數字化發展帶來的網絡安全挑戰仍在持續加劇，且嚴重影響企業數字化業務的深入開展。關注網絡環境，加強安全意識，提升防范技能，是每一個企業組織都必須要做好的事情。本文收集整理了10個免費的網絡安全防護指南，這些指南由美國國防部、美國國家安全局、英國國家網絡安全中心等專業機構編制，全面涵蓋了網絡安全防護計劃制定、網絡威脅對抗策略以及實踐工作建議等主題，可以作為各種類型企業組織開展網絡安全建設工作的參考。

1、網絡安全資源和參考指南Cybersecurity resource and reference guide

這是一份由美國國防部(DoD)編制發布的網絡安全指南，匯集了用于制定網絡安全計劃和建立強大網絡防護的廣泛資源，主要包括美國國防部制定的《網絡安全戰略》、《云安全戰略》、《NIST SP 800-39，信息安全風險管理》、《網絡供應鏈風險管理(SCRM)》以及歐盟委員會發布的《歐盟網絡安全戰略：開放、安全和安全的網絡空間》等。

在本指南中，讀者能夠找到有關美國聯邦政府、美國國防部編寫和采用的網絡安全規范、最佳實踐、安全合作、政策和標準，以及由政府、行業和學術界提供的國際權威機構資源。通過這些廣泛的參考資料，可以幫助企業建立和運營可信的網絡系統，并確保信息系統在使用時能夠保持適當的機密性、完整性、不可否認性和可用性。

2、董事會網絡安全工具包Cyber Security Toolkit for Boards

這份工具包是由英國國家網絡安全中心(NCSC)編制，旨在幫助企業董事會和高級管理層在整個組織中建立網絡彈性和風險管理機制，幫助其做出與更廣泛的組織風險相一致的安全決策，并正確分配與業務發展需求相符合的網絡安全投資。

這份指南倡導企業采取主動的網絡安全方法，并概述了基本的安全保障措施，可以大大降低網絡攻擊的可能性和影響。具體來說，該指南為企業董事會和管理層提出了如下建議：

1. 將網絡安全嵌入到組織的日常業務運營中。

2. 建立積極的網絡安全文化。

3. 不斷積累網絡安全專業知識和能力。

4. 識別組織中的關鍵資產。

5. 全面了解網絡安全威脅。

6. 盡快開展網絡安全風險管理。

7. 實施有效的網絡安全措施。

8. 加強第三方風險管理，與您的供應鏈和合作伙伴協作。

9. 為應對可能的網絡安全事件做好計劃。

3、美國國防部網絡安全參考架構Department of Defense Cybersecurity Reference Architecture

這份指南是美國國防部用于指導網絡安全現代化的參考框架，旨在幫助相關機構以”基本原則、基本組件、能力和設計模式“的方式構建網絡安全架構，更好地應對傳統網絡邊界內外的威脅。在指南的5.0版本中，概述了用于對抗內部和外部網絡威脅、確保網絡空間生存能力和運營彈性的原則、組件和設計模式，并增加了與推動零信任架構采用的相關建議，能夠減少MITRE ATT&CK中所述的持久性、特權升級和橫向移動。

4、遠程訪問軟件安全指南Guide to Securing Remote Access Software

該指南由美國網絡安全和基礎設施安全局(CISA)、美國國家安全局(NSA)、聯邦調查局(FBI)等多家機構聯合編寫，概述了常見的漏洞利用及其相關戰術、技術和程序(TTPs)，能夠為組織提供了一種主動和靈活的方法來遠程監督網絡、計算機和其他設備。這份指南還為IT/OT以及ICS專業人員和組織提供了關于使用遠程功能的最佳實踐建議，并給出如何識別和抵制惡意行為者濫用遠程訪問軟件的防護策略。

5、城市供水和廢水處理事件響應指南Incident Response Guide: Water and Wastewater Sector

城市供水和廢水處理(WWS)企業是重要的關鍵基礎設施保護單位，近年來，針對公共供水系統的網絡攻擊正在增加，這有可能癱瘓或污染普通民眾的日常生活用水，造成嚴重的安全后果。

2024年1月，美國網絡安全和基礎設施安全局( CISA )、美國環境保護局( EPA )和美國聯邦調查局( FBI )聯合發布了一項網絡安全實踐指南，包含了對WWA企業開展網絡安全事件響應的多個階段行動指導和建議：

· 在準備工作階段：指南要求WWS 企業組織應制定事件響應計劃，實施可用的服務和資源，以提高他們的網絡安全基線，并與網絡安全社區廣泛接觸。

· 在檢測分析階段 ：指南強調了準確及時的報告和快速的集體分析對于全面了解網絡事件的范圍和危害至關重要。同時，指南提供了驗證事故、報告水平、可用技術分析和支持等實用信息。

· 在遏制、消除和恢復生產方面： 指南要求WWS企業要提前制定網絡安全事件響應計劃，并確保這些計劃能夠被有效實施，而聯邦監管機構也會在事件發生后協調一致的信息傳遞和信息共享，并為企業提供第三方補救和緩解援助。

· 事件后的調查活動：指南強調了WWS企業要做好網絡安全攻擊活動的證據保留，并全面收集事件相關的活動數據，這是正確分析事件和進行經驗總結的首要因素。

6、NIST網絡釣魚檢測難度評估指南NIST Phish Scale User Guide

這份指南旨在為實施網絡安全和網絡釣魚意識培訓的人員提供幫助，以評估在企業的電子郵件系統中檢測網絡釣魚攻擊的難度。指南中提供了一個網絡釣魚量表，主要可以在以下兩個方面幫助網絡釣魚意識培訓實施者：

1. 通過為目標受眾提供有關培訓消息點擊率和報告率的上下文;

2. 通過提供一種描述實際網絡釣魚威脅的方法，培訓實施者可以根據組織面臨的威脅類型定制培訓，從而降低組織的安全風險。

值得一提的是，本指南還附有一份工作表，以幫助培訓人員更加有效地使用釣魚量表，以及有關電子郵件特征和相關研究結果的詳細信息。

7、在網絡釣魚攻擊的早期阻止攻擊Phishing guidance: Stopping the attack cycle at phase one

這份指南由網絡安全和基礎設施安全局(CISA)、國家安全局(NSA)、聯邦調查局(FBI)等多家機構聯合編寫發布，概述了惡意行為者常用的網絡釣魚技術，并為網絡防御者和軟件制造商提供了應對指導，旨在幫助企業降低網絡釣魚攻擊的風險和危害。

該指南還為缺乏專業IT人員進行釣魚防御的中小型企業提供了可行的防護指導建議，主要包括：用戶網絡釣魚意識培訓、識別網絡釣魚漏洞、啟用MFA、實施強密碼策略認證用戶、實現DNS過濾或防火墻拒絕列表、實施防病毒解決方案、實施文件限制策略、啟用安全網頁瀏覽策略等。

8、勒索軟件防護指南#StopRansomware Guide

本指南是由美國聯合勒索軟件特別工作組(JRTF)發布，提供了勒索軟件檢測、預防、響應和恢復的最佳實踐，包括兩個方面的勒索軟件防護資源：

· 勒索軟件和數據勒索預防最佳實踐;

· 勒索軟件和數據勒索響應清單;

在這份指南中提出了多項勒索軟件和數據勒索預防和響應最佳實踐和建議，都是基于CISA、MS-ISAC、國家安全局(NSA)和聯邦調查局(FBI)的實踐經驗積累，適用于企業的IT專業人士，以及組織內參與制定網絡事件響應計劃的其他相關人員。

9、在線服務安全使用指南Using online services safely

很多中小型企業組織會更多使用在線服務來完成日常任務，這無疑也擴大了組織的攻擊面。本指南是NCSC專門針對中小型企業組織制定的網絡安全防護指南，旨在幫助組織安全地使用在線服務，以避免淪為新型網絡攻擊的受害者。

在指南中，給出了具體的在線服務安全應用策略，包括：

· 選擇信譽良好的服務;

· 備份組織的關鍵數據;

· 保護公共域名;

· 創建單獨的用戶帳戶;

· 保護用戶帳戶;

· 保護管理帳戶;

· 保護在線帳戶免受惡意軟件侵害;

· 使用服務內置的安全特性;

· 恢復被黑的賬戶或服務。

10、C2M2和CMMC用戶指南Guide for Users of C2M2 and CMMC

網絡安全能力成熟度模型(C2M2)是美國能源部(DOE)開展的安全研究項目，關注的是與IT、OT、信息資產及其運行環境相關的網絡安全實踐的實施和管理。而網絡安全成熟度模型認證(CMMC)是美國國防部(DoD)推出的安全管理項目，旨在加強整個國防工業基地(DIB)的網絡彈性，建立通用評估標準，并幫助在國防部采購中執行合同合規性標準。

C2M2和CMMC中描述的網絡安全活動有很大的重疊，都側重于旨在加強組織網絡安全態勢的實踐。但C2M2中的成熟度指標水平(MIL)與CMMC之間沒有直接的相關性。本指南可以幫助企業了解并履行國防部(DoD)合同義務中的網絡安全能力成熟度要求，并識別出那些需要滿足CMMC認證要求的相關事務。