今天,我们依靠在线基础设施来生活 - 无论是支付账单等必要的日常任务还是社交媒体等无聊的活动。互联网无处不在,使我们认为这是理所当然的。而且,尽管我们经常听到有关数据泄露的消息,例如据称已经捏了超过7亿个电子邮件地址的垃圾邮件机器人,但我们中的许多人都不知道违规行为意味着什么,甚至对网络安全有基本的了解。
在本文中,我们将定义一个网络,并了解什么构成了对个人和小型组织的网络威胁。网络安全专家将解释您可以采取哪些措施来抵御这些威胁,以获得更安全的在线体验。正如网络安全顾问斯蒂芬·盖茨(Stephen Gates)所说,“无论你是谁,无论大小,我们都必须在在线安全方面做得更好。
网络安全的定义是什么?
网络安全管理组织为监视和防止对计算机网络以及网络的设备和数据的滥用、修改、未经授权的访问或拒绝服务而采取的策略和做法。它不仅旨在保护网络的虚拟功能,还旨在保护设备、重要数据和专有信息。丢失任何此类数据都可能威胁到您的个人或公司声誉。总而言之,网络安全为用户、计算机和其他设备以及内部网络创造了一个安全的环境。
网络安全是计算机网络中的一个专业领域。它与信息安全的不同还在于信息安全(infosec)涵盖了数字数据以外的所有形式的信息。信息安全实践和目标通常与网络安全的实践和目标重叠。一些专家认为,信息安全应该是任何数字安全考虑的基础。网络安全是网络安全的一个子集。
什么是网络安全?
网络安全包括旨在保护数据、软件和硬件数据免受可能导致损坏或未经授权访问的攻击的流程和技术。网络安全通常侧重于对政府和军事机构以及银行和医疗保健组织等企业级民用机构的高级别威胁。网络安全威胁通常通过社会工程活动出现,例如网络钓鱼和借口(黑客假装是某人或某个组织,他们不是,留下蠕虫,特洛伊木马或病毒)。虽然网络安全是关于您家庭或组织之外的世界,但网络安全涉及保护有线世界的一小部分,无论是对于您的公司,非营利组织,小型企业还是家庭网络。
什么是网络?
网络连接两台或多台计算机、打印机或设备(如网络摄像头、笔记本电脑、移动智能手机或 DVR)以共享数据和文件。他们通常共享一个互联网连接。如今,路由器是用于将网络中的所有设备连接在一起的最常见设备。所有设备都有电缆或无线连接到路由器。网络上的所有流量都通过路由器,然后路由器将正确的数据路由到正确的设备。用于家庭或办公室的小型设备网络称为局域网 (LAN)。
调制解调器是允许访问 Internet 或小型网络外部世界的硬件。互联网服务提供商(ISP)可能会提供调制解调器,或者您可以购买自己的调制解调器。如今,路由器和调制解调器通常组合在一个设备中,称为组合路由器。这些路由器同时支持电缆连接和无线连接。
网络如何工作:往返互联网
调制解调器,无论是独立的还是组合的,都可以将您的网络连接到互联网。就像在网络中一样,设备之间的所有流量都流经路由器。同样,来自网络中各个设备的所有流量,如果这些流量进入 Internet 并返回到您的设备,也会通过路由器。
路由器知道在哪里发送传入信息,因为它使用一种称为 DNCP 的语言为 LAN 中的每个设备分配一个 Internet 协议 (IP) 地址。IP地址由四部分组成,其形式如下:路由器为192.168.1.3,笔记本电脑为192.168.1.20。添加到网络的每个设备都将收到下一个数字,例如 192.168.1.21。这些是局域网 IP 地址。
以前,将IP地址与电话号码进行比较,但今天您很少输入IP地址。相反,当您键入 Web 地址时,域名服务器 (DNS) 将充当电话簿,并在获取 Web 浏览器中显示的站点之前将名称转换为 IP 地址。
在您的网络中,只有您的路由器才能肯定地知道您的设备地址,这就是路由器可以保护您的个人计算机或设备免受黑客攻击的方式。要从网络外部接收信息,路由器会从 ISP 获取另一个 IP 地址,称为广域网 (WAN)。您的路由器是唯一具有此 WAN 地址的设备。如果将便携式计算机直接连接到调制解调器,调制解调器会将 WAN 地址分配给便携式计算机。黑客随机扫描他们可以尝试破坏的WAN地址。在两者之间使用路由器时,路由器会获取 WAN 地址,从而为设备添加缓冲区。
假设您要在笔记本电脑上的网络浏览器中打开Google搜索页面。路由器在将请求发送到 Internet 之前重写该便携式计算机的 IP 地址,使其看起来像请求来自路由器或 WAN 地址。此过程称为网络地址转换 (NAT);部署后,这意味着您的 IP 是动态的。动态 IP 寻址在防火墙后面、拨号服务以及宽带服务采用动态 IP 寻址的地方可用。当请求成功并且Google希望在笔记本电脑上的浏览器中显示搜索站点时,路由器会识别出LAN中的设备确实请求了此页面。如果未经请求的信息从 WAN 进入路由器,路由器会识别此信息并阻止传入流量。通过这种方式,路由器可以帮助保护您的网络。
兰, 曼, 万
这些首字母缩略词描述了世界各地使用的不同类型的网络:
- 局域网(局域网):一个 LAN 可能包括两个设备,或数千个设备。LAN 通常位于一个办公地点或一个建筑物中。为了速度和安全性,LAN中的大多数连接都是通过电缆和交换机进行的,但也可以使用一些无线连接。
- 城域网(市辖区网):MAN 是 LAN 的集合,跨越整个城市或地区。
- 广域网(广域网):WAN 由多个 MAN 或 LAN 组成,可以是专用的,也可以是公共的。在世界各地设有办事处的公司就是私有 WAN 的一个例子。互联网被视为公共 WAN。
- PAN(个人局域网): PAN 包括短范围内所有连接的设备。WPAN或无线个人网络可能描述您家中的网络,您在车库工作或在阳台上的笔记本电脑上工作时收听自己喜欢的互联网广播电台。如果一个住宅中有多个人使用网络,则 PAN 有时称为 HAN 或家庭区域网络。
这些网络和许多数字设备由于许多约定和标准而工作。一些与网络特别相关的标准包括 IEEE(电气和电子工程师协会)802 标准,该标准管理 LAN 和 MAN 功能。国际标准化组织 (ISO) 开放系统互连 (OSI) 模型提供了设备如何与网络交互的高级概述。
内联网、外联网和因特网
组织中的员工或其他人通常在内部网络(LAN,也称为 Intranet)上工作。如果组织具有合作伙伴、客户端或客户,则可能会授权他们共享 LAN 的受控部分,这称为 Extranet。从这个意义上说,外联网向因特网公开,而内联网仍然只对在组织内工作的人员关闭。与内部网一样,外联网允许协作以及文件存储和共享。安全设置后,与电子邮件和其他更公开的共享站点相比,它们为传输敏感数据提供了更多的保护。
关于 Wi-Fi 的简要讨论
Wi-Fi 是一种支持 WLAN 或无线局域网的技术。Wi-Fi由无线电波组成,主要在2.4和5千兆赫兹的频率下,将网络中的无线设备连接到互联网。
有些人可能会说“Wi-Fi”代表“无线保真度”。虽然这个词很熟悉,但它从未真正存在过。事实上,一群品牌顾问创造了“Wi-Fi”这个名字,作为一个比标准的IEEE 802.11b Direct Sequence更平易近人的名字。
要使用 Wi-Fi,您需要一个集线器或无线接入点 (WAP),它通过无线信号收集和发送信息。您的设备(如笔记本电脑、DVR 和智能手机)包含用于收集和解码信号的无线接收器。无线信号不是特别强,尽管它们通常可以分别覆盖公寓或小型办公室以及后院或走廊。根据房屋或办公楼的建造情况,您可能需要在某些区域使用助推器来创建额外的WAP。
布线
用于现代计算机网络连接的电缆称为以太网电缆,也称为Cat 5或Cat 6电缆。如果您有单独的路由器和调制解调器,则路由器通常包含一个标记为 WAN 的端口,您可以在其中将调制解调器连接到路由器。由于数据不是被束缚在电缆中,而是在以太网上自由飞行,因此数据移动速度可能较慢,并且更容易受到入侵和盗窃。但是,大多数当前的设备都配备了AES加密功能,以确保无线安全性。
要将多个设备连接到一个 Internet 连接(例如在办公室 LAN 中),可以使用交换机,这是一个具有多个以太网端口的盒子。尽管存在Wi-Fi,但有时您仍然可以通过交换机将设备直接连接到路由器。在这种情况下,您需要将设备插入交换机,然后将交换机连接到路由器。对于较大的 LAN,根据建筑物的结构,您可能还需要多个路由器或无线接入点来确保信号到达任何地方。
总线和端口
通信技术可以共享一些有助于理解的交通术语。前面我们介绍了路由器如何拒绝未经请求的信息。但是,有时您希望路由器转发未经请求的流量,例如当您共享文件或交换电子邮件时。为此,您可以在防火墙中打开端口。端口转发是网络地址转换中发生的过程,因此路由器知道直接从外部打开与您的设备的连接。某些端口专用于某些常见活动,例如端口为 80 的 Web 服务或 HTTP,以及端口 25 上的电子邮件。现在存在几个端口,并且或多或少地使用。您可以在维基百科的TCP和IP端口列表中找到它们。
较大的网络具有电气拓扑结构,即网络中设备的排列方式。尽管一些专家不同意双绞线以太网电缆何时出现这些,但拓扑结构是总线,环形,星形,树形和网状网络。在对家庭或非常小的办公室网络进行故障排除时,这些知识可能很有用,但这些术语通常仅在设置较大的网络时才相关。
与广阔、广阔的世界对话
通过调制解调器,您的设备可以通过构成我们称之为互联网的MAN和WAN与万维网进行通信。为此,您仍然需要ISP为您提供的互联网服务。根据您居住的地方提供的服务和您选择的计划,您可能会找到以下选项:
- 拨号:这些服务使用调制解调器的电话号码连接到连接到 Web 的其他调制解调器。拨号仅在您要发送或接收信息时连接,然后在出现静音时断开连接。从理论上讲,它更安全,免受入侵,因为线路并不总是打开的,并且随着服务更改调制解调器,每个会话的IP地址都会发生变化。但是,速度最高为每秒56千位,这使得拨号主要适用于发送和接收电子邮件。
- 宽带:它始终处于打开状态,下载和上传速度要快得多。目前,宽带主要有三个品种:
- DSL是您的计算机和ISP办公室之间的专用带宽。它通过电话线传输,这意味着速度取决于您离切换站的距离。上传速度很慢,但您不会与其他用户共享节点。
- 电缆调制解调器提供越来越快的服务,具体取决于您的速度层订阅。在顶层,最佳为每秒20-30兆位。但是使用电缆调制解调器,您可以与邻里节点中的每个人共享服务(它有点像LAN)。例如,当每个人都在周日下午观看比赛时,你的速度可能会降低。电缆调制解调器也始终处于打开状态,您的 IP 地址更加一致。入侵者可能有更好的机会找到你。
- 光纤通过以太网LAN连接并且速度很快,尽管住宅连接共享邻域LAN。在有限的区域内可用,用户可能会体验到高达1 GB的速度,这是非常快的,延迟时间最短。
- 移动宽带或卫星互联网可以为偏远地区提供服务。每月数据可能有限制,使用超出计划限制的服务可能会产生额外费用。
互联网的语言
正如我们所看到的,互联网是网络的集合。互联网的语言称为TCP / IP。TCP代表传输控制协议,IP,正如我们所讨论的,代表互联网协议。与TCP一起成长的较旧协议是UDP或用户数据报协议,它允许应用程序相互通信。协议就像一种语言特定用途的词汇表。
我们为什么需要网络安全?
在网络安全方面,我们经常在某种程度的否认状态下生活和工作,并认为事情永远不会出错。这种情绪对于(在相对较短的时间内)成为我们日常生活必不可少的东西 - 互联网尤其如此。我们使用互联网玩游戏和阅读新闻;我们使用信用卡,银行和在线管理投资进行购物。我们发送电子邮件和直接消息,有时讨论个人问题或其他人。作为员工,我们可能会发送有关同事、公司产品或公司财务状况故障的消息。所有这些数据和信息都是我们宁愿保密的例子。但是,入侵者(也称为黑客或攻击者)希望暴露这些秘密并窃取私人信息。
Stephen Gates是Zenedge的首席研究情报分析师。“你24/7都受到攻击,”他说。“他们正在对互联网上的每一个IP地址这样做。
黑客利用系统中的漏洞,漏洞和其他薄弱环节闯入您的系统。他们希望窃取私人信息,例如帐户密码或帐户中的资产,或者使用您的设备隐藏其位置和身份。有时,跟踪者会监视个人的活动,甚至更改他们的帐户和信息。最新的恶棍包括使计算机或整个企业网络无法运行以索取赎金。
使用和存储敏感数据(如信用卡号或健康数据)的大型组织可能显得特别容易受到攻击。事实上,违规行为似乎每天都在发生。最近最大的两次攻击包括2011年索尼入侵娱乐和游戏帐户以及2013年Target泄露事件,该事件泄露了联系信息和相应的信用卡号。所有类型的企业都遭到黑客攻击:商业社交网站上有1.65亿个帐户LinkedIn被曝光,就像鞋子和配件网站Zappos上的2000多万个帐户和10亿个雅虎电子邮件帐户一样。
大型组织似乎是一个更有利可图和可行的目标。但盖茨强调,小企业同样面临风险。“无论你有多大或多小,我们都面临着来自黑客威胁的完全相同的问题,”他说。
什么构成对网络的威胁?
威胁是理论上发生的。对于计算机和网络,威胁可能会对网络造成重大损害或影响单个计算机或设备、存储的数据或整个网络。
什么是网络安全攻击?
对于您的设备或计算机网络,攻击可能包括试图窃取资产、破坏数据或设备、暴露或窃取私人信息、禁用功能或获取对资源的访问权限或使用资源。伤害的一般类别如下:
- 中断: 中断会阻止您和您的客户和合作伙伴使用您的网络。
- 数据泄露:闯入存储数据的数据库,特别是关键和敏感数据,如财务记录、联系信息或社会安全号码,以公开或利用数据。
- 失去诚信:在数据处于存储状态或在授权方之间传输时更改数据。
- 真实性: 有人冒充您从数据库或个人中提取敏感信息。
不幸的是,存在一长串潜在威胁或攻击。它们分为两组,被动和主动:
被动
- 网络窃听
- 端口扫描:攻击者会查找正在运行的网络服务类型来确定漏洞。
- 空闲扫描: 攻击者欺骗端口扫描攻击的来源。
- 嗅: 黑客试图确定消息内容或明文,或用户名和密码。
积极
- 病毒:一种恶意软件,它像生物病毒一样自我复制,通过插入代码来改变程序,并且通常通过社会工程传播。
- 窃听:与中间人攻击类似,攻击者拦截、侦听并可能改变流量。
- 数据修改:拦截消息数据或破坏数据库以更改内容。
- 中间人:攻击者秘密拦截并可能改变双方之间的流量。
- ARP 中毒:ARP 代表 地址解析协议。在这里,攻击者基本上试图虚拟地模仿另一个MAC地址,以便将用于MAC的任何流量转发给攻击者,并且可能是中间人攻击的设置。
- DNS 欺骗或 DNS 缓存中毒:一种将流量从合法网站转移到虚假网站的攻击。
- VLAN 跳转或虚拟局域网跳频:尝试获取对通常不公开的虚拟 LAN 的访问权限。
- 蓝精灵攻击:一种老式的,不太常见的攻击,用流量淹没受害者的IP地址。
- SQL 注入:一种攻击,涉及向数据驱动程序添加代码以对其进行更改或将其暴露给未经授权的用户。
- 网络钓鱼:尝试通过发送看似来自合法或信誉良好的组织的电子邮件来提取敏感信息,例如地址、驾驶执照号码、银行帐号或密码。
- 跨站点脚本:黑客向网站添加脚本,该脚本可能会导致用户将其敏感数据暴露给犯罪分子,或通过受污染的形式将恶意软件传输到用户的设备。
- Rootkits:这种类型的恶意软件会钻入您的操作系统。
- 企业社会责任框架:跨站点请求伪造(也称为海浪)漏洞利用允许攻击者使用授权用户的IP地址进行恶意目的。混乱可能包括对用户帐户或数据公司进行更改。一个例子是Netflix问题,它允许黑客将项目添加到用户的产品列表中。
- 数据包嗅探:在宽带流量中,黑客“监听”以读取电子邮件内容,检测密码并跟踪金融交易。
- 利用:利用 bug 导致硬件或软件出现困难,从而可以使用代码序列或数据来执行。
- 键盘记录:键盘记录是一种间谍软件,涉及记录设备键盘上用于监视消息内容或敏感信息(如密码)的按键。
- 拒绝服务 (DOS):当您的计算机或网络变得如此繁忙以至于它们崩溃或变得不可用时的实例。计算机和网络也可以成为对其他网络或计算机进行攻击的平台。作为中介,代理安装在您的计算机上。当多台计算机收到代理时,它们可能会开始分布式拒绝服务攻击。
- 特洛伊木马: 一种社会工程驱动的攻击,通常通过电子邮件附件或链接发送,它将后门程序插入计算机以监视敏感信息或损坏计算机,例如使用勒索软件。
- 蠕虫:复制自身以感染其他计算机的恶意软件。
脆弱领域
我们数字生活的某些方面特别容易受到攻击。考虑这些活动在您的家中或组织中的安全性:
- 文件共享可以为恶意软件的传播提供机会。盖茨给出了电子商务网站的例子,鼓励用户上传他们使用其产品的照片。照片可能包含恶意软件,然后可以感染整个网站,并最终感染网站访问者的设备。
- Java,JavaScript和ActiveX长期以来一直被认为是有问题的,因为它们允许程序在您的计算机上传输和运行。因此,及时了解所有软件补丁非常重要。
- 电子邮件提供了多种传播恶意软件和混乱的机会。电子邮件欺骗显示为合法邮件,通常来自权威人物,如站点管理员。该消息要求您更新密码或提交个人数据,从而将您的机密信息透露给犯罪分子。电子邮件还可以在附件和链接中传播病毒。
- 隐藏的扩展名欺骗您下载和打开看起来合法的文件,但文件扩展名是文件名的一部分。 为了解决这个问题,不要打开或下载看起来不合适的文件。在 Windows 系统上,请确保显示文件扩展名,以便有机会识别可疑的扩展名。
- 聊天客户端可以通过附件和链接传达恶意软件。 你也可能被愚弄,向假装是某物或某人的人透露安全信息。
- 物理威胁依然存在。光盘崩溃。雷击并导致电涌。当你走在街上时,有人把你的手机从你手里拉出来。您将笔记本电脑留在飞机上。备份数据并在可能的情况下提供远程擦除非常重要。
- 内部人员可能会对安全构成威胁。 这些人可以泄露密码,网络配置或其他机密信息,无论是通过恶意还是疏忽。
什么是网络安全策略?
对于小型企业和组织,网络安全策略是一份文档,其中概述了保护网络安全资产和体系结构的目标以及实现这些目标的策略。网络安全策略具有指导组织成员了解如何保护其使用的网络的真正实用目的。它也是一份向合作伙伴和客户保证其数据安全的文件。HIPAA(医疗保健可移植性和责任法案)、萨班斯-奥克斯利法案和 ISO 27001 合规性可能还需要网络安全策略作为合规性的一部分。
网络安全策略包括哪些内容?
简单地说,网络安全策略确定哪些用户可以在网络的不同部分执行哪些活动。它定义了防止违规和故障的预防措施,并描述了管理员将如何降低风险。它是组织应制定的一组计算机安全策略之一,包括涵盖设备和网络、移动设备和电子邮件的可接受使用的策略。它应该反映组织的资产、功能和漏洞。
即使是网络安全策略的声音和语气也应该反映您的公司文化。例如,一个有趣的,时髦的非营利组织的政策可以有丰富多彩的信息图表,而律师事务所将采用更正式的语气。使其可读且平易近人,以增加人们记住它并每天使用它的机会。
网络安全策略不必成为创建、维护或遵循的繁重管理负担。事实上,越简单越好。任何政策都比没有政策好。将其视为一个不断发展的文档,它将随着网络上下文和内容的变化而变化。
策略可能包括以下五个部分:
- 概述: 该概述涵盖了您要突出显示的网络安全的重要元素,并以读者可以快速扫描的方式呈现。
- 范围:范围描述策略涵盖和未涵盖的内容以及应用时间。
- 政策: 添加有关设备密码、防火墙、网络硬件、日志和/或安全测试的特定过程的说明。
- 人员:无论是将遵循该政策的人还是将执行该政策的人。
- 审查和更新: 有关该策略的审查和更新时间表的部分有助于确保负责实施该策略的人员及其适用者都将对其进行审查和更新,以考虑您的个人网络以及更大的IT和网络安全生态系统的变化。
密码学和网络安全是什么意思?
加密技术对于网络安全至关重要。密码学或加密是通过代码为信息提供安全性的千年科学。您可以使用它在未经授权的各方之间传输未经授权的各方无法读取的编码消息,从而为数据和信息提供机密性。在计算机和网络中,加密对于保护敏感数据(如信用卡号,社会安全号码,用户名和密码以及银行详细信息)以及确保通过电子邮件通信发送的消息不会被拦截至关重要。
密码学使用密钥或密码对字母或数字进行加扰或转置。真正的文本,称为明文或明文,在没有翻译的情况下被转换为不可读的东西,称为密文。需要解码密钥才能理解文本。今天的网络通信使用几种常见的加密方法:
- 256 位加密,也称为高级加密系统 (AES),是金融交易和数据存储的标准。
- 公钥加密为每个参与方提供两个密钥,一个用于共享,另一个用于保持私有。发送方使用接收方的公钥对消息进行加密,接收方使用私钥对其进行解码。
尽管任何人都可以访问公钥,就像AES一样,但生成的数字是如此之长且无限多,以至于它们的加密基本上不可能与今天的计算能力打破。这些长编码密钥是良好加密的核心。编码密钥越长,破解它所需的技术就越复杂且昂贵,特别是因为破解密钥通常需要进行多次猜测。
尽管今天的在线密码系统很紧张,但有办法绕过它们。例如,通过键盘记录或监视和记录击键,用户可以在加密数据之前查看数据。
网络安全有哪些类型?
您的 ISP 提供了某些安全措施来保护您并确保其服务始终可用,但您需要保护自己的网络和设备,无论是在家中还是在组织中。家庭用户、大型和小型企业以及非营利组织都需要多层保护,包括防火墙、防病毒保护、间谍软件监控以及某种入侵检测和缓解软件。即使是小型企业也可能需要IT顾问或员工来支持这项工作,而大中型企业至少需要一名全职员工来照顾这些和其他IT问题。
随着基于云的平台和BYOD(自带设备)文化的发展,每个人都希望在手机上跟踪公司电子邮件,组织可能很容易将安全视为其他人的责任。家庭网络用户可能会假设同样的事情,相信他们的退休计划经理和最喜欢的时尚电子商务网站会注意隐私。事实上,无论您管理的网络有多大或多小,或者您使用什么数字资源,您始终有责任尽一切努力保护您的数字资产。
物理网络安全
您需要采取以下步骤来确保网络的物理方面能够抵御威胁:
- 升级硬件,特别是如果您无法再升级固件(该芯片记录并记住设置,即使没有电源)。网络硬件还包括服务器和路由器。
- 升级设备上的软件,以通过安全补丁保持最新状态。
- 在办公室或家外使用移动设备或笔记本电脑时,请注意周围环境。您使用的是哪种网络?您可以安全地将笔记本电脑锁在车内还是应该随身携带?
- 考虑一下您让谁借用您的设备。下载破坏性软件既简单又快捷。
- 备份程序和信息。就是这么简单。
密码
弱密码可能是破坏安全性的最简单方法之一。弱密码包括数字序列“12345”,或易于查找的传记信息,例如狗的名字,生日,电话号码和社会安全号码。与你的兴趣相关的明显词语和日期也会失败。在“蛮力”攻击期间,真实的单词和名称可能会被破坏。
西雅图Rhino Security Labs的首席执行官Benjamin Caudill认为密码的概念具有误导性和过时性。“密码短语更合适,并突出了我们应该使用的内容:几个单词(甚至是一个很长的首字母缩略词),这些单词很容易记住,但很难猜到,”他说。
您仍然可以创建一些既难以猜测又易于记忆的东西。Caudill给出了“iloveALLtheharrypottermovies”的例子,其中包含29个字符,但仍然令人难忘。与Caudill所做的类似,你可以在你最喜欢的电影或歌词中取每个单词的第一个字母,并添加一些随机数字,也许是推广这首歌的艺术家的出生月份,以及一些符号以增加力量。其他破解密码的提示包括:
- 至少使用 8 个字符
- 使用大写和小写字母
- 使用数字、标点符号和符号
- 经常更改密码,并使用与前几个密码不同的密码。您可以作为网络管理员执行此操作,并且您绝对可以为您的家庭网络执行此操作。
如果您有许多强大,复杂的密码要记住,请使用密码管理器程序。Caudill提到了Lastpass和Keepass作为两个例子。
安全访问控制
访问控制意味着知道谁在使用您的网络以及原因。对于网络安全,“必要最小特权”原则是关键。使用最小特权模型,您可以限制或授权用户仅访问他们绝对需要使用的设备、网络扇区和数据。您还可以限制他们可以在网络设备上安装的软件。
认证
身份验证是授权的另一部分,它验证进入网络的用户是否是他们所说的用户。身份验证本身具有复杂性和安全性层:
- 用户名和密码: 用户名和密码仍然是最常见的用户验证形式。
- 双因素身份验证: 也称为2FA,双因素身份验证除了需要其他识别因素(例如发送到电子邮件帐户或电话的安全代码,物理令牌,智能卡,钥匙卡或加密狗)或只有用户知道的信息外,还需要您的用户名和密码。Gmail,Capital One Investing和Salesforce等企业网站正在使用2FA。
- 三因素身份验证:众所周知,3FA需要知识,拥有和固有性,或者您知道的东西(您的用户名和密码),您拥有的东西(安全代码,智能卡,令牌或加密狗),以及第三个因素,您是什么(生物识别措施,例如指纹,虹膜打印,声纹或其他生物识别标识符)。虽然并非没有争议,但3FA正在成为更广泛的人群所接受的,最明显的是通过Windows Hello,它允许指纹甚至面部识别。
软件和硬件解决方案
除了物理安全和访问控制措施外,软件和硬件还有助于排除、检测和监控攻击。
- 防火墙:防火墙确定谁可以看到网络上的内容,因此即使是授权的网络用户也无法看到所有内容。它对网络施加访问控制策略。软防火墙,通常用于家庭网络,由软件组成;网络防火墙是强制实施访问控制策略的设备。网络防火墙还可以控制出站访问,即是否可以查看办公室网络上具有可疑内容的站点。
- 基于网络的入侵防御系统:有时事情会越过防火墙。IPS监视恶意软件的入侵,还可以跟踪其通过网络的运动并阻止它。
- 防病毒软件和反恶意软件: 在家庭或办公室网络上,反恶意软件会扫描已知勒索软件、间谍软件、特洛伊木马、病毒和蠕虫的配置文件。发布防病毒软件的公司会定期更新其产品以跟上新的恶意软件发明,您应该自动并定期更新您的程序。
- SIEM:SIEM代表安全信息和事件管理,发音为“sim”,带有无声的e。通常,这种类型的保护包括从不同角度分析网络安全以确保安全性的软件。
- 入侵检测:机器学习分析生成的大量数据中的异常使用模式。
- 数据丢失防护:DLP 软件监控数据的使用方式和位置,并防止滥用,例如敏感内容的不当共享、通过电子邮件发送和打印。
安全最佳实践
网络安全培训
网络安全课程在大多数社区学院,大学和斯坦福大学等着名学校以及在线培训平台上提供,可能最适合在该领域寻求全职职业的专业人士。课程涵盖各种主题,包括:
- 控制劫持
- 网络安全
- 加密货币,在线货币
- 云基础架构和应用程序
- 编程语言 Perl, C++, Python, C, Java
1384
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
