運(yùn)營技術(shù)

如果沒有交通信號(hào)燈、大量生產(chǎn)的食物、按一下按鈕的能源或容易獲得的汽車燃料，生活會(huì)是什么樣子？

運(yùn)營技術(shù) (OT) 使所有這些事情發(fā)生，并以明顯或隱蔽的方式滲透到我們的生活中，自動(dòng)監(jiān)控和控制對于手動(dòng)操作來說太危險(xiǎn)、太苛刻或太單調(diào)的流程和設(shè)備。

OT 被定義為與物理世界交互的技術(shù)，包括工業(yè)控制系統(tǒng) (ICS)、監(jiān)控和數(shù)據(jù)采集 (SCADA) 以及分布式控制系統(tǒng) (DCS)。

IT 網(wǎng)絡(luò)安全傳統(tǒng)上關(guān)注的是信息機(jī)密性、完整性和可用性，而 OT 的優(yōu)先事項(xiàng)通常是安全性、可靠性和可用性，因?yàn)轱@然存在與 OT 故障或故障相關(guān)的物理危險(xiǎn)。許多企業(yè)都致力于為客戶提高 OT 流程效率和可靠性，這通常會(huì)增強(qiáng)與企業(yè)技術(shù)和互聯(lián)網(wǎng)的連接性。這種融合有可能增加系統(tǒng)漏洞，但可以通過采用健全的風(fēng)險(xiǎn)管理原則來解決，無論底層系統(tǒng)類型如何，這些原則都是相同的。

許多OT環(huán)境是關(guān)鍵國家基礎(chǔ)設(shè)施的一部分，因此它們控制的服務(wù)中斷可能會(huì)引起關(guān)注。

如果在部署、操作和維護(hù)企業(yè)技術(shù)時(shí)考慮到網(wǎng)絡(luò)安全，那么組織面臨的大多數(shù)網(wǎng)絡(luò)攻擊都將是無效的。本指南解釋了組織應(yīng)如何利用企業(yè)技術(shù)來阻止網(wǎng)絡(luò)攻擊。

我們所說的“企業(yè)技術(shù)”是指用于運(yùn)營組織的 IT。這包括：

• 工作人員手中的設(shè)備
• 保存和處理信息的系統(tǒng)和服務(wù)
• 將它們連接在一起的網(wǎng)絡(luò)
• 這些操作的方式

這里的建議適用于絕大多數(shù)信息。可以進(jìn)一步增強(qiáng)安全建議，但這樣做會(huì)增加成本，但幾乎沒有什么好處。

網(wǎng)絡(luò)安全企業(yè)技術(shù)原則

在制定本企業(yè)指南時(shí)，假定遵循以下原則：

• 企業(yè)技術(shù)需要明智且務(wù)實(shí)的安全性來支持  該技術(shù)的用戶。干擾用戶期望與技術(shù)交互的方式的安全性是 糟糕的安全性。
• 您做出的有關(guān)保護(hù)企業(yè)技術(shù)的決策將基于風(fēng)險(xiǎn)管理，并由正確的治理安排進(jìn)行驗(yàn)證和執(zhí)行。
• 提出的任何建議都需要進(jìn)行調(diào)整以滿足特定情況，因此應(yīng)將其視為合理的起點(diǎn)，而不是強(qiáng)制性的清單。
• 一定比例的設(shè)備在其部署壽命期間會(huì)丟失或被盜；未經(jīng)授權(quán)訪問此類設(shè)備的人不應(yīng)能夠訪問其上存儲(chǔ)的信息或該設(shè)備可以訪問的系統(tǒng)。
• 產(chǎn)品和服務(wù)在其生命周期中會(huì)發(fā)現(xiàn)漏洞；您的方法應(yīng)確保單個(gè)漏洞不會(huì)對您組織的安全造成災(zāi)難性影響。
• 您的方法不會(huì)提供針對零日攻擊的完美保護(hù)，但它將避免零日攻擊造成太大損害，并盡快緩解漏洞。
• 一定比例的網(wǎng)站和應(yīng)用程序被故意設(shè)計(jì)來欺騙用戶，或損害與他們交互的設(shè)備。期望用戶提前知道哪些應(yīng)用程序、附件、鏈接和服務(wù)不安全是不可能成功的。該方法將最大限度地減少此類事件發(fā)生的可能性，并最大限度地減少發(fā)生時(shí)造成的危害。
• 不受信任的網(wǎng)絡(luò)將被更頻繁地使用。隨著我們越來越多地使用互聯(lián)網(wǎng)和移動(dòng)網(wǎng)絡(luò)來連接服務(wù)，將辦公網(wǎng)絡(luò)視為“物理安全”鏈接不再有用。該方法將保護(hù)在設(shè)備和服務(wù)之間傳輸?shù)拿舾袛?shù)據(jù)，并保護(hù)設(shè)備和服務(wù)免受基于網(wǎng)絡(luò)的攻擊。
• 網(wǎng)絡(luò)安全緩解措施并非萬無一失；有時(shí)攻擊者 會(huì) 成功。從長遠(yuǎn)來看，采取措施確保您能夠檢測到網(wǎng)絡(luò)攻擊何時(shí)發(fā)生（并了解如何快速從中恢復(fù)）將帶來好處。

最終用戶計(jì)算

確保企業(yè)技術(shù)安全的第一步是選擇、配置和操作員工每天使用的設(shè)備。

不同的平臺(tái)（例如 Microsoft Windows 或 Apple iOS）具有不同的安全屬性，它們的配置方式也會(huì)影響它們提供的安全性。我們的最終用戶設(shè)備指南 將幫助您了解各種設(shè)備的安全屬性，并幫助您做出明智的決策。它還包括建議的配置，供您在首次部署設(shè)備時(shí)采用作為起點(diǎn)。

除了組織提供的設(shè)備之外，可能還希望允許員工使用自己的 設(shè)備來訪問某些企業(yè)服務(wù)。這稱為“自帶設(shè)備”(BYOD)。如果考慮采用 BYOD，還需要考慮一些額外的事項(xiàng)，這些內(nèi)容已包含在BYOD 指南中。

聯(lián)網(wǎng)

網(wǎng)絡(luò)的功能是將設(shè)備連接到服務(wù)。作為一般原則，網(wǎng)絡(luò)不應(yīng)該被信任。網(wǎng)絡(luò)應(yīng)被視為不可信的承載。

為了保護(hù)敏感信息，應(yīng)在設(shè)備及其上的應(yīng)用程序以及我們正在訪問的服務(wù)之間使用加密。在某些情況下，信任網(wǎng)絡(luò)可能很有用（例如將數(shù)據(jù)中心內(nèi)的遺留服務(wù)鏈接在一起）。使用物理和人員安全控制來提供這種保護(hù)。

• 如果需要保護(hù)網(wǎng)絡(luò)上兩點(diǎn)之間（例如遠(yuǎn)程工作設(shè)備和企業(yè)網(wǎng)絡(luò)之間，或兩個(gè)站點(diǎn)之間）傳輸?shù)乃袛?shù)據(jù)，我們建議使用我們的網(wǎng)絡(luò)加密指南實(shí)施 IPsec  。
• 如果需要保護(hù)一個(gè)數(shù)據(jù)流，例如從應(yīng)用程序到服務(wù)的數(shù)據(jù)流，那么傳輸層安全性 (TLS) 更合適。
• 點(diǎn)對點(diǎn)企業(yè)應(yīng)用程序可能會(huì)使用 TLS，但某些應(yīng)用程序（例如 IP 語音 (VOIP)）通常更適合使用定制解決方案，例如用于實(shí)時(shí)媒體加密的MIKEY SAKKE 。

過度依賴特定的網(wǎng)絡(luò)服務(wù)（或提供商）意味著服務(wù)問題造成中斷的風(fēng)險(xiǎn)更高，其中一些問題可能是由網(wǎng)絡(luò)安全事件引起的。

企業(yè)服務(wù)

企業(yè)服務(wù)是為企業(yè) IT 提供動(dòng)力的東西；它們是存儲(chǔ)您的數(shù)據(jù)并可供用戶進(jìn)行處理和操作的位置。我們使用該術(shù)語來涵蓋常見服務(wù)，例如電子郵件、文檔存儲(chǔ)、文件存儲(chǔ)、通信服務(wù)以及根據(jù)組織需求量身定制的業(yè)務(wù)線服務(wù)（例如內(nèi)部 Web 應(yīng)用程序、數(shù)據(jù)庫和工作流程系統(tǒng)） 。

可以選擇在內(nèi)部（在您自己的場所）或商業(yè)云環(huán)境中托管這些服務(wù)，或者跨越兩者的混合模型。在決定在哪里運(yùn)行此類服務(wù)時(shí)，安全性將是眾多考慮因素之一。

在內(nèi)部運(yùn)行服務(wù)意味著可以對其安全的各個(gè)方面負(fù)責(zé)。這可能是可取的，但取決于是否擁有必要的技能資源。使用有能力的云服務(wù)提供商意味著您可以從他們的規(guī)模和安全知識(shí)中受益。選擇云服務(wù)時(shí)，建議根據(jù)的云安全原則對其進(jìn)行評估 ，以確保了解它們將如何幫助保護(hù)信息。

安全運(yùn)營

如果不在設(shè)備、網(wǎng)絡(luò)和服務(wù)的整個(gè)部署期間維護(hù)和增強(qiáng)網(wǎng)絡(luò)安全性，那么投資于保護(hù)設(shè)備、網(wǎng)絡(luò)和服務(wù)就沒有意義。

重要的是不要將安全視為一次性事件，而是需要持續(xù)投資的事情。安全操作描述了保護(hù)組織的企業(yè)技術(shù)免受最新威脅所需的活動(dòng)，以及對發(fā)生的安全事件進(jìn)行持續(xù)監(jiān)控和管理。

防止常見網(wǎng)絡(luò)攻擊的最重要活動(dòng)是使您的企業(yè)技術(shù)保持最新狀態(tài)，并應(yīng)用最新的安全補(bǔ)丁。我們的修補(bǔ)指南可以幫助您了解修補(bǔ)的重要性以及如何確定修補(bǔ)的優(yōu)先級(jí)。

安全操作可以在內(nèi)部運(yùn)行或由第三方提供。的安全運(yùn)營指南可以幫助做出此決定，并描述了有效的運(yùn)營團(tuán)隊(duì)?wèi)?yīng)該執(zhí)行的活動(dòng)。