近期發(fā)生了多起重大的勒索軟件攻擊事件，事件導(dǎo)致醫(yī)院和多家機(jī)構(gòu)倒退回到極其低效的紙質(zhì)辦公時(shí)代。IT部門陷入困境，安全問(wèn)題比以往任何時(shí)候都更加突出和復(fù)雜。上級(jí)管理部門對(duì)IT部門的指導(dǎo)要求可概括為：防患于未然，且不停機(jī)。

　　提示：如果您來(lái)這里是為了尋找“一鍵開(kāi)啟/關(guān)閉網(wǎng)絡(luò)安全”的萬(wàn)能按鈕，答案也許會(huì)讓您失望。假如那么輕松就能找到的話，我們應(yīng)該早已按下了那個(gè)按鈕。正因?yàn)椴缓?jiǎn)單，所以我們?cè)谶@里向您推薦一套方法論，以便您有效制定網(wǎng)絡(luò)安全策略。

　　微隔離并不是新概念，已經(jīng)在LAN和WLAN上應(yīng)用多年。然而，由于對(duì)所要保護(hù)的設(shè)備和應(yīng)用、功能以及可使兩者有效結(jié)合的架構(gòu)缺乏了解，導(dǎo)致其推出受阻。因此，微隔離實(shí)行計(jì)劃的難度等級(jí)往往被定為“太難”。

　　制定合適的微隔離策略時(shí)，要提前收集有幫助的數(shù)據(jù)。開(kāi)啟物聯(lián)網(wǎng)采樣分析以生成物聯(lián)網(wǎng)設(shè)備清單報(bào)告——這對(duì)第二階段至關(guān)重要。在網(wǎng)絡(luò)設(shè)備支持的前提下，開(kāi)啟DPI（深度包檢測(cè)）功能并開(kāi)始收集每種終端類型的應(yīng)用及其通信流量的數(shù)據(jù)——這將在第三階段用到。如果網(wǎng)絡(luò)設(shè)備不支持DPI，仍可以分別在LAN和WLAN上打開(kāi)sFlow流量監(jiān)控功能和用戶行為分析功能。此外，還應(yīng)啟用防火墻、代理服務(wù)器和其他監(jiān)控工具上的監(jiān)控/日志記錄。

　　1）確定業(yè)務(wù)關(guān)聯(lián)性；

　　2）評(píng)估安全能力；

　　3） 辨析通信流量；

　　4） 審核安全策略合規(guī)性；

　　5） 如有必要，制定補(bǔ)救計(jì)劃。

　　1）該設(shè)備是否有合法的業(yè)務(wù)需求？如果沒(méi)有，就去除，否則會(huì)增加不必要的攻擊面。

　　2）有哪些安全功能，是否支持基于證書的認(rèn)證、加密等？

　　3）需要與哪些其他設(shè)備和應(yīng)用通信？

　　4）是否符合密碼、固件更新和其他安全策略，如果不符合，為其制定補(bǔ)救計(jì)劃。

　　根據(jù)前幾個(gè)階段收集的信息，我們現(xiàn)在可以開(kāi)始設(shè)計(jì)安全隔離策略。對(duì)于不同的設(shè)備和用戶類型，可能要采取不同的策略。什么是正確的宏隔離策略？是VLAN、VPN、隧道嗎？所需的設(shè)備或用戶角色或配置文件是什么？每種設(shè)備類型所需的微隔離策略是什么？設(shè)備將如何通過(guò)網(wǎng)絡(luò)認(rèn)證？802.1x認(rèn)證？MAC認(rèn)證？還是將使用物聯(lián)網(wǎng)指紋分類來(lái)代替？是否需要防火墻安全聯(lián)動(dòng)？

　　在該階段，認(rèn)證和安全策略以“故障時(shí)自動(dòng)觸發(fā)啟用”但僅“記錄”模式執(zhí)行。這意味著未通過(guò)認(rèn)證的設(shè)備仍將允許連接，突發(fā)通信流量仍將允許通過(guò)。認(rèn)證和策略事件將記錄一段時(shí)間，并進(jìn)行調(diào)整，直到?jīng)]有重大的失誤記錄。有了這些策略，即使在僅記錄模式下，流量監(jiān)控報(bào)告（第一階段）也會(huì)更有意義，因?yàn)楝F(xiàn)在我們可以按特定角色或配置文件過(guò)濾統(tǒng)計(jì)數(shù)據(jù)。

　　一旦確定認(rèn)證和安全策略，我們最終可以將其切換為“安全隔離”模式——任何未經(jīng)認(rèn)證的設(shè)備或突發(fā)通信流量都將被阻止（或隔離）并記錄。