你可能错过的10个免费网络安全指南

无论你为小型企业、大型企业还是特定行业工作，这些指南都提供了有关网络安全最佳实践的见解、应对威胁的策略以及安全使用在线服务的建议。

本指南汇编了有关开发网络安全计划和建立强大的网络保护的美国和国际资源，它涵盖了可信的网络运营和信息系统安全材料，重点关注机密性、完整性和其他关键方面，它旨在促进安全合作，包括有关网络安全规范、最佳做法、政策和标准的信息。

NCSC的董事会工具包帮助董事会在整个组织中嵌入网络弹性和风险管理，包括其人员、系统、流程和技术，该工具包是为任何部门的大中型组织的董事会成员设计的，包括董事会、理事会/顾问委员会、非执行董事或董事会。

本指南面向寻求网络安全成熟度模型认证(CMMC)的网络安全能力成熟度模型(C2M2)用户，以履行国防部合同义务，它旨在帮助这些用户利用他们现有的C2M2体验，同时确定CMMC认证合规性所需的进一步行动。

网络安全参考架构(CSRA)概述了打击内部和外部网络威胁、确保网络空间可生存性和操作弹性的原则、组件和设计模式，CSRA是为需要访问国防部资源的实体设计的，它指导建立网络安全，促进综合威慑和战略采购规划。

这本指南由CISA、NSA、FBI、MS-ISAC和INCD编写，提供了对流行的利用及其相关策略、技术和程序(TTP)的见解，它还为IT/OT和ICS专业人员和组织提供了有关使用远程功能的最佳实践的建议，以及识别和对抗利用该软件的恶意行为者的策略。

CISA与美国环保局、联邦调查局和行业合作伙伴合作，专门为水和废水系统(WWS)行业制定了这份事故响应指南(IRG)，这一独特的IRG在整个网络事件响应生命周期中提供有关联邦角色、资源和责任的重要信息，使WWS部门所有者和运营商能够增强他们的事件响应计划和整体网络弹性。

NIST Phish Scale为那些实施网络安全和网络钓鱼意识培训的人提供了一个系统，以评估检测电子邮件中的网络钓鱼企图的难度。本指南解释了网络钓鱼级别，并提供了将其应用于网络钓鱼电子邮件的分步说明，此外，它还包括带有工作表的附录，以帮助培训人员有效地使用Phish量表，以及有关电子邮件特征和相关研究结果的详细信息。

本指南详细介绍了攻击者使用的常见网络钓鱼技术，并为网络防御者和软件制造商提供了策略，以减轻这些攻击的影响，包括凭据盗窃和恶意软件部署。认识到一些组织的资源限制，它为缺乏专门的IT员工进行持续网络钓鱼防御的中小型企业提供了具体建议。

本指南可作为组织降低勒索软件攻击风险的资源，它提供了检测、预防、响应和恢复的最佳实践，包括应对潜在威胁的详细战略，它是通过联合勒索软件工作组(JRTF)开发的，JRTF是国会在《2022年关键基础设施网络事件报告法案》(CIRCIA)中设立的一个跨部门机构。

本指南提供了安全使用在线服务的实用建议，从而降低了小型组织的网络攻击风险，它涵盖了基本的在线工具，如电子邮件、即时通讯、云存储、在线会计和发票管理、网站或在线商店托管以及社交媒体互动，这些工具对日常运营至关重要，尽管它们的使用并不总是显而易见。