數(shù)字化發(fā)展帶來的網(wǎng)絡安全挑戰(zhàn)仍在持續(xù)加劇，且嚴重影響企業(yè)數(shù)字化業(yè)務的深入開展。關注網(wǎng)絡環(huán)境，加強安全意識，提升防范技能，是每一個企業(yè)組織都必須要做好的事情。本文收集整理了10個免費的網(wǎng)絡安全防護指南，這些指南由美國國防部、美國國家安全局、英國國家網(wǎng)絡安全中心等專業(yè)機構(gòu)編制，全面涵蓋了網(wǎng)絡安全防護計劃制定、網(wǎng)絡威脅對抗策略以及實踐工作建議等主題，可以作為各種類型企業(yè)組織開展網(wǎng)絡安全建設工作的參考。

1、Cybersecurity resource and reference guide

網(wǎng)絡安全資源和參考指南

這是一份由美國國防部（DoD）編制發(fā)布的網(wǎng)絡安全指南，匯集了用于制定網(wǎng)絡安全計劃和建立強大網(wǎng)絡防護的廣泛資源，主要包括美國國防部制定的《網(wǎng)絡安全戰(zhàn)略》、《云安全戰(zhàn)略》、《NIST SP 800-39，信息安全風險管理》、《網(wǎng)絡供應鏈風險管理（SCRM）》以及歐盟委員會發(fā)布的《歐盟網(wǎng)絡安全戰(zhàn)略：開放、安全和安全的網(wǎng)絡空間》等。

在本指南中，讀者能夠找到有關美國聯(lián)邦政府、美國國防部編寫和采用的網(wǎng)絡安全規(guī)范、最佳實踐、安全合作、政策和標準，以及由政府、行業(yè)和學術(shù)界提供的國際權(quán)威機構(gòu)資源。通過這些廣泛的參考資料，可以幫助企業(yè)建立和運營可信的網(wǎng)絡系統(tǒng)，并確保信息系統(tǒng)在使用時能夠保持適當?shù)臋C密性、完整性、不可否認性和可用性。

傳送門：https://dodcio.defense.gov/Portals/0/Documents/Library/CSResourceReferenceGuide.pdf

2、Cyber Security Toolkit for Boards

董事會網(wǎng)絡安全工具包

這份工具包是由英國國家網(wǎng)絡安全中心(NCSC)編制，旨在幫助企業(yè)董事會和高級管理層在整個組織中建立網(wǎng)絡彈性和風險管理機制，幫助其做出與更廣泛的組織風險相一致的安全決策，并正確分配與業(yè)務發(fā)展需求相符合的網(wǎng)絡安全投資。

這份指南倡導企業(yè)采取主動的網(wǎng)絡安全方法，并概述了基本的安全保障措施，可以大大降低網(wǎng)絡攻擊的可能性和影響。具體來說，該指南為企業(yè)董事會和管理層提出了如下建議：

1. 將網(wǎng)絡安全嵌入到組織的日常業(yè)務運營中。

2. 建立積極的網(wǎng)絡安全文化。

3. 不斷積累網(wǎng)絡安全專業(yè)知識和能力。

4. 識別組織中的關鍵資產(chǎn)。

5. 全面了解網(wǎng)絡安全威脅。

6. 盡快開展網(wǎng)絡安全風險管理。

7. 實施有效的網(wǎng)絡安全措施。

8. 加強第三方風險管理，與您的供應鏈和合作伙伴協(xié)作。

9. 為應對可能的網(wǎng)絡安全事件做好計劃。

傳送門：https://www.ncsc.gov.uk/files/NCSC_Cyber-Security-Board-Toolkit.pdf

3、Department of Defense Cybersecurity Reference Architecture

美國國防部網(wǎng)絡安全參考架構(gòu)

這份指南是美國國防部用于指導網(wǎng)絡安全現(xiàn)代化的參考框架，旨在幫助相關機構(gòu)以”基本原則、基本組件、能力和設計模式“的方式構(gòu)建網(wǎng)絡安全架構(gòu)，更好地應對傳統(tǒng)網(wǎng)絡邊界內(nèi)外的威脅。在指南的5.0版本中，概述了用于對抗內(nèi)部和外部網(wǎng)絡威脅、確保網(wǎng)絡空間生存能力和運營彈性的原則、組件和設計模式，并增加了與推動零信任架構(gòu)采用的相關建議，能夠減少MITRE ATT&CK中所述的持久性、特權(quán)升級和橫向移動。

傳送門：https://dodcio.defense.gov/Portals/0/Documents/Library/CS-Ref-Architecture.pdf

4、Guide to Securing Remote Access Software

遠程訪問軟件安全指南

該指南由美國網(wǎng)絡安全和基礎設施安全局(CISA)、美國國家安全局(NSA)、聯(lián)邦調(diào)查局(FBI)等多家機構(gòu)聯(lián)合編寫，概述了常見的漏洞利用及其相關戰(zhàn)術(shù)、技術(shù)和程序（TTPs），能夠為組織提供了一種主動和靈活的方法來遠程監(jiān)督網(wǎng)絡、計算機和其他設備。這份指南還為IT/OT以及ICS專業(yè)人員和組織提供了關于使用遠程功能的最佳實踐建議，并給出如何識別和抵制惡意行為者濫用遠程訪問軟件的防護策略。

傳送門：https://www.cisa.gov/sites/default/files/2023-06/Guide%20to%20Securing%20Remote%20Access%20Software_clean%20Final_508c.pdf

5、Incident Response Guide: Water and Wastewater Sector

城市供水和廢水處理事件響應指南

城市供水和廢水處理（WWS）企業(yè)是重要的關鍵基礎設施保護單位，近年來，針對公共供水系統(tǒng)的網(wǎng)絡攻擊正在增加，這有可能癱瘓或污染普通民眾的日常生活用水，造成嚴重的安全后果。

2024年1月，美國網(wǎng)絡安全和基礎設施安全局（ CISA ）、美國環(huán)境保護局（ EPA ）和美國聯(lián)邦調(diào)查局（ FBI ）聯(lián)合發(fā)布了一項網(wǎng)絡安全實踐指南，包含了對WWA企業(yè)開展網(wǎng)絡安全事件響應的多個階段行動指導和建議：

· 在準備工作階段：指南要求WWS 企業(yè)組織應制定事件響應計劃，實施可用的服務和資源，以提高他們的網(wǎng)絡安全基線，并與網(wǎng)絡安全社區(qū)廣泛接觸。

· 在檢測分析階段 ：指南強調(diào)了準確及時的報告和快速的集體分析對于全面了解網(wǎng)絡事件的范圍和危害至關重要。同時，指南提供了驗證事故、報告水平、可用技術(shù)分析和支持等實用信息。

· 在遏制、消除和恢復生產(chǎn)方面： 指南要求WWS企業(yè)要提前制定網(wǎng)絡安全事件響應計劃，并確保這些計劃能夠被有效實施，而聯(lián)邦監(jiān)管機構(gòu)也會在事件發(fā)生后協(xié)調(diào)一致的信息傳遞和信息共享，并為企業(yè)提供第三方補救和緩解援助。

· 事件后的調(diào)查活動：指南強調(diào)了WWS企業(yè)要做好網(wǎng)絡安全攻擊活動的證據(jù)保留，并全面收集事件相關的活動數(shù)據(jù)，這是正確分析事件和進行經(jīng)驗總結(jié)的首要因素。

傳送門：https://www.cisa.gov/sites/default/files/2024-01/WWS-Sector_Incident-Response-Guide.pdf

6、NIST Phish Scale User Guide

NIST網(wǎng)絡釣魚檢測難度評估指南

這份指南旨在為實施網(wǎng)絡安全和網(wǎng)絡釣魚意識培訓的人員提供幫助，以評估在企業(yè)的電子郵件系統(tǒng)中檢測網(wǎng)絡釣魚攻擊的難度。指南中提供了一個網(wǎng)絡釣魚量表，主要可以在以下兩個方面幫助網(wǎng)絡釣魚意識培訓實施者：

1. 通過為目標受眾提供有關培訓消息點擊率和報告率的上下文；

2. 通過提供一種描述實際網(wǎng)絡釣魚威脅的方法，培訓實施者可以根據(jù)組織面臨的威脅類型定制培訓，從而降低組織的安全風險。

值得一提的是，本指南還附有一份工作表，以幫助培訓人員更加有效地使用釣魚量表，以及有關電子郵件特征和相關研究結(jié)果的詳細信息。

傳送門：https://nvlpubs.nist.gov/nistpubs/TechnicalNotes/NIST.TN.2276.pdf

7、Phishing guidance: Stopping the attack cycle at phase one

在網(wǎng)絡釣魚攻擊的早期阻止攻擊

這份指南由網(wǎng)絡安全和基礎設施安全局（CISA）、國家安全局（NSA）、聯(lián)邦調(diào)查局（FBI）等多家機構(gòu)聯(lián)合編寫發(fā)布，概述了惡意行為者常用的網(wǎng)絡釣魚技術(shù)，并為網(wǎng)絡防御者和軟件制造商提供了應對指導，旨在幫助企業(yè)降低網(wǎng)絡釣魚攻擊的風險和危害。

該指南還為缺乏專業(yè)IT人員進行釣魚防御的中小型企業(yè)提供了可行的防護指導建議，主要包括：用戶網(wǎng)絡釣魚意識培訓、識別網(wǎng)絡釣魚漏洞、啟用MFA、實施強密碼策略認證用戶、實現(xiàn)DNS過濾或防火墻拒絕列表、實施防病毒解決方案、實施文件限制策略、啟用安全網(wǎng)頁瀏覽策略等。

傳送門：

https://www.cisa.gov/sites/default/files/2023-10/Phishing%20Guidance%20-%20Stopping%20the%20Attack%20Cycle%20at%20Phase%20One_508c.pdf

8、#StopRansomware Guide

勒索軟件防護指南

本指南是由美國聯(lián)合勒索軟件特別工作組（JRTF）發(fā)布，提供了勒索軟件檢測、預防、響應和恢復的最佳實踐，包括兩個方面的勒索軟件防護資源：

· 勒索軟件和數(shù)據(jù)勒索預防最佳實踐；

· 勒索軟件和數(shù)據(jù)勒索響應清單；

在這份指南中提出了多項勒索軟件和數(shù)據(jù)勒索預防和響應最佳實踐和建議，都是基于CISA、MS-ISAC、國家安全局（NSA）和聯(lián)邦調(diào)查局（FBI）的實踐經(jīng)驗積累，適用于企業(yè)的IT專業(yè)人士，以及組織內(nèi)參與制定網(wǎng)絡事件響應計劃的其他相關人員。

傳送門：https://www.cisa.gov/sites/default/files/2023-10/StopRansomware-Guide-508C-v3_1.pdf

9、Using online services safely

在線服務安全使用指南

很多中小型企業(yè)組織會更多使用在線服務來完成日常任務，這無疑也擴大了組織的攻擊面。本指南是NCSC專門針對中小型企業(yè)組織制定的網(wǎng)絡安全防護指南，旨在幫助組織安全地使用在線服務，以避免淪為新型網(wǎng)絡攻擊的受害者。

在指南中，給出了具體的在線服務安全應用策略，包括：

· 選擇信譽良好的服務；

· 備份組織的關鍵數(shù)據(jù)；

· 保護公共域名；

· 創(chuàng)建單獨的用戶帳戶；

· 保護用戶帳戶；

· 保護管理帳戶；

· 保護在線帳戶免受惡意軟件侵害；

· 使用服務內(nèi)置的安全特性；

· 恢復被黑的賬戶或服務。

傳送門：https://www.ncsc.gov.uk/collection/using-online-services-safely

10、Guide for Users of C2M2 and CMMC

C2M2和CMMC用戶指南

網(wǎng)絡安全能力成熟度模型（C2M2）是美國能源部（DOE）開展的安全研究項目，關注的是與IT、OT、信息資產(chǎn)及其運行環(huán)境相關的網(wǎng)絡安全實踐的實施和管理。而網(wǎng)絡安全成熟度模型認證（CMMC）是美國國防部（DoD）推出的安全管理項目，旨在加強整個國防工業(yè)基地（DIB）的網(wǎng)絡彈性，建立通用評估標準，并幫助在國防部采購中執(zhí)行合同合規(guī)性標準。

C2M2和CMMC中描述的網(wǎng)絡安全活動有很大的重疊，都側(cè)重于旨在加強組織網(wǎng)絡安全態(tài)勢的實踐。但C2M2中的成熟度指標水平（MIL）與CMMC之間沒有直接的相關性。本指南可以幫助企業(yè)了解并履行國防部（DoD）合同義務中的網(wǎng)絡安全能力成熟度要求，并識別出那些需要滿足CMMC認證要求的相關事務。

傳送門：https://c2m2.doe.gov/C2M2%E2%80%94CMMC%20Supplemental%20Guidance.pdf

參考鏈接：https://www.helpnetsecurity.com/2024/03/11/free-cybersecurity-guides/