網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全通常應(yīng)用于企業(yè) IT 環(huán)境，是通過安裝預(yù)防措施來拒絕未經(jīng)授權(quán)的訪問、修改、刪除和盜竊資源和數(shù)據(jù)來保護底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施的過程。這些安全措施可以包括訪問控制、應(yīng)用程序安全、防火墻、虛擬專用網(wǎng)絡(luò)、行為分析、入侵防御系統(tǒng)和無線安全。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全如何工作？

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全需要對正在進行的流程和實踐采取整體方法，以確保底層基礎(chǔ)設(shè)施受到保護。網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 建議在解決實施哪些方法時考慮幾種方法。

• 分割和隔離網(wǎng)絡(luò)和功能 - 應(yīng)特別注意整體基礎(chǔ)設(shè)施布局。適當?shù)姆侄魏透綦x是一種有效的安全機制，可以限制潛在的入侵者攻擊傳播到內(nèi)部網(wǎng)絡(luò)的其他部分。使用路由器等硬件可以分隔網(wǎng)絡(luò)，創(chuàng)建過濾廣播流量的邊界。然后，這些微分段可以進一步限制流量，甚至在檢測到攻擊時關(guān)閉。虛擬分離在設(shè)計上類似于用路由器物理分離網(wǎng)絡(luò)，但沒有所需的硬件。
• 限制不必要的橫向通信 - 不可忽視的是網(wǎng)絡(luò)內(nèi)的點對點通信。對等點之間未經(jīng)過濾的通信可以允許入侵者在計算機之間自由移動。這使攻擊者有機會通過嵌入后門或安裝應(yīng)用程序在目標網(wǎng)絡(luò)中建立持久性。
• 加固網(wǎng)絡(luò)設(shè)備 - 加固網(wǎng)絡(luò)設(shè)備是增強網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性的主要方式。建議遵守有關(guān)網(wǎng)絡(luò)加密、可用服務(wù)、安全訪問、強密碼、保護路由器、限制物理訪問、備份配置和定期測試安全設(shè)置的行業(yè)標準和最佳實踐。
• 安全訪問基礎(chǔ)設(shè)施設(shè)備 - 授予管理權(quán)限以允許某些受信任的用戶訪問資源。通過實施多因素身份驗證 (MFA)、管理特權(quán)訪問和管理管理憑據(jù)來確保用戶的真實性。
• 執(zhí)行帶外 (OoB) 網(wǎng)絡(luò)管理 - OoB 管理實施專用通信路徑來遠程管理網(wǎng)絡(luò)設(shè)備。這通過將用戶流量與管理流量分開來增強網(wǎng)絡(luò)安全性。
• 驗證硬件和軟件的完整性 - 灰色市場產(chǎn)品通過允許攻擊媒介進入網(wǎng)絡(luò)來威脅 IT 基礎(chǔ)設(shè)施。非法產(chǎn)品可以預(yù)裝惡意軟件，等待被引入毫無戒心的網(wǎng)絡(luò)。組織應(yīng)定期對其設(shè)備和軟件進行完整性檢查。

為什么網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全很重要？

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的最大威脅來自黑客和惡意應(yīng)用程序，它們攻擊并試圖控制路由基礎(chǔ)設(shè)施。網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件包括網(wǎng)絡(luò)通信所需的所有設(shè)備，包括路由器、防火墻、交換機、服務(wù)器、負載平衡器、入侵檢測系統(tǒng) (IDS)、域名系統(tǒng) (DNS) 和存儲系統(tǒng)。這些系統(tǒng)中的每一個都為想要在目標網(wǎng)絡(luò)上放置惡意軟件的黑客提供了一個入口點。

• 網(wǎng)關(guān)風險：獲得網(wǎng)關(guān)路由器訪問權(quán)限的黑客可以監(jiān)控、修改和拒絕進出網(wǎng)絡(luò)的流量。
• 滲透風險：從內(nèi)部路由和交換設(shè)備獲得更多控制權(quán)，黑客可以監(jiān)控、修改和拒絕網(wǎng)絡(luò)內(nèi)部關(guān)鍵主機之間的流量，并利用內(nèi)部主機之間的信任關(guān)系橫向移動到其他主機。

盡管黑客可以對網(wǎng)絡(luò)造成任何數(shù)量的破壞性攻擊，但保護和保護路由基礎(chǔ)設(shè)施對于防止深度系統(tǒng)滲透應(yīng)該是最重要的。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全有什么好處？

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全如果實施得當，可為企業(yè)網(wǎng)絡(luò)提供多項關(guān)鍵優(yōu)勢。

• 改進的資源共享節(jié)省了成本：由于保護，網(wǎng)絡(luò)上的資源可以被多個用戶無威脅地使用，最終降低運營成本。
• 共享站點許可證：安全性確保站點許可證比為每臺機器授權(quán)更便宜。
• 文件共享提高生產(chǎn)力：用戶可以通過內(nèi)部網(wǎng)絡(luò)安全地共享文件。
• 內(nèi)部通信是安全的：內(nèi)部電子郵件和聊天系統(tǒng)將受到保護，不會被窺探。
• 分區(qū)和安全文件：與使用多個用戶共享的機器相比，用戶文件和數(shù)據(jù)現(xiàn)在相互保護。
• 數(shù)據(jù)保護：將數(shù)據(jù)備份到本地服務(wù)器既簡單又安全，可以保護重要的知識產(chǎn)權(quán)。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全有哪些不同類型？

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全存在多種方法，最好堅持多種方法來拓寬網(wǎng)絡(luò)防御。

• 訪問控制：防止未經(jīng)授權(quán)的用戶和設(shè)備訪問網(wǎng)絡(luò)。
• 應(yīng)用程序安全性：對硬件和軟件采取的安全措施，以鎖定潛在的漏洞。
• 防火墻：可以允許或阻止特定流量進入或離開網(wǎng)絡(luò)的把關(guān)設(shè)備。
• 虛擬專用網(wǎng)絡(luò)：虛擬專用網(wǎng)絡(luò)對端點之間的連接進行加密，從而在互聯(lián)網(wǎng)上創(chuàng)建安全的通信“隧道”。
• 行為分析：這些工具會自動檢測偏離常規(guī)活動的網(wǎng)絡(luò)活動。
• 無線安全：無線網(wǎng)絡(luò)不如硬連線網(wǎng)絡(luò)安全，而且隨著新移動設(shè)備和應(yīng)用程序的激增，網(wǎng)絡(luò)滲透的載體越來越多。