当您将网络视为由 ISO-OSI 模型的七层构成时，网络安全威胁可能发生在任何层。我们可以将这些层视为我们隐喻链中的“链接”。从用户向外移动，数据通过运行在应用层的软件输入网络。通过会话层、传输层、网络层和数据链路层并到达另一端物理层，数据返回七层以到达其预期目的地。每一层都有自己的协议和其他通信标准来管理其高效运行。那么，您可能会问，安全层在哪里？安全适用于何处？

想象一栋有七扇门的建筑。如果所有七扇门都被锁上，则该建筑物可以被认为是安全的。如果一个人没有上锁，整个建筑物都不安全。就是这么简单。除非网络的每一层都是安全的，否则就可能会发生渗透。数据可能会受到损害。泄露的数据会造成生存危险。根据 Inc. Magazine 的数据，60% 的数据受到严重威胁的企业会倒闭并且不再重生。

许多数据和网络安全产品提供商都强调“多层”安全的重要性，但这就是现实；如果安全性没有有效地嵌入到 ISO-OSI 模型的每一层中，那么沿着数据从源头到目的地的每一步，它都是易受攻击和无效的。仅与其最薄弱的环节一样安全。

Where do Cybersecurity threats happen?

从第 7 层（应用层）开始，所有 OSI-ISO 模型层都存在网络安全威胁，因为这是用户开始连接网络的地方。为了创建最全面的网络安全计划，我们实际上必须在应用层之前开始，并解决可能是整个网络中最大的漏洞——用户。用户是人，并且比计算机和其他数字设备更容易犯代价高的错误，而计算机和其他数字设备每次都以相同的方式执行相同的功能。

最好的例子可以在网络环境中最常见的恶意软件攻击或威胁之一——勒索软件中找到。欺诈者会发送一封看起来非常真实的“网络钓鱼”电子邮件，就像它真的来自它所说的地方一样。但是该电子邮件中的某处是诱使用户单击的链接或供用户打开的附件。邮件的正文内容提供了强大的诱因来促使你点击查阅。一旦这样做了，你的数据就会被加密、损坏或被盗。取回它的唯一方法是支付赎金，因此是勒索软件。

攻击者知道用户是他们获得访问权限的最佳手段。

ISO-OSI 模型每一层的威胁包括：

APPLICATION LAYER THREATS

安全软件开发商 F5 告诉我们，“应用层攻击的例子包括分布式拒绝服务攻击 (DDoS) 攻击、HTTP 洪水、SQL 注入、跨站点脚本、参数篡改和 Slowloris 攻击。为了应对这些以及更多问题，大多数组织都拥有一系列应用层安全保护，例如 Web 应用防火墙 (WAF)、安全 Web 网关服务等。” SecurityIntelligence 的团队指出，“应用层是最难防御的。这里遇到的漏洞通常依赖于复杂的用户输入场景，这些场景很难用入侵检测签名来定义。这一层也是最容易接近和最暴露于外界的。要使应用程序正常运行，它必须可以通过端口 80 (HTTP) 或端口 443 (HTTPS) 访问。”应用层的其他可能攻击包括病毒、蠕虫、网络钓鱼、键盘记录器、后门、程序逻辑缺陷、错误和特洛伊木马。

您的网络安全计划必须包括应用程序监控，这是使用一组专用算法、技术和方法来检测零日和应用程序层（第 7 层攻击）来监控软件应用程序的做法。一旦识别出这些攻击，就可以停止并追溯到特定的来源。

PRESENTATION LAYER THREATS

这一层最普遍的威胁是格式错误的 SSL 请求。 知道检查 SSL 加密数据包是资源密集型的，攻击者使用 SSL 来隧道 HTTP 攻击以针对服务器。

在您的缓解计划中包括一些选项，例如从原始基础设施卸载 SSL，并检查应用程序流量是否存在攻击流量或应用程序交付平台 (ADP) 违反策略的迹象。 一个好的 ADP 还将确保您的流量随后被重新加密并转发回源基础设施。

SESSION LAYER THREAT

DDoS 攻击者利用交换机上运行的 Telnet 服务器中的一个漏洞，使 Telnet 服务不可用。

在您计划的定期维护部分，请务必提醒运营商与您的硬件提供商联系，以确定是否有版本更新或补丁来缓解漏洞。

TRANSPORT LAYER THREATS

根据 Network World 的说法，“许多企业使用传输层安全 (TLS) 来保护其 Web 服务器和浏览器之间的所有通信，无论是否传输敏感数据。 TLS 是一种加密协议，可通过网络提供端到端通信安全性，并广泛用于互联网通信和在线交易。 它是一个 IETF 标准，旨在防止窃听、篡改和消息伪造。 采用 TLS 的常见应用程序包括 Web 浏览器、即时消息、电子邮件和 IP 语音。”

NETWORK LAYER THREATS

路由器根据第 3 层信息做出决策，因此最常见的网络层威胁通常与路由器相关，包括信息收集、嗅探、欺骗和分布式拒绝服务 (DDoS) 攻击，其中多台主机被征用以轰炸目标路由器请求达到超载且无法接受真实请求的程度。

通过始终如一地遵守路由器、防火墙和交换机配置的最佳实践，可以实现最有效的保护。在路由器本身，重要的是要不断确保路由器操作系统在所有安全补丁上都是最新的，数据包过滤保持启用，任何未使用的端口都被阻止，未使用的服务和接口被禁用。保持启用日志记录并对可能发生的任何异常活动进行定期审核。

还建议在您的网络和所有不受信任的网络之间放置防火墙。始终使用所有已发布的安全补丁使防火墙保持最新，启用数据包过滤并保持启用日志记录，以便您可以审核任何异常情况。

您网络上的任何交换机也必须使用所有安全补丁进行更新，并禁用任何未使用的接口或服务。确保所有交换机流量均已加密。

DATA-LINK LAYER THREATS

思科解释说：“数据链路层提供跨物理链路的可靠数据传输。数据链路层关注物理而非逻辑寻址、网络拓扑、网络访问、错误通知、帧的有序传递和流量控制。帧级漏洞利用和漏洞包括嗅探、欺骗、广播风暴以及不安全或不存在虚拟 LAN（VLAN，或缺少 VLAN）。配置错误或故障的网络接口卡 (NIC) 可能会导致网段或整个网络出现严重问题。”

大多数经历过地址解析协议 (ARP) 欺骗、媒体访问控制 (MAC) 泛滥或克隆、端口窃取、动态主机配置协议 (DHCP) 攻击、基于第 2 层的广播或拒绝服务攻击的公司都立即专注于改进港口安全。他们还配置交换机以限制可以响应 DHCP 请求的端口、实施静态 ARP 并安装入侵检测系统 (IDS)。

PHYSICAL LAYER THREATS

让任何网络安全专业人员定义网络在哪里，他们会指出“墙上的电线”。他们所说的是，将所有东西连接在一起的铜缆和光纤电缆创建了其他所有东西都使用的实际网络。这一层的大多数威胁涉及在网络节点之间传输的电信号的中断，包括物理切割电缆、带来可能导致短路的洪水的自然灾害或其他人为破坏行为。

许多公司通过将多个电路引入互联网来缓解这些故障。应该注意的是，在反铲挖出所有载波电路运行的关键角落之前，这种方法效果很好，从而禁用了所有多条路径。许多灾难的后果说明了优越的策略是将所有网络核心元素（如服务器和存储）放置在多个冗余云数据中心。如果主要的运营商电缆被切断，只有用户会受到影响，他们可以切换到无线接入或其他位置，直到维修完成。