什么是 IT 安全？

IT 安全的范围很广，且通常涉及各种技术和安全解决方案。它们可共同解决数字设备、计算机网络、服务器、数据库和软件应用程序中的漏洞。

最常提到的 IT 安全示例包括数字安全领域，如端点安全、云安全、网络安全和应用程序安全。但 IT 安全还包括保护容纳数据和 IT 资产的建筑物和设备所需的物理安全措施，例如锁、身份证件、监控摄像头。

IT 安全经常与网络安全相混淆，后者范围较窄，在技术上属于 IT 安全的其中一部分。网络安全主要侧重于保护组织免受勒索软件、恶意软件和网络钓鱼诈骗等数字攻击。而 IT 安全服务于组织的整个技术基础架构包括硬件系统、软件应用程序和端点例如笔记本电脑和移动设备。IT 安全还可保护公司网络及其各种组件；例如，物理数据中心和基于云的数据中心。

网络攻击和安全事件可能造成巨大损失，包括业务损失、声誉受损、监管罚款，在某些情况下还会导致勒索和资产被盗。

根据 IBM® 2025 年数据泄露成本报告，全球数据泄露的平均成本为 444 万美元。其背后因素包括从通知客户、管理人员和监管机构到监管罚款、停机期间的收入损失以及永久失去客户等。

有些安全事件的代价比其他事件更高。勒索软件攻击会对组织的数据进行加密，导致系统无法使用，并要求支付昂贵的赎金，以获得解密密钥来解锁数据。越来越多的网络罪犯还要求支付第二笔赎金，以防止与公众或其他网络罪犯共享敏感数据。据 IBM 勒索软件权威指南显示，赎金要求已升至 7 到 8 位数，在极端情况下甚至高达 8 千万美元。

可以预见的是，IT 安全方面的投资将继续增加。行业分析师 Gartner® 预计未来几年市场将激增，到 2026 年将超过 2600 亿美元。

所有组织都很容易受到来自组织内外的网络威胁。这些威胁可能是故意的，例如网络罪犯所为；也可能是无意的，例如员工或承包商不小心点击恶意链接或下载恶意软件。

IT 安全旨在解决广泛的安全风险，并考虑所有类型的威胁参与者及其不同的动机、计策和技能水平。

恶意软件是一种流氓软件，它可使受感染的系统无法运行、破坏数据、窃取信息，甚至擦除对操作系统至关重要的文件。

众所周知的恶意软件类型包括：

• 勒索软件是一种锁定受害者的数据或设备并威胁将其保持锁定（或更糟）的恶意软件，除非受害者向攻击者支付赎金。根据 IBM® X-Force Threat Intelligence Index，勒索软件攻击是最常部署的恶意软件形式。
   

• 特洛伊木马是一种恶意软件，它可伪装成有用的程序或隐藏在合法软件中，诱使人们下载。远程访问特洛伊木马 (RAT) 会在受害者的设备上创建秘密后门，而植入式特洛伊木马一旦站稳脚跟，就会安装其他恶意软件。
  

• 间谍软件可秘密收集敏感信息，如用户名、密码、信用卡号码和其他个人数据，并将此类信息传回给黑客。
  

• 蠕虫病毒是一种可在应用程序与设备之间自动传播的自我复制恶意软件。

社交操纵手段常被称为“人为黑客攻击”，它操纵受害者采取暴露敏感信息、损害其组织安全或威胁其组织财务状况的行动。

网络钓鱼是最常见且最臭名昭著的社交操纵手段。网络钓鱼攻击利用欺诈性电子邮件、短信或通话来欺骗人们。这些攻击旨在诱使人们共享个人数据或访问凭据、下载恶意软件、向网络罪犯汇款或做出其他可能使其遭受网络犯罪的行为。特殊类型的网络钓鱼包括：

• 鱼叉式网络钓鱼是一种针对性很强的网络钓鱼攻击，旨在操纵特定个人，通常使用受害者公共社交媒体资料中的详细信息来使骗术更具说服力。
   

• 鲸钓是以公司高管或富裕人群为目标的鱼叉式网络钓鱼。
  

• 商业电子邮件泄露 (BEC) 是一种网络罪犯冒充高管、供应商或可信业务伙伴的骗局，它旨在诱骗受害者进行汇款或泄露敏感数据。

尾随是另一种社会工程计策，虽然技术含量不高，但对 IT 安全的威胁并不小：尾随是指跟踪（或“尾随”）有权进入数据中心的人员（例如，持有身份证明的人员），并在门禁关闭之前从他们身后潜入。

DoS 攻击通过大量欺诈性流量淹没网站、应用程序或系统，使其速度太慢而无法使用，甚至无法向合法用户提供服务。分布式拒绝服务 (DDoS) 攻击会使用僵尸网络（即由连接互联网、受恶意软件感染的设备组成的网络），以使目标应用程序或系统瘫痪或崩溃。

针对零日漏洞的利用会利用计算机软件、硬件或固件中未知或尚未解决的安全漏洞。“零日漏洞”指的是软件或设备供应商几乎没有时间来修复漏洞，因为恶意行为者已经能够利用该漏洞访问易受攻击的系统。

内部威胁来自员工、合作伙伴和其他有权访问网络的用户。无论是无意的（如第三方供应商被诱骗启动恶意软件）还是恶意的（如心怀不满的员工一心想要报复），内部威胁都具有隐患。

根据数据泄露成本报告，由恶意内部人员造成的泄露成本最高，平均成本为 492 万美元。

在中间人 (MITM) 攻击中，网络罪犯会通过网络连接进行窃听，并拦截和中继转发双方之间的消息以窃取数据。不安全的 Wi-Fi 网络是黑客发起 MITM 攻击的理想“狩猎场”。

随着网络安全威胁的严重性和复杂性不断升级，组织正在部署结合了一系列安全系统、程序和技术的 IT 安全策略。

在经验丰富的安全团队的监督下，这些 IT 安全实践和技术可帮助保护组织的整个 IT 基础架构，避免或减轻已知和未知网络威胁的影响。

由于许多网络攻击（如网络钓鱼攻击）利用了人的弱点，因此员工培训已成为抵御内部威胁的重要防线。

安全意识培训有助于员工发现安全威胁，保持安全的工作场所习惯。培训主题通常包括网络钓鱼意识、密码安全、定期更新软件的重要性以及隐私问题，例如如何保护客户数据和其他敏感信息。

除用户名和密码外，多重身份验证还要求用户提供一个或多个凭据。实施多重身份验证可防止黑客访问网络上的应用程序或数据。即使黑客能窃取或获取合法用户的用户名和密码，此身份验证仍然有效。

多重身份验证对于使用单点登录系统的组织至关重要。此类系统允许用户登录一次会话并在该会话期间访问多个相关的应用程序和服务，而无需再次登录。

事件响应（有时被称为“网络安全事件响应”）是指组织用于检测和响应网络威胁、安全漏洞或网络攻击的相关流程和技术。事件响应的目标是防患于未然，以及最大程度减少任何网络攻击造成的成本和业务中断。

很多组织制定了正式的事件响应计划 (IRP)，其中规定了用于发现、遏制和解决不同类型网络攻击的流程和安全软件。根据数据泄露成本报告，在制定并定期测试正式 IRP 的组织中，数据泄露成本比平均水平（445 万美元）低 232,008 美元。

没有任何一种安全工具可以完全防止网络攻击。尽管如此，有几种工具可以发挥作用，降低网络风险、防止网络攻击以及在发生攻击时最大程度地减少损失。

帮助检测和转移网络攻击的常见安全软件包括：

• 电子邮件安全工具，包括基于 AI 的反网络钓鱼软件、垃圾邮件过滤器和安全电子邮件网关

• 防病毒软件可以帮助消除间谍软件或恶意软件攻击者可能采取的一些行为，防止其侵入目标网络进行研究、窃听对话或控制电子邮件帐户

• 系统和软件补丁可以弥补鱼叉式网络钓鱼者经常利用的技术漏洞。

• 安全 Web 网关和其他网络过滤工具可以阻止通常与网络钓鱼电子邮件相关联的恶意网站

• 威胁检测和响应解决方案使用分析、人工智能 (AI)和自动化来帮助安全团队检测已知威胁和可疑活动。借助它们，安全团队便可采取行动来消除威胁，或最大限度地降低其影响。这些技术包括安全协调、自动化和响应 (SOAR)、安全事故和事件管理 (SIEM)、端点检测和响应 (EDR)、网络检测和响应 (NDR) 以及扩展检测和响应 (XDR)。

进攻型安全 (OffSec) 是指一系列主动安全战略，它使用的策略与恶意行为者在现实世界攻击中所用对抗计策相同，但目的是加强而不是危害网络安全。

进攻性安全行动通常由道德黑客和网络安全专家执行，他们利用自己的黑客技能来发现和修复 IT 系统漏洞。常见的进攻性安全方法包括

• 漏洞扫描 – 使用与网络罪犯相同的工具来检测和发现组织的 IT 基础架构和应用程序中可被利用的安全漏洞和薄弱环节。

• 渗透测试是指发起模拟网络攻击，以便发现计算机系统、响应工作流程和用户安全意识中存在的漏洞和薄弱环节。《支付卡行业数据安全标准》(PCI-DSS) 等数据隐私法规要求定期进行渗透测试，以作为一项合规要求。
  

• 红色测试是指授权有道德的黑客对组织发起模拟的、以目标为导向的网络攻击。

进攻型安全是对安全软件和其他防御性安全措施的补充—它可发现其他安全措施可能错过的未知网络攻击途径或载体。信息安全团队可利用它来加强防御性安全措施。

考虑到“IT 安全”、“信息安全”和“网络安全”这三个术语有很大的重叠，它们经常（也是错误地）互换使用。它们主要在适用范围上有所不同。

• 信息安全是指保护组织的数字文件和数据、纸质文档、物理介质甚至人类语音免遭未经授权的访问、披露、使用或篡改。信息安全的范围在三者中最为广泛。与 IT 安全一样，它也涉及保护物理 IT 资产和数据中心。此外，它还涉及纸质文件和其他介质存储设施的物理安全。
  
  
• 网络安全着重保护数字数据和资产免受网络威胁，包括来自外部和内部威胁参与者的恶意行为，以及粗心大意的内部人员造成的意外威胁。虽然网络安全是一项艰巨的任务，但其范围是三者中最窄的，因为它不涉及纸质或模拟数据的保护。