美国国家安全局(NSA)已确定构成良好IT安全系统的三个基本功能。根据NSA的介绍，这些功能至关重要，可防止93%的网络事件。而NetCraftsmen确定了另外四个步骤，这些步骤与NSA的三个步骤相结合，可为构建全面的安全系统奠定坚实的基础。

企业应该部署多因素身份验证，例如双因素身份验证(2FA)，而不只是使用密码。2FA依靠用户知道的东西(密码)和他们拥有的东西(物理设备，例如安全令牌生成器或电话)。其他机制还依靠生物识别等因素。

短信验证已成为2FA的流行机制。在登录期间，通过短信或电话将安全代码发送到手机。用户输入安全代码以完成登录验证。如果攻击者接管手机账户或号码，这种类型的验证可能受到攻击，因此不适合高度安全的帐户。

部署基于角色的访问控制，仅当某个人的职能或角色必须访问资源时，才提供访问权限。例如，人力资源员工将不需要访问会计功能。通过限制访问权限，受攻击的员工帐户将无法访问该角色所需范围之外的功能和数据。

随着IT安全变得越来越重要，几乎所有产品都具有基于角色的访问安全控制。这应该是产品选择的关键标准。美国国家标准协会还有这方面的标准，在《ANSI InterNational Committee for Information Technology Standards 359-2004》和《INCITS 359-2012》中有详细说明。

网络曾经是开放的，唯一执行的过滤是拒绝某些连接。而允许列表颠覆了这种模式。仅允许应用程序功能所需的那些连接和数据流;而阻止所有其他连接。这里的目的是减少安全泄漏事故在整个企业中横向传播的机会。

安全团队应配置过滤系统，以记录或日志记录建立连接的失败尝试。应将这些警报视为陷阱绊线，可能将团队引诱到受感染的帐户或系统。安全信息和事件管理可以帮助管理来自过滤系统的大量事件。

安全团队必须努力修复已知漏洞，并部署解决办法。正如NSA所提到的，零日攻击很少发生，大多数网络安全漏洞是由于未打补丁的系统而引起。企业必须对应用程序、服务器操作系统和网络基础结构进行定期更新。安全团队将需要流程和人员来跟踪更新，并需要配置管理系统来推动更新。

网络分段的目的是防止自动化恶意软件在业务功能之间横向扩散。企业可将网络根据功能进行分段，各段之间的访问受限。例如，设施基础设施网络没有理由访问HR或会计等业务功能。对于业务分段之间的任何访问，安全团队应使用应用程序允许列表(请参见上面的第3步)。

最常见的入侵是勒索软件，而成功的广泛攻击可能会严重打击企业。系统备份可以降低这种攻击的大部分风险，但前提是确保备份本身不会受到攻击。安全团队必须精心设计其备份系统以确保安全，因为攻击者在触发企业数据加密前，会监视IT系统长达数周。

与勒索软件攻击一样，自然灾难同样具有破坏性，并且备份应存储在不同位置，而不会遭受同一自然灾害影响。企业可以研究其他企业如何处理自然灾害以及如何从自然灾害中恢复过来，以了解有效的方法和无效的方法。

最后的安全步骤是教育员工。使用反网络钓鱼活动对员工进行培训，让员工了解有关入侵和欺诈的电子邮件。一种常见的攻击方法是诱使员工点击电子邮件中已感染恶意软件的笑话、图片或视频。欺诈性电子邮件会诱骗员工(通常是财务职位)进行欺诈性的转账。某些员工角色可能需要其他针对特定工作的培训。

培训已被证明是可行的。这种培训应该强调过去的经验教训，并包括新的攻击机制。培训的另一个好处是，员工在其个人生活中可更好地做好准备避免遭受此类攻击。

好的IT系统依赖于人员、流程以及技术和工具的适当平衡。以上七个步骤主要关注人员和流程。为了获得平衡的安全基础，企业可以使用“网络防御矩阵”来评估安全工具。

原文来自：https://netsecurity.51cto.com/art/202102/646481.htm

本文地址：https://www.linuxprobe.com/nsa-netcraftsmen.html编辑：xiangping wu，审核员：逄增宝

Linux命令大全：https://www.linuxcool.com/

Linux系统大全：https://www.linuxdown.com/

红帽认证RHCE考试心得：https://www.rhce.net/