網絡防護基本概念是網絡及網絡防護的關鍵一環,它應在所有網絡環境實施,包括家居、商界及互聯網。有效的網絡防護涵蓋有線及無線網絡,需要以防火牆、反惡意程式軟件、入侵偵測系統、存取管控及其他系統進行保護。
網絡防護是一個複雜的議題,牽涉到不同技術以及各種可能相當複雜的配置。
需要處理的保安問題包括網絡及網絡連接的用戶端或主機系統。網絡及用戶端共用的科技包括存取管控及加密,而單在網絡上使用的還有網絡分割及周邊保安。
網絡防護只是所有保安的一部份,通常被視為應用於保護網絡本身的裝置之上。例如防火牆就是置於路由器及交換器等網絡設置旁邊的獨立裝置,亦會裝設於可傳送及交換資訊的實體裝置的軟件上。網絡上除了防火牆,還有入侵偵測系統、入侵預防系統、虛擬私人網絡及數據外洩防護等系統。
網絡主要用來連接不同的系統,令您可以瀏覽 Amazon 網站或在網上購物。但系統端點亦需要防護,這亦被稱為用戶端防護,而需要保護的包括手提電腦、平板、手機及其他物聯網裝置。
這些物聯網裝置包括連網的恆溫器、相機、雪櫃、門鎖、燈泡、泳池抽水機、智能床墊及其他。這些裝置也需要保安管控,但並非所有裝置都精密至需要主機為基的防火牆或反惡意程式代理程式。假如端點為一個燈泡,那可能只需網絡防護就可提供足夠保護。
保安可從存取管控開始。業界一般都將存取管控定義為身份識別與存取管理(IAM)。控制存取並非新事物,自從一度門在 6000 多年前安裝第一個門鎖之後,人類已開始控制進入建築物的權限。現時存取管制的範圍包括網絡、電腦、手機、應用程式、網站及檔案。
基本上,存取管控包括 IAAA:
在 IAAA 之下,驗證可說是今天最重要的議題。在大部份系統,密碼仍是最常見的驗證方式,不過由於密碼很容易被破解,這並非一個很安全的方法。
假如密碼夠短,黑客很容易就將它破解,黑客會進行猜密碼攻擊,以嘗試不同組合的方式暴力破解密碼。他們也會用密碼破解攻擊,利用程式重新產生包含同等數值的密碼。
現時業界共有三種驗證方式或因素,包括:
最佳選擇其實是雙重認證(2FA),有時亦被稱為多重認證(MFA)。我們強烈建議您在 Amazon 或 Facebook 等個人帳號啟用多重認證。
如 Google authenticator 等應用程式是免費的,遠比在手機收到短訊作認證更好。美國國家標準暨技術研究院(NIST)已建議不要採用短訊作第二重認證。
我們亦建議在辦公室使用雙重認證,但這需要公司政策或管理層決定是否真正作出這安排,因為這視乎很多因素而定,包括資產、資料分類、風險及漏洞。
網絡區隔透過管制不同網絡間的資料流動而改善保安狀況,而這通常以虛擬區域網絡(VLAN)方式達致。亦有其他變種包括專用虛擬區域網路(PVLAN)、虛擬局域網擴展(VXLAN)及其他。虛擬區域網絡存在於資料連結層,即是開放式系統互聯模型(OSI)的第二層。大部份網絡管理員都會將 IP 子網絡指向虛擬區域網絡。
路由器會根據配置容許數據流通過虛擬區域網絡。因此,假如您需要管控,路由器的配置就非常關鍵。
另一個在雲端的選擇就是專用虛擬雲(VPC)。在專用虛擬雲出入的數據流管控也是通過配置進行。
了解雲端工作負載的商業需求對配置和管控虛擬區域網絡及專用虛擬雲的存取十分重要。
周邊保安建基於內部/可信任網絡和外部/不可信任網絡的明確定義界限。這是一個傳統的網絡設計,當時的網絡及數據中心都位於同一建築物之內。在這個配置中,路由器連接了內部及外部的網絡,而路由器內的存取控制串列(ACL)透過基本配置可以管控獲准通過的數據流。
您亦可在周邊加入防火牆、入侵偵測預防系統及入侵預防系統等保安措施。詳細資料請參考網絡防護措施網頁。
加密是保護敏感資料及通訊免被窺伺的必要工具。加密保護您的電腦硬碟、網上銀行使用時段、儲存在雲端的數據、機密電郵及其他應用程式。密碼術亦可確認資料的完整性及驗證資料來源。
兩種基本的加密方式包括對稱加密及不對稱加密。
第三個題目就是雜湊(hashing)。雖然這與加密無關,我們仍要將它加在保安討論之內。雜湊利用演算法將訊息壓縮成資料量更小、名為 Hash 的散列,而這些散列可以是資料、語音或影像。雜湊並不會改變資料的數值,相反地,加密會將資料轉變至不能閱讀的狀況。
雜湊可以證實這些散列的訊息並未有改變。它確保資料的完整性及維持在原本的格式中。只有雜湊可以保護資料免被意外改動。
假如散列被不對稱私有匙加密,就可以證明黑客並未能干擾資料。只有在私有匙被入侵的情況下,惡意的改動才會發生。
假如鑰匙未被入侵,您就會知道擁有私有匙的人士就是演算了散列的人。這鑰匙應該是對稱匙,有時亦被稱為私有匙,或是對稱私有匙。
保護經由無線網絡傳輸的資料、語音或影像是一件困難的事,無線傳輸以發送訊號的方式進行,在傳送範圍內的黑客很容易就可以攔截訊號。無線傳輸也有其加密標準,但很多時都在某一端被截斷。
加密標準包括 WEP、WPA、WPA2 及現時的 WPA3。
網絡防護有一定的複雜性,而對抗黑客也是一場永不休止的戰爭。更多資料請參考網絡防護措施網頁。
取得保安認證絕對是一件好事,無論是 CompTIA Security+ 證書課程或 System Security Certified Practitioner((ISC)2® SSCP)證書課程都是一個很好的起步點。另一個包括更多技術知識的進階管理層證書課程就是 Certified Information System Security Professional((ISC)2® CISSP)。您亦可以參加廠商的認證考試,包括 AWS、GCP 或 Azure 的雲端考試。