1.第一等級:基礎級

圖片

優勢

可防范基本有針對性的攻擊，使攻擊者難以在網絡上推進。將生產環境與企業環境進行基本隔離。

劣勢

默認的企業網絡應被視為潛在受損。普通員工的工作站以及管理員的工作站可能受到潛在威脅，因為它們在生產網絡中具有基本和管理員訪問權限。

在這方面，任何工作站的妥協理論上都可能導致以下攻擊向量的利用。攻擊者侵入企業網絡的工作站，然后攻擊者要么提升在企業網絡中的權限，要么立即利用之前獲得的權限攻擊生產網絡。

攻擊向量保護 安裝最大數量的信息保護工具，實時監測可疑事件并立即響應。

2.第二等級:初步安全實踐

圖片

優勢

企業網絡中有更多的網絡段。 對生產網絡的主要支持基礎設施進行完全復制，如：

• 郵件中繼;
• 時間服務器;
• 其他服務(如果有)。

更安全的軟件開發。建議至少實施DSOMM1級的DevSecOps，這需要引入密碼、令牌、加密密鑰、登錄名等單獨的機密存儲，以及用于SAST、DAST、模糊測試、SCA和其他DevSecOps工具的附加服務器。在企業段的支持基礎設施出現問題時，這不會影響生產環境。對于攻擊者來說,破壞生產環境要更困難一些。

3.第三等級:高度采用安全實踐

該級別需要公司管理層(首席執行官)了解網絡安全在公司生命中的作用。信息安全風險成為公司運營風險之一。根據公司規模,信息安全部門的最小規模為15-20名員工。

圖片

優勢

實施安全服務，如：

• 安全運營中心（SIEM，IRP，SOAR，SGRC）
• 數據泄漏防護
• 釣魚保護
• 沙盒
• 入侵防護系統
• 漏洞掃描器
• 終端保護
• Web應用防火墻
• 備份服務器

劣勢

信息安全工具和信息安全專業人員的高成本。

4.第四等級:大規模高級安全實踐部署

每個生產和企業服務都有自己的網絡：一級、二級、三級。

生產環境是從隔離的計算機訪問的, 每臺隔離計算機不具有:

• 除了通過VPN從遠程公司筆記本電腦以外的任務地方進入傳入訪問。
• 出站訪問公司網絡: 無法訪問郵件服務,不可能受到魚叉式網絡釣魚的威脅; 無法訪問內部站點和服務,不可能從受感染的公司網絡下載木馬。

破壞隔離計算機的唯一方法是破壞生產環境。因此，成功入侵計算機（即使是通過網絡釣魚）也將阻止黑客訪問生產環境。

實施其他可能的安全服務，例如：

1. 特權訪問管理；
2. 內部網絡釣魚訓練服務器；
3. 合規服務器（配置評估）。

圖片

優點

實施安全服務，例如：

1. 特權訪問管理；
2. 內部網絡釣魚訓練服務器；
3. 合規服務器（配置評估）；
4. 強有力地保護生產環境免受魚叉式網絡釣魚的侵害。

現在攻擊者將無法攻擊生產網絡，因為現在企業網絡中潛在受感染的工作站基本上沒有對生產的網絡訪問權限。相關問題：

1. 用于訪問生產網絡的獨立工作站 - 是的，桌面上將有 2 臺計算機；
2. 用于生產網絡的其他 LDAP 目錄或域控制器；
3. 防火墻分析儀、網絡設備分析儀；
4. 網絡流量分析器。

缺點

現在，如果需要訪問生產網絡，桌面上將有 2 臺計算機。