网络安全。保护电子数据免遭犯罪或未经授权使用的做法,或为实现这一目标而采取的措施。至少,字典是这么说的。你同意?多年来,网络安全一词已被广泛使用,以至于它几乎与 IT 安全或信息安全等术语同义。这有点像说每个正方形都是长方形,但并不是每个长方形都是正方形。使困惑?让我们分解一下。
网络安全定义
每个正方形都是矩形,因为正方形是四边形,所有四个角都是直角。同样,网络安全是 IT 安全保护伞的一部分,与其对应的是物理安全和信息安全。
但并非每个矩形都是正方形,因为正方形的标准意味着所有边的长度必须相同。关键是,并非所有 IT 安全措施都符合网络安全的条件,因为网络安全有其独特的资产需要保护。
CompTIA 的首席技术布道者 James Stanger 说,他最好将网络安全定义为“专注于保护电子资产——包括互联网、广域网和局域网资源——用于存储和传输信息。”
当然,对这些电子资产的威胁是有恶意的黑客通过数据泄露窃取专有数据和信息。因此,似乎完全实现的定义应该包括一套不断发展的网络安全工具,旨在保护机密数据免遭未经授权的访问。为此,有必要考虑人员、流程和技术如何在确保信息安全方面发挥同等重要的作用。
为什么网络安全很重要?
生活在一个所有设备都已连接的世界中的众多优势之一就是便利。通过您的智能手机或设备进行工作、管理您的社交日历、购物和进行约会非常容易。这就是为什么它已成为我们许多人的第二天性。
但是,当然,连接数据的便利性也意味着不良行为者的威胁会造成很大的破坏。网络安全举措对于保护我们的数据以及我们的生活方式至关重要。
网络安全的类型
网络安全可分为五种不同的类型:
- 关键基础设施安全
- 应用安全
- 网络安全
- 云安全
- 物联网 (IoT) 安全
为涵盖其所有基础,组织应制定一项综合计划,不仅包括这五种类型的网络安全,还包括在网络安全态势中发挥积极作用的三个组成部分:人员、流程和技术。
人们
让我们面对现实吧,无论您采取何种预防措施,如果人们不遵守规则,您仍然处于危险之中。我想到了“你的力量取决于你最薄弱的环节”这句话。在大多数情况下,人为错误就是一个错误。
大多数人并不是故意绕过安全协议——他们要么没有接受过这样做的培训,要么没有接受过有关其行为重要性的教育。对 IT 部门以外的员工进行安全意识培训并加强最基本的网络安全原则,可以对公司的安全状况产生重大影响。
以下是人为因素增加网络安全风险的五种方式:
- 可疑的 URL 和电子邮件:向员工解释如果有什么看起来很奇怪——它可能是!鼓励员工注意 URLS, 删除没有内容或看起来像是来自欺骗地址的电子邮件,并强调保护个人信息的重要性。作为 IT 专业人员,您有责任提高对潜在网络安全威胁的认识。
- 密码闲置:我们知道长时间使用同一个密码并不是一个好主意。但是,金融界的鲍勃可能不明白这一点。教育员工频繁更改密码和使用强组合的重要性。我们都有大量的密码,由于最好不要重复密码,因此我们中的一些人需要将它们记在某个地方是可以理解的。提供有关密码存储位置的建议。
- 个人身份信息:大多数员工应该了解将个人浏览(如购物和银行业务)保留在自己设备上的必要性。但是每个人都会浏览一下工作,对吗?强调关注哪些网站可能会引向其他网站的重要性。而且,这包括社交媒体。客户服务部的 Karen 可能没有意识到,在 Facebook、Twitter、Instagram 等平台上分享过多信息(如个人身份信息)只是黑客收集情报的一种方式。
- 备份和更新:对于不精通技术的消费者来说,在不定期备份数据和更新系统防病毒软件的情况下开展日常业务相当容易。这是IT部门的工作。这里最大的挑战是让员工了解他们何时需要您帮助处理这些项目。
- 设备的物理安全:想一想您办公室中有多少人离开办公桌开会、聚会和午休。他们正在锁定他们的设备吗?强调每次设备无人看管时都需要保护信息。您可以使用机场类比。机场工作人员不断告诉我们要跟踪我们的行李,切勿让它们无人看管。为什么?好吧,因为你只是不知道谁在路过。鼓励员工像保护行李一样小心保护他们的设备。
进程
当 IT 部门以外的员工接受培训时,IT 专业人员可以专注于流程。网络安全专业人员保护机密数据的过程是多方面的。简而言之,这些 IT 专业人员的任务是检测和识别威胁、保护信息、响应事件以及从中恢复。
将流程落实到位不仅可以确保这些桶中的每一个都受到持续监控,而且如果发生网络安全攻击,参考记录良好的流程可以为您的公司节省时间、金钱和您最宝贵的资产——您的客户的信任。
美国商务部下属的国家标准与技术研究院 (NIST)为私营部门公司制定了网络安全框架,以作为创建自己的最佳实践的指南。这些标准是在美国前总统巴拉克奥巴马于 2014 年签署行政命令后由 NIST 编制的。在您努力应对网络安全风险时,这是一个很好的资源。
技术
一旦您拥有适当的框架和流程,就该考虑您可以使用的工具来开始实施了。
当涉及到您的工具箱时,技术具有双重含义:
- 您将用于预防和打击网络安全攻击的技术,例如 DNS 过滤、恶意软件保护、防病毒软件、防火墙和电子邮件安全解决方案。
- 您的数据赖以生存的技术需要您的保护,例如计算机、智能设备、路由器、网络和云。
过去,网络安全计划侧重于传统技术边界内的防御措施。但是今天,诸如自带设备 (BYOD) 之类的政策已经模糊了这些界限,并为黑客提供了更广阔的渗透领域。牢记网络安全基础知识,例如锁好所有门窗、电梯和天窗,这样您就不会加入网络犯罪统计行列。
网络安全威胁的类型
保持领先于网络安全威胁并非易事。IT 专业人员要注意的威胁有很长的清单,但问题是这个清单还在不断增加。今天,网络攻击经常发生。虽然有些攻击规模较小且易于控制,但其他攻击会迅速失控并造成严重破坏。所有网络攻击都需要立即引起注意和解决。
以下是属于这两类的一些常见网络安全威胁。
恶意
软件 恶意软件是为故意造成损害而创建的软件。通常称为病毒(除其他外),恶意软件可以通过打开错误的附件或单击错误的链接来造成伤害。
勒索软件
勒索软件实际上是一种恶意软件。这里的区别在于勒索软件会感染网络或窃取机密数据,然后要求赎金(通常是某种货币)以换取对您系统的访问权。
网络钓鱼攻击
网络钓鱼就像听起来一样。黑客在那里抛出一条线希望你会上钩,当你上钩时,他们会窃取敏感信息,如密码、信用卡号码等。网络钓鱼攻击通常以看起来合法并鼓励您回复的电子邮件形式出现。
社会工程
社会工程涉及恶意的人际互动。这是一个人公然撒谎并操纵他人泄露个人信息的案例。通常,这些人从社交媒体资料和帖子中获取信息。
网络安全职业
随着网络安全威胁的清单每时每刻都在增加,对网络安全工作的需求也在增加是有道理的。事实上,美国有超过 30 万个网络安全职位空缺。根据CyberSeek(一种提供有关网络安全就业市场供求详细数据的在线资源)的说法,这些是最热门的网络安全职位。
- 网络安全工程师
- 网络安全分析师
- 网络工程师/架构师
- 网络安全顾问
- 网络安全经理/管理员
- 系统工程师
- 漏洞分析师/渗透测试员
- 软件开发人员/工程师
- 网络安全专家/技术员
网络安全认证
网络安全认证评估 IT 专业人员已经掌握的知识、技能和能力,并反映当今该领域正在发生的事情。CompTIA Cybersecurity Career Pathway具有四项网络安全认证,可帮助 IT 专业人员从头到尾精通网络安全:
- CompTIA 安全+
- CompTIA PenTest+
- CompTIA 网络安全分析师 (CySA+)
- CompTIA 高级安全从业者 (CASP+)
(ISC)2、ISACA、GIAC 和思科等组织也提供网络安全认证。其他流行的网络安全认证包括:
- 认证信息系统安全专家 (CISSP)
- 注册信息系统审计师 (CISA)
- 认证信息安全经理 (CISM)
- CRISC:风险和信息系统控制认证
多层网络安全
企业、政府和个人将大量数据存储在计算机、网络和云中。数据泄露可能以多种方式对这些实体中的任何一个造成破坏性影响。好消息是,网络安全的重要性多年来一直在稳步上升,以至于 IT 部门以外的高管开始关注并设定优先级。事实上,国际数据公司 (IDC) 预测,2019 年全球安全支出将达到 1031 亿美元,然后以 9.2% 的复合年增长率增长到 2022 年,最终达到 1338 亿美元。关键要点?网络安全是一项复杂的实践,防止攻击和保护您的信息的最佳方法是通过将您的人员、流程和技术编织在一起的多层网络安全方法。