網絡安全。保護電子數據免遭犯罪或未經授權使用的做法，或為實現這一目標而采取的措施。至少，字典是這么說的。你同意？多年來，網絡安全一詞已被廣泛使用，以至于它幾乎與 IT 安全或信息安全等術語同義。這有點像說每個正方形都是長方形，但并不是每個長方形都是正方形。使困惑？讓我們分解一下。

網絡安全定義

每個正方形都是矩形，因為正方形是四邊形，所有四個角都是直角。同樣，網絡安全是 IT 安全保護傘的一部分，與其對應的是物理安全和信息安全。

但并非每個矩形都是正方形，因為正方形的標準意味著所有邊的長度必須相同。關鍵是，并非所有 IT 安全措施都符合網絡安全的條件，因為網絡安全有其獨特的資產需要保護。

CompTIA 的首席技術布道者 James Stanger 說，他最好將網絡安全定義為“專注于保護電子資產——包括互聯網、廣域網和局域網資源——用于存儲和傳輸信息。”

當然，對這些電子資產的威脅是有惡意的黑客通過數據泄露竊取專有數據和信息。因此，似乎完全實現的定義應該包括一套不斷發展的網絡安全工具，旨在保護機密數據免遭未經授權的訪問。為此，有必要考慮人員、流程和技術如何在確保信息安全方面發揮同等重要的作用。

為什么網絡安全很重要？

生活在一個所有設備都已連接的世界中的眾多優勢之一就是便利。通過您的智能手機或設備進行工作、管理您的社交日歷、購物和進行約會非常容易。這就是為什么它已成為我們許多人的第二天性。

但是，當然，連接數據的便利性也意味著不良行為者的威脅會造成很大的破壞。網絡安全舉措對于保護我們的數據以及我們的生活方式至關重要。

網絡安全的類型

網絡安全可分為五種不同的類型：

• 關鍵基礎設施安全
• 應用安全
• 網絡安全
• 云安全
• 物聯網 (IoT) 安全

為涵蓋其所有基礎，組織應制定一項綜合計劃，不僅包括這五種類型的網絡安全，還包括在網絡安全態勢中發揮積極作用的三個組成部分：人員、流程和技術。

人們

讓我們面對現實吧，無論您采取何種預防措施，如果人們不遵守規則，您仍然處于危險之中。我想到了“你的力量取決于你最薄弱的環節”這句話。在大多數情況下，人為錯誤就是一個錯誤。

大多數人并不是故意繞過安全協議——他們要么沒有接受過這樣做的培訓，要么沒有接受過有關其行為重要性的教育。對 IT 部門以外的員工進行安全意識培訓并加強最基本的網絡安全原則，可以對公司的安全狀況產生重大影響。

以下是人為因素增加網絡安全風險的五種方式：

1. 可疑的 URL 和電子郵件：向員工解釋如果有什么看起來很奇怪——它可能是！鼓勵員工注意 URLS， 刪除沒有內容或看起來像是來自欺騙地址的電子郵件，并強調保護個人信息的重要性。作為 IT 專業人員，您有責任提高對潛在網絡安全威脅的認識。
2. 密碼閑置：我們知道長時間使用同一個密碼并不是一個好主意。但是，金融界的鮑勃可能不明白這一點。教育員工頻繁更改密碼和使用強組合的重要性。我們都有大量的密碼，由于最好不要重復密碼，因此我們中的一些人需要將它們記在某個地方是可以理解的。提供有關密碼存儲位置的建議。
3. 個人身份信息：大多數員工應該了解將個人瀏覽（如購物和銀行業務）保留在自己設備上的必要性。但是每個人都會瀏覽一下工作，對嗎？強調關注哪些網站可能會引向其他網站的重要性。而且，這包括社交媒體。客戶服務部的 Karen 可能沒有意識到，在 Facebook、Twitter、Instagram 等平臺上分享過多信息（如個人身份信息）只是黑客收集情報的一種方式。
4. 備份和更新：對于不精通技術的消費者來說，在不定期備份數據和更新系統防病毒軟件的情況下開展日常業務相當容易。這是IT部門的工作。這里最大的挑戰是讓員工了解他們何時需要您幫助處理這些項目。
5. 設備的物理安全：想一想您辦公室中有多少人離開辦公桌開會、聚會和午休。他們正在鎖定他們的設備嗎？強調每次設備無人看管時都需要保護信息。您可以使用機場類比。機場工作人員不斷告訴我們要跟蹤我們的行李，切勿讓它們無人看管。為什么？好吧，因為你只是不知道誰在路過。鼓勵員工像保護行李一樣小心保護他們的設備。

進程

當 IT 部門以外的員工接受培訓時，IT 專業人員可以專注于流程。網絡安全專業人員保護機密數據的過程是多方面的。簡而言之，這些 IT 專業人員的任務是檢測和識別威脅、保護信息、響應事件以及從中恢復。

將流程落實到位不僅可以確保這些桶中的每一個都受到持續監控，而且如果發生網絡安全攻擊，參考記錄良好的流程可以為您的公司節省時間、金錢和您最寶貴的資產——您的客戶的信任。

美國商務部下屬的國家標準與技術研究院 (NIST)為私營部門公司制定了網絡安全框架，以作為創建自己的最佳實踐的指南。這些標準是在美國前總統巴拉克奧巴馬于 2014 年簽署行政命令后由 NIST 編制的。在您努力應對網絡安全風險時，這是一個很好的資源。

技術

一旦您擁有適當的框架和流程，就該考慮您可以使用的工具來開始實施了。

當涉及到您的工具箱時，技術具有雙重含義：

• 您將用于預防和打擊網絡安全攻擊的技術，例如 DNS 過濾、惡意軟件保護、防病毒軟件、防火墻和電子郵件安全解決方案。
• 您的數據賴以生存的技術需要您的保護，例如計算機、智能設備、路由器、網絡和云。

過去，網絡安全計劃側重于傳統技術邊界內的防御措施。但是今天，諸如自帶設備 (BYOD) 之類的政策已經模糊了這些界限，并為黑客提供了更廣闊的滲透領域。牢記網絡安全基礎知識，例如鎖好所有門窗、電梯和天窗，這樣您就不會加入網絡犯罪統計行列。

網絡安全威脅的類型

保持領先于網絡安全威脅并非易事。IT 專業人員要注意的威脅有很長的清單，但問題是這個清單還在不斷增加。今天，網絡攻擊經常發生。雖然有些攻擊規模較小且易于控制，但其他攻擊會迅速失控并造成嚴重破壞。所有網絡攻擊都需要立即引起注意和解決。

以下是屬于這兩類的一些常見網絡安全威脅。

惡意

軟件 惡意軟件是為故意造成損害而創建的軟件。通常稱為病毒（除其他外），惡意軟件可以通過打開錯誤的附件或單擊錯誤的鏈接來造成傷害。

勒索軟件

勒索軟件實際上是一種惡意軟件。這里的區別在于勒索軟件會感染網絡或竊取機密數據，然后要求贖金（通常是某種貨幣）以換取對您系統的訪問權。

網絡釣魚攻擊

網絡釣魚就像聽起來一樣。黑客在那里拋出一條線希望你會上鉤，當你上鉤時，他們會竊取敏感信息，如密碼、信用卡號碼等。網絡釣魚攻擊通常以看起來合法并鼓勵您回復的電子郵件形式出現。

社會工程

社會工程涉及惡意的人際互動。這是一個人公然撒謊并操縱他人泄露個人信息的案例。通常，這些人從社交媒體資料和帖子中獲取信息。

網絡安全職業

隨著網絡安全威脅的清單每時每刻都在增加，對網絡安全工作的需求也在增加是有道理的。事實上，美國有超過 30 萬個網絡安全職位空缺。根據Cyber??Seek（一種提供有關網絡安全就業市場供求詳細數據的在線資源）的說法，這些是最熱門的網絡安全職位。

• 網絡安全工程師
• 網絡安全分析師
• 網絡工程師/架構師
• 網絡安全顧問
• 網絡安全經理/管理員
• 系統工程師
• 漏洞分析師/滲透測試員
• 軟件開發人員/工程師
• 網絡安全專家/技術員

網絡安全認證

網絡安全認證評估 IT 專業人員已經掌握的知識、技能和能力，并反映當今該領域正在發生的事情。CompTIA?Cyber??security Career Pathway具有四項網絡安全認證，可幫助 IT 專業人員從頭到尾精通網絡安全：

• CompTIA 安全+
• CompTIA PenTest+
• CompTIA 網絡安全分析師 (CySA+)
• CompTIA 高級安全從業者 (CASP+)

(ISC)2、ISACA、GIAC 和思科等組織也提供網絡安全認證。其他流行的網絡安全認證包括：

• 認證信息系統安全專家 (CISSP)
• 注冊信息系統審計師 (CISA)
• 認證信息安全經理 (CISM)
• CRISC：風險和信息系統控制認證

多層網絡安全

企業、政府和個人將大量數據存儲在計算機、網絡和云中。數據泄露可能以多種方式對這些實體中的任何一個造成破壞性影響。好消息是，網絡安全的重要性多年來一直在穩步上升，以至于 IT 部門以外的高管開始關注并設定優先級。事實上，國際數據公司 (IDC) 預測，2019 年全球安全支出將達到 1031 億美元，然后以 9.2% 的復合年增長率增長到 2022 年，最終達到 1338 億美元。關鍵要點？網絡安全是一項復雜的實踐，防止攻擊和保護您的信息的最佳方法是通過將您的人員、流程和技術編織在一起的多層網絡安全方法。