什么是网络安全?

网络安全指保护计算机系统、网络、应用和数据免受数字威胁、恶意攻击和未授权访问的实践,其中包括一系列旨在保护数字环境不受不断变化的网络风险影响的策略、技术和流程。


网络安全为何如此重要?

网络安全的目的是在面临网络威胁、软件漏洞和系统弱点时,确保敏感信息和技术资源的机密性、完整性和可用性。然而,要想在网络安全方面取得最大成效,就必须主动出击。防御性网络安全的重点不是在事件发生后作出响应,而是在漏洞和威胁出现之前就对其加以识别和应对。人们越来越清楚地认识到,只有在人工智能 (AI) 的帮助下,才能采取主动安全措施。正如不法行为者积极利用生成式人工智能等人工智能技术和应用来加强其攻击活动一样,防御者必须通过机器学习采取自动化保护措施,以便在网络犯罪分子和安全团队之间不断扩大的拉锯战中保持韧性。

在认识到威胁(和缓解措施)永远不会停止演变的同时,实现安全与韧性并存,以及有效平衡客户体验是积极网络安全模式的基准。

另一方面,在计算基础设施和数字资产周围筑起一道无法攻破的屏障(如严格的安全态势)本身并不是成功的网络安全策略。隐晦式安全同样也并非成功的网络安全策略。安全专业人员需要根据可能性和影响准确评估网络安全风险;也就是说,要考虑特定威胁利用特定漏洞的机会或概率,还要与利用漏洞后造成的影响或损害进行权衡。网络安全是一门复杂的学科,涉及到不断变化的威胁态势、广泛的攻击向量,以及平衡安全性和可用性的需求。

此外,随着各个组织进行数字化转型,安全对于业务的重要性也与日俱增,并在很大程度上从运营成本模型转变为业务推动因素和竞争优势。

常见威胁和术语

由于恶意攻击者的新手段、新技术和新程序 (TTP) 层出不穷,网络安全威胁瞬息万变。不过,许多风险都是由以下既定形式的网络威胁演变而来,或者是结合了多种 TTP,可造成更大恶意影响的混合式攻击。

恶意软件指往往通过电子邮件或消息中的可点击链接进行传播,旨在感染系统并损害其安全性的恶意软件。常见的恶意软件类型包括病毒、蠕虫、木马、间谍软件以及日益猖獗的勒索软件。

勒索软件是一种加密系统数据的恶意软件,攻击者会劫持组织的数据,并要求付款(赎金)以解锁数据或提供解密密钥。

网络钓鱼是一种涉及欺骗性电子邮件或消息的攻击,诱骗个人泄露敏感信息,如密码、信用卡号或个人数据。

社会工程学攻击指利用行为或心理特征,欺骗受害者泄露保密资料,或采取有损安全性的行动或做出有损安全性的决定。网络钓鱼和社会工程学攻击往往会结合用来操纵受害者,并且可能极具针对性,例如在发送网络钓鱼电子邮件后再冒充可信人员(如银行或 IT 部门人员)致电。

分布式拒绝服务 (DDoS) 攻击会通过向目标资源发送大量流量,使其超载到无法运行的程度,从而降低基础设施的性能。也可以通过专门制作的信息发起拒绝服务 (DoS) 攻击,从而降低应用的性能;例如,通过会生成复杂 SQL 查询,导致 CPU 占用率提高和系统性能降低的 Web 请求发起攻击。DDoS 攻击涉及多个来源或僵尸网络,该网络由单个攻击者控制的遭入侵计算机或设备构成,攻击者会协调上述多个来源并针对目标发动攻击。

中间人 (MitM) 攻击指代攻击者在对方不知情或未经同意时拦截双方间通信的情况,攻击者可借此机会窃听对话、窃取信息,甚至操纵传输的数据。MitM 攻击可以通过多种方式发生:当攻击者窃取会话 Cookie 或令牌以模拟用户并获得对 Web 应用的未授权访问时,攻击者可能会在公共 Wi-Fi 网络中拦截无线通信,或者可能进行会话劫持。

内部威胁指组织内有权访问组织系统、数据或网络的个人所构成的安全风险。这些人可能是现任或前任员工、承包商、合作伙伴或任何拥有合法访问权限的人员。内部威胁可能是一种有意或无意的行为,可能导致各种类型的网络安全事件,包括破坏、数据盗窃、数据处理不当以及网络钓鱼或社会工程学攻击。

Web 应用攻击指针对 Web 应用、网站和 Web 服务的恶意活动,目的是利用漏洞并破坏上述目标的安全性。随着应用的现代化,以及许多传统 Web 应用因此在混合云和多云环境中向 API 型系统的演变,致使威胁面大幅扩大。

安全团队必须考虑与 Web 应用和 API 有关的许多风险,包括:

  • 漏洞利用:软件中的弱点或缺陷,网络犯罪分子可将这些对象视为目标,以此破坏安全性,包括执行恶意代码。这些通常是由不受支持或未修补的软件、软件错误或错误配置所致。
  • 业务逻辑滥用:攻击者操纵 Web 应用的预期行为以实现恶意目的的情况。这可能涉及操纵应用的工作流程,以获取对受限区域的访问权限,或执行未经授权的交易或访问敏感数据。如今,Bot 和恶意自动化手段影响着现代生活的方方面面,包括阻止购买音乐会门票、窃取会员积分或通过接管客户帐户实施欺诈。
  • 绕过身份验证和授权控制:当访问控制和授权实施不充分时,攻击者就可能获得对未经授权的功能或数据的访问权限。
  • 客户端攻击:针对用户设备(如 Web 浏览器或已安装的应用)中的软件或组件的威胁。客户端攻击的一种常见形式是跨站脚本 (XSS),攻击者将恶意客户端脚本(如 JavaScript)注入到其他用户查看的网页中。这可能导致敏感信息被盗,如登录凭据、个人数据或会话 Cookie。现代应用通常具有许多相互依赖项,例如第三方集成、库和框架。安全团队可能无法查看在客户端执行的所有上述组件,攻击者可借此威胁向量,直接从 Web 浏览器执行恶意脚本和泄露数据。
  • 安全配置错误:攻击者会试图找到未修补的缺陷、常见端点、使用不安全默认配置运行的服务,或未受保护的文件和目录,以获得对系统的未授权访问。随着架构不断分散并分布在多云环境中,安全配置错误的风险也与日俱增。
  • 加密失效:导致此类风险的原因是在数据的传输和静止期间对其保护不足。
  • 有关 Web 应用攻击的更多信息,请参阅 OWASP 基金会OSWASP Top 10 应用安全风险主页上的术语条目。

常见网络安全术语和概念

以下是与网络攻击相关的专业术语和概念的定义和说明。

零日攻击指利用尚未公开的软件漏洞或安全缺陷发动的网络攻击。此类攻击发生在软件供应商或开发人员有机会发布补丁或修复零日漏洞之前。零日攻击尤为危险,因为此类攻击针对的系统没有可用的补丁或潜在的权宜之计来抵御攻击,导致其可能缺乏缓解能力或对漏洞利用行为的深入了解。

高级持续性威胁 (APT) 指由拥有大量资源和专业知识的有组织网络犯罪团伙或民族国家行为者实施的复杂和长期的网络攻击,其目的通常为开展间谍活动、盗窃数据、实施破坏或传播错误信息,可能会导致全球动荡。APT 的特点是持续性和隐蔽性。此类攻击通常持续很长时间,主要目标是在未被发现的情况下持续对目标网络或系统进行未授权访问。APT 的生命周期可持续数年,以侦察和初步入侵为开始,一直发展到数据收集和泄漏。

  • 安全信息和事件管理 (SIEM) 是一种网络安全解决方案,它结合了安全信息管理 (SIM) 功能和安全事件管理 (SEM) 功能,拥有实时监控、威胁检测和事件响应能力。SIEM 系统会收集、汇总、关联和分析来自组织的 IT 基础设施中各种来源的安全数据,以识别潜在的安全威胁和事件。SIEM 系统的关键组成部分包括:

日志管理:可存储和管理大量日志和事件数据,并针对此类数据提供索引、搜索和归档工具,使数据可用于分析和合规用途。

安全事件关联:可搜索来自多个来源的数据,以识别可能表明存在安全威胁的模式和异常情况。这种关联有助于区分正常活动和潜在的安全事件。

Threat Intelligence:一些 SIEM 系统通过集成第三方实时威胁反馈提供的威胁情报,以便作为系统识别已知威胁和入侵迹象 (IOC) 能力的补充,阻止新型攻击或检测新型攻击特征。

  • 渗透测试:通常缩写为“pen testing”,指为确定漏洞,模拟真实世界中对计算机系统和应用发动的网络攻击。在渗透测试中,技术精湛的安全专业人员会尝试利用漏洞,先恶意攻击者一步确定面临不同攻击向量时存在的弱点。渗透测试主要分为三种类型。
    1. 黑盒测试中,测试人员事先对目标环境的了解有限,甚至完全不了解,以便模拟对系统的了解少之又少的真实攻击者。
    2. 白盒测试中,测试人员对目标环境(包括系统架构、源代码和配置)了如指掌,以便进行更全面的评估。
    3. 灰盒测试中,测试人员对目标环境有一定了解,可能了解一些系统详细信息,但未完全了解源代码或架构。
  • 自动化威胁指由 Bot、脚本或黑客工具包而不是由人类实施的恶意攻击。这些威胁可能会利用 Web 应用和 API 中的固有漏洞,引发安全漏洞、数据盗窃、帐户接管和欺诈行为等有害后果。在当今的数字化环境中,要防范恶意活动和潜在威胁,应对与 Bot 相关的安全性问题至关重要。在识别和缓解 Bot 流量,区分合法用户和恶意 Bot 方面,Bot 管理解决方案发挥着至关重要的作用
  • 访问控制是一种安全措施和策略,确定了组织计算环境中的哪些人员有权访问特定资源、执行特定操作或使用特定服务。访问控制在保护组织的数字资产和敏感信息方面发挥着十分重要的作用。如果未能充分落实访问控制和授权措施,让攻击者得以未经授权地访问功能或数据,就会导致访问控制失效,这是 OWASP Top 10 和十大 API 安全风险项目中认定的主要安全风险之一。鉴于商务活动向数字渠道的转移以及 API 的普及,身份验证和授权变得空前重要,因为 API 可能不具备与传统 Web 应用相同的精细访问控制或测试水平。

网络安全措施与最佳实践有哪些?

确保网络空间的安全颇具挑战性。不过,以下措施和最佳实践介绍了多种工具和策略的基本概况,可为制定和实施健全的网络安全计划和流程提供帮助。

身份验证和访问控制

身份验证和访问控制是网络安全的基本要素,有助于确保只有获得授权的用户才能访问系统、数据和资源。在这些领域实施最低权限原则零信任安全等最佳实践对于保护敏感信息和维护组织数字环境的完整性至关重要。

身份验证和访问控制方法包括:

  • 健全的密码策略。强密码是抵御对系统和数据的未授权访问的第一道防线。尽管日益先进的密码破解工具表明如今长的密码短语比简单密码更具防护能力,明确的密码策略仍有助于确保用户创建和维护安全的密码。密码策略应禁止重复使用密码,因为这是导致撞库攻击和帐户接管的主要原因。虽然健全的密码策略至关重要,但这只是综合安全策略的一个方面,还要与多重身份验证或智能认证解决方案等其他安全功能结合应用,这些功能无需使用 CAPTCHA 等严格的安全挑战即可安全地验证客户身份。
  • 多重身份验证 (MFA)。除了输入用户名和密码或密码短语外,MFA 还要求用户提供其他验证因素,才能访问应用、资源或在线帐户等服务。常见做法通常是将从电子邮件或短信中收到的一次性密码输入智能手机或浏览器,或提供指纹或面部扫描等生物识别信息。设计精良的 MFA 方法在组织的安全生态系统中仍然占有一席之地,MFA 也需要遵守诸多全球法规,例如《健康保险便携性与责任法案》(HIPAA)、Payment Card Industry Data Security Standards (PCI DSS)、网络安全和基础设施安全局 (CISA) 规定、《通用数据保护条例》(GDPR) 和欧盟《支付服务修订法案第二版》(PSD2)。然而,MFA 控制措施也会为用户带来相当大的阻碍,导致客户产生挫败感,并对业务收入产生负面影响。此外,MFA 也不再是防止欺诈的灵丹妙药,因为犯罪分子现在往往会通过发动一系列网络攻击,绕过 MFA 的防御,获取数据和帐户
  • 基于角色的访问控制 (RBAC)。RBAC 是一种广泛应用的访问控制模型,可根据获授权用户在组织中的角色和职责,限制其对系统的访问。RBAC 系统会为用户分配角色或工作职能,而每种角色和职能都与一组权限和访问权限相关联,这些权限和访问权限决定了用户在系统中可以执行哪些操作。

网络安全

实施网络安全措施可防范包括网络攻击、数据泄露和未授权访问在内的各种威胁,从而帮助保护网络基础设施和数字资产。

网络安全措施包括:

防火墙。防火墙是网络安全的重要组成部分,可帮助组织保护其数字资源、维护数据隐私,以及抵御恶意软件、黑客攻击、拒绝服务攻击和未授权访问等各种网络威胁。防火墙通常部署在组织的内部网络与互联网之间等边界点,以便根据既定的安全规则或策略控制进出设备或网络的流量。然而,防火墙通常只会在用户浏览互联网时检查出站流量,缺乏代理和性能功能,无法充分保护 Web 应用和 API 的入站流量。防火墙可分为多种类型,包括:

  • 基于主机的防火墙:在计算机、服务器或移动设备等单个设备层面运行。此类防火墙可防范恶意软件或恶意应用等试图建立未经授权网络连接的威胁,还可用于在企业环境中增强端点的安全态势,防范可能绕过网络级防御的威胁。
  • 网络防火墙:通常在第 3 层(网络层)和第 4 层(传输层)等 OSI 模型的较低层运行。此类防火墙负责过滤流量,以及根据 IP 地址、端口号和传输协议(如 TCP、UDP)做出决策,还负责控制不同网络区域之间的流量,执行广泛的网络安全策略,以及防范各种网络威胁。
  • 下一代防火墙 (NGFW):在传统的有状态网络防火墙的基础上发展而来,功能更加丰富。NGFW 会执行深层数据包检查,以便对网络数据包的内容进行精细分析(包括应用层数据和用户上下文)。此类防火墙可根据正在使用的特定应用或服务对网络流量进行识别和分类,即使流量来自非标准端口。这样就可以对允许或阻止哪些应用进行精细控制。NGFW 还可以将网络流量与特定用户或用户组绑定,这项功能尤其适用于实施基于用户的访问控制的环境。
  • Web 应用防火墙 (WAF):通过过滤、监控和阻止任何流向 Web 应用的恶意 HTTP/S 流量来保护第 7 层 Web 应用,并防止任何未经授权的数据离开应用。WAF 通过遵循一系列策略来实现这一目标,这些策略可帮助分辨恶意流量和安全流量;机器学习技术的进步使一些 WAF 能够根据威胁态势的变化情况自动更新策略。WAF 专门用于应对针对 Web 程序的漏洞和威胁,例如,SQL 注入跨站点脚本攻击 (XSS) 和 Server-Side Request Forgery (SSRF)。如需了解下一代防火墙 (NGFW) 与 Web 应用防火墙 (WAF)之间的重要区别,请参阅 WAF 对比 NGFW:哪项技术契合您的需求?
  • Web 应用和 API 防护 (WAAP) 解决方案:可提供更全面的保障,还能够针对现代应用的整个攻击面采用 WAF、API Security、L3-L7 DDoS 缓解和 Bot 防御等集成式防护措施,从而防范可导致帐户接管 (ATO) 和欺诈的漏洞利用、配置错误、身份验证/授权攻击和自动化威胁。无论将各项应用和 API 资产托管于何处,分布式 WAAP 平台都可以为其轻松部署一致的策略,和提高安全性,还可以将安全集成到 API 生命周期和更广泛的安全生态系统中。

入侵检测系统 (IDS):一种网络安全工具,用于分析和评估网络流量的完整性,从而识别已知的攻击模式、异常活动和未授权使用。检测到威胁时,该系统会向组织的安全专业人员发出警报,以便采取进一步行动。需要注意的是,鉴于入侵防御系统 (IPS) 在实时检测和执行方面所具备的优势,IDS 已不再流行;这在某种程度上是因为应用了高效的特征库。IDS 工具可分为两种类型:

  • 基于网络的 IDS (NIDS):可监控网络流量,查找是否存在未经授权活动或恶意活动的迹象。NIDS 工具可实时分析网络中传输的数据包,还可检测任何可能表明存在安全威胁的异常情况或模式。
  • 基于主机的 IDS (HIDS):可监控和分析服务器、工作站或端点设备等单个主机上发生的活动和事件。HIDS 检测到可疑活动或潜在恶意活动时,会生成警报或通知,还会维护日志和数据以用于取证,从而协助安全团队开展事件调查。

虚拟专用网络 (VPN) 可在用户的远程设备和企业基础设施(通常位于不同的地理位置)之间建立安全的加密连接。当用户连接到 VPN 时,互联网流量将通过加密隧道传输,防止潜在的窃听者或黑客窃取,并掩盖用户的 IP 地址。由于没有解密密钥就无法读取所传输的数据,因此增强了在线隐私和安全性。

由于 VPN 本质上扩展了企业的网络边界,还允许用户在任何地方安全地访问企业应用,许多组织已将 VPN 纳入其安全策略。疫情期间,数百万居家办公的远程办公人员都需要通过互联网安全地连接到企业资源,VPN 因此变得至关重要。VPN 还常用于保护敏感信息、访问地区限制访问的内容以及在网上保持匿名状态

虽然 VPN 为在线活动提供了更高的安全性和私密性,但也无法摆脱安全挑战。由于用户通常通过远程端点设备启动 VPN 连接,这些端点既是接入点,也是攻击者的主要目标。要保护通信及端点所连接的基础设施,就必须在批准与企业网络的远程访问连接前确保端点的安全性。

要想降低 VPN 带来的安全风险,还必须针对用户和设备采取有力的身份验证控制措施。要确保使用强密码和多重身份验证方法来验证用户的身份,还要尽量为远程办公人员部署公司提供的加固设备,并配备客户端证书和端点保护。

云访问安全代理 (CASB) 和安全服务边缘 (SASE) 是基于云的安全要素。CASB 是位于企业云服务消费者和云提供商之间的安全策略执行点,用于在访问云资源时插入企业安全策略。CASB 解决方案提供了众多安全优势,使企业能够降低风险,在各种应用和设备之间执行身份验证和凭证映射等策略,防止敏感数据泄漏,并确保符合法规要求。

SSE 是一种网络和安全架构,可将多种基于云的安全服务和广域网 (WAN) 功能集成到一个云原生解决方案之中。SSE 用于在维护企业安全策略的同时,直接从云端提供全面的安全和网络服务,这使其成为了现代安全态势的重要组成部分。

CASB 和 SSE 是零信任框架的重要要素,而零信任框架强调“从不信任、始终验证”的原则。这意味着不应默认信任任何用户、设备或系统,无论其处于何处或采用何种网络连接。CASB 和 SSE 可为基于云的资源提供额外的可见性、控制和安全措施,从而强化零信任原则。CASB 和 SSE 解决方案还支持强认证和强身份验证,并支持根据用户角色和权限和设备可信度等环境因素实施精细访问控制,这些都是零信任原则的关键要素。

数据加密

数据加密是现代网络安全的基本要素,用于保护各种场景(包括存储和传输)中的敏感信息。在加密过程中,算法使用加密密钥将常规数据或信息(“明文”)转换为代码或“密文”,以防止未授权访问或使用。如需逆转加密过程,并将密文转换回明文,接收者(或经授权的用户)必须拥有相应的解密密钥。这可以确保即使有人获得了加密数据的访问权限,在没有相应解密密钥的情况下,也无法读取或理解这些数据。

三种主要的加密形式分别为:

  • 对称加密:指在加密和解密过程中使用相同的密钥。对称加密可以快速高效地完成大规模或批量数据加密,但需要确保密钥分发的安全性,因为如果分发过程中密钥泄露,整个系统的安全性都会受到影响。
  • 非对称加密:指在加密和解密过程中使用一对密钥,其中公钥用于加密数据,单独的私钥用于解密数据,后者必须予以保密。非对称加密可以提供较高的安全性,有助于实现安全的通信和认证,但计算量也更大。非对称加密通常用于保护通信通道,验证数字签名和建立安全连接。SSL/TLS 加密是一种利用非对称加密保障 Web 浏览安全的安全框架。TLS 协议的最新版本是 TLS 1.3,其中引入了一项名为完美前向保密 (PFS) 的重要新安全功能。PFS 协议中使用的密钥交换机制是针对每次会话动态生成的,并且仅用于该会话。这意味着,即使攻击者获取了用于加密当前通信的私钥,PFS 仍能确保其无法解密过去或未来的通信。虽然 TLS 1.3 和 PFS 提高了加密灵活性,但却无法完全缓解中间人攻击的风险。企业往往很难在端到端解密、隐私和风险之间取得平衡,尤其是在安全生态系统中的工具对 TLS 协议和密码套件的支持程度各不相同的情况下。此外,许多安全控制措施并不适合用于大规模解密。利用支持动态拦截、服务链和基于策略的流量导向的 SSL/TLS 解密/加密专用解决方案,有助于在可见性和安全性与性能和用户隐私之间取得平衡。
  • 哈希加密:指将数据转换成固定长度的代码,这个代码称为哈希值、信息摘要或校验和,通常是一个十六进制数或字符序列。哈希值是通过某种算法创建的,通常设计为单向函数,因此无法逆转该过程以返回原始数据。哈希加密拥有多种网络安全功能,但通常用于验证消息在传输过程中是否被篡改,以确保双方之间的通信安全。

补丁管理

补丁管理在确保计算机系统、应用和网络的安全性与完整性方面发挥着至关重要的作用。制定具有明确程序和计划的策略可以帮助组织及时发现和应用更新,从而解决漏洞问题,减少攻击面,并最大限度地降低被网络犯罪分子利用的风险。发布的常见漏洞和暴露 (CVE) 的数量不断加速增长,预计到 2025 年,每周会发布 500 个新的 CVE,因此补丁管理的重要性与日俱增。

有效的补丁管理是一个持续的过程,包含以下策略:

  • 制定并执行概述补丁测试和部署程序的补丁管理策略。
  • 制定考虑漏洞风险以及对运行的潜在影响的部署计划。
  • 利用补丁管理工具,实现自动化,从而简化部署流程,减少人工干预。自动化有助于确保补丁应用的一致性和及时性。
  • 持续监控系统和网络,以检测新的漏洞并识别任何未安装修复程序的系统。确保所有系统(包括远程和移动设备)保持最新状态。

事件响应和恢复

制定并维护事件响应和恢复计划是网络安全策略的关键要素,可帮助组织针对网络攻击和漏洞做好准备、作出应对和迅速恢复。该策略应包含以下要素:

  • 制定事件应对方案。此类方案可以针对如何辨别与应对潜在的网络安全事件,提供结构清晰、积极主动的方法,将极大地帮助抑制安全漏洞的影响。这包括制定清晰的指挥链,以便报告和升级事件,并确定指挥链中的利益相关方和明确各方的角色与责任。制定网络和系统监控程序,以发现可疑活动和入侵迹象,并制定详细的分步措施来控制和抑制安全漏洞。定期测试事件应对方案,以发现不足和改进应对措施。
  • 制定业务连续性计划和灾难恢复 (BCDR) 策略。在面对安全漏洞等中断性事件时,BCDR 方案有助于确保关键业务的持续运作。BCDR 方案的一个基本要点是定期备份数据,以确保在发生数据泄漏或数据损坏时,可将数据恢复到之前的健康状态。所有 BCDR 方案都必须通过演练定期测试,确认其行之有效,同时,组织也可以在这个过程中发现不足,完善应对策略。
  • 部署 Web 应用防火墙,这可以作为抑制漏洞利用的重要手段。

合规与培训

许多合规要求和法规都规定了为保护敏感数据和抑制网络威胁组织和政府实体所必须遵守的网络安全标准。此外,隶属于美国国土安全部的网络安全和基础设施安全局 (CISA) 是国家网络安全信息中心,该机构运营着一个全天候的态势感知、分析和事件响应中心。CISA 制定了一项国家网络事件响应计划,该计划规定了私营部门实体、州和地方政府以及多个联邦机构应在网络安全事件应对方面发挥的作用。CISA 还提供事件响应培训,以提高基本的网络安全意识,并倡导最佳实践,从而帮助组织制定有效的应对措施,以防发生网络事件。该培训还倡导实施有助于从一开始就防止事件发生的策略。主要的合规要求和法规包括:

  • 《通用数据保护条例》(GDPR):该条例规定了处理源自欧盟的个人数据的公司需要采取的隐私保护措施和承担的义务。GDPR 针对数据处理、安全和跨境数据传输制定了严格的规则,并针对违规行为规定了严厉的处罚措施。任何处理源自欧盟的个人数据或关于欧盟居民的数据的公司,无论是否在欧盟开展业务,都要遵守 GDPR 的规定。
  • 《加利福尼亚州消费者隐私法案》(CCPA):旨在帮助保护加州消费者的敏感个人信息的政府框架。CCPA 保护了加州人的数据隐私权,包括了解企业收集哪些个人信息以及如何使用和共享这些信息的权利、删除被收集的个人信息的权利(某些例外情况除外)以及选择拒绝出售或共享个人信息的权利。
  • Payment Card Industry Data Security Standards (PCI DSS):一项信息安全标准,旨在通过加强对持卡人数据的控制,减少支付卡欺诈行为。PCI DSS 规定了商家在存储、处理和传输持卡人数据时必须满足的最低安全要求。这些要求包括实现确保在线交易安全的增强功能,从而在在线商业交易中保护消费者、企业和发卡机构。
  • 《健康保险便携性与责任法案》(HIPAA):是一部联邦法律,旨在保护美国患者健康信息的隐私和安全,并确保健康保险覆盖范围的便携性。HIPAA 的《安全规则》针对保护以电子形式持有或传输的某些健康信息,制定了一套全国性安全标准。该法案还规定了为保护个人受保护电子健康信息的安全组织必须采取的技术和非技术保障措施。
  • 联邦风险和授权管理计划 (FedRAMP)是一项旨在促进联邦政府采用安全云服务的政府计划。FedRAMP 针对云技术为联邦机构提供了标准化的安全和风险评估方法,通过创建能够使各机构在政府范围内利用安全授权的透明安全授权标准和流程,推动各机构加快采用云计算。

培训和认证

日益复杂的网络威胁凸显了通过持续提供安全培训和认证来跟上不断变化的威胁态势和获取必要专业技能的需求。事实上,IT 安全专业人员普遍短缺,各种学术机构和培训计划为数众多,却依然难以满足需求。网络安全是一个涵盖各个领域的复杂多学科领域,要求保持求知欲,要找到具备所有这些领域专业知识的专业人员非常困难。

最受推崇的网络安全认证可能是由国际信息系统安全认证联盟,简称 (ISC)²,颁发的注册信息系统安全专家 (CISSP) 认证。CISSP 认证是全球公认的信息安全专业人员衡量基准,要想通过此认证通常要求至少累计五年的工作经验,还要通过严格的考试。

另一个领先的网络安全培训和认证机构是 EC-Council,该机构为专业安全人员提供广泛的课程和培训,包括道德黑客认证。该计划专门教授如何使用恶意黑客的技术测试计算机系统、网络和应用的安全性。道德黑客可以通过在网络犯罪分子利用漏洞之前识别漏洞,帮助保护敏感信息和关键基础设施免受网络攻击。

计算机技术行业协会 (CompTIA) 是另一个领先的网络安全培训和认证机构。CompTIA 的 Security+ 认证是一项全球性认证,其验证的是执行核心安全功能所需的基本技能,通过认证即可从事 IT安全职业。

F5 可以提供哪些帮助

了解网络安全威胁以及减轻威胁的最佳实践,对于保护您组织的敏感信息、关键资产和基础设施至关重要。了解相关知识就能够采取积极措施,防范此类威胁和攻击,还能制定有效的风险管理和事件响应计划,让您的组织能够快速、有效地应对意外事件。这可以显著降低网络安全事件的影响,加快恢复过程。

F5 提供了一套全面的网络安全产品,可为应用、API 及其所支持的数字服务提供强大防护。这些解决方案(包括 WAF、API 安全、Bot 防御和 DDoS 缓解)可跨架构、云和生态系统集成保护应用和 API,从而在加快数字化转型和降低应用安全总成本的同时,降低风险和操作复杂性。我们的安全解决方案不仅适用于您现有数据中心、云、边缘和架构中的传统和现代应用,还适用于未来将为您的组织提供支持的传统和现代应用。