构建企业网络安全防护框架：13个核心步骤与最佳实践详解

网络安全是一个持续的过程。了解如何保护网络免受恶意威胁，是企业IT建设的基石。

真正保障网络基础设施的安全是企业抵御威胁的最关键举措之一。防火墙规则、补丁管理和事件响应流程等技术和工具能够有效保护敏感数据和应用程序。具体流程会因企业而异，但从网络评估到持续改进安全措施，这套包含13个步骤的方法论适用于许多组织。

1. 评估网络

在实施任何网络安全措施或程序之前，首先需要了解网络的当前状态，包括现有的访问控制、防火墙及其规则的状态以及当前的漏洞管理程序。

审核所有访问控制
对您当前的访问控制措施进行全面审核，包括用户名、密码、通行码以及您当前设置的任何多因素身份验证。要审核所有访问控制措施，请逐一检查每个需要登录凭据或权限的应用程序或系统，并记录相关信息，包括它们是否受到密码管理器的保护。同时，也要查看您当前的密码要求；这些要求是否强制员工设置难以猜测的密码？

检查现有防火墙及防火墙规则
清点所有现有的网络防火墙及其规则。进入防火墙的管理面板，找到规则列表，并查找任何无效或不一致的规则。可能存在规则冲突，或者旧规则违反了公司新的安全策略。这也是进行防火墙初步审核的好时机；审核结果将显示防火墙运行不佳的原因，以及规则是否不再符合企业策略。

记录漏洞管理实践
在全面改造网络安全基础设施之前，请先记录所有现有的漏洞管理工具或流程。是否存在失效的工具或流程？哪些可以改进？此外，还要确定您的安全团队是否能够轻松发现并缓解漏洞，或者到目前为止，这项工作是否一直充满挑战。甚至可以向他们发送一份调查问卷，询问一些关于漏洞管理和缓解流程的问题。

2. 识别安全漏洞和弱点

识别漏洞与评估网络密不可分，因此可能需要同时执行这些步骤。为了发现企业安全中的漏洞，可以实施漏洞扫描和渗透测试等策略。

执行漏洞扫描
测试网络架构，以便了解存在的问题所在。流量测试或漏洞扫描可以检测出配置错误、未应用或应用不当的加密、弱密码以及其他常见问题，防止黑客利用这些漏洞。还可以使用漏洞扫描来检测不完善的加密密钥管理。虽然您可以手动扫描漏洞，但我建议使用软件，这样效率更高。

考虑渗透测试
漏洞扫描可以检测到常见的安全漏洞，但主动渗透测试才能确定漏洞是否构成真正的风险，或者是否可以通过其他控制措施来缓解。渗透测试还可以确定现有控制措施是否足以阻止攻击者。可以使用工具执行渗透测试，但如果聘请外部专家，可能会获得更准确的结果。请与您的安全团队负责人讨论聘请渗透测试人员的可能性。

3.实施访问控制

成功的安全措施包括限制对网络资源（例如硬件和管理软件）的访问。根据员工在特定时间需要访问的权限，为每项资源实施适当的访问控制。这些控制措施包括难以猜测的密码、Active Directory 集成、多因素身份验证、最小权限访问策略以及对云平台的访问控制。

建立强大的资质
提高密码强度要求可以增加密码复杂性，或者强制所有员工更频繁地轮换密码。密码管理器可以帮助用户满足更严格的要求，并实现集中控制。企业还可以采用单点登录 (SSO) 技术来简化对云资源的访问。

必要时使用 Active Directory
规模最小的组织可能只关注设备访问权限，也就是登录凭证——用户名和密码。但随着组织的发展，使用 Active Directory (AD) 或类似的轻量级目录访问协议 (LDAP) 工具进行正式的集中式控制，可以节省企业时间，并加快对变更请求的响应速度。实施 AD 或 LDAP 需要时间，但对大型组织来说却非常有价值。

实施多因素身份验证
随着公司规模和声誉的提升，被盗凭证造成的潜在损失也会增加，因此，不断发展的组织面临着日益增长的数据泄露风险。为了降低这种风险，许多组织采用多因素身份验证来提高安全性，尤其是在使用应用程序或令牌代替易受攻击的短信验证码时。生物识别和无密码解决方案虽然成本更高，但却是更难被欺骗的解决方案。

遵循最小权限原则进行访问
实施最小权限访问策略意味着网络和安全团队仅在员工履行职责绝对必要时才授予他们系统访问权限。过去，员工“以防万一”拥有访问权限。但这会进一步为威胁行为者和潜在的内部威胁敞开大门。务必确保只有需要访问应用程序的员工才能获得访问权限，并且根据其角色授予管理员权限或只读权限。

管理对云资源的访问
即使是规模较小的组织现在也开始使用云资源，但大多数内部网络控制措施并未扩展到托管在网络外部的资源，例如 Office 365、Google Docs 或隔离的分支机构网络。云访问安全代理 (CASB) 和安全浏览器应用程序可以提供综合解决方案来保护云端用户。
确保云账户中的每个用户都拥有适当的权限，无论他们是管理员还是仅能查看文档的用户。同时，检查所有云实例是否都未暴露在互联网上。

4. 设置防火墙

防火墙的部署流程会因网络是否已部署防火墙而有所不同，但您仍然可以将其作为尚未完成事项的检查清单。请按照以下通用流程安装防火墙、创建规则和区域，并定期测试和管理防火墙。

选择合适的防火墙类型
如果您的企业目前还没有防火墙，则需要选择一款适合网络的防火墙。小型企业可能只需要相对较小的设备，而大型企业则可能需要来自领先网络供应商的下一代防火墙。如果企业目前没有足够的资源或人员来支持本地部署防火墙，也可以考虑使用防火墙即服务 (WaaS) 。

保护防火墙
为了确保防火墙正常工作，需要创建特定的规则来指定防火墙允许和阻止哪些流量。这些规则会根据您企业的具体需求而有所不同；可以根据防火墙后的应用程序和数据，自定义规则列表，使其更加严格或更加宽松。您需要同时实施入站和出站流量规则，以限制进入网络的流量和离开网络的数据。

创建防火墙区域和IP地址
现在，将防火墙划分为需要隔离的区域，并为每个区域分配必要的接口。然后，如果防火墙资源和服务器尚未分配IP地址，则为其分配相应的IP地址。

创建访问控制列表
访问控制列表 (ACL) 决定哪些资源或用户可以访问网络。管理员可以为整个网络或特定子网指定列表。创建访问控制列表时，应将其与防火墙规则结合使用，以确保列表中的内容互不冲突；在制定接受或丢弃数据包的规则时，最好将它们并排显示。

测试配置
确保所有网络配置都正常工作。如果您屏蔽了某个网站的流量，请确保防火墙也阻止了该流量通过。同时，测试一下规则，特别是黑名单和白名单；可以连接到网络并尝试加载被屏蔽的网站。如果网站仍然可以加载，则说明黑名单没有生效。

随着时间的推移管理防火墙
防火墙需要定期检查和重新配置。还需要团队成员负责日常防火墙的维护和保养，包括根据不断变化的业务策略更新规则。为团队成员分配具体的防火墙管理任务，并制定防火墙规则审核计划。确保团队中的每位成员都清楚如何维护防火墙，并使用清晰易懂的文档进行指导。

5. 加密数据传输

加密可以直接保护整个 IT 基础架构中的资产。可以使用全盘加密保护终端，使用设置保护数据库，并使用文件或文件夹加密保护关键文件。

加密端点
对终端设备的整个硬盘或固态硬盘进行加密可以保护整个设备。此外，操作系统（例如 Windows）也提供了更改设置的选项，可以要求对特定资产或整个网络进行加密连接。还可以更改其他设置，以防止明文密码的传输或存储，并确保存储加盐密码哈希值。

加密数据库
可以对整个应用程序、按列或通过数据库引擎对数据库进行加密。不同的加密实现方式会影响数据库查询速度，因此在加密任何内容之前，请务必考虑这一点。

加密文件或文件夹
可以选择对单个文件或文件夹进行数据加密。文件级加密通常耗时更长，但允许您根据需要加密单个文件而不加密其他文件。文件夹级加密则一次性保护整个文件夹的数据，这在需要一次性保护整个静态数据文件夹时非常有用。

6. 按逻辑划分网络

发展中的组织需要允许不同类型的访问权限，但不应允许所有人访问网络中的所有内容。网络分段可以创建访客网络、隔离不安全设备的网络，甚至可以为易受攻击的物联网 (IoT)、运营技术 (OT) 设备和已知过时的技术创建独立的网络。使用虚拟局域网 (VLAN) 创建子网，并实施零信任策略，以避免用户拥有不必要的访问权限。

设置虚拟局域网
虚拟局域网 (VLAN) 将单个硬件上的网络划分成多个子网，使团队能够将网络拆分成更小的子网。VLAN的优势在于简化了网络管理流程，并提高了安全性，因为并非所有流量都流向同一目标。可以根据安全需求，将不同类型的流量指定到不同的子网。

创建子网
网络分段应根据企业实际的流量路由方式进行合理规划。例如，如果两个子网（或称子网群）在同一个网络中相邻，而其中一个子网处理外部流量，另一个子网存储敏感数据，则应在它们之间设置防火墙。此外，将类似的技术资源放在同一个子网中，也有助于实现更合理的路由。

考虑零信任
建议在整个网络基础设施中实施零信任框架。零信任结合网络分段，要求用户证明他们有权访问网络上的每个资源。零信任框架采用“永不信任，始终验证”的理念。网络上的用户必须验证他们使用应用程序或登录特定系统的权限，而不是仅仅因为绕过了防火墙就拥有所有访问权限。

7. 设置入侵检测和防御系统

入侵检测与防御系统 (IDPS) 是网络安全的核心功能之一。需要了解哪些数据流入网络，哪些数据流出网络，以及构成网络的硬件和软件是否存在任何明显的漏洞。入侵检测和入侵防御可以相对独立地运行，但它们通常会集成在安全套件中。

配置入侵检测系统
入侵检测系统 (IDS) 的主要职责是识别漏洞和攻击者。当系统中检测到恶意软件、有陌生用户登录软件或网络流量意外超出服务器负荷时，它们会向网络管理员发出警报。它们有助于检测恶意行为，但通常无法自行修复安全问题。

配置入侵防御系统
入侵防御系统不仅能监测漏洞和攻击，还能修复它们。这包括标准的补救措施，例如阻止流量或清除恶意软件。入侵检测和防御功能集成在一起时往往最为有效，这样就可以在单一平台上识别并修复问题。

8. 创建资产发现策略

未经授权的设备可以通过多种攻击手段拦截或重定向网络流量，例如将未经授权的计算机连接到网络或部署数据包嗅探器来拦截网络流量。同样，伪造的域名系统 (DNS) 地址可以将用户从合法连接重定向到危险网站。为了保护网络，请根据需要阻止或隔离资产，始终扫描资产，并禁用任何不需要的网络功能。

阻止或隔离设备
网络访问控制 (NAC) 解决方案会检测终端设备上过时或存在漏洞的软件，并将设备隔离直至修复。未经授权的设备可能会被阻止或隔离。可以通过在防火墙和服务器中添加 MAC 地址过滤或白名单来实现部分NAC功能，但维护白名单可能非常耗时。

持续扫描资产
IT资产管理 (ITAM) 工具可以扫描连接到网络的设备，并发送警报或阻止未注册的设备。组织需要验证他们尝试检测的资产类型。某些应用程序、云基础设施、网络设备或物联网 (IoT) 设备可能需要更复杂的ITAM或其他工具才能检测到。

禁用不必要的功能
防火墙中任何未使用的访问端口、不必要的远程访问（例如存储设备、打印机、路由器等）以及类似功能通常都无人监管。黑客会伺机寻找并利用这些漏洞。因此，如果这些功能不再需要，最好直接禁用它们。出于同样的原因，企业在完成设置后也应禁用通用即插即用 (UPnP) 功能，因为黑客已经找到了利用这些自动化功能加载恶意软件的方法。

9. 制定补丁管理流程

确保网络硬件和软件安全需要安全团队持续将产品更新到最新版本。这一过程包括尽快打补丁、创建补丁分配任务，以及密切关注供应商发布的安全公告。

立即修补
企业越快修复硬件和软件漏洞，攻击者利用这些漏洞的时间就越少。如果企业发现修复资源的时间有限，请调整流程和任务，将修复工作列为更高的优先级。如果部署了内置补丁管理功能的安全平台，将收到补丁提醒，这将有助于您的团队更快地修复漏洞。

分配补丁管理角色
为所有网络资源制定标准版本更新的补丁计划。补丁计划包括分配团队成员的角色，以便每个人都清楚谁负责更新每个设备和软件版本。建议创建一份简单的文档，清楚地列出每个硬件和软件的补丁负责人，以及更新的日期和时间。

监控漏洞预警和发布
有效的补丁管理策略之一是主动应对安全问题，例如监控供应商的漏洞信息以及全球行业动态。新的漏洞每周都会出现，而且通常存在于网络设备和操作系统中。越早发现问题，就能越早进行修补，从而避免零日漏洞攻击或其他类似攻击。

10. 网络监控与日志

可能无法立即识别出恶意网络流量，但通过安全信息和事件管理 (SIEM)、安全运营中心 (SOC)、托管检测和响应 (MDR) 或类似团队进行监控，或许能够发现异常行为。这些团队还可以响应警报并修复绕过自动响应的攻击。如果您想进一步分析网络上的异常行为，沙箱也是一个可行的选择。

指定监控资源和团队
网络安全行业拥有大量用于监控网络的产品和服务，如果企业领导者感到不知所措，不妨仔细了解每种产品和服务的功能：
SIEM：专注于聚合企业数据和日志，通常需要大量的监控和管理。
安全运营中心 (SOC)：通过分析师和安全人员团队（可以是公司内部人员，也可以是公司外部人员）管理日常安全运营。
端点检测与响应 (EDR)：专门针对端点设备查找和缓解安全威胁。
MDR：提供托管检测和响应服务，使企业能够受益于外部分析师的技术和见解。

响应警报
响应安全警报可能是职责，也可能是运营中心或托管服务提供商的职责。无论由谁负责，都需要明确指定每位团队成员负责警报分类流程的哪个环节。这有助于提高响应速度，并增加安全团队更有效地应对威胁的可能性。

使用沙盒
如果在网络中发现恶意软件并想了解其运行模式，可以考虑使用沙箱产品。沙箱产品可以帮助团队在安全可控的环境中观察恶意程序的运行方式。通常包含在更大型的安全套件中，例如托管检测和响应解决方案，但也可以单独购买。

11. 制定事件响应计划

无论安全团队规模大小，企业始终需要制定事件响应计划，以便应对安全事件。事件响应计划应清晰列出团队为缓解威胁而应采取的每一个步骤，并按顺序排列。事件响应计划的一些最常见特征包括可定制性、灵活的结构和完善的警报机制。

针对多种情况制定可定制方案
您可能需要不止一个版本的事件响应计划，而不仅仅是一份适用于所有情况的单一步骤清单。创建一个通用模板，然后再制定几个不同的、更具体的计划，通常是针对不同类型的安全事件定制事件响应计划的有效策略。响应措施会因漏洞或攻击的不同而有所差异，因此，针对每种情况的具体计划也会有所不同。

流程需要改变时，要保持灵活
虽然事件响应计划需要遵循一定的步骤，但也需要留有一定的灵活性，以应对流程可能需要临时变更的情况。例如，可以列出几名备用团队成员，以便在某个步骤的负责人休假或生病时接手；或者针对安全威胁提供一些不同的缓解方案，以防某个方案失效。

制定合理的预警程序
安全团队需要处理大量信息，但并非所有警报都准确无误。因此，需要制定警报分级流程，将误报与真正需要调查的问题区分开来。自动化在此发挥着重要作用——如果事件响应团队拥有能够准确判断警报优先级的软件，就能节省大量工作。

12. 对员工进行网络安全实践培训

用户仍然是安全漏洞最常见的来源之一，因为人都会犯错，而且大多数员工并非安全专家。员工培训和渗透测试是企业用来确保员工及时了解威胁的两大主要策略，但团队内部的日常沟通在保护公司安全方面也发挥着关键作用。

对团队进行安全基础知识培训
面向企业和中小企业的网络安全培训课程提供基础指导，使员工能够为整个组织的安全实践做出贡献。课程重点讲解网络钓鱼攻击、恶意软件、不安全的密码使用方法以及 U 盘等受损硬件等问题。此外，这些课程还能降低员工在遭受网络攻击时措手不及的风险。

执行渗透测试
在渗透测试场景中，内部或外部黑客会尝试入侵企业网络并找出其中的漏洞。但一些渗透测试策略也可能包含社会工程学，从而暴露员工需要培训的地方。切勿指责犯错的员工，并鼓励组织内部进行最透明的讨论。

定期沟通
不要低估频繁讨论网络安全的重要性。员工（尤其是领导者）与团队成员讨论威胁和漏洞的次数越多，就越能更好地应对这些问题。讨论安全问题还能防止员工做出不明智的决定。

13. 不断改进网络

没有绝对万无一失的安全措施。 漏洞、配置错误、人为失误以及技术娴熟的攻击者都可能导致网络和其他安全系统的漏洞。即使是最强大的安全体系和最具弹性的网络，如果缺乏维护也会崩溃。更新软件和默认凭据、禁用过时的协议以及定期进行网络安全审计，将有助于您的组织持续改进网络。

自动更新系统
通常，可以设置本地网络路由器、防火墙和其他设备自动下载新更新，以避免设备和固件出现漏洞。但是，请注意，更新期间断电或更新程序本身存在缺陷可能会导致设备故障。

更改默认凭据
路由器和其他设备通常出厂时都带有公开的默认设置和名称，但这却为黑客敞开了大门。网络管理员应更改默认路由器密码，以防止未经授权的访问。美国联邦贸易委员会 (FTC) 提供了更广泛的建议，以保护家庭 Wi-Fi 网络安全，并为办公室和消费者提供其他提示。

不要使用过时的协议
IT设备出厂时通常具备向下兼容性，但这可能存在问题，因为这意味着支持过时且危险的选项。我建议在整个生态系统中禁用不安全的协议和端口，例如 FTP 或 SMBv1，以防止未来遭受攻击。请使用网络管理控制台禁用任何您不希望网络继续使用的过时协议。

审核网络
定期对整个网络进行审计，以便持续发现潜在的漏洞和弱点。审计应涵盖硬件和软件，包括交换机、路由器、操作系统、计算机和服务器，确保它们都经过安全性和性能方面的测试和评估。

结论：网络安全是一个持续的过程

网络在用户及其计算机与他们需要访问的资产之间架起了一座桥梁。网络安全保护着这座桥梁，但为了确保安全，桥梁的每一端也必须受到安全保护，包括用户、应用程序、数据和资产的安全保障。安全策略的每个组成部分都能增强和保护整个组织，使其免受任何特定组成部分故障的影响。

IT安全团队不仅需要了解自身当前和未来的需求，还必须将这些需求清晰地传达给非技术利益相关者，以获得预算和其他支持。网络安全建设是一个动态、持续的过程，需要将评估、加固、监控和响应形成一个完整的闭环。如果你想了解更多关于安全运维与实战经验，欢迎访问 云栈社区 与同行交流探讨。