強(qiáng)大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性是高效業(yè)務(wù)通信、高效團(tuán)隊(duì)和安全運(yùn)營的先決條件。如果沒有適當(dāng)?shù)拇胧?，網(wǎng)絡(luò)基礎(chǔ)設(shè)施可能會成為一個可利用的弱點(diǎn)，導(dǎo)致數(shù)據(jù)泄露、用戶體驗(yàn)差、代價(jià)高昂的挫折和長期的品牌損害。本文是對網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性的介紹。繼續(xù)閱讀以了解保護(hù)公司網(wǎng)絡(luò)設(shè)備和軟件的好處和方法。

什么是網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全？

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全是一組保護(hù)網(wǎng)絡(luò)底層硬件和軟件的措施和流程。每個網(wǎng)絡(luò)設(shè)置都需要獨(dú)特的防御措施組合，但大多數(shù)公司依賴：

• 嚴(yán)格的訪問控制和身份驗(yàn)證協(xié)議。
• 防火墻。
• 虛擬專用網(wǎng)絡(luò)。
• 行為分析。
• 數(shù)據(jù)加密（靜態(tài)、傳輸中和使用中）。
• 入侵檢測系統(tǒng)。

每個運(yùn)行網(wǎng)絡(luò)的設(shè)備和系統(tǒng)都是入侵者的潛在入口點(diǎn)。網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全旨在拒絕未經(jīng)授權(quán)的訪問，并防止攻擊者修改、刪除、控制或竊取網(wǎng)絡(luò)資源。

這一網(wǎng)絡(luò)安全分支保護(hù)所有負(fù)責(zé)網(wǎng)絡(luò)通信的設(shè)備，包括：

• 路由器。
• 開關(guān)和電纜。
• 專用服務(wù)器。
• LAN cards.
• 負(fù)載均衡器。
• 域名系統(tǒng) (DNS)。
• 端點(diǎn)（員工工作站、筆記本電腦、移動設(shè)備、平板電腦、打印機(jī)等）。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全還保護(hù)網(wǎng)絡(luò)軟件，包括：

• 網(wǎng)絡(luò)運(yùn)營和管理系統(tǒng)。
• 網(wǎng)絡(luò)安全應(yīng)用程序。
• 網(wǎng)絡(luò)設(shè)備上的操作系統(tǒng)。
• 網(wǎng)絡(luò)服務(wù)（T-1 線路、IP 尋址、衛(wèi)星、DSL、無線協(xié)議等）。

雖然網(wǎng)絡(luò)基礎(chǔ)設(shè)施主要容易受到外部攻擊（拒絕服務(wù)攻擊、未經(jīng)授權(quán)的訪問、垃圾郵件、勒索軟件、中間人攻擊、惡意軟件等），但公司還需要考慮內(nèi)部威脅。內(nèi)部危險(xiǎn)最常見的例子是：

• 故意刪除或修改數(shù)據(jù)。
• 設(shè)備盜竊或破壞。
• 數(shù)據(jù)泄露（無論是惡意的還是無意的）。
• 意外下載惡意內(nèi)容。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全如何工作？

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全需要一種結(jié)合最佳實(shí)踐和持續(xù)流程的整體方法，以確保底層基礎(chǔ)設(shè)施始終保持安全。公司部署的安全措施取決于：

• 相關(guān)法律義務(wù)。
• 行業(yè)特定法規(guī)。
• 獨(dú)特的網(wǎng)絡(luò)和安全要求。

您可以運(yùn)行網(wǎng)絡(luò)安全審計(jì)以更好地了解網(wǎng)絡(luò)的弱點(diǎn)和需求。對于更詳細(xì)的分析，您可以依靠漏洞評估或組織滲透測試。一旦公司了解其網(wǎng)絡(luò)需求，組織就可以執(zhí)行下面解釋的部分（或全部）最佳實(shí)踐。此外，公司還可以依賴一些通用標(biāo)準(zhǔn)，例如數(shù)據(jù)加密、強(qiáng)密碼、頂級設(shè)施安全和數(shù)據(jù)備份。

網(wǎng)絡(luò)資源的分割和隔離

網(wǎng)絡(luò)分段是使用單獨(dú)的防火墻、訪問控制和安全協(xié)議將網(wǎng)絡(luò)分成更小的部分的過程。這種策略允許管理員根據(jù)安全問題、總體風(fēng)險(xiǎn)和系統(tǒng)關(guān)鍵性將基礎(chǔ)設(shè)施資源（應(yīng)用程序、服務(wù)器、路由器等）分組到子網(wǎng)中。

雖然網(wǎng)絡(luò)分段無法阻止攻擊，但該過程可以減少成功破壞的影響。分段阻止入侵者：

• 跨網(wǎng)絡(luò)系統(tǒng)和設(shè)備傳播惡意文件或包。
• 從單個受感染主機(jī)訪問敏感數(shù)據(jù)。
• 通過網(wǎng)絡(luò)基礎(chǔ)設(shè)施橫向移動。
• 發(fā)起全網(wǎng)網(wǎng)絡(luò)攻擊。

除了分割之外，公司還應(yīng)該根據(jù)角色和功能來分割網(wǎng)絡(luò)資源。隔離使管理員能夠?qū)㈥P(guān)鍵網(wǎng)段與 Internet 和其他內(nèi)部不太重要的子網(wǎng)分開。

基礎(chǔ)設(shè)施攻擊面的限制

網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊面是入侵者可以攻擊并導(dǎo)致安全事件的網(wǎng)絡(luò)元素的總和。常見的攻擊面元素有：

• 服務(wù)器。
• 網(wǎng)絡(luò)應(yīng)用。
• 蜜蜂。
• 路由器。
• 端點(diǎn)設(shè)備。
• 網(wǎng)絡(luò)管理員。

公司可以依靠以下策略來減少基礎(chǔ)設(shè)施的攻擊面：

• 卸載并刪除所有未使用的網(wǎng)絡(luò)設(shè)備、應(yīng)用程序和服務(wù)。
• 監(jiān)控所有第三方組件和服務(wù)的漏洞。
• 使用最新的補(bǔ)丁和更新使網(wǎng)絡(luò)軟件保持最新狀態(tài)。
• 對網(wǎng)絡(luò)服務(wù)器、應(yīng)用程序、數(shù)據(jù)庫等實(shí)施最小權(quán)限原則。
• 隔離所有關(guān)鍵系統(tǒng)和應(yīng)用程序。
• 實(shí)施多因素身份驗(yàn)證系統(tǒng)。

在開始減少基礎(chǔ)設(shè)施的暴露之前，您應(yīng)該首先映射攻擊面。網(wǎng)絡(luò)管理員應(yīng)維護(hù)所有網(wǎng)絡(luò)資產(chǎn)、版本和聯(lián)鎖的最新列表（Censys 和 Shodan 是用于攻擊面映射的兩個出色工具）。

刪除不必要的點(diǎn)對點(diǎn)通信

允許未經(jīng)過濾的點(diǎn)對點(diǎn)通信（例如工作站到工作站或路由器到路由器）會造成嚴(yán)重的基礎(chǔ)設(shè)施弱點(diǎn)。如果入侵者破壞了主機(jī)，橫向通信使攻擊者能夠在網(wǎng)絡(luò)中立足并獲得額外的資源。

為了應(yīng)對這種威脅，公司可以：

• 限制與拒絕來自對等主機(jī)的數(shù)據(jù)包流的基于主機(jī)的防火墻的通信。
• 實(shí)施 VLAN 訪問控制列表 (VACL)，這是一個額外的過濾器，用于控制對 VLAN 的訪問。

保護(hù)基礎(chǔ)設(shè)施設(shè)備

加固設(shè)備對于網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全至關(guān)重要。管理員可以實(shí)施以下部分（或全部）實(shí)踐來強(qiáng)化設(shè)備：

• 禁用用于管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施（ Telnet、FTP等）的未加密遠(yuǎn)程管理協(xié)議。
• 使用 SNMPv3（或更新版本）進(jìn)行網(wǎng)絡(luò)管理。
• 禁用路由器和交換機(jī)上不必要的服務(wù)，例如發(fā)現(xiàn)協(xié)議、源路由、HTTP、SNMP、引導(dǎo)協(xié)議等。
• 建立和維護(hù)一個可靠的日志監(jiān)控系統(tǒng)。
• 限制基礎(chǔ)設(shè)施設(shè)備的管理權(quán)限。
• 保護(hù)對控制臺和虛擬終端線路的訪問。
• 限制對路由器、服務(wù)器和交換機(jī)的物理訪問。
• 控制遠(yuǎn)程管理的訪問列表。
• 備份所有配置并離線存儲。
• 確保所有網(wǎng)絡(luò)設(shè)備都有最新的操作系統(tǒng)補(bǔ)丁。

帶外管理 (OoB)

OoB 管理允許管理員使用備用通信路徑來遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備。公司可以物理或虛擬（或通過兩者的混合）實(shí)施 OoB：

• 投資額外的物理硬件可能會很昂貴，但這種方法通常是更安全的選擇。
• 虛擬實(shí)施成本較低，但需要進(jìn)行重大配置更改和設(shè)置后管理。

設(shè)置 OoB 管理時(shí)的良好做法是：

• 將標(biāo)準(zhǔn)網(wǎng)絡(luò)流量與管理流量分開。
• 確保設(shè)備上的管理流量僅來自 OoB。
• 對所有管理通道應(yīng)用加密。
• 加密對基礎(chǔ)設(shè)施設(shè)備（例如終端或撥入服務(wù)器）的所有遠(yuǎn)程訪問。
• 通過安全通道從專用的、完全修補(bǔ)的主機(jī)管理所有管理功能。

使用 OoB 管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施通過限制訪問和將用戶與網(wǎng)絡(luò)管理流量分開來增強(qiáng)安全性。OoB 還有助于安全監(jiān)控并防止入侵者發(fā)現(xiàn)配置更改。

硬件和軟件完整性驗(yàn)證

非法硬件和軟件可能對網(wǎng)絡(luò)基礎(chǔ)設(shè)施構(gòu)成嚴(yán)重風(fēng)險(xiǎn)?；疑袌霎a(chǎn)品會帶來威脅，因?yàn)樗鼈兛赡軟]有通過質(zhì)量標(biāo)準(zhǔn)測試。為了正確驗(yàn)證網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的硬件和軟件，公司應(yīng)該：

• 僅從授權(quán)供應(yīng)商和經(jīng)銷商處購買。
• 定義并執(zhí)行用于驗(yàn)證和監(jiān)控網(wǎng)絡(luò)硬件和軟件的常規(guī)流程。
• 保持對供應(yīng)鏈的直接和嚴(yán)格控制。
• 在安裝前后檢查所有設(shè)備是否有篡改跡象。
• 驗(yàn)證來自多個可靠來源的序列號。
• 僅從官方網(wǎng)站下載更新和補(bǔ)丁。
• 培訓(xùn)員工以提高對灰色市場設(shè)備的認(rèn)識。

來自二級市場的產(chǎn)品也存在購買假冒、被盜、篡改或二手設(shè)備的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的重要性

網(wǎng)絡(luò)基礎(chǔ)設(shè)施是新手和經(jīng)驗(yàn)豐富的黑客的共同目標(biāo)，因?yàn)榫W(wǎng)絡(luò)設(shè)備通常存在許多漏洞。通常的弱點(diǎn)是：

• 具有眾多入口點(diǎn)的大型攻擊面。
• 社會工程攻擊的許多目標(biāo)。
• 員工對網(wǎng)絡(luò)威脅缺乏認(rèn)識。
• 由于不斷變化的需求和設(shè)置而導(dǎo)致的各種安全漏洞。
• 設(shè)備保護(hù)不佳（尤其是在小型和家庭辦公室）。
• 許多未加密的和遺留的協(xié)議。
• 不更改供應(yīng)商默認(rèn)設(shè)置、強(qiáng)化設(shè)備或執(zhí)行定期修補(bǔ)的管理員。

這些弱點(diǎn)使網(wǎng)絡(luò)基礎(chǔ)設(shè)施成為惡意行為者的首選目標(biāo)，旨在使用受感染的設(shè)備來監(jiān)控、修改和拒絕進(jìn)出公司的流量。一旦攻擊者獲得了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的控制權(quán)，入侵者就無能為力了。最常見的目標(biāo)是追蹤敏感數(shù)據(jù)、收集情報(bào)、在盡可能多的設(shè)備上安裝勒索軟件以及破壞資源。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的類型

在保護(hù)網(wǎng)絡(luò)軟件和設(shè)備時(shí)，公司可以依賴多種方法。最常見的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全類型是：

• 訪問控制：虛擬或物理防止未經(jīng)授權(quán)的用戶、應(yīng)用程序和設(shè)備訪問網(wǎng)絡(luò)硬件和軟件。
• 虛擬專用網(wǎng)絡(luò)：虛擬專用網(wǎng)絡(luò)對兩個網(wǎng)絡(luò)端點(diǎn)之間的連接進(jìn)行加密，從而在 Internet 上創(chuàng)建安全的通信路徑。
• 應(yīng)用程序安全性：管理員安裝的特定于應(yīng)用程序的措施以鎖定潛在的弱點(diǎn)。
• 防火墻：允許（或阻止）流量進(jìn)入或離開網(wǎng)絡(luò)的把關(guān)設(shè)備或程序。
• 防病毒程序：這些解決方案監(jiān)控、識別和消除基于軟件的威脅。除了病毒，防病毒程序還可以防止廣告軟件、鍵盤記錄程序、間諜軟件、URL 威脅、垃圾郵件和網(wǎng)絡(luò)釣魚攻擊。
• 行為分析：?BA 工具自動分析網(wǎng)絡(luò)活動并檢測可疑行為。
• 無線安全：專門用于阻止入侵者進(jìn)入無線網(wǎng)絡(luò)的系統(tǒng)。
• 入侵檢測系統(tǒng) (IDS)：這些系統(tǒng)監(jiān)視、記錄和報(bào)告網(wǎng)絡(luò)內(nèi)的任何潛在危險(xiǎn)活動。
• 入侵防御系統(tǒng) (IPS)：除了監(jiān)控和報(bào)告惡意活動外，IPS 還可以通過腳本響應(yīng)計(jì)劃自動響應(yīng)威脅。

雖然您可能不需要上面列出的所有安全措施，但公司應(yīng)該依靠多種方法來擴(kuò)大其網(wǎng)絡(luò)基礎(chǔ)設(shè)施防御。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的好處

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的主要好處是公司可以可靠地控制和保護(hù)運(yùn)行網(wǎng)絡(luò)的底層硬件和軟件。但是，提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性還具有其他優(yōu)勢：

• 更好的網(wǎng)絡(luò)性能：可靠的基礎(chǔ)架構(gòu)可增加正常運(yùn)行時(shí)間并提高網(wǎng)絡(luò)性能。公司還享有更快的上市時(shí)間、更可預(yù)測的擴(kuò)展和一致的應(yīng)用程序性能。
• 安全 BYOD：?隨著公司希望利用依賴員工自有設(shè)備的好處，自帶設(shè)備越來越受歡迎。高級別的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全確保公司能夠?qū)崟r(shí)識別任何與 BYOD 相關(guān)的問題或威脅。這同樣適用于員工帶到工作場所的所有個人設(shè)備。
• 快速識別使用不當(dāng)?shù)馁Y產(chǎn)：網(wǎng)絡(luò)資產(chǎn)可能在一個地方不必要地使用，但在另一個地方卻非常需要。適當(dāng)?shù)幕A(chǔ)設(shè)施監(jiān)控可以快速識別此問題并重定向資源，而不是浪費(fèi)金錢來彌補(bǔ)這種不平衡。
• 有限的爆炸半徑：如果入侵者破壞了網(wǎng)絡(luò)基礎(chǔ)設(shè)施，安全協(xié)議會立即通知防御團(tuán)隊(duì)。惡意行為者造成破壞的時(shí)間更少，網(wǎng)絡(luò)將阻止任何橫向移動的嘗試。
• 改進(jìn)帶寬使用：強(qiáng)大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性導(dǎo)致對網(wǎng)絡(luò)帶寬容量的可靠管理。公司通過快速識別流量特征來節(jié)省資金，包括隨時(shí)使用多少帶寬以及用于什么目的。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的挑戰(zhàn)

除了初始投資外，改善網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)沒有明顯的缺點(diǎn)。但是，在提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性時(shí)，您應(yīng)該了解幾個挑戰(zhàn)：

• 如果有多個不同的子網(wǎng)和業(yè)務(wù)站點(diǎn)，集中流量可能會很困難。在這種情況下，網(wǎng)絡(luò)可見性、監(jiān)控和管理也可能具有挑戰(zhàn)性。
• 刪除重復(fù)數(shù)據(jù)對于網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的有效性至關(guān)重要。如果解決方案處理過多的重復(fù)數(shù)據(jù)，則防御措施在檢測威脅方面可能會變得不那么有效。
• 如果一家公司依賴多個網(wǎng)絡(luò)安全提供商，確保系統(tǒng)將正確的數(shù)據(jù)發(fā)送到正確的工具可能會很復(fù)雜。

除了這些困難之外，維持高水平基礎(chǔ)設(shè)施安全的最大挑戰(zhàn)是粗心或不知情的員工。與大多數(shù)安全工作一樣，人員是最薄弱的環(huán)節(jié)，因此請確保您的員工：

• 了解網(wǎng)絡(luò)安全最佳實(shí)踐。
• 了解保持網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的重要性。
• 了解公司如何保護(hù)網(wǎng)絡(luò)設(shè)備和軟件。
• 知道如果他們檢測到可疑活動該怎么辦。

任何具有網(wǎng)絡(luò)安全意識的組織都必須這樣做

強(qiáng)大的基礎(chǔ)架構(gòu)可降低運(yùn)營成本、提高生產(chǎn)力，并使敏感數(shù)據(jù)遠(yuǎn)離入侵者。雖然沒有任何安全策略可以阻止 100% 的攻擊嘗試，但網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全可以最大限度地減少網(wǎng)絡(luò)攻擊后的后果，并確保您盡快恢復(fù)運(yùn)營。