数字化发展带来的网络安全挑战仍在持续加剧，且严重影响企业数字化业务的深入开展。关注网络环境，加强安全意识，提升防范技能，是每一个企业组织都必须要做好的事情。本文收集整理了10个免费的网络安全防护指南，这些指南由美国国防部、美国国家安全局、英国国家网络安全中心等专业机构编制，全面涵盖了网络安全防护计划制定、网络威胁对抗策略以及实践工作建议等主题，可以作为各种类型企业组织开展网络安全建设工作的参考。

1 Cybersecurity resource and reference guide

网络安全资源和参考指南

这是一份由美国国防部（DoD）编制发布的网络安全指南，汇集了用于制定网络安全计划和建立强大网络防护的广泛资源，主要包括美国国防部制定的《网络安全战略》、《云安全战略》、《NIST SP 800-39，信息安全风险管理》、《网络供应链风险管理（SCRM）》以及欧盟委员会发布的《欧盟网络安全战略：开放、安全和安全的网络空间》等。

在本指南中，读者能够找到有关美国联邦政府、美国国防部编写和采用的网络安全规范、最佳实践、安全合作、政策和标准，以及由政府、行业和学术界提供的国际权威机构资源。通过这些广泛的参考资料，可以帮助企业建立和运营可信的网络系统，并确保信息系统在使用时能够保持适当的机密性、完整性、不可否认性和可用性。

传送门：

https://dodcio.defense.gov/Portals/0/Documents/Library/CSResourceReferenceGuide.pdf

2 Cyber Security Toolkit for Boards

董事会网络安全工具包

这份工具包是由英国国家网络安全中心(NCSC)编制，旨在帮助企业董事会和高级管理层在整个组织中建立网络弹性和风险管理机制，帮助其做出与更广泛的组织风险相一致的安全决策，并正确分配与业务发展需求相符合的网络安全投资。

这份指南倡导企业采取主动的网络安全方法，并概述了基本的安全保障措施，可以大大降低网络攻击的可能性和影响。具体来说，该指南为企业董事会和管理层提出了如下建议：

1. 将网络安全嵌入到组织的日常业务运营中。

2. 建立积极的网络安全文化。

3. 不断积累网络安全专业知识和能力。

4. 识别组织中的关键资产。

5. 全面了解网络安全威胁。

6. 尽快开展网络安全风险管理。

7. 实施有效的网络安全措施。

8. 加强第三方风险管理，与您的供应链和合作伙伴协作。

9. 为应对可能的网络安全事件做好计划。

传送门：

https://www.ncsc.gov.uk/files/NCSC_Cyber-Security-Board-Toolkit.pdf

3 Department of Defense Cybersecurity Reference Architecture

美国国防部网络安全参考架构

这份指南是美国国防部用于指导网络安全现代化的参考框架，旨在帮助相关机构以”基本原则、基本组件、能力和设计模式“的方式构建网络安全架构，更好地应对传统网络边界内外的威胁。在指南的5.0版本中，概述了用于对抗内部和外部网络威胁、确保网络空间生存能力和运营弹性的原则、组件和设计模式，并增加了与推动零信任架构采用的相关建议，能够减少MITRE ATT&CK中所述的持久性、特权升级和横向移动。

传送门：

https://dodcio.defense.gov/Portals/0/Documents/Library/CS-Ref-Architecture.pdf

4 Guide to Securing Remote Access Software

远程访问软件安全指南

该指南由美国网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)、联邦调查局(FBI)等多家机构联合编写，概述了常见的漏洞利用及其相关战术、技术和程序（TTPs），能够为组织提供了一种主动和灵活的方法来远程监督网络、计算机和其他设备。这份指南还为IT/OT以及ICS专业人员和组织提供了关于使用远程功能的最佳实践建议，并给出如何识别和抵制恶意行为者滥用远程访问软件的防护策略。

传送门：

https://www.cisa.gov/sites/default/files/2023-06/Guide%20to%20Securing%20Remote%20Access%20Software_clean%20Final_508c.pdf

5 Incident Response Guide: Water and Wastewater Sector

城市供水和废水处理事件响应指南

城市供水和废水处理（WWS）企业是重要的关键基础设施保护单位，近年来，针对公共供水系统的网络攻击正在增加，这有可能瘫痪或污染普通民众的日常生活用水，造成严重的安全后果。

2024年1月，美国网络安全和基础设施安全局（ CISA ）、美国环境保护局（ EPA ）和美国联邦调查局（ FBI ）联合发布了一项网络安全实践指南，包含了对WWA企业开展网络安全事件响应的多个阶段行动指导和建议：

· 在准备工作阶段：指南要求WWS 企业组织应制定事件响应计划，实施可用的服务和资源，以提高他们的网络安全基线，并与网络安全社区广泛接触。

· 在检测分析阶段 ：指南强调了准确及时的报告和快速的集体分析对于全面了解网络事件的范围和危害至关重要。同时，指南提供了验证事故、报告水平、可用技术分析和支持等实用信息。

· 在遏制、消除和恢复生产方面： 指南要求WWS企业要提前制定网络安全事件响应计划，并确保这些计划能够被有效实施，而联邦监管机构也会在事件发生后协调一致的信息传递和信息共享，并为企业提供第三方补救和缓解援助。

· 事件后的调查活动：指南强调了WWS企业要做好网络安全攻击活动的证据保留，并全面收集事件相关的活动数据，这是正确分析事件和进行经验总结的首要因素。

传送门：

https://www.cisa.gov/sites/default/files/2024-01/WWS-Sector_Incident-Response-Guide.pdf

6 NIST Phish Scale User Guide

NIST网络钓鱼检测难度评估指南

这份指南旨在为实施网络安全和网络钓鱼意识培训的人员提供帮助，以评估在企业的电子邮件系统中检测网络钓鱼攻击的难度。指南中提供了一个网络钓鱼量表，主要可以在以下两个方面帮助网络钓鱼意识培训实施者：

1. 通过为目标受众提供有关培训消息点击率和报告率的上下文；

2. 通过提供一种描述实际网络钓鱼威胁的方法，培训实施者可以根据组织面临的威胁类型定制培训，从而降低组织的安全风险。

值得一提的是，本指南还附有一份工作表，以帮助培训人员更加有效地使用钓鱼量表，以及有关电子邮件特征和相关研究结果的详细信息。

传送门：

https://nvlpubs.nist.gov/nistpubs/TechnicalNotes/NIST.TN.2276.pdf

7 Phishing guidance: Stopping the attack cycle at phase one

在网络钓鱼攻击的早期阻止攻击

这份指南由网络安全和基础设施安全局（CISA）、国家安全局（NSA）、联邦调查局（FBI）等多家机构联合编写发布，概述了恶意行为者常用的网络钓鱼技术，并为网络防御者和软件制造商提供了应对指导，旨在帮助企业降低网络钓鱼攻击的风险和危害。

该指南还为缺乏专业IT人员进行钓鱼防御的中小型企业提供了可行的防护指导建议，主要包括：用户网络钓鱼意识培训、识别网络钓鱼漏洞、启用MFA、实施强密码策略认证用户、实现DNS过滤或防火墙拒绝列表、实施防病毒解决方案、实施文件限制策略、启用安全网页浏览策略等。

传送门：

https://www.cisa.gov/sites/default/files/2023-10/Phishing%20Guidance%20-%20Stopping%20the%20Attack%20Cycle%20at%20Phase%20One_508c.pdf

8 #StopRansomware Guide

勒索软件防护指南

本指南是由美国联合勒索软件特别工作组（JRTF）发布，提供了勒索软件检测、预防、响应和恢复的最佳实践，包括两个方面的勒索软件防护资源：

· 勒索软件和数据勒索预防最佳实践；

· 勒索软件和数据勒索响应清单；

在这份指南中提出了多项勒索软件和数据勒索预防和响应最佳实践和建议，都是基于CISA、MS-ISAC、国家安全局（NSA）和联邦调查局（FBI）的实践经验积累，适用于企业的IT专业人士，以及组织内参与制定网络事件响应计划的其他相关人员。

传送门：

https://www.cisa.gov/sites/default/files/2023-10/StopRansomware-Guide-508C-v3_1.pdf

9 Using online services safely

在线服务安全使用指南

很多中小型企业组织会更多使用在线服务来完成日常任务，这无疑也扩大了组织的攻击面。本指南是NCSC专门针对中小型企业组织制定的网络安全防护指南，旨在帮助组织安全地使用在线服务，以避免沦为新型网络攻击的受害者。

在指南中，给出了具体的在线服务安全应用策略，包括：

· 选择信誉良好的服务；

· 备份组织的关键数据；

· 保护公共域名；

· 创建单独的用户帐户；

· 保护用户帐户；

· 保护管理帐户；

· 保护在线帐户免受恶意软件侵害；

· 使用服务内置的安全特性；

· 恢复被黑的账户或服务。

传送门：

https://www.ncsc.gov.uk/collection/using-online-services-safely

10 Guide for Users of C2M2 and CMMC

C2M2和CMMC用户指南

网络安全能力成熟度模型（C2M2）是美国能源部（DOE）开展的安全研究项目，关注的是与IT、OT、信息资产及其运行环境相关的网络安全实践的实施和管理。而网络安全成熟度模型认证（CMMC）是美国国防部（DoD）推出的安全管理项目，旨在加强整个国防工业基地（DIB）的网络弹性，建立通用评估标准，并帮助在国防部采购中执行合同合规性标准。

C2M2和CMMC中描述的网络安全活动有很大的重叠，都侧重于旨在加强组织网络安全态势的实践。但C2M2中的成熟度指标水平（MIL）与CMMC之间没有直接的相关性。本指南可以帮助企业了解并履行国防部（DoD）合同义务中的网络安全能力成熟度要求，并识别出那些需要满足CMMC认证要求的相关事务。

传送门：

https://c2m2.doe.gov/C2M2%E2%80%94CMMC%20Supplemental%20Guidance.pdf

参考链接：

10 free cybersecurity guides you might have missed