近期發(fā)生了多起重大的勒索軟件攻擊事件，事件導致醫(yī)院和多家機構倒退回到極其低效的紙質辦公時代。IT部門陷入困境，安全問題比以往任何時候都更加突出和復雜。上級管理部門對IT部門的指導要求可概括為：防患于未然，且不停機。

　　提示：如果您來這里是為了尋找“一鍵開啟/關閉網絡安全”的萬能按鈕，答案也許會讓您失望。假如那么輕松就能找到的話，我們應該早已按下了那個按鈕。正因為不簡單，所以我們在這里向您推薦一套方法論，以便您有效制定網絡安全策略。

　　微隔離并不是新概念，已經在LAN和WLAN上應用多年。然而，由于對所要保護的設備和應用、功能以及可使兩者有效結合的架構缺乏了解，導致其推出受阻。因此，微隔離實行計劃的難度等級往往被定為“太難”。

　　制定合適的微隔離策略時，要提前收集有幫助的數據。開啟物聯網采樣分析以生成物聯網設備清單報告——這對第二階段至關重要。在網絡設備支持的前提下，開啟DPI（深度包檢測）功能并開始收集每種終端類型的應用及其通信流量的數據——這將在第三階段用到。如果網絡設備不支持DPI，仍可以分別在LAN和WLAN上打開sFlow流量監(jiān)控功能和用戶行為分析功能。此外，還應啟用防火墻、代理服務器和其他監(jiān)控工具上的監(jiān)控/日志記錄。

　　1）確定業(yè)務關聯性；

　　2）評估安全能力；

　　3） 辨析通信流量；

　　4） 審核安全策略合規(guī)性；

　　5） 如有必要，制定補救計劃。

　　1）該設備是否有合法的業(yè)務需求？如果沒有，就去除，否則會增加不必要的攻擊面。

　　2）有哪些安全功能，是否支持基于證書的認證、加密等？

　　3）需要與哪些其他設備和應用通信？

　　4）是否符合密碼、固件更新和其他安全策略，如果不符合，為其制定補救計劃。

　　根據前幾個階段收集的信息，我們現在可以開始設計安全隔離策略。對于不同的設備和用戶類型，可能要采取不同的策略。什么是正確的宏隔離策略？是VLAN、VPN、隧道嗎？所需的設備或用戶角色或配置文件是什么？每種設備類型所需的微隔離策略是什么？設備將如何通過網絡認證？802.1x認證？MAC認證？還是將使用物聯網指紋分類來代替？是否需要防火墻安全聯動？

　　在該階段，認證和安全策略以“故障時自動觸發(fā)啟用”但僅“記錄”模式執(zhí)行。這意味著未通過認證的設備仍將允許連接，突發(fā)通信流量仍將允許通過。認證和策略事件將記錄一段時間，并進行調整，直到沒有重大的失誤記錄。有了這些策略，即使在僅記錄模式下，流量監(jiān)控報告（第一階段）也會更有意義，因為現在我們可以按特定角色或配置文件過濾統計數據。

　　一旦確定認證和安全策略，我們最終可以將其切換為“安全隔離”模式——任何未經認證的設備或突發(fā)通信流量都將被阻止（或隔離）并記錄。