網(wǎng)絡(luò)安全。保護電子數(shù)據(jù)免遭犯罪或未經(jīng)授權(quán)使用的做法，或為實現(xiàn)這一目標(biāo)而采取的措施。至少，字典是這么說的。你同意？多年來，網(wǎng)絡(luò)安全一詞已被廣泛使用，以至于它幾乎與 IT 安全或信息安全等術(shù)語同義。這有點像說每個正方形都是長方形，但并不是每個長方形都是正方形。使困惑？讓我們分解一下。

網(wǎng)絡(luò)安全定義

每個正方形都是矩形，因為正方形是四邊形，所有四個角都是直角。同樣，網(wǎng)絡(luò)安全是 IT 安全保護傘的一部分，與其對應(yīng)的是物理安全和信息安全。

但并非每個矩形都是正方形，因為正方形的標(biāo)準(zhǔn)意味著所有邊的長度必須相同。關(guān)鍵是，并非所有 IT 安全措施都符合網(wǎng)絡(luò)安全的條件，因為網(wǎng)絡(luò)安全有其獨特的資產(chǎn)需要保護。

CompTIA 的首席技術(shù)布道者 James Stanger 說，他最好將網(wǎng)絡(luò)安全定義為“專注于保護電子資產(chǎn)——包括互聯(lián)網(wǎng)、廣域網(wǎng)和局域網(wǎng)資源——用于存儲和傳輸信息。”

當(dāng)然，對這些電子資產(chǎn)的威脅是有惡意的黑客通過數(shù)據(jù)泄露竊取專有數(shù)據(jù)和信息。因此，似乎完全實現(xiàn)的定義應(yīng)該包括一套不斷發(fā)展的網(wǎng)絡(luò)安全工具，旨在保護機密數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問。為此，有必要考慮人員、流程和技術(shù)如何在確保信息安全方面發(fā)揮同等重要的作用。

為什么網(wǎng)絡(luò)安全很重要？

生活在一個所有設(shè)備都已連接的世界中的眾多優(yōu)勢之一就是便利。通過您的智能手機或設(shè)備進(jìn)行工作、管理您的社交日歷、購物和進(jìn)行約會非常容易。這就是為什么它已成為我們許多人的第二天性。

但是，當(dāng)然，連接數(shù)據(jù)的便利性也意味著不良行為者的威脅會造成很大的破壞。網(wǎng)絡(luò)安全舉措對于保護我們的數(shù)據(jù)以及我們的生活方式至關(guān)重要。

網(wǎng)絡(luò)安全的類型

網(wǎng)絡(luò)安全可分為五種不同的類型：

• 關(guān)鍵基礎(chǔ)設(shè)施安全
• 應(yīng)用安全
• 網(wǎng)絡(luò)安全
• 云安全
• 物聯(lián)網(wǎng) (IoT) 安全

為涵蓋其所有基礎(chǔ)，組織應(yīng)制定一項綜合計劃，不僅包括這五種類型的網(wǎng)絡(luò)安全，還包括在網(wǎng)絡(luò)安全態(tài)勢中發(fā)揮積極作用的三個組成部分：人員、流程和技術(shù)。

人們

讓我們面對現(xiàn)實吧，無論您采取何種預(yù)防措施，如果人們不遵守規(guī)則，您仍然處于危險之中。我想到了“你的力量取決于你最薄弱的環(huán)節(jié)”這句話。在大多數(shù)情況下，人為錯誤就是一個錯誤。

大多數(shù)人并不是故意繞過安全協(xié)議——他們要么沒有接受過這樣做的培訓(xùn)，要么沒有接受過有關(guān)其行為重要性的教育。對 IT 部門以外的員工進(jìn)行安全意識培訓(xùn)并加強最基本的網(wǎng)絡(luò)安全原則，可以對公司的安全狀況產(chǎn)生重大影響。

以下是人為因素增加網(wǎng)絡(luò)安全風(fēng)險的五種方式：

1. 可疑的 URL 和電子郵件：向員工解釋如果有什么看起來很奇怪——它可能是！鼓勵員工注意 URLS， 刪除沒有內(nèi)容或看起來像是來自欺騙地址的電子郵件，并強調(diào)保護個人信息的重要性。作為 IT 專業(yè)人員，您有責(zé)任提高對潛在網(wǎng)絡(luò)安全威脅的認(rèn)識。
2. 密碼閑置：我們知道長時間使用同一個密碼并不是一個好主意。但是，金融界的鮑勃可能不明白這一點。教育員工頻繁更改密碼和使用強組合的重要性。我們都有大量的密碼，由于最好不要重復(fù)密碼，因此我們中的一些人需要將它們記在某個地方是可以理解的。提供有關(guān)密碼存儲位置的建議。
3. 個人身份信息：大多數(shù)員工應(yīng)該了解將個人瀏覽（如購物和銀行業(yè)務(wù)）保留在自己設(shè)備上的必要性。但是每個人都會瀏覽一下工作，對嗎？強調(diào)關(guān)注哪些網(wǎng)站可能會引向其他網(wǎng)站的重要性。而且，這包括社交媒體。客戶服務(wù)部的 Karen 可能沒有意識到，在 Facebook、Twitter、Instagram 等平臺上分享過多信息（如個人身份信息）只是黑客收集情報的一種方式。
4. 備份和更新：對于不精通技術(shù)的消費者來說，在不定期備份數(shù)據(jù)和更新系統(tǒng)防病毒軟件的情況下開展日常業(yè)務(wù)相當(dāng)容易。這是IT部門的工作。這里最大的挑戰(zhàn)是讓員工了解他們何時需要您幫助處理這些項目。
5. 設(shè)備的物理安全：想一想您辦公室中有多少人離開辦公桌開會、聚會和午休。他們正在鎖定他們的設(shè)備嗎？強調(diào)每次設(shè)備無人看管時都需要保護信息。您可以使用機場類比。機場工作人員不斷告訴我們要跟蹤我們的行李，切勿讓它們無人看管。為什么？好吧，因為你只是不知道誰在路過。鼓勵員工像保護行李一樣小心保護他們的設(shè)備。

進(jìn)程

當(dāng) IT 部門以外的員工接受培訓(xùn)時，IT 專業(yè)人員可以專注于流程。網(wǎng)絡(luò)安全專業(yè)人員保護機密數(shù)據(jù)的過程是多方面的。簡而言之，這些 IT 專業(yè)人員的任務(wù)是檢測和識別威脅、保護信息、響應(yīng)事件以及從中恢復(fù)。

將流程落實到位不僅可以確保這些桶中的每一個都受到持續(xù)監(jiān)控，而且如果發(fā)生網(wǎng)絡(luò)安全攻擊，參考記錄良好的流程可以為您的公司節(jié)省時間、金錢和您最寶貴的資產(chǎn)——您的客戶的信任。

美國商務(wù)部下屬的國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)為私營部門公司制定了網(wǎng)絡(luò)安全框架，以作為創(chuàng)建自己的最佳實踐的指南。這些標(biāo)準(zhǔn)是在美國前總統(tǒng)巴拉克奧巴馬于 2014 年簽署行政命令后由 NIST 編制的。在您努力應(yīng)對網(wǎng)絡(luò)安全風(fēng)險時，這是一個很好的資源。

技術(shù)

一旦您擁有適當(dāng)?shù)目蚣芎土鞒蹋驮摽紤]您可以使用的工具來開始實施了。

當(dāng)涉及到您的工具箱時，技術(shù)具有雙重含義：

• 您將用于預(yù)防和打擊網(wǎng)絡(luò)安全攻擊的技術(shù)，例如 DNS 過濾、惡意軟件保護、防病毒軟件、防火墻和電子郵件安全解決方案。
• 您的數(shù)據(jù)賴以生存的技術(shù)需要您的保護，例如計算機、智能設(shè)備、路由器、網(wǎng)絡(luò)和云。

過去，網(wǎng)絡(luò)安全計劃側(cè)重于傳統(tǒng)技術(shù)邊界內(nèi)的防御措施。但是今天，諸如自帶設(shè)備 (BYOD) 之類的政策已經(jīng)模糊了這些界限，并為黑客提供了更廣闊的滲透領(lǐng)域。牢記網(wǎng)絡(luò)安全基礎(chǔ)知識，例如鎖好所有門窗、電梯和天窗，這樣您就不會加入網(wǎng)絡(luò)犯罪統(tǒng)計行列。

網(wǎng)絡(luò)安全威脅的類型

保持領(lǐng)先于網(wǎng)絡(luò)安全威脅并非易事。IT 專業(yè)人員要注意的威脅有很長的清單，但問題是這個清單還在不斷增加。今天，網(wǎng)絡(luò)攻擊經(jīng)常發(fā)生。雖然有些攻擊規(guī)模較小且易于控制，但其他攻擊會迅速失控并造成嚴(yán)重破壞。所有網(wǎng)絡(luò)攻擊都需要立即引起注意和解決。

以下是屬于這兩類的一些常見網(wǎng)絡(luò)安全威脅。

惡意

軟件 惡意軟件是為故意造成損害而創(chuàng)建的軟件。通常稱為病毒（除其他外），惡意軟件可以通過打開錯誤的附件或單擊錯誤的鏈接來造成傷害。

勒索軟件

勒索軟件實際上是一種惡意軟件。這里的區(qū)別在于勒索軟件會感染網(wǎng)絡(luò)或竊取機密數(shù)據(jù)，然后要求贖金（通常是某種貨幣）以換取對您系統(tǒng)的訪問權(quán)。

網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚就像聽起來一樣。黑客在那里拋出一條線希望你會上鉤，當(dāng)你上鉤時，他們會竊取敏感信息，如密碼、信用卡號碼等。網(wǎng)絡(luò)釣魚攻擊通常以看起來合法并鼓勵您回復(fù)的電子郵件形式出現(xiàn)。

社會工程

社會工程涉及惡意的人際互動。這是一個人公然撒謊并操縱他人泄露個人信息的案例。通常，這些人從社交媒體資料和帖子中獲取信息。

網(wǎng)絡(luò)安全職業(yè)

隨著網(wǎng)絡(luò)安全威脅的清單每時每刻都在增加，對網(wǎng)絡(luò)安全工作的需求也在增加是有道理的。事實上，美國有超過 30 萬個網(wǎng)絡(luò)安全職位空缺。根據(jù)Cyber??Seek（一種提供有關(guān)網(wǎng)絡(luò)安全就業(yè)市場供求詳細(xì)數(shù)據(jù)的在線資源）的說法，這些是最熱門的網(wǎng)絡(luò)安全職位。

• 網(wǎng)絡(luò)安全工程師
• 網(wǎng)絡(luò)安全分析師
• 網(wǎng)絡(luò)工程師/架構(gòu)師
• 網(wǎng)絡(luò)安全顧問
• 網(wǎng)絡(luò)安全經(jīng)理/管理員
• 系統(tǒng)工程師
• 漏洞分析師/滲透測試員
• 軟件開發(fā)人員/工程師
• 網(wǎng)絡(luò)安全專家/技術(shù)員

網(wǎng)絡(luò)安全認(rèn)證

網(wǎng)絡(luò)安全認(rèn)證評估 IT 專業(yè)人員已經(jīng)掌握的知識、技能和能力，并反映當(dāng)今該領(lǐng)域正在發(fā)生的事情。CompTIA?Cyber??security Career Pathway具有四項網(wǎng)絡(luò)安全認(rèn)證，可幫助 IT 專業(yè)人員從頭到尾精通網(wǎng)絡(luò)安全：

• CompTIA 安全+
• CompTIA PenTest+
• CompTIA 網(wǎng)絡(luò)安全分析師 (CySA+)
• CompTIA 高級安全從業(yè)者 (CASP+)

(ISC)2、ISACA、GIAC 和思科等組織也提供網(wǎng)絡(luò)安全認(rèn)證。其他流行的網(wǎng)絡(luò)安全認(rèn)證包括：

• 認(rèn)證信息系統(tǒng)安全專家 (CISSP)
• 注冊信息系統(tǒng)審計師 (CISA)
• 認(rèn)證信息安全經(jīng)理 (CISM)
• CRISC：風(fēng)險和信息系統(tǒng)控制認(rèn)證

多層網(wǎng)絡(luò)安全

企業(yè)、政府和個人將大量數(shù)據(jù)存儲在計算機、網(wǎng)絡(luò)和云中。數(shù)據(jù)泄露可能以多種方式對這些實體中的任何一個造成破壞性影響。好消息是，網(wǎng)絡(luò)安全的重要性多年來一直在穩(wěn)步上升，以至于 IT 部門以外的高管開始關(guān)注并設(shè)定優(yōu)先級。事實上，國際數(shù)據(jù)公司 (IDC) 預(yù)測，2019 年全球安全支出將達(dá)到 1031 億美元，然后以 9.2% 的復(fù)合年增長率增長到 2022 年，最終達(dá)到 1338 億美元。關(guān)鍵要點？網(wǎng)絡(luò)安全是一項復(fù)雜的實踐，防止攻擊和保護您的信息的最佳方法是通過將您的人員、流程和技術(shù)編織在一起的多層網(wǎng)絡(luò)安全方法。