近期發(fā)生了多起重大的勒索軟件攻擊事件，事件導致醫院和多家機構倒退回到極其低效的紙質(zhì)辦公時(shí)代。IT部門(mén)陷入困境，安全問(wèn)題比以往任何時(shí)候都更加突出和復雜。上級管理部門(mén)對IT部門(mén)的指導要求可概括為：防患于未然，且不停機。

　　提示：如果您來(lái)這里是為了尋找“一鍵開(kāi)啟/關(guān)閉網(wǎng)絡(luò )安全”的萬(wàn)能按鈕，答案也許會(huì )讓您失望。假如那么輕松就能找到的話(huà)，我們應該早已按下了那個(gè)按鈕。正因為不簡(jiǎn)單，所以我們在這里向您推薦一套方法論，以便您有效制定網(wǎng)絡(luò )安全策略。

　　微隔離并不是新概念，已經(jīng)在LAN和WLAN上應用多年。然而，由于對所要保護的設備和應用、功能以及可使兩者有效結合的架構缺乏了解，導致其推出受阻。因此，微隔離實(shí)行計劃的難度等級往往被定為“太難”。

　　制定合適的微隔離策略時(shí)，要提前收集有幫助的數據。開(kāi)啟物聯(lián)網(wǎng)采樣分析以生成物聯(lián)網(wǎng)設備清單報告——這對第二階段至關(guān)重要。在網(wǎng)絡(luò )設備支持的前提下，開(kāi)啟DPI（深度包檢測）功能并開(kāi)始收集每種終端類(lèi)型的應用及其通信流量的數據——這將在第三階段用到。如果網(wǎng)絡(luò )設備不支持DPI，仍可以分別在LAN和WLAN上打開(kāi)sFlow流量監控功能和用戶(hù)行為分析功能。此外，還應啟用防火墻、代理服務(wù)器和其他監控工具上的監控/日志記錄。

　　1）確定業(yè)務(wù)關(guān)聯(lián)性；

　　2）評估安全能力；

　　3） 辨析通信流量；

　　4） 審核安全策略合規性；

　　5） 如有必要，制定補救計劃。

　　1）該設備是否有合法的業(yè)務(wù)需求？如果沒(méi)有，就去除，否則會(huì )增加不必要的攻擊面。

　　2）有哪些安全功能，是否支持基于證書(shū)的認證、加密等？

　　3）需要與哪些其他設備和應用通信？

　　4）是否符合密碼、固件更新和其他安全策略，如果不符合，為其制定補救計劃。

　　根據前幾個(gè)階段收集的信息，我們現在可以開(kāi)始設計安全隔離策略。對于不同的設備和用戶(hù)類(lèi)型，可能要采取不同的策略。什么是正確的宏隔離策略？是VLAN、VPN、隧道嗎？所需的設備或用戶(hù)角色或配置文件是什么？每種設備類(lèi)型所需的微隔離策略是什么？設備將如何通過(guò)網(wǎng)絡(luò )認證？802.1x認證？MAC認證？還是將使用物聯(lián)網(wǎng)指紋分類(lèi)來(lái)代替？是否需要防火墻安全聯(lián)動(dòng)？

　　在該階段，認證和安全策略以“故障時(shí)自動(dòng)觸發(fā)啟用”但僅“記錄”模式執行。這意味著(zhù)未通過(guò)認證的設備仍將允許連接，突發(fā)通信流量仍將允許通過(guò)。認證和策略事件將記錄一段時(shí)間，并進(jìn)行調整，直到?jīng)]有重大的失誤記錄。有了這些策略，即使在僅記錄模式下，流量監控報告（第一階段）也會(huì )更有意義，因為現在我們可以按特定角色或配置文件過(guò)濾統計數據。

　　一旦確定認證和安全策略，我們最終可以將其切換為“安全隔離”模式——任何未經(jīng)認證的設備或突發(fā)通信流量都將被阻止（或隔離）并記錄。