網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全通常應(yīng)用于企業(yè) IT 環(huán)境，是通過安裝預(yù)防措施來拒絕未經(jīng)授權(quán)的訪問、修改、刪除和盜竊資源和數(shù)據(jù)來保護(hù)底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施的過程。這些安全措施可以包括訪問控制、應(yīng)用程序安全、防火墻、虛擬專用網(wǎng)絡(luò)、行為分析、入侵防御系統(tǒng)和無線安全。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全如何工作？

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全需要對正在進(jìn)行的流程和實(shí)踐采取整體方法，以確保底層基礎(chǔ)設(shè)施受到保護(hù)。網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 建議在解決實(shí)施哪些方法時(shí)考慮幾種方法。

• 分割和隔離網(wǎng)絡(luò)和功能 - 應(yīng)特別注意整體基礎(chǔ)設(shè)施布局。適當(dāng)?shù)姆侄魏透綦x是一種有效的安全機(jī)制，可以限制潛在的入侵者攻擊傳播到內(nèi)部網(wǎng)絡(luò)的其他部分。使用路由器等硬件可以分隔網(wǎng)絡(luò)，創(chuàng)建過濾廣播流量的邊界。然后，這些微分段可以進(jìn)一步限制流量，甚至在檢測到攻擊時(shí)關(guān)閉。虛擬分離在設(shè)計(jì)上類似于用路由器物理分離網(wǎng)絡(luò)，但沒有所需的硬件。
• 限制不必要的橫向通信 - 不可忽視的是網(wǎng)絡(luò)內(nèi)的點(diǎn)對點(diǎn)通信。對等點(diǎn)之間未經(jīng)過濾的通信可以允許入侵者在計(jì)算機(jī)之間自由移動(dòng)。這使攻擊者有機(jī)會(huì)通過嵌入后門或安裝應(yīng)用程序在目標(biāo)網(wǎng)絡(luò)中建立持久性。
• 加固網(wǎng)絡(luò)設(shè)備 - 加固網(wǎng)絡(luò)設(shè)備是增強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性的主要方式。建議遵守有關(guān)網(wǎng)絡(luò)加密、可用服務(wù)、安全訪問、強(qiáng)密碼、保護(hù)路由器、限制物理訪問、備份配置和定期測試安全設(shè)置的行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐。
• 安全訪問基礎(chǔ)設(shè)施設(shè)備 - 授予管理權(quán)限以允許某些受信任的用戶訪問資源。通過實(shí)施多因素身份驗(yàn)證 (MFA)、管理特權(quán)訪問和管理管理憑據(jù)來確保用戶的真實(shí)性。
• 執(zhí)行帶外 (OoB) 網(wǎng)絡(luò)管理 - OoB 管理實(shí)施專用通信路徑來遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備。這通過將用戶流量與管理流量分開來增強(qiáng)網(wǎng)絡(luò)安全性。
• 驗(yàn)證硬件和軟件的完整性 - 灰色市場產(chǎn)品通過允許攻擊媒介進(jìn)入網(wǎng)絡(luò)來威脅 IT 基礎(chǔ)設(shè)施。非法產(chǎn)品可以預(yù)裝惡意軟件，等待被引入毫無戒心的網(wǎng)絡(luò)。組織應(yīng)定期對其設(shè)備和軟件進(jìn)行完整性檢查。

為什么網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全很重要？

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的最大威脅來自黑客和惡意應(yīng)用程序，它們攻擊并試圖控制路由基礎(chǔ)設(shè)施。網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件包括網(wǎng)絡(luò)通信所需的所有設(shè)備，包括路由器、防火墻、交換機(jī)、服務(wù)器、負(fù)載平衡器、入侵檢測系統(tǒng) (IDS)、域名系統(tǒng) (DNS) 和存儲(chǔ)系統(tǒng)。這些系統(tǒng)中的每一個(gè)都為想要在目標(biāo)網(wǎng)絡(luò)上放置惡意軟件的黑客提供了一個(gè)入口點(diǎn)。

• 網(wǎng)關(guān)風(fēng)險(xiǎn)：獲得網(wǎng)關(guān)路由器訪問權(quán)限的黑客可以監(jiān)控、修改和拒絕進(jìn)出網(wǎng)絡(luò)的流量。
• 滲透風(fēng)險(xiǎn)：從內(nèi)部路由和交換設(shè)備獲得更多控制權(quán)，黑客可以監(jiān)控、修改和拒絕網(wǎng)絡(luò)內(nèi)部關(guān)鍵主機(jī)之間的流量，并利用內(nèi)部主機(jī)之間的信任關(guān)系橫向移動(dòng)到其他主機(jī)。

盡管黑客可以對網(wǎng)絡(luò)造成任何數(shù)量的破壞性攻擊，但保護(hù)和保護(hù)路由基礎(chǔ)設(shè)施對于防止深度系統(tǒng)滲透應(yīng)該是最重要的。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全有什么好處？

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全如果實(shí)施得當(dāng)，可為企業(yè)網(wǎng)絡(luò)提供多項(xiàng)關(guān)鍵優(yōu)勢。

• 改進(jìn)的資源共享節(jié)省了成本：由于保護(hù)，網(wǎng)絡(luò)上的資源可以被多個(gè)用戶無威脅地使用，最終降低運(yùn)營成本。
• 共享站點(diǎn)許可證：安全性確保站點(diǎn)許可證比為每臺(tái)機(jī)器授權(quán)更便宜。
• 文件共享提高生產(chǎn)力：用戶可以通過內(nèi)部網(wǎng)絡(luò)安全地共享文件。
• 內(nèi)部通信是安全的：內(nèi)部電子郵件和聊天系統(tǒng)將受到保護(hù)，不會(huì)被窺探。
• 分區(qū)和安全文件：與使用多個(gè)用戶共享的機(jī)器相比，用戶文件和數(shù)據(jù)現(xiàn)在相互保護(hù)。
• 數(shù)據(jù)保護(hù)：將數(shù)據(jù)備份到本地服務(wù)器既簡單又安全，可以保護(hù)重要的知識(shí)產(chǎn)權(quán)。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全有哪些不同類型？

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全存在多種方法，最好堅(jiān)持多種方法來拓寬網(wǎng)絡(luò)防御。

• 訪問控制：防止未經(jīng)授權(quán)的用戶和設(shè)備訪問網(wǎng)絡(luò)。
• 應(yīng)用程序安全性：對硬件和軟件采取的安全措施，以鎖定潛在的漏洞。
• 防火墻：可以允許或阻止特定流量進(jìn)入或離開網(wǎng)絡(luò)的把關(guān)設(shè)備。
• 虛擬專用網(wǎng)絡(luò)：虛擬專用網(wǎng)絡(luò)對端點(diǎn)之間的連接進(jìn)行加密，從而在互聯(lián)網(wǎng)上創(chuàng)建安全的通信“隧道”。
• 行為分析：這些工具會(huì)自動(dòng)檢測偏離常規(guī)活動(dòng)的網(wǎng)絡(luò)活動(dòng)。
• 無線安全：無線網(wǎng)絡(luò)不如硬連線網(wǎng)絡(luò)安全，而且隨著新移動(dòng)設(shè)備和應(yīng)用程序的激增，網(wǎng)絡(luò)滲透的載體越來越多。