网络安全的最佳实践

强大的网络安全措施能够有效抵御来自外部和内部的威胁。当发生网络攻击时，这些措施能够确保网络的稳定性。同时，这些措施还能在保障安全与提高使用便捷性的两者之间取得平衡。此外，良好的网络安全措施也是保护企业机密的重要保障。

根据IBM的报告，平均数据泄露造成的损失从2020年的386万美元上升到了2022年的435万美元。有83%的组织报告称遭遇了多次数据泄露事件，这表明网络安全的最佳实践并不适用于所有情况。

只要制定正确的计划和政策，始终应该能够实现网络安全性。这份关于网络安全最佳实践的介绍，将为您有效保护资产免受当前各种威胁的侵害提供坚实的基础。

主要要点/核心内容

• 网络安全能够抵御各种威胁，同时还能保持企业的正常运行，其关键在于在确保系统弹性的同时，也要兼顾用户的易用性。
• 这种分层的安全模型包含物理层、技术层和管理层，能够提供全面的保护。
• 进行详细的网络审计非常重要，需要记录所有的终端设备，并检查是否存在漏洞。
• 网络分段可以创建安全区域，限制访问权限，从而有效防范威胁。
• 一个有效的数据丢失预防策略会利用诸如IDP、SDP/SDN、EDR以及IAM等工具来实施防护。
• 身份访问管理对于基于零信任原则来控制用户访问权限来说至关重要。
• 定期对员工进行与网络安全相关的培训，包括防范网络钓鱼攻击以及正确设置密码等方面的培训，能够有效减少由人为因素导致的网络安全漏洞。

网络安全的防护层

遵循网络安全最佳实践的最佳方式，就是采用分层安全模型。现代网络通常包含三层结构。每一层都有其相应的最佳实践，这些实践有助于确保网络的安全性。

物理网络安全性

这一层它涉及到诸如计算机、网络线缆、路由器、数据存储设备以及安全工具等硬件设施。就像警报器和锁一样。这一层的主要目标是防止未经授权的人员进入物理场所。常见的技术手段包括生物识别认证、身份证验证，以及使用密码或挂锁等方式来阻止未经授权的访问。

技术网络安全

技术层面的控制涉及数据处理和设备安全方面的处理工作。这些设备需要通过防病毒和防恶意软件软件来加以保护。IT团队必须确保敏感数据在静止状态下存储在隔离的容器中，同时，流动中的数据也必须被加密，以使其无法被外部人员获取。此外，还需要使用一些软件来限制对资源的访问，防止数据在网络中的横向传播。

行政网络安全

行政层面负责处理与安全性相关的事务。旨在确保安全和遵守相关法规的政策这一层主要处理与人员相关的事务。它涉及到记录用户的行为、分配权限、在员工入职或离职时进行相应的操作，以及培训员工以了解企业安全政策的具体运作方式。在这一层中，变更管理非常重要，其中包括对软件和设备基础设施的修改。

适用于您企业的网络安全最佳实践

上述提到的三层结构应当作为网络安全策略的参考依据。每一层都应有一套独立的规划流程，而整体安全策略则将这些流程整合起来，形成整个组织的统一安全理念。

但是，这个安全愿景应该包含哪些要素呢？以下是一些建议：一些网络安全的最佳实践/准则这些措施有助于提升网络安全。不过，网络环境各不相同，因此其中一些措施可能并不适用于您的情况。

进行网络基础设施的审计。

意识与可见性它们是保障网络安全的基础。因此，必须以全面的清单为基础来构建自己的安全体系。这一点至关重要。

这项审计应包括对所有终端设备的记录，包括物联网设备、本地笔记本电脑、路由器、智能手机以及用于远程工作的设备。此外，还需要对存储在网络存储上的应用程序以及组织所使用的任何云服务进行全面审计。

IT团队应检查所有连接设备的配置情况，比如端口设置、不必要的服务以及其他潜在的漏洞。此外，任何设备在建立连接时都应能够被扫描到。

这一审计流程为通过持续的威胁监控来应对内部威胁提供了坚实的基础。同时，它也为第二个推荐的最佳实践提供了依据。

2. 实施网络分段措施，以保护核心资产。

网络分段使得管理者能够……创建仅限特权用户才能访问的信任区域。

包含重要数据的数据中心可以通过“最小权限”原则，将网络流量与开放网络流量进行分离。这样，只有在实际需要时才允许访问这些数据。此外，这种分离方式还可以限制网络基础设施内部的横向移动，从而有效防止威胁的侵入。

网络分段有多种方式，比如传统的VLAN模型。不过，通过软件定义网络技术实现的微细分技术能够提供更精确的流量控制。

SDN/SDP能够隐藏基础设施是位于本地还是基于云的这一信息，从而在网络层创建了一个类似VPN的边界。网络边界是由软件来定义的，而不是由硬件来决定的。这对于那些依赖云资源的企业来说，是一种理想的解决方案。

无论您采用何种分段方式，IT团队都应能够实时获取有关威胁警报和可疑流量的信息。此外，他们还需要具备根据需要更改分段设置的能力。

3. 制定一套全面的防止数据丢失的策略。

一般来说，网络安全策略应该着眼于……预防与其试图检测这些漏洞，不如采取预防措施。以预防为主的策略需要采用多种手段来应对各种威胁，而不仅仅是依赖传统的边界防御措施，比如VPN和防火墙（不过，这些工具仍然可以作为安全防护措施的一部分）。

“纵深防御”意味着需要将加密技术应用到应用程序和云服务中。这可能需要使用多种互补的技术来实现。

• 入侵检测与预防系统（IDP）在可能出现安全漏洞的情况下，这些系统能够立即提供相关更新信息。
• 软件定义边界/软件定义网络（SDP/SDN）这些工具可以隐藏网络中的流量，使其不被外部观察者所看到，而不仅仅是在网络边缘处。
• 端点检测与响应（EDR）这些工具可以扫描连接的设备，并监控是否有恶意软件的入侵行为。
• 身份与访问管理（IAM）这些工具负责处理网络访问权限，并决定哪些用户可以在网络范围内进行访问。
  
  

同样重要的是，要清楚敏感数据被存储的位置以及这些数据是如何得到保护的。需要列出所有数据存储设备的清单，并将它们分配到相应的网络段中。如果涉及到云存储服务提供商，那么必须评估他们的可靠性，必要时还需要对其进行调整。

4. 使用身份访问管理（IAM）来管理用户的权限。

IAM工具使得安全团队能够…防止未经授权的用户访问网络资源。它们是零信任网络访问技术中的关键组成部分。这种技术的核心原则是：“永远不要信任，始终要进行验证。”

零信任访问管理涉及基于角色的用户认证。这些控制措施规定了与专业角色相关的权限，而这些权限可能会因员工的级别、项目的状态以及用户是正式员工还是承包商而有所不同。根据“最小权限”原则，用户应该只能访问他们所需的资源，而不得拥有超出这些权限的其他权限。

IAM工具还包括单点登录（SSO）门户，为网络用户提供统一的登录入口。这些工具应支持多因素认证机制，作为替代脆弱的密码登录方式的技术方案。

IAM系统可以成功地实现自动化处理。自动化能够降低人为错误的风险，比如在处理对机密数据的访问权限时。此外，自动化还能让员工或承包商的解雇流程更加便捷，从而减少那些被遗忘的账户所带来的风险。

5. 务必备份数据。

备份数据是非常重要的。在保护核心资产时，无论是客户数据库还是项目工作流程，只有 41% 的公司能够每天进行数据备份。这导致他们的安全防护措施存在很大的漏洞。

有 84% 的公司依赖云存储来进行备份工作。在这种情况下，必须为每个存储位置制定专门的云安全策略。同时，要确保容器的安全性，并且确保第三方服务提供商的可信度。

此外，请记住，备份文件本身也可能出现故障。研究表明，在恢复备份数据时，有37%的情况会导致数据无法恢复。因此，应谨慎选择可靠的存储位置，并定期测试恢复程序，以尽量减少这种风险。

6. 可以考虑使用安全的电子邮件方式来进行通信。

不安全的电子邮件通信是网络钓鱼攻击最常见的传播途径之一。大约90%的数据安全漏洞都源于会计方面的问题。一种有效的缓解措施就是要求所有内部通信都使用电子邮件签名证书或个人认证证书。

这些证书会在电子邮件中附加一个文件，该文件能够实现端到端的加密功能。有了这些证书之后，收件人就能知道所收到的邮件是真实的。而加密功能则进一步增加了安全性，从而有效保护敏感信息不被窃取。

7. 确保所有员工都接受适当的安保培训。

Verizon在2021年发布的《数据泄露调查报告》中指出，85%的数据泄露事件都是由于人为错误导致的。安保团队必须对员工进行培训。最佳实践以及违反安全政策的后果。

应制定一份全面的员工培训政策，该政策适用于所有岗位的员工，无论其职位高低。这项培训应包括反网络钓鱼意识、密码安全以及多因素身份验证的使用方法。此外，还应包含关于远程工作者和自带设备工作的员工的一般性规定。

培训人员应提醒员工使用经过验证的防病毒和防恶意软件工具。同时，必须强调一点：员工只能从合法渠道获取更新和补丁程序。

培训是一个持续的过程，而不是一次性的活动。应该定期举办复习课程和检查，以确保员工能够遵循最佳实践。培训内容应该包含实际场景的模拟练习。不要仅仅依赖选择题或讲座来传授知识。通过角色扮演等方式来模拟安全场景，是一种非常有效的学习方式。

8. 制定一份全面的事件恢复计划。

当攻击发生时，企业需要制定相关且易于执行的恢复计划。为了恢复系统的功能性和安全性。

应组建一个具有明确职责和权限的救援团队，以便在需要时迅速采取行动。该团队应该能够跨越不同部门之间的界限，将相关请求上报给最高层领导。

恢复计划应详细列出所有核心应用程序、网络设备以及相关资源，包括最近备份文件的存放位置，以及恢复系统功能的方案。这一过程还应包括对数据泄露和丢失情况的评估，以及应对这些威胁的措施。

安全管理人员可以在NIST 800-61文档中找到关于事件恢复的最佳实践指导。可以将该文档作为制定恢复计划的基础，但务必根据自身的实际需求进行调整。SANS研究所也提供了相关的恢复计划示例，这些方案对大多数组织来说都是适用的。

9. 优先处理软件更新和补丁的下载与安装工作。

公司应该拥有……关于软件更新的统一政策包括所有与网络基础设施相连的应用程序。任何延迟的更新都可能造成安全漏洞，而这些漏洞正是攻击者所寻求的目标。路由器上未打补丁的固件，或者配置不当的物联网设备，往往就足以成为攻击者的目标。

请列出所有与网络连接的应用程序，并根据其风险程度对其进行评估。在网络中使用的、具有较高价值的应用程序属于高风险类别；而由某个部门单独使用的专业设计工具则属于较低风险类别。

如果可能的话，请将同一应用程序的不同版本合并在一起，以便能够应用最新的更新。当有多个应用程序执行相同的功能时，应选择其中一个应用程序来在整个网络中使用。

IT团队可以通过自动化补丁管理来及时获取更新。应选择那些在传递补丁方面有着良好记录的供应商。并非所有软件合作伙伴都会立即通知用户。当哪怕是很小的延迟也会产生重大影响时，这一点就变得非常重要了。

10. 制定一项严密的政策，以规范第三方对数据的访问行为。

有44%的组织在2020年遭遇了数据泄露事件，其中74%的数据泄露是由第三方导致的。此外，还有60%的组织与超过1,000个第三方机构合作，因此这一统计数据并不令人惊讶。与你共事的合作伙伴，对于网络安全来说同样至关重要。作为员工。

第三方合作伙伴可能包括那些被雇佣来工作几周的自由职业者或承包商、云存储服务提供商，以及SaaS合作伙伴。在让他们或他们的产品与网络基础设施进行交互之前，必须先对安全性进行评估。

第三方风险管理计划是应对这一问题的有效方法。该计划应列出所有经过风险评估的第三方供应商的名单。在评估风险时，需要考虑数据泄露的可能性以及这种泄露可能带来的后果。

通过收集有关网络安全性能、声誉以及服务质量的信息，您可以创建出能够用于决策分析的供应商档案。自动化供应商管理可以节省时间，但在整理这些信息时需要注意细节。