加強聯網企業網路安全的6條建議

原文標題：6 Tips to Harden Network Security in a Connected Enterprise原文作者：Republished by Todd Kelly譯文出自：雲子可信官方論壇本文永久連結：https：//bbs。cloudtrust。net。cn/thread-1214-1-1。html譯者：雲子可信漢化組（本文在原文翻譯的基礎上略有修改）

加強聯網企業網路安全的6條建議

消費者的資料洩露造成的經濟損失正被大規模曝光。Facebook在歐洲因洩露3000萬用戶的賬戶可能面臨著16億美元的罰款，優步預計將為其2016年的資料洩露事件支付1。48億美元。如此嚴厲的罰款證明：即使是全球最大的企業在網路安全方面可能也很脆弱，並且現在政府對企業的網路安全負有更多責任。

撇開政府的罰款不談，專家預測，到2021年，網路犯罪分子造成的損失將達到6萬億美元。網路犯罪分子正透過日益複雜的網路攻擊進入許多人認為的安全網路中，並且隨著廣域網擴散影響到更多的人、物聯網裝置等。網路威脅的解決變得越來越具有挑戰性。

物聯網崛起

IDC預測，到2020年，將有75％的人會在行動網路環境中工作。行動網路企業將帶來一系列新的安全風險和挑戰。全球範圍內預估已經安裝了230億個物聯網裝置，網路犯罪分子可以使用這些物聯網裝置引入惡意軟體或發起拒絕服務攻擊。Gartner預測，到2020年，超過25％的網路攻擊會涉及物聯網。

安全裝置再也不能只是保護固定的網路位置。全新的廣域網環境要求安全保護能做到彈性。與依賴於物理安全性和靜態安全性基礎結構的固定邊緣網路不同，彈性邊緣網路包含人員、移動端和連線的裝置的端點，甚至包括在現場、在第三方環境中以及在移動中的車輛。重要的是員工經常可以使用不安全的個人裝置和影子技術部署（例如未經批准的檔案共享雲）從內部滲透網路。

加強網路安全性

隨著企業安全工作從固定的形態發展到靈活的形態，企業需要結合傳統和最新的辦法，以保證企業網路安全免受現在不斷演變發展的網路威脅的侵害：

（1）對員工進行網路安全教育 ——與人力資源同事合作進行網路安全培訓是一項需要持續進行的發展要求。發生重大網路安全漏洞時，網路管理員應與員工定期討論，解釋網路犯罪分子獲得網路訪問權的最新方式及其所造成的損害。作為培訓過程的一部分，IT部門可以建立模擬事件，以便員工可以直接瞭解網路釣魚攻擊的方式，並尋求幫助來識別潛在的漏洞。

（2）採取零信任文化：首先進行身份驗證，然後進行連線，然後對所有內容進行分段。——從前，裝置在進行身份驗證之前首先已連線到網路。現在，由於存在大量潛在的易受攻擊的物聯網裝置，企業應在連線到網路之前透過對裝置進行身份驗證來提高網路安全性。新增接入控制協議SDP將隱藏來自公開可見的網路連線，從而大大減少了犯罪分子可用的攻擊點。並且在每個新裝置和新使用者訪問之前，都要對它們進行身份驗證。此方法可有效抵抗大多數網路攻擊，包括分散式拒絕服務攻擊，中間人攻擊，東西向遍歷攻擊和進階持續性滲透攻擊。

（3）結合內部部署和基於雲的安全措施。——將內網與基於雲的解決方案相結合，使得網路管理員幾乎能夠在任何地方進行管理，但如果您要支援管理數百個遠端位置和數千個資訊服務亭，這還是非常困難的。基於雲的解決方案可以促進大規模配置的更改，管理遠端路由器並快速推出韌體更新。他們還可以提供接入控制協議SDP界，以建立獨立的覆蓋網路，從而將物聯網裝置放置在不同的網路上，以防止駭客使用它們來訪問主網路。

（4）使用傳輸層協議使用帶外資料遠端訪問控制。——當管理員需要訪問許可權來更改諸如遠端網路攝像機之類的裝置時，駭客可以利用開放的防火牆埠來建立足夠小又能逐步入侵併且很難被檢測到的入侵點。所以在有可能的情況下，請使用傳輸層協議使用帶外資料進行遠端訪問，而不是開放防火牆，給網路犯罪分子攻擊的可能。

（5）自動化配置管理和韌體更新。——自動化可以減少人工配置錯誤的可能，減少受到已知漏洞的影響。

（6）使用網路安全管理軟體。——雲子可信終端管理是北京啟明星辰自主研發的一款網路安全管理產品，以公有云和私有云版並行的優勢，全棧式服務大中小微型企業機構，幫助客戶全面提升其 IT 基礎設施的安全性和生產效能。提供上網行為管理、軟體禁用/解除安裝、隨身碟管控、遠端桌面、軟硬體資產統計、定時開關機、殺軟推送、指令碼執行、補丁更新、防毒軟體監測、密碼檢測等終端管理相關功能，讓企業機構的網路安全、終端安全基線以低成本高成效地方式建立起來。