以网络安全为导向开发企业技术

企业如何利用企业技术来阻止网络攻击。

如果企业在部署、运营和维护技术时充分考虑网络安全，那么大多数网络攻击都将无法奏效。本指南阐述了企业应如何运用企业技术来抵御网络攻击。

所谓“企业技术”，指的是用于运营贵组织的IT系统。这包括：

• 工作人员手中的设备
• 存储和处理信息的系统和服务
• 将它们连接起来的网络
• 这些操作方式

这里的建议适用于绝大多数信息。您可以进一步增强安全建议，但这会增加成本，而收益却微乎其微。 

我们建议小型企业使用信息专员办公室提供的优秀信息安全指南，并采用网络安全基础认证。

网络安全企业技术原则

在制定本企业指导原则时，假定遵循以下原则：

• 企业技术需要合理且务实的安全措施，以支持 技术用户 。任何干扰用户与技术交互方式的安全措施都是 糟糕的安全措施。
• 您在保障企业技术安全方面所做的决策将基于风险管理，并通过正确的治理安排进行验证和执行。
• 任何建议都需要根据具体情况进行调整，因此应将其视为合理的起点，而不是强制性的清单。
• 一定比例的设备在其部署期间会丢失或被盗；未经授权访问此类设备的人不应能够访问存储在设备上的信息或该设备可以访问的系统。
• 产品和服务在其生命周期中都会发现漏洞；您的方法应该确保单个漏洞不会对贵组织的安全造成灾难性后果。
• 你的方法虽然不能完美地抵御零日攻击，但可以避免零日攻击造成过大的危害，并能尽快缓解漏洞。
• 一部分网站和应用程序的设计目的在于欺骗用户，或损害与其交互的设备。指望用户事先知道哪些应用程序、附件、链接和服务不安全是不现实的。这种方法可以最大限度地降低此类事件发生的概率，并在事件发生时最大限度地减少损害。
• 我们将更频繁地使用不受信任的网络。随着我们越来越多地使用互联网和移动网络连接各种服务，将办公网络视为“物理安全”链路已不再适用。这种方法可以保护敏感数据在设备和服务之间传输时的安全，并保护设备和服务免受网络攻击。
• 网络安全缓解措施并非万无一失；攻击者偶尔 也会 得逞。采取措施确保您能够检测到网络攻击（并知道如何快速恢复），从长远来看将大有裨益。

终端用户计算

保障企业技术安全的第一步是选择、配置和操作员工每天使用的设备。

不同的平台（例如 Microsoft Windows 或 Apple iOS）具有不同的安全特性，其配置方式也会影响其安全性。我们的 终端用户设备指南 将帮助您了解各种设备的安全特性，并帮助您做出明智的决策。指南中还包含一些推荐配置，供您在首次部署设备时作为起点。

除了公司提供的设备外，您可能还希望允许员工使用自己的 设备 访问部分企业服务。这被称为“自带设备办公”（BYOD）。如果您正在考虑采用 BYOD，还有一些其他事项需要考虑，这些内容在我们的BYOD 指南中均有介绍 。

联网

网络的功能是将设备连接到各种服务。一般来说，网络本身不应被信任。网络应被视为一个不受信任的承载网络。

为了保护敏感信息，设备之间、设备上的应用程序之间以及我们访问的服务之间都应使用加密。在某些情况下，信任网络是有用的（例如，将数据中心内的旧服务连接起来）。应使用物理和人员安全控制措施来提供这种保护。

• 如果您需要保护网络上两点之间传输的所有数据（例如远程工作设备和企业网络之间，或两个站点之间），我们建议您实施 IPsec，并参考我们的 网络加密指南。
• 如果您需要保护一个数据流，例如从应用程序到服务的数据流，那么传输层安全 (TLS) 更合适。
• 点对点企业应用程序可以使用 TLS，但某些应用程序（例如 VoIP）通常更适合使用定制解决方案，例如  用于实时媒体加密的MIKEY SAKKE 。

过度依赖某个特定的网络服务（或提供商）意味着服务中断的风险更高，而其中一些服务中断可能是由网络安全事件引起的。

企业服务

企业服务是支撑企业 IT 运行的关键所在；它们是存储数据并供用户处理和操作的地方。我们用这个术语来涵盖常见的服务，例如电子邮件、文档存储、文件存储、通信服务，以及根据组织需求定制的业务线服务（例如内部 Web 应用程序、数据库和工作流系统）。

您可以选择将这些服务托管在公司内部（您自己的办公场所）、商业云环境或两者兼具的混合模式下。在决定这些服务的运行位置时，安全性是众多需要考虑的因素之一。

在公司内部运行服务意味着您需要承担所有安全责任。这固然理想，但前提是您必须具备必要的技能和资源。而使用专业的云服务提供商则能让您受益于他们的规模和安全知识。在选择云服务时，我们建议您根据我们的 云安全原则对其进行评估，以确保您了解他们将如何帮助您保护信息安全。

安全行动

如果你不在整个部署期间维护和加强设备的网络安全，那么投资保护设备、网络和服务就毫无意义。

安全不应被视为一次性事件，而应视为需要持续投入的事项。安全运营涵盖了为保护企业技术免受最新威胁而开展的各项活动，以及对已发生的安全事件进行持续监控和管理。

预防常见网络攻击最重要的措施是保持企业技术更新，并在安全补丁发布后立即应用。我们的 补丁指南 可以帮助您了解其重要性以及如何确定补丁的优先级。

安全运营可以由公司内部自行开展，也可以由第三方提供。我们的 安全运营指南 可以帮助您做出决定，并详细介绍了高效运营团队应开展的各项活动。