什么是计算机网络安全？

文章正文

发布时间：2024-07-31 21:31

计算机网络安全系统在两个层面上工作：在外围和网络内部。

在外围，安全控制措施试图阻止网络威胁进入网络。但网络攻击者有时会突破网络，因此 IT 安全团队也会对网络内的资源（如笔记本电脑和数据）进行控制。即使攻击者进入了网络，他们也不能肆意妄为。这种在黑客与潜在漏洞之间建立多重分层控制的策略被称为“纵深防御”。

要建立计算机网络安全系统，安全团队需要结合使用以下工具：

防火墙

防火墙是一种软件或硬件，可以阻止可疑流量进入或离开网络，同时允许合法流量通过。防火墙可以部署在网络边缘，也可以在内部使用，将较大的网络划分为较小的子网。如果网络的一部分被入侵，仍会切断黑客与其他部分的联系。

不同类型的防火墙具有不同的功能。基本防火墙使用包过滤功能来检查流量。更先进的下一代防火墙 (NGFW) 添加了入侵防御、AI 和机器学习、应用程序感知和控制以及威胁情报源，以提供额外的保护。

网络访问控制 (NAC)

网络访问控制解决方案如同守门员，它可对用户进行身份验证和授权，以确定谁可以进入网络以及他们在网络中可以做什么。“身份验证”是指验证用户是否是他们声称的身份。此外，它还表示会向经过身份验证的用户授予访问网络资源的权限。

NAC 解决方案通常用于实施基于角色的访问控制 (RBAC) 策略，其中用户的权限基于其工作职能。例如，初级开发人员或许能查看和编辑代码，但无法实时推送代码。相比之下，高级开发人员可读取、编写代码并将其推送到生产环境。RBAC 通过让未经授权的用户远离他们无权访问的资产来帮助防止数据泄露。

除了对用户进行身份验证之外，一些 NAC 解决方案还可以对用户端点进行风险评估。这样做的目的是防止不安全或被入侵的设备访问网络。如果用户试图使用反恶意软件已过时或配置不正确的设备进入网络，NAC 将拒绝其访问。一些高级 NAC 工具可以自动修复不合规的端点。

入侵检测和预防系统 (IDPS)

入侵检测和防御系统 (IDPS)（有时被称为“入侵防御系统）可直接部署在防火墙后方，以扫描传入流量是否存在安全威胁。这些安全工具是从入侵检测系统发展而来的，而入侵检测系统只标记可疑活动以供审查。IDPS 还能够自动应对可能出现的漏洞，如阻止流量或重置连接。在检测和阻止暴力攻击和拒绝服务 (DoS) 或分布式拒绝服务 (DDoS) 攻击方面，IDPS 尤其有效。

虚拟专用网络 (VPN)

虚拟专用网络 (VPN) 通过加密数据并遮蔽其 IP 地址和位置来保护用户的身份。当有人使用 VPN 时，他们不再直接连接到互联网，而是连接到一个安全服务器，由安全服务器代表他们连接到互联网。

VPN 可以帮助远程工作人员安全地访问公司网络，即使是通过咖啡店和机场等不安全的公共 Wi-Fi 连接。VPN 对用户的流量进行加密，确保其安全，防止黑客拦截其通信。

某些组织使用零信任网络访问 (ZTNA)，而不是 VPN。ZTNA 不使用代理服务器，而是使用零信任访问控制策略来安全连接远程用户。远程用户通过 ZTNA 登录网络时，并不能访问整个网络。而是只能访问他们获准使用的特定资产，并且每次访问新资源时都必须重新验证。

应用程序安全

应用程序安全是指安全团队为保护应用程序和应用程序编程接口 (API) 免受网络攻击而采取的措施。由于当今许多公司都使用应用程序来执行关键业务功能或处理敏感数据，因此应用程序是网络罪犯的常见目标。而且由于如此多的商业应用程序托管在公有云中，黑客可以利用它们的漏洞侵入公司专用网络。

应用程序安全措施可保护应用程序免受恶意参与者的侵害。常见的应用程序安全工具包括 Web 应用程序防火墙、运行时应用程序自我保护、静态应用程序安全测试和动态应用程序安全测试。

电子邮件安全

IBM Security X-Force Threat Intelligence 指数发现，网络钓鱼是最常见的初始网络攻击媒介。电子邮件安全工具可以帮助阻止网络钓鱼攻击和其他危害用户电子邮件帐户的尝试。大多数电子邮件服务都有内置的安全工具，例如垃圾邮件过滤器和消息加密。某些电子邮件安全工具附带沙盒功能，而在此类隔离环境中，安全团队可检查电子邮件附件中是否存在恶意软件，而不会暴露网络。