运营技术如果没有交通信号灯、大量生产的食物、按一下按钮的能源或容易获得的汽车燃料，生活会是什么样子？运营技术 (OT) 使所有这些事情发生，并以明显或隐蔽的方式渗透到我们的生活中，自动监控和控制对于手动操作来说太危险、太苛刻或太单调的流程和设备。OT 被定义为与物理世界交互的技术，包括工业控制系统 (ICS)、监控和数据采集 (SCADA) 以及分布式控制系统 (DCS)。IT 网络安全传统上关注的是信息机密性、完整性和可用性，而 OT 的优先事项通常是安全性、可靠性和可用性，因为显然存在与 OT 故障或故障相关的物理危险。许多企业都致力于为客户提高 OT 流程效率和可靠性，这通常会增强与企业技术和互联网的连接性。这种融合有可能增加系统漏洞，但可以通过采用健全的风险管理原则来解决，无论底层系统类型如何，这些原则都是相同的。许多OT环境是关键国家基础设施的一部分，因此它们控制的服务中断可能会引起关注。如果在部署、操作和维护企业技术时考虑到网络安全，那么组织面临的大多数网络攻击都将是无效的。本指南解释了组织应如何利用企业技术来阻止网络攻击。我们所说的“企业技术”是指用于运营组织的 IT。这包括：工作人员手中的设备保存和处理信息的系统和服务将它们连接在一起的网络这些操作的方式这里的建议适用于绝大多数信息。可以进一步增强安全建议，但这样做会增加成本，但几乎没有什么好处。网络安全企业技术原则在制定本企业指南时，假定遵循以下原则：企业技术需要明智且务实的安全性来支持  该技术的用户。干扰用户期望与技术交互的方式的安全性是 糟糕的安全性。您做出的有关保护企业技术的决策将基于风险管理，并由正确的治理安排进行验证和执行。提出的任何建议都需要进行调整以满足特定情况，因此应将其视为合理的起点，而不是强制性的清单。一定比例的设备在其部署寿命期间会丢失或被盗；未经授权访问此类设备的人不应能够访问其上存储的信息或该设备可以访问的系统。产品和服务在其生命周期中会发现漏洞；您的方法应确保单个漏洞不会对您组织的安全造成灾难性影响。您的方法不会提供针对零日攻击的完美保护，但它将避免零日攻击造成太大损害，并尽快缓解漏洞。一定比例的网站和应用程序被故意设计来欺骗用户，或损害与他们交互的设备。期望用户提前知道哪些应用程序、附件、链接和服务不安全是不可能成功的。该方法将最大限度地减少此类事件发生的可能性，并最大限度地减少发生时造成的危害。不受信任的网络将被更频繁地使用。随着我们越来越多地使用互联网和移动网络来连接服务，将办公网络视为“物理安全”链接不再有用。该方法将保护在设备和服务之间传输的敏感数据，并保护设备和服务免受基于网络的攻击。网络安全缓解措施并非万无一失；有时攻击者 会 成功。从长远来看，采取措施确保您能够检测到网络攻击何时发生（并了解如何快速从中恢复）将带来好处。最终用户计算确保企业技术安全的第一步是选择、配置和操作员工每天使用的设备。不同的平台（例如 Microsoft Windows 或 Apple iOS）具有不同的安全属性，它们的配置方式也会影响它们提供的安全性。我们的最终用户设备指南 将帮助您了解各种设备的安全属性，并帮助您做出明智的决策。它还包括建议的配置，供您在首次部署设备时采用作为起点。除了组织提供的设备之外，可能还希望允许员工使用自己的 设备来访问某些企业服务。这称为“自带设备”(BYOD)。如果考虑采用 BYOD，还需要考虑一些额外的事项，这些内容已包含在BYOD 指南中。联网网络的功能是将设备连接到服务。作为一般原则，网络不应该被信任。网络应被视为不可信的承载。为了保护敏感信息，应在设备及其上的应用程序以及我们正在访问的服务之间使用加密。在某些情况下，信任网络可能很有用（例如将数据中心内的遗留服务链接在一起）。使用物理和人员安全控制来提供这种保护。如果需要保护网络上两点之间（例如远程工作设备和企业网络之间，或两个站点之间）传输的所有数据，我们建议使用我们的网络加密指南实施 IPsec  。如果需要保护一个数据流，例如从应用程序到服务的数据流，那么传输层安全性 (TLS) 更合适。点对点企业应用程序可能会使用 TLS，但某些应用程序（例如 IP 语音 (VOIP)）通常更适合使用定制解决方案，例如用于实时媒体加密的MIKEY SAKKE 。过度依赖特定的网络服务（或提供商）意味着服务问题造成中断的风险更高，其中一些问题可能是由网络安全事件引起的。企业服务企业服务是为企业 IT 提供动力的东西；它们是存储您的数据并可供用户进行处理和操作的位置。我们使用该术语来涵盖常见服务，例如电子邮件、文档存储、文件存储、通信服务以及根据组织需求量身定制的业务线服务（例如内部 Web 应用程序、数据库和工作流程系统） 。可以选择在内部（在您自己的场所）或商业云环境中托管这些服务，或者跨越两者的混合模型。在决定在哪里运行此类服务时，安全性将是众多考虑因素之一。在内部运行服务意味着可以对其安全的各个方面负责。这可能是可取的，但取决于是否拥有必要的技能资源。使用有能力的云服务提供商意味着您可以从他们的规模和安全知识中受益。选择云服务时，建议根据的云安全原则对其进行评估 ，以确保了解它们将如何帮助保护信息。安全运营如果不在设备、网络和服务的整个部署期间维护和增强网络安全性，那么投资于保护设备、网络和服务就没有意义。重要的是不要将安全视为一次性事件，而是需要持续投资的事情。安全操作描述了保护组织的企业技术免受最新威胁所需的活动，以及对发生的安全事件进行持续监控和管理。防止常见网络攻击的最重要活动是使您的企业技术保持最新状态，并应用最新的安全补丁。我们的修补指南可以帮助您了解修补的重要性以及如何确定修补的优先级。安全操作可以在内部运行或由第三方提供。的安全运营指南可以帮助做出此决定，并描述了有效的运营团队应该执行的活动。>>>等级保护<<<开启等级保护之路：GB 17859网络安全等级保护上位标准回看等级保护：重要政策规范性文件43号文（上）网络安全等级保护实施指南培训PPT网络安全等级保护安全物理环境测评培训PPT网络安全等级保护：等级保护测评过程要求PPT网络安全等级保护：安全管理中心测评PPT网络安全等级保护：安全管理制度测评PPT网络安全等级保护：定级指南与定级工作PPT网络安全等级保护：云计算安全扩展测评PPT网络安全等级保护：工业控制安全扩展测评PPT网络安全等级保护：移动互联安全扩展测评PPT网络安全等级保护：第三级网络安全设计技术要求整理汇总网络安全等级保护：等级测评中的渗透测试应该如何做网络安全等级保护：等级保护测评过程及各方责任网络安全等级保护：政务计算机终端核心配置规范思维导图网络安全等级保护：什么是等级保护？网络安全等级保护：信息技术服务过程一般要求网络安全等级保护：浅谈物理位置选择测评项闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载闲话等级保护：什么是网络安全等级保护工作的内涵？闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求闲话等级保护：测评师能力要求思维导图闲话等级保护：应急响应计划规范思维导图闲话等级保护：浅谈应急响应与保障闲话等级保护：如何做好网络总体安全规划闲话等级保护：如何做好网络安全设计与实施闲话等级保护：要做好网络安全运行与维护闲话等级保护：人员离岗管理的参考实践信息安全服务与信息系统生命周期的对应关系>>>工控安全<<<工业控制系统安全：信息安全防护指南工业控制系统安全：工控系统信息安全分级规范思维导图工业控制系统安全：DCS防护要求思维导图工业控制系统安全：DCS管理要求思维导图工业控制系统安全：DCS评估指南思维导图工业控制安全：工业控制系统风险评估实施指南思维导图工业控制系统安全：安全检查指南思维导图（内附下载链接）工业控制系统安全：DCS风险与脆弱性检测要求思维导图去年针对工业组织的勒索软件攻击增加了一倍工业安全远程访问渐增引发企业担心工业控制系统安全：工控系统信息安全分级规范（思维导图）有效保卫工业控制系统的七个步骤>>>数据安全<<<数据治理和数据安全数据安全风险评估清单成功执行数据安全风险评估的3个步骤美国关键信息基础设施数据泄露的成本备份：网络和数据安全的最后一道防线数据安全：数据安全能力成熟度模型数据安全知识：什么是数据保护以及数据保护为何重要？信息安全技术：健康医疗数据安全指南思维导图金融数据安全：数据安全分级指南思维导图金融数据安全：数据生命周期安全规范思维导图>>>供应链安全<<<美国政府为客户发布软件供应链安全指南OpenSSF 采用微软内置的供应链安全框架供应链安全指南：了解组织为何应关注供应链网络安全供应链安全指南：确定组织中的关键参与者和评估风险供应链安全指南：了解关心的内容并确定其优先级供应链安全指南：为方法创建关键组件供应链安全指南：将方法整合到现有供应商合同中供应链安全指南：将方法应用于新的供应商关系供应链安全指南：建立基础，持续改进。思维导图：ICT供应链安全风险管理指南思维导图英国的供应链网络安全评估>>>其他<<<网络安全十大安全漏洞网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图网络安全等级保护：应急响应计划规范思维导图安全从组织内部人员开始VMware 发布9.8分高危漏洞补丁影响2022 年网络安全的五个故事2023年的4大网络风险以及如何应对网络安全知识：物流业的网络安全网络安全知识：什么是AAA（认证、授权和记账）？美国白宫发布国家网络安全战略开源代码带来的 10 大安全和运营风险不能放松警惕的勒索软件攻击10种防网络钓鱼攻击的方法Mozilla通过发布Firefox 111修补高危漏洞Meta 开发新的杀伤链理论最佳CISO如何提高运营弹性5年后的IT职业可能会是什么样子？累不死的IT加班人：网络安全倦怠可以预防吗？网络风险评估是什么以及为什么需要低代码/无代码开发对安全性和生产力的影响源代码泄漏是新的威胁软件供应商应该关心的吗？在2023年实施的9项数据安全策略乌克兰是俄美网络战的“试验场”网络安全知识：什么是日志留存？公安部公布十大典型案例