网络安全：防御网络攻击的终极指南

想想世界上有多少人依赖互联网。政府、军队、学术界、医疗保健行业和私营企业不仅在网络空间收集、处理和存储数量空前的数据，而且还依赖网络空间中的关键基础设施系统来执行操作和提供服务。 

对这种基础设施的攻击不仅会威胁到客户数据或企业的底线——它还可能威胁到国家的安全、经济以及公共安全和健康。

考虑到它的重要性，我们编制了这份网络安全终极指南。下面，我们将讨论究竟什么是网络安全，如何保护您的系统和数据免受攻击，以及要遵循哪些资源来跟上与网络安全相关的新兴趋势和技术。

良好的网络安全涉及跨企业的数据、设备、程序、网络和系统的多层保护。技术和最佳实践的结合可以有效防御网络空间不断演变和增长的威胁。  

这些威胁包括网络钓鱼、恶意软件、勒索软件、代码注入等。影响可能因攻击范围而异。网络攻击可能导致攻击者使用个人的信用卡信息进行未经授权的购买，或者在将恶意软件注入组织的代码库后擦除整个系统。

虽然即使是最好的网络安全也无法抵御所有类型或实例的攻击，但它可以帮助将此类攻击的风险和影响降至最低。

网络安全的类型

网络安全是一个广义的术语，可以细分为更具体的子类别。下面我们将介绍五种主要的网络安全类型。  

应用安全

应用程序安全，也称为 AppSec，是在 Web 应用程序中开发、添加和测试安全功能以保护它们免受攻击的做法。漏洞、安全错误配置和设计缺陷可能会被利用并导致恶意代码注入、敏感数据暴露、系统受损和其他负面影响。HubSpot 的 CMS Hub 提供免费的Web 应用程序防火墙 (WAF)，可以保护您的站点和内容免受恶意攻击。

AppSec 是最重要的网络安全类型之一，因为应用层最容易受到攻击。根据Imperva 的研究，在过去几年中，近一半的数据泄露源自 Web 应用层。

云安全

云安全是一种相对较新的网络安全类型。它是保护云计算环境以及在云中运行的应用程序和存储在云中的数据的实践。

由于云提供商在其服务器上托管第三方应用程序、服务和数据，因此他们拥有适当的安全协议和功能——但客户也有部分责任并期望正确配置他们的云服务并安全使用它。

关键基础设施安全

关键基础设施安全是保护一个地区或国家的关键基础设施的实践。该基础设施包括提供物理和经济安全或公共健康和安全的物理和网络网络、系统和资产。以一个地区的电网、医院、交通信号灯和供水系统为例。

这种基础设施大部分是数字化的，或者以某种方式依赖互联网来运行。因此，它容易受到网络攻击，必须加以保护。

物联网 (IoT) 安全

物联网安全或物联网安全是保护几乎任何连接到互联网并可以独立于人类行为与网络通信的设备的做法。这包括婴儿监视器、打印机、安全摄像头、运动传感器和十亿其他设备以及它们所连接的网络。

由于物联网设备收集和存储个人信息，例如人的姓名、年龄、位置和健康数据，它们可以帮助恶意行为者窃取人们的身份，并且必须防止未经授权的访问和其他威胁。

网络安全

网络安全是保护计算机网络和数据免受外部和内部威胁的做法。防火墙、虚拟专用网络和双因素身份验证等身份和访问控制可以提供帮助。

网络安全通常分为三类：物理、技术和管理。每种类型的网络安全都是为了确保只有合适的人才能访问网络组件（如路由器）、存储在网络中或由网络传输的数据以及网络本身的基础设施。

要知道的网络安全术语

网络安全是一个非常令人生畏的话题，与加密货币和人工智能不同。这可能很难理解，坦率地说，这听起来有点不祥和复杂。

但不要害怕。我们在这里将这个主题分解为可消化的部分，您可以将其重新构建到您自己的网络安全策略中。为这篇文章添加书签，让这个方便的词汇表触手可及。

这是您应该知道的一般网络安全术语的完整列表。

验证

身份验证是验证您是谁的过程。您的密码验证您确实是应该拥有相应用户名的人。当您出示您的身份证件（例如，驾驶执照等）时，您的照片通常看起来像您，这是一种验证身份证件上的姓名、年龄和地址属于您的方式。许多组织使用双因素身份验证，我们稍后会介绍。

备份

备份是指将重要数据传输到安全位置（如云存储系统或外部硬盘驱动器）的过程。备份可让您在网络攻击或系统崩溃的情况下将系统恢复到健康状态。

行为监测

行为监控是观察网络中用户和设备的活动以在任何潜在安全事件发生之前识别它们的过程。不仅要观察活动，还要根据正常行为、趋势以及组织政策和规则的基线来衡量活动。 

例如，您可以监控和跟踪用户何时登录和注销、他们是否请求访问敏感资产以及他们访问了哪些网站。然后假设用户尝试在不寻常的时间登录，例如半夜。在这种情况下，您可以将其识别为异常行为，将其作为潜在的安全事件进行调查，并在您怀疑存在攻击时最终阻止该登录尝试。

机器人

机器人是机器人的缩写，是一种旨在执行自动化和重复性任务的应用程序或脚本。一些机器人具有合法目的，例如回答网站上常见问题的聊天机器人。其他用于恶意目的，例如发送垃圾邮件或进行 DDoS 攻击。随着机器人变得越来越复杂，很难区分好机器人和坏机器人，甚至是人类用户的机器人。这就是为什么机器人对许多个人和组织构成越来越大的威胁。 

中央情报局三合会

CIA 三元组是一种模型，可用于开发或评估组织的网络安全系统和政策。

CIA 三元组是指机密性、完整性和可用性。在实践中，该模型确保数据仅向授权用户披露，在其整个生命周期内保持准确和可信，并且即使软件故障、人为错误和其他威胁，授权用户也可以在需要时访问。 

图片来源

数据泄露

数据泄露是指黑客获得未经授权的访问或访问公司或个人数据的时刻。

数字证书

数字证书，也称为身份证书或公钥证书，是一种用于在 Internet 上安全交换数据的密码。它本质上是嵌入在设备或硬件中的数字文件，当它向另一个设备或服务器发送和接收数据时提供身份验证。

加密

加密是使用代码和密码加密数据的做法。当数据被加密时，计算机使用密钥将数据变成难以理解的乱码。只有拥有正确密钥的接收者才能解密数据。如果攻击者可以访问高度加密的数据但没有密钥，他们就无法看到未加密的版本。

图片来源

HTTP 和 HTTPS

超文本传输协议 (HTTP) 是Web 浏览器进行通信的方式。您可能会在您访问的网站前面看到http://或https:// 。HTTP 和 HTTPS 是相同的，除了 HTTPS 对您和 Web 服务器之间发送的所有数据进行加密——因此“S”表示安全性。如今，几乎所有网站都使用 HTTPS 来改善您的数据隐私，例如免费 CMS 中心提供的免费 SSL 。

图片来源

漏洞

漏洞是黑客在发起网络攻击时可能利用的弱点。漏洞可能是需要修补的软件错误，或者是未经授权的人可以触发的密码重置过程。防御性网络安全措施（就像我们稍后讨论的那些）通过在攻击者和他们试图做或访问的事情之间设置多层保护来帮助确保数据受到保护。

网络攻击是一种蓄意且典型的恶意意图，旨在捕获、修改或删除私人数据。网络攻击是由外部安全黑客实施的，有时是由受感染的用户或员工无意中实施的。这些网络攻击有多种原因。有些人正在寻找赎金，而有些人只是为了好玩而推出。

下面我们将简要介绍最常见的网络威胁。 

1.密码猜测（蛮力）攻击

密码猜测（或“凭证填充”）攻击是指攻击者不断尝试猜测用户名和密码。这种攻击通常会使用过去数据泄露中已知的用户名和密码组合。

当人们使用弱密码或在不同系统之间使用密码时（例如，当您的 Facebook 和 Twitter 密码相同时等），攻击者就会成功。您对这种攻击的最佳防御是使用强密码并避免在多个地方使用相同的密码以及使用双因素身份验证，正如我们稍后讨论的那样。）

2.分布式拒绝服务（DDoS）攻击

分布式拒绝服务 (DDoS) 攻击是指黑客通过大量活动（例如消息、请求或 Web 流量）淹没网络或系统以使其瘫痪。

这通常使用僵尸网络来完成，僵尸网络是受病毒感染的互联网连接设备组（例如，笔记本电脑、灯泡、游戏机、服务器等），允许黑客利用它们进行多种攻击。

图片来源

3. 恶意软件攻击

恶意软件是指黑客用来渗透计算机和网络并收集易受攻击的私人数据的所有类型的恶意软件。恶意软件的类型包括：

• 键盘记录器，它跟踪一个人在键盘上键入的所有内容。键盘记录器通常用于捕获密码和其他私人信息，例如社会安全号码。

• 勒索软件，它加密数据并将其作为人质，迫使用户支付赎金以解锁并重新获得对其数据的访问权限。

• 间谍软件，代表黑客监视和“窥探”用户活动。

此外，恶意软件可以通过以下方式传播：

• 特洛伊木马，通过看似良性的入口点感染计算机，通常伪装成合法的应用程序或其他软件。

• 病毒破坏、擦除、修改或捕获数据，有时还会对计算机造成物理损坏。病毒可以从一台计算机传播到另一台计算机，包括当它们被受感染的用户无意安装时。

• 蠕虫，旨在自我复制并在所有易受相同漏洞影响的连接计算机中自主传播。.

4. 网络钓鱼攻击

网络钓鱼攻击是指黑客试图诱骗人们做某事。网络钓鱼诈骗可以通过看似合法的下载、链接或消息传递。

这是一种非常常见的网络攻击类型——第三方调查中有 57% 的受访者表示，他们的组织在 2020 年经历了成功的网络钓鱼攻击，高于 2019 年的 55%。成功的网络钓鱼攻击的影响范围从数据丢失到经济损失。 

图片来源

网络钓鱼通常通过电子邮件或虚假网站进行；它也被称为欺骗。此外，鱼叉式网络钓鱼是指黑客专注于攻击特定个人或公司，例如窃取他们的身份，而不是创建更通用的垃圾邮件。

5. 中间人（MitM）攻击

中间人 (MitM) 攻击是指攻击者拦截两方之间的通信或交易并将自己插入中间。然后，攻击者可以在数据到达其合法目的地之前拦截、操纵和窃取数据。例如，假设访问者在公共 WiFi 上使用的设备没有得到适当的保护，或者根本没有保护。攻击者可以利用此漏洞并将自己插入访问者的设备和网络之间，以拦截登录凭据、支付卡信息等。

这种类型的网络攻击之所以如此成功，是因为受害者不知道有一个“中间人”。看起来他们正在浏览网页，登录他们的银行应用程序，等等。

图片来源

6. 跨站脚本攻击

跨站点脚本攻击或 XSS 攻击是指攻击者将恶意代码注入到其他合法网站或应用程序中，以便在其他用户的 Web 浏览器中执行该恶意代码。

因为该浏览器认为代码来自受信任的来源，所以它将执行代码并将信息转发给攻击者。此信息可能是会话令牌或 cookie、登录凭据或其他个人数据。 

这是一个 XSS 攻击的图解示例：

图片来源

7. SQL注入攻击

SQL 注入攻击是指攻击者通过未受保护的表单或搜索框提交恶意代码，以获得查看和修改网站数据库的能力。攻击者可能使用SQL（结构化查询语言的缩写）在您的网站上创建新帐户、添加未经授权的链接和内容以及编辑或删除数据。

这是一个常见的 WordPress 安全问题，因为 SQL 是 WordPress 上用于数据库管理的首选语言。

网络安全最佳实践：如何保护您的数据

网络安全不能归结为 1-2-3 步过程。保护您的数据涉及最佳实践和防御性网络安全技术的结合。为两者投入时间和资源是保护您和您客户的数据的最佳方式。

防御性网络安全解决方案

所有企业都应投资于预防性网络安全解决方案。实施这些系统并采用良好的网络安全习惯（我们将在下面讨论）将保护您的网络和计算机免受外部威胁。

这里列出了五种可以防止网络攻击的防御性网络安全系统和软件选项——以及随之而来的不可避免的头痛。考虑结合这些解决方案来覆盖您的所有数字基础。

防毒软件

防病毒软件相当于在流感季节服用维生素 C。这是一种监控错误的预防措施。防病毒软件的工作是检测计算机上的病毒并将其清除，就像维生素 C 在有害物质进入您的免疫系统时所做的那样。（像真正的医学专家一样说话……）防病毒软件还会提醒您注意潜在的不安全网页和软件。

了解更多：迈克菲、诺顿。或熊猫（免费）

防火墙

防火墙是一堵数字墙，可将恶意用户和软件拒之门外。它使用一个过滤器来评估想要进入您计算机的所有内容的安全性和合法性；它就像一个无形的法官，位于您和互联网之间。防火墙是基于软件和硬件的。

了解更多：McAfee LiveSafe或Kaspersky Internet Security

投资于威胁检测和预防

无论您使用的是CMS Hub还是 WordPress 等常见的网站托管服务，集成工具来扫描和检测威胁都是必不可少的。大多数内容管理系统将在平台内包含恶意软件扫描和威胁检测功能。但是，如果您使用 WordPress 之类的平台，则应该投资购买安全扫描器。

单点登录 (SSO)

单点登录 (SSO) 是一种集中式身份验证服务，通过该服务一次登录即可访问整个帐户和软件平台。如果您曾经使用 Google 帐户注册或登录帐户，那么您就使用过 SSO。企业和公司使用 SSO 允许员工访问包含专有数据的内部应用程序。

了解更多：Okta或LastPass

两因素身份验证 (2FA)

双重身份验证 (2FA)是一种登录过程，需要用户名或 PIN 码并访问外部设备或帐户，例如电子邮件地址、电话号码或安全软件。2FA 要求用户通过两者来确认他们的身份，因此，它比单因素身份验证安全得多。

了解更多：二重奏

虚拟专用网络 (VPN)

虚拟专用网络 (VPN) 创建了一个“隧道”，您的数据在进入和退出 Web 服务器时通过该“隧道”传输。该隧道加密并保护您的数据，使其无法被黑客或恶意软件读取（或窥探）。虽然安全的 VPN可以防止间谍软件，但它们无法阻止病毒通过看似合法的渠道进入您的计算机，例如网络钓鱼，甚至是虚假的 VPN 链接。因此，VPN 应与其他防御性网络安全措施相结合，以保护您的数据。

了解更多：Cisco 的 AnyConnect或Palo Alto Networks 的 GlobalProtect

企业网络安全提示

除非您这样做，否则防御性网络安全解决方案将不起作用。为确保您的业务和客户数据受到保护，请在整个组织中采用这些良好的网络安全习惯。

需要强大的凭据。

要求您的员工和用户（如果适用）创建强密码。这可以通过实现最小字符以及要求混合大小写字母、数字和符号来完成。个人和机器人都更难猜出更复杂的密码。此外，要求定期更改密码。

控制和监控员工活动。

在您的企业中，仅将重要数据的访问权限授予需要其工作的授权员工。禁止在组织外部共享数据，要求外部软件下载的许可，并鼓励员工在不使用时锁定其计算机和帐户。

了解您的网络。

随着物联网的兴起，物联网设备疯狂地出现在公司网络上。这些不受公司管理的设备可能会带来风险，因为它们通常不安全并运行易受攻击的软件，这些软件可能会被黑客利用并提供进入内部网络的直接途径。

“确保您可以查看网络上的所有物联网设备。企业网络上的所有内容都应该被识别、正确分类和控制。通过了解网络上的设备、控制它们的连接方式以及监控它们的可疑活动，你将大大减少攻击者所利用的环境。” — HubSpot 首席安全官 Nick Duda

在这个由安全软件 ForeScout 编制的案例研究中了解 HubSpot 如何获得设备可见性并自动化安全管理。

定期下载补丁和更新。

软件供应商会定期发布解决和修复漏洞的更新。通过持续更新软件来确保软件安全。考虑将您的软件配置为自动更新，这样您就不会忘记。

让员工轻松上报问题。

如果您的员工遇到网络钓鱼电子邮件或被入侵的网页，您想立即知道。通过专门为这些通知设置一个收件箱或创建一个人们可以填写的表格，建立一个从员工那里接收这些问题的系统。

个人网络安全提示

网络威胁也会影响个人消费者和互联网用户。养成这些好习惯来保护您的个人数据并避免网络攻击。

混淆你的密码。

为所有重要帐户使用相同的密码相当于将备用钥匙放在前门垫下。最近的一项研究发现，超过 80% 的数据泄露是由于密码薄弱或被盗造成的。即使企业或软件帐户不需要强密码，也请始终选择包含字母、数字和符号的密码并定期更改。

经常监控您的银行账户和信用。

定期查看您的报表、信用报告和其他重要数据，并报告任何可疑活动。此外，仅在绝对必要时才公布您的社会安全号码。

有意识地上网。

留意网络钓鱼电子邮件或非法下载。如果一个链接或网站看起来很可疑（哈——明白了吗？），它可能是。查找错误的拼写和语法、可疑的 URL 和不匹配的电子邮件地址。最后，下载防病毒和安全软件，以提醒您潜在和已知的恶意软件来源。

定期备份您的数据。

这种习惯有利于企业和个人掌握——双方的数据都可能受到损害。考虑在云和物理位置（例如硬盘驱动器或拇指驱动器）上进行备份。

为什么你应该关心网络安全

根据RiskBased Security的报告，2020 年报告了 3,932 起数据泄露事件，暴露了超过 370 亿条记录。此外，最近的一项研究发现，2020 年全球数据泄露的平均成本为386 万美元。这意味着去年数据泄露的成本约为 152 亿美元。

中小型企业 (SMB) 尤其面临风险。您可能会看到像 Target 和 Sears 这样的公司成为头条数据泄露受害者的头条新闻，但实际上黑客更喜欢瞄准的是中小型企业。

为什么？与普通消费者相比，它们拥有更多且更有价值的数字资产，但安全性低于大型企业级公司……将它们置于“黑客的网络安全最佳位置”。

安全漏洞让企业和消费者感到沮丧和恐惧。在Measure Protocol 的一项调查中，大约 86% 的受访者表示，最近新闻中的隐私泄露在一定程度上影响了他们分享个人信息的意愿。

但网络安全不仅仅是避免公关噩梦。投资网络安全可以建立与客户的信任。随着客户成为您品牌的拥护者，它鼓励透明度并减少摩擦。

“每个人都有责任帮助保护客户的数据。在 HubSpot，每位员工都有权以安全可靠的方式解决客户需求。我们希望利用每个人的能量来提供一个客户信任的平台，以正确、安全地存储他们的数据。” — HubSpot 首席安全官 Chris McLellan

借助我们的指南中的提示、系统和推荐资源，让您的业务保持领先于技术曲线，以保持与新兴技术保持同步。

网络安全资源

以下资源将帮助您更多地了解网络安全以及如何更好地装备您的业务和团队。我们还建议您查看最受欢迎的网络安全播客和网络安全博客。

美国国家标准与技术研究院 (NIST)

NIST是一个促进科学和工业卓越的政府机构。它还包含一个网络安全部门，并定期发布标准指南。

书签：用于安全最佳实践的计算机安全资源中心 (CSRC)，称为NIST 特殊出版物 (SP)。

互联网安全中心 (CIS)

CIS是一个全球性的非营利性安全资源和 IT 社区，由该领域的专家使用和信任。

书签:独联体 20 大关键安全控制，这是一组优先考虑的最佳实践，旨在阻止当今最普遍和最危险的威胁。它由来自世界各地的领先安全专家开发，并且每年都经过改进和验证。

图书馆

Cybrary是一个在线网络安全教育资源。它主要为各种网络安全主题和专业提供免费的完整教育视频、认证等。

书签：认证信息系统安全专家 (CISSP) 2021，这是针对信息安全专业人员的最新课程。获得这种安全认证的“黄金标准”将使您与其他信息安全专业人士区分开来。

网络准备研究所

网络就绪研究所是一项倡议，它召集来自不同行业和地区的商业领袖分享资源和知识，最终推动中小型企业的网络就绪。

书签：网络准备计划，这是一个免费的在线计划，旨在帮助中小型企业保护他们的数据、员工、供应商和客户免受当今最常见的网络漏洞的影响。

签字……安全

网络攻击可能令人生畏，但作为主题的网络安全并不一定如此。必须做好准备和武装，尤其是在您处理他人的数据时。企业应该投入时间和资源来保护他们的计算机、服务器、网络和软件，并且应该与新兴技术保持同步。

小心处理数据只会让您的业务更加值得信赖和透明，您的客户也会更加忠诚。

注意：本内容中的任何法律信息均与法律建议不同，法律建议是由律师将法律适用于您的具体情况，因此如果您想就您对此信息的解释或其准确性提出建议，我们坚持请您咨询律师. 简而言之，您不得将此作为法律建议或任何特定法律理解的建议。