影響。這也意味著需要加強其他程序來防止未經(jīng)授權(quán)的訪問或破壞活動。

黑客能夠利用過時軟件中的漏洞侵入您的信息系統(tǒng)。打補丁是解決這個問題的一個好方法。它可以保護您的軟件，并且可以通過整個企業(yè)網(wǎng)絡(luò)進行固件升級。這一策略能夠解決安全性缺陷并提供額外的功能。打補丁還可以提高軟件性能并修復(fù)企業(yè)應(yīng)用程序的錯誤。

3.網(wǎng)絡(luò)

防火墻通常是企業(yè)網(wǎng)絡(luò)安全的主要防御機制。它建立了一道屏障，將您企業(yè)的安全網(wǎng)絡(luò)與可疑網(wǎng)絡(luò)（如開放的Wi-Fi）隔離開來。

網(wǎng)絡(luò)安全的主要目標就是要保證數(shù)據(jù)進出和移動的安全性。這涉及身份和授權(quán)系統(tǒng)，有效的防火墻管理以及流量加密。它既可以是本地的，也可以是云端的（本例涉及的是云端的安全）。

IT基礎(chǔ)設(shè)施安全策略對于網(wǎng)絡(luò)安全至關(guān)重要。它們定義可訪問受信網(wǎng)絡(luò)資源的網(wǎng)絡(luò)流量。您可以通過控制入站和出站網(wǎng)絡(luò)流量來管理它。此外，多因素認證（MFA）可以保護您的網(wǎng)絡(luò)。在訪問網(wǎng)絡(luò)資源前需要經(jīng)過兩種或兩種以上的驗證。

4.物理

物理安全和網(wǎng)絡(luò)安全同樣重要。您的 IT基礎(chǔ)設(shè)施需要得到物理保護。這包括柵欄、安全攝像頭、備用發(fā)電機和緊閉的大門。故障預(yù)防技術(shù)也是物理安全的一部分。這一步涉及將備用設(shè)備部署到世界各地。

網(wǎng)絡(luò)安全不能保護您的數(shù)字資產(chǎn)免遭盜竊，對故意破壞和自然災(zāi)害更是無能為力。因此，物理安全方案應(yīng)包括數(shù)據(jù)恢復(fù)程序。建議在多個地理區(qū)域使用非本地備份。

二、防范網(wǎng)絡(luò)攻擊的十大安全措施

根據(jù)《2022年網(wǎng)絡(luò)安全年鑒》，到2025年，網(wǎng)絡(luò)犯罪造成的損失將會高達10.5萬億美元，現(xiàn)在就采取網(wǎng)絡(luò)安全措施，可以讓您的業(yè)務(wù)在將來免受經(jīng)濟損失。

這里有10種方法可以提高企業(yè)的服務(wù)器和基礎(chǔ)設(shè)施的安全程度。

1.網(wǎng)絡(luò)安全策略

了解并消除這些威脅對網(wǎng)絡(luò)安全管理具有重要意義。首先要做的就是制定安全標準。這些標準必須與您的公司經(jīng)營、您的商機，以及員工的技能相關(guān)聯(lián)。

您還應(yīng)該清楚地定義員工和管理人員對系統(tǒng)的訪問規(guī)則。其中包括密碼、其他最終用戶憑證和內(nèi)容過濾程序，這將使 IT基礎(chǔ)設(shè)施安全策略到位。

口令安全應(yīng)該給予高度重視。為每次登錄創(chuàng)建強口令并使用雙重身份驗證。此外，要指定哪些人在應(yīng)對網(wǎng)絡(luò)風險時要做哪些工作。

2.用戶準入審查

定期檢查用戶權(quán)限。刪除不再需要的權(quán)限，以及那些確認離開公司的用戶權(quán)限，這樣可以防止未經(jīng)授權(quán)的非法訪問。最好使用特權(quán)訪問和訪問管理技術(shù)來限制可以獲得訪問權(quán)限的用戶量。

同時，高效的口令管理也是實現(xiàn)網(wǎng)絡(luò)安全的重要措施之一。規(guī)則是：密碼不少于10個字符，并且定期更新。您可以用系統(tǒng)管理您的口令或者包含多因素身份驗證。

3.安全協(xié)議

安全協(xié)議依賴于密碼技術(shù)。這有助于它們保護敏感數(shù)據(jù)、財務(wù)數(shù)據(jù)和文件傳輸。它們提供關(guān)于數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)表示的信息，以及算法如何工作。

確保您的 Web資產(chǎn)正在使用安全協(xié)議。例如，安全套接字層（SSL）和安全外殼（SSH）即使在不安全的網(wǎng)絡(luò)中也提供了安全的通信路徑。

4.經(jīng)過驗證的軟硬件

選擇一些便宜甚至免費的軟硬件是非常吸引人的。但這樣做也存在著一些潛在風險。您可能會選擇一個已內(nèi)置有效安全機制的解決方案。但是，這樣做往往要付出代價。

此外，避免從不可靠的網(wǎng)站上獲取軟件也是至關(guān)重要的。它們可能包含惡意軟件，這些惡意軟件能滲透到您的系統(tǒng)，并為其他人提供訪問您企業(yè)私人信息的權(quán)限。

5.強大的防火墻系統(tǒng)

防火墻是任何網(wǎng)絡(luò)安全策略的重要組成部分。要確保它們被設(shè)置正確，因為防火墻設(shè)置得不合適所帶來的風險會跟沒有設(shè)置防火墻所產(chǎn)生的風險一樣大。

然而，許多企業(yè)在安裝網(wǎng)絡(luò)級防火墻時遇到了困難。每個員工的設(shè)備如果都安裝了防火墻，那么整個系統(tǒng)也應(yīng)該是安全的。因此，強烈建議設(shè)置硬件和包過濾防火墻。它們又增加了一層網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性。

6.遵循安全開發(fā)規(guī)則的代碼

像DevSecOps這樣的框架可能有助于保護您的技術(shù)基礎(chǔ)設(shè)施。它能使開發(fā)團隊形成一種以安全為核心的態(tài)度。確保代碼遵循安全的開發(fā)原則。

7.數(shù)據(jù)加密

盡可能地依靠數(shù)據(jù)加密。對于那些成功入侵系統(tǒng)但卻沒有密鑰的黑客來說，所得到的加密文件通常是毫無價值的。

IT公司必須定期測試數(shù)據(jù)分類，并在必要時使用加密。此外，使用備用網(wǎng)絡(luò)還可以增加網(wǎng)絡(luò)的安全性。這關(guān)系到您的員工，他們可能需要遠程獲取敏感信息。

8.備份副本

定期備份所有系統(tǒng)。離線備份是防止勒索軟件攻擊的最佳安全措施。備份所有的高度敏性和高操作性的重要的數(shù)據(jù)。在處理網(wǎng)絡(luò)犯罪時，這一點至關(guān)重要。

9.定期系統(tǒng)測試

為了在組織內(nèi)獲得最終的安全彈性，需要經(jīng)常進行系統(tǒng)性的壓力測試。為了找出這些漏洞，我們需要做一些安全掃描和滲透測試。

10.聘請網(wǎng)絡(luò)安全專家

即使最好的 IT基礎(chǔ)設(shè)施保護措施也未必總是有用。公司仍在努力管理他們的時間和資源來啟動網(wǎng)絡(luò)安全。與網(wǎng)絡(luò)安全專家合作可以幫助您避免這種危險。

三、結(jié)束語

網(wǎng)絡(luò)安全措施在保護IT基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)攻擊以及確保機密、完整和敏感信息的可用性方面發(fā)揮著關(guān)鍵作用。實施全面的網(wǎng)絡(luò)安全策略，包括定期的安全審計、網(wǎng)絡(luò)安全措施、人員培訓(xùn)，以及事件響應(yīng)計劃，都能極大地降低網(wǎng)絡(luò)攻擊的成功率。

此外，各組織還必須隨時了解最新的安全威脅，并相應(yīng)更新其安全措施。采用積極主動的網(wǎng)絡(luò)安全策略，組織不但可以保護其 IT基礎(chǔ)設(shè)施，還可將網(wǎng)絡(luò)攻擊的潛在危害降到最低。

原文鏈接：https://hackernoon.com/discovering-10-cybersecurity-practices-for-enhanced-it-infrastructure-protection

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測管控負責人。