近期发生了多起重大的勒索软件攻击事件，事件导致医院和多家机构倒退回到极其低效的纸质办公时代。IT部门陷入困境，安全问题比以往任何时候都更加突出和复杂。上级管理部门对IT部门的指导要求可概括为：防患于未然，且不停机。

　　提示：如果您来这里是为了寻找“一键开启/关闭网络安全”的万能按钮，答案也许会让您失望。假如那么轻松就能找到的话，我们应该早已按下了那个按钮。正因为不简单，所以我们在这里向您推荐一套方法论，以便您有效制定网络安全策略。

　　微隔离并不是新概念，已经在LAN和WLAN上应用多年。然而，由于对所要保护的设备和应用、功能以及可使两者有效结合的架构缺乏了解，导致其推出受阻。因此，微隔离实行计划的难度等级往往被定为“太难”。

　　制定合适的微隔离策略时，要提前收集有帮助的数据。开启物联网采样分析以生成物联网设备清单报告——这对第二阶段至关重要。在网络设备支持的前提下，开启DPI（深度包检测）功能并开始收集每种终端类型的应用及其通信流量的数据——这将在第三阶段用到。如果网络设备不支持DPI，仍可以分别在LAN和WLAN上打开sFlow流量监控功能和用户行为分析功能。此外，还应启用防火墙、代理服务器和其他监控工具上的监控/日志记录。

　　1）确定业务关联性；

　　2）评估安全能力；

　　3） 辨析通信流量；

　　4） 审核安全策略合规性；

　　5） 如有必要，制定补救计划。

　　1）该设备是否有合法的业务需求？如果没有，就去除，否则会增加不必要的攻击面。

　　2）有哪些安全功能，是否支持基于证书的认证、加密等？

　　3）需要与哪些其他设备和应用通信？

　　4）是否符合密码、固件更新和其他安全策略，如果不符合，为其制定补救计划。

　　根据前几个阶段收集的信息，我们现在可以开始设计安全隔离策略。对于不同的设备和用户类型，可能要采取不同的策略。什么是正确的宏隔离策略？是VLAN、VPN、隧道吗？所需的设备或用户角色或配置文件是什么？每种设备类型所需的微隔离策略是什么？设备将如何通过网络认证？802.1x认证？MAC认证？还是将使用物联网指纹分类来代替？是否需要防火墙安全联动？

　　在该阶段，认证和安全策略以“故障时自动触发启用”但仅“记录”模式执行。这意味着未通过认证的设备仍将允许连接，突发通信流量仍将允许通过。认证和策略事件将记录一段时间，并进行调整，直到没有重大的失误记录。有了这些策略，即使在仅记录模式下，流量监控报告（第一阶段）也会更有意义，因为现在我们可以按特定角色或配置文件过滤统计数据。

　　一旦确定认证和安全策略，我们最终可以将其切换为“安全隔离”模式——任何未经认证的设备或突发通信流量都将被阻止（或隔离）并记录。