计算机网络安全是互联网络安全的一个领域,重点是保护计算机网络免受网络威胁。计算机网络安全有三个主要目标:防止对网络资源未经授权的访问;检测并阻止正在进行的网络攻击和安全漏洞;并确保授权用户在需要时能够安全地访问他们所需的网络资源。
随着网络规模和复杂性的增加,互联网络攻击的风险也在增加。例如,根据 IBM 的《2022 年数据泄露成本》报告,83% 的受访组织经历了不止一次数据泄露(一种安全漏洞,导致未经授权访问敏感或机密信息)。这些攻击代价高昂:全球数据泄露的平均成本为 435 万美元,而美国数据泄露的平均成本是这一数字的两倍多,即 944 万美元。
计算机网络安全可保护网络基础架构、资源和流量的完整性,阻止这些攻击并最大程度地减少对财务和运营的影响。
计算机网络安全系统在两个层面上工作:在外围和网络内部。
在外围,安全控制措施试图阻止网络威胁进入网络。但网络攻击者有时会突破网络,因此 IT 安全团队也会对网络内的资源(如笔记本电脑和数据)进行控制。即使攻击者进入了网络,他们也不能肆意妄为。这种在黑客和潜在漏洞之间建立多重分层控制的策略被称为“纵深防御”。
要建立计算机网络安全系统,安全团队需要结合使用以下工具:
防火墙是一种软件或硬件,可以阻止可疑流量进入或离开网络,同时允许合法流量通过。防火墙可以部署在网络边缘,也可以在内部使用,将较大的网络划分为较小的子网。如果网络的一部分被入侵,仍会切断黑客与其他部分的联系。
不同类型的防火墙具有不同的功能。基本防火墙使用包过滤器来检查流量。更先进的下一代防火墙 (NGFW) 添加了入侵防御、人工智能和机器学习、应用程序感知和控制以及威胁情报源,以提供额外的保护。
网络访问控制 (NAC) 解决方案就像守门员一样,对用户进行身份验证和授权,以确定谁可以进入网络以及他们在网络中可以做什么。“身份验证”是指验证用户是否是他们声称的身份。“授权”是指授予经过验证的用户访问网络资源的权限。
NAC 解决方案通常用于实施基于角色的访问控制 (RBAC) 策略,其中用户的权限基于其工作职能。例如,初级开发人员可能能够查看和编辑代码,但不能实时推送代码。相比之下,高级开发人员可以读取、编写代码并将其推送到生产环境。RBAC 通过让未经授权的用户远离他们无权访问的资产来帮助防止数据泄露。
除了对用户进行身份验证之外,一些 NAC 解决方案还可以对用户端点进行风险评估。这样做的目的是防止不安全或被入侵的设备访问网络。如果用户试图使用反恶意软件已过时或配置不正确的设备进入网络,NAC 将拒绝其访问。一些高级 NAC 工具可以自动修复不合规的端点。
入侵检测和防御系统 (IDPS)(有时称为入侵防御系统 (IPS))可以直接部署在防火墙后面,以扫描传入流量是否存在安全威胁。这些安全工具是从入侵检测系统 (IDS) 演变而来,后者仅标记可疑活动以供审查。IDPS 还能够自动应对可能出现的漏洞,如阻止流量或重置连接。在检测和阻止蛮力攻击和拒绝服务 (DoS) 或分布式拒绝服务 (DDoS) 攻击方面,IDPS 特别有效。
虚拟专用网络 (VPN) 通过加密数据并遮蔽其 IP 地址和位置来保护用户的身份。当有人使用 VPN 时,他们不再直接连接到互联网,而是连接到一个安全服务器,由安全服务器代表他们连接到互联网。
VPN 可以帮助远程工作人员安全地访问公司网络,即使是通过咖啡店和机场等不安全的公共 Wi-Fi 连接。VPN 对用户的流量进行加密,确保其安全,防止黑客拦截其通信。
一些组织使用零信任网络访问 (ZTNA),而不是 VPN。ZTNA 不使用代理服务器,而是使用零信任访问控制策略来安全连接远程用户。远程用户通过 ZTNA 登录网络时,并不能访问整个网络。而是只能访问他们获准使用的特定资产,并且每次访问新资源时都必须重新验证。请参阅下面的“网络安全的零信任方法”,详细了解零信任安全的工作原理。
应用程序安全是指安全团队为保护应用程序和应用程序编程接口 (API) 免受网络攻击而采取的措施。由于当今许多公司都使用应用程序来执行关键业务功能或处理敏感数据,因此应用程序是网络罪犯的常见目标。而且由于如此多的商业应用程序托管在公有云中,黑客可以利用它们的漏洞侵入公司专用网络。
应用程序安全措施可保护应用程序免受恶意行为者的侵害。常见的应用程序安全工具包括 Web 应用程序防火墙 (WAF)、运行时应用程序自我保护 (RASP)、静态应用程序安全测试 (SAST) 和动态应用程序安全测试 (DAST)。
IBM Security X-ForceThreat Intelligence 指数发现,网络钓鱼是最常见的初始网络攻击媒介。电子邮件安全工具可以帮助阻止网络钓鱼攻击和其他危害用户电子邮件帐户的尝试。大多数电子邮件服务都有内置的安全工具,例如垃圾邮件过滤器和消息加密。一些电子邮件安全工具具有沙箱功能,在这种隔离环境中,安全团队可以检查电子邮件附件中是否存在恶意软件,而不会暴露网络。
虽然以下工具严格来说并不是网络安全工具,但网络管理员经常使用它们来保护网络上的区域和资产。
数据丢失预防 (DLP) 是指确保敏感数据既不会失窃也不会意外泄露的信息安全策略和工具。DLP 包括数据安全策略和专门构建的技术,用于跟踪数据流、加密敏感信息并在检测到可疑活动时发出警报。
端点安全解决方案可保护连接到网络的任何设备(笔记本电脑、台式机、服务器、移动设备、IoT 设备)免受黑客攻击,黑客试图利用上述设备潜入网络。防病毒软件可以在木马、间谍软件和其他恶意软件扩散到网络其他部分之前,检测并摧毁设备上的这些软件。端点检测和响应 (EDR) 解决方案是监视端点行为并自动响应安全事件的更高级工具。统一终端管理 (UEM) 软件允许公司从单个控制台监控、管理和保护所有最终用户设备。
Web 安全解决方案(如安全网络网关)可阻止恶意互联网流量,防止用户连接到可疑网站和应用程序。
网络分段是一种通过物理方式或通过软件将大型网络分解为较小子网的方法。网络分段可以将受感染的子网与网络的其余部分隔离开来,从而限制勒索软件和其他恶意软件的传播。分段还可以帮助合法用户远离他们不应该访问的资产。
云安全解决方案可保护数据中心、应用程序和其他云资产免受网络攻击。大多数云安全解决方案只是应用于云环境的标准网络安全措施,例如防火墙、NAC 和 VPN。许多云服务提供商将安全控制措施构建到其服务中或作为附加组件提供。
用户和实体行为分析 (UEBA) 使用行为分析和机器学习来标记异常的用户和设备活动。UEBA 可以帮助捕获内部威胁以及劫持用户帐户的黑客。
传统的公司网络是集中式的,关键端点、数据和应用程序都位于本地。传统的网络安全系统专注于防止威胁突破网络边界。用户一旦进入,就会被视为值得信赖,并被授予几乎不受限制的访问权限。
但是,随着组织追求数字化转型并采用混合云环境,网络正在变得去中心化。现在,网络资源跨云数据中心、现场和远程端点以及移动和物联网设备存在。
基于外围的安全控制在分布式网络中效果较差,因此许多 IT 安全团队正在转向零信任网络安全框架。零信任网络安全不是关注外围,而是围绕单个资源进行安全控制。用户永远不会被绝对信任。用户每次尝试访问资源时,都必须经过身份验证并获得授权,无论他们是否已经在公司网络上。经过身份验证的用户仅被授予最低访问权限,一旦任务完成,他们的权限就会被撤消。
零信任网络安全依赖于精细的访问策略、持续验证以及从尽可能多的来源收集的数据(包括上述许多工具),以确保只有正确的用户才能在正确的时间以正确的理由访问正确的资源。
虽然纵深防御方法可以保护公司的网络,但这也意味着 IT 安全团队必须管理许多单独的安全控制措施。通过集成不同的安全工具并允许安全团队从单个控制台监控整个网络,企业网络安全平台可以帮助简化网络安全管理。常见的网络安全平台包括
安全信息和事件管理 (SIEM) 收集来自内部安全工具的信息,将其汇总到中央日志中,并标记异常情况。
安全编排、自动化和响应 (SOAR) 解决方案收集和分析安全数据,并允许安全团队定义和执行对网络威胁的自动响应。
网络检测和响应 (NDR) 工具使用 AI 和机器学习来监控网络流量并检测可疑活动。
扩展检测和响应 (XDR) 是一种开放的互联网络安全体系结构,它集成了安全工具,统一了所有安全层(用户、端点、电子邮件、应用程序、网络、云工作负载和数据)的安全操作。有了 XDR,未设计为协同工作的安全解决方案也能在威胁预防、检测、调查和响应方面实现无缝互操作。XDR 还可以自动执行威胁检测、事件分类和威胁搜寻工作流程。
及时发现潜伏在网络中的威胁,以免为时已晚。IBM Security® QRadar® Network Detection and Response (NDR) 通过实时分析网络活动来帮助您的安全团队。它既增加可见性的深度和广度,又提供高质量的数据和分析,从而推动切实可行的洞察力和响应。
使用下一代网络安全解决方案保护您的整个网络,这些解决方案甚至可以智能识别未知威胁,并进行实时调整以预防它们。
利用久经考验的安全技能、专业知识和解决方案扩展您的团队,保护您的基础架构和网络免受复杂的网络安全威胁。
SIEM 是一种安全解决方案,可帮助组织及早识别潜在的安全威胁和漏洞,以免业务运营遭受破坏。
IDC 在 2022 年 IDC Marketscape 供应商评估中将 IBM Security QRadar SIEM 评为领导者。阅读完整报告获取详细信息。
IBM Security® X-Force® Threat Intelligence 指数为 CISO、安全团队和业务领导者提供切实可行的洞察,帮助他们了解网络攻击并主动保护您的组织。