中小企业安全策略与基线

中小企业安全架构：基于国际标准的治理、基线与柯克霍夫原则的实践

1. 执行摘要

本报告为面向2025年技术环境的中小企业（SME）提供了一套综合性的安全策略与网络基础设施安全基线。鉴于中小企业在资源、专业技术和威胁情报方面的固有局限性，本基线摒弃了传统的、依赖边界防御的安全模型。取而代之，本报告确立了一个基于“治理优先”和“零信任”原则的现代防御架构。

该策略的核心是将安全责任从中小企业（作为技术消费者）转移到技术制造商。这通过严格执行美国国家标准与技术研究院（NIST）网络安全框架2.0（CSF 2.0）中的“治理（Govern）”职能来实现，特别是网络安全供应链风险管理（C-SCRM）和采纳CISA的“默认安全（Secure by Design）”原则。

本基线建立在NIST SP 800-207（零信任架构）的架构原则之上，并强制要求在身份和访问管理中采用抗网络钓鱼的开放标准，即FIDO2（用于服务访问）和EAP-TLS 1.3（用于网络访问）。终端安全基线依赖于Microsoft和Apple等供应商发布的最新安全指南（例如Windows 11 25H2），这些指南强调了移除遗留协议（如NetBIOS）的重要性。网络和数据安全基线强制要求使用最新的IETF和NIST标准，包括TLS 1.3 (RFC 8446)、AES (FIPS 197)、FIPS 140-3，以及用于勒索软件恢复的不可变备份（CISA #StopRansomware Guide）和基于CSF 2.0的现代事件响应（NIST SP 800-61r3）。

最后，本报告论证了，在2025年的威胁环境中，这种完全依赖开放、透明、可验证的国际标准的做法，是“柯克霍夫原则（Kerckhoffs’s Principle）”——即“敌人了解系统”——的唯一可行实践。中小企业必须放弃“安全靠保密”的幻想，转而构建一个其安全性仅依赖于强密钥（Passkeys）和强身份验证的防御体系。

2. 核心基线 (一)：治理 (NIST CSF 2.0 与 CISA Secure by Design)

中小企业安全策略的起点必须是治理，而非技术实施。NIST网络安全框架2.0（CSF 2.0）于2024年发布，其关键演进是为所有组织——无论规模、行业或成熟度——提供了管理网络安全风险的分类法，不再局限于关键基础设施 1。

2.1 “治理 (Govern)” 职能的中心地位

CSF 2.0最重大的变更是增加了“治理 (Govern)”职能 2。该职能被置于框架的中心，用以强调组织的整体网络安全风险管理策略、期望和政策的建立和监控 3。对于资源有限的中小企业而言，“治理”是其实现安全的最重要杠杆。它将安全从技术问题提升到组织风险管理问题 3。

2.2 治理即供应链风险管理 (C-SCRM)

“治理”职能的一个关键类别是“网络安全供应链风险管理 (Cybersecurity Supply Chain Risk Management, C-SCRM)” (GV.SC) 3。这要求中小企业必须识别、管理和监控其供应商带来的风险 3。

NIST SP 800-161r1（2024年11月更新版）为实施C-SCRM提供了权威指南 5。该标准指导组织在整个供应链中识别、评估和缓解网络安全风险，并将C-SCRM整合到多层次的风险管理活动中，包括制定C-SCRM策略、计划和对产品/服务的风险评估 6。

2.3 将治理付诸实践：CISA“默认安全”原则

中小企业实施C-SCRM和“治理”职能的最有效工具，是采纳美国网络安全与基础设施安全局（CISA）倡导的“默认安全 (Secure by Design, SbD)”原则。SbD的核心是将网络安全的负担从消费者（中小企业）转移到软件制造商 8。

中小企业必须在采购（治理）阶段就强制执行SbD原则，拒绝采购“默认不安全”的产品。例如，制造商必须将多因素认证（MFA）和安全日志记录等关键安全功能作为基础产品提供，而不应作为需要额外付费的“奢侈”选项 8。

2.4 CISA 内存安全路线图

作为SbD原则的深化，CISA、NSA、FBI及国际合作伙伴联合发布了《内存安全路线图案例》10。该指南敦促制造商转向内存安全编程语言（MSLs），如Rust、Go、Java、Swift和Python 14，以消除整个类别的内存安全漏洞（例如缓冲区溢出、释放后使用）15。

中小企业无法在技术上与攻击者抗衡，但可以在“治理”上形成非对称优势。攻击者依赖中小企业生态位的普遍脆弱性（如默认配置、未修补的软件）。通过在“治理”层面（即采购合同和供应商问责）严格执行C-SCRM 6 和SbD 8 要求，中小企业能将其安全基线外包给（并强制于）更有能力承担安全责任的大型软件制造商。

表格 1：中小企业的CSF 2.0“治理”职能行动清单

3. 核心基线 (二)：架构原则 (NIST ZTA 与 CISA ZTMM)

中小企业必须采用零信任架构（ZTA）作为网络设计的核心原则。ZTA并非一个产品，而是一种架构理念。

声明 3.1 (NIST ZTA定义)：根据NIST SP 800-207，ZTA的重点是保护资源（资产、服务、工作流等），而不是网络分段。网络位置不再被视为资源安全状况的主要组成部分 16。

声明 3.2 (NIST ZTA 2023 进展)：NIST SP 800-207a（2023年9月）进一步明确，ZTA的实现需要一个能够执行细粒度应用级策略的平台，该平台由API网关、Sidecar代理和应用身份基础设施（如SPIFFE）组成，以适应混合云和多云环境 18。

声明 3.3 (CISA ZTMM)：CISA 零信任成熟度模型 v2.0（2023年4月）为中小企业提供了从“传统”向“最佳”ZTA迁移的实施路线图 19。该模型包含五个支柱和三个跨领域能力 21。

声明 3.4 (中小企业的ZTA起点)：中小企业应首先关注CISA ZTMM中的“身份 (Identity)”和“设备 (Device)”两大支柱。

声明 3.5 (身份支柱)：中小企业应（至少）达到“初始 (Initial)”阶段，即开始定义企业范围的身份策略，并使用静态技术机制（如MFA）和手动审查来执行访问控制 23。

声明 3.6 (设备支柱)：中小企业应（至少）达到“初始 (Initial)”阶段，即拥有手动维护的设备清单，并开始使用移动设备管理（MDM）解决方案来实施部分策略。

传统的“城堡-护城河”安全模型要求中小企业必须拥有一个“可信”的内部网络。然而，中小企业的扁平网络、BYOD（自带设备）和云服务（SaaS）使其“内部”概念早已瓦解。NIST SP 800-207 16 明确承认“网络不可信”，这恰好是中小企业的现实。因此，ZTA对中小企业不是负担，而是“解放”。它允许中小企业跳过昂贵且无效的边界防御投资，直接跃迁到更契合其云原生和移动办公模式的、以身份和设备为核心的现代安全模型。

4. 核心基线 (三)：身份与访问 (FIDO2 与 EAP-TLS 1.3)

在ZTA架构中，身份是新的边界。中小企业必须消除“可网络钓鱼”的身份验证方式（即密码），转而采用基于公钥加密的强身份验证标准。

声明 4.1 (服务访问：FIDO2)：中小企业必须采用FIDO2标准（由W3C WebAuthn + FIDO CTAP组成）作为访问关键服务（SaaS、Web应用）的身份验证基线 24。

声明 4.2 (FIDO2的机制)：FIDO2使用标准公钥加密技术，通过“Passkeys”（密钥对）提供抗网络钓鱼的身份验证 26。Passkeys与特定服务域绑定，防止用户在欺诈网站上使用。生物识别信息（如果使用）永远不会离开用户设备 26。

声明 4.3 (FIDO2的组件)：

WebAuthn：一个W3C标准API，已内置于所有现代浏览器和平台中 24。

CTAP2：允许使用外部认证器（如FIDO安全密钥、移动设备）通过USB、NFC或BLE实现无密码体验 24。

声明 4.4 (网络访问：EAP-TLS 1.3)：中小企业的Wi-Fi和有线网络接入（802.1X）必须放弃基于密码的协议（如PEAP-MSCHAPv2），转而采用基于证书的EAP-TLS。

声明 4.5 (EAP-TLS 1.3 标准)：必须采用IETF RFC 9190（2022年2月）规定的EAP-TLS 1.3 29。该标准强制要求使用TLS 1.3，具备前向保密性（通过临时的ECDHE密钥交换实现）29，并且必须进行证书吊销检查（推荐使用OCSP Stapling）。

声明 4.6 (EAP-TLS 1.3 隧道)：对于其他基于TLS的EAP隧道协议（如EAP-TTLS、PEAP、EAP-FAST），也必须升级其内部TLS握手至1.3版本，以符合IETF RFC 9427（2023年6月）的规定 31。

表格 2：中小企业身份验证基线：矢量与标准 (2025)

5. 核心基线 (四)：终端与操作系统 (Microsoft & Apple Baselines)

ZTA的“设备”支柱依赖于可信的终端。中小企业的责任不是创建安全系统，而是强制执行由操作系统供应商（Microsoft, Apple）提供的“默认安全”基线。

声明 5.1 (Windows 11 25H2 基线)：中小企业应采用Microsoft Security Compliance Toolkit中的Windows 11 Version 25H2（2025年H2发布）安全基线 33。

声明 5.2 (Windows 25H2 关键变更)：2025年的Windows基线核心价值在于“做减法”——即移除遗留风险。这些是长期存在但难以移除的“技术债”，是勒索软件攻击者的核心依赖。

弃用旧协议：必须在所有网络适配器上禁用NetBIOS名称解析 33。WDigest身份验证被移除（默认禁用）33。

限制遗留应用：必须禁用“通过COM自动化启动Internet Explorer 11” 33。

增强审计：增强的NTLM审计功能在25H2中默认开启，以提高对遗留身份验证的可见性 33。

日志记录：必须启用“在进程创建事件中包含命令行”，以增强威胁检测能力 33。

声明 5.3 (Apple 平台安全)：中小企业应采用《Apple Platform Security Guide》（2024年5月/2025年更新）作为macOS、iOS和iPadOS的基准 37。

声明 5.4 (Apple 关键机制)：中小企业必须（通过MDM）强制执行Apple的内置安全特性。Apple的设计理念是安全功能默认开启且用户无法错误地禁用 37。

硬件基础：依赖Apple Silicon和Secure Enclave进行安全启动和密钥管理 37。

默认加密：所有设备默认开启硬件级数据加密 37。

生物识别：使用Face ID和Touch ID作为设备安全访问的直观方式 37。

6. 核心基线 (五)：网络、数据与响应

数据（无论动态或静态）的保护依赖于强大的、标准化的加密协议、防勒索的数据管理和现代化的事件响应流程。

6.1 传输中数据 (Data in Transit)

声明 6.1.1 (TLS 1.3)：所有中小企业的Web、API和内部服务间通信必须强制使用TLS 1.3 (IETF RFC 8446) 42。

声明 6.1.2 (TLS 1.3 优势)：TLS 1.3 (2018年8月) 移除了不安全的加密算法和功能（如RSA密钥交换、CBC模式密码），默认提供前向保密性，并减少了握手延迟 (0-RTT) 29。

声明 6.1.3 (HTTP/3)：中小企业应优先采用支持HTTP/3 (IETF RFC 9114, 2022年6月) 的供应商 43。HTTP/3基于QUIC协议，该协议内置了TLS 1.3，并解决了HTTP/2的队头阻塞问题 43。

声明 6.1.4 (2025 TLS 进展)：中小企业应关注IETF TLS工作组的进展，特别是“加密客户端问候 (Encrypted Client Hello, ECH)”（draft-ietf-tls-esni，预计2025年发布）47。ECH旨在加密SNI（服务器名称指示），以防止网络中间人对中小企业的流量进行元数据分析和指纹识别 47。

6.2 静态数据 (Data at Rest) 与加密标准

声明 6.2.1 (加密算法)：所有静态数据加密必须使用AES (FIPS 197)。FIPS 197标准在2023年5月进行了更新，重申了AES算法（128, 192, 256位） 49。

声明 6.2.2 (加密模式)：中小企业应优先使用AES-GCM（Galois/Counter Mode）模式，如NIST SP 800-38D所定义 52。GCM是一种提供认证加密（AEAD）的模式。

声明 6.2.3 (GCM 2025 进展)：NIST在2024年和2025年对SP 800-38D进行了修订，中小企业必须遵从新要求：(1) 认证标签（Authentication tags）长度不得小于96位。(2) 明确批准了TLS 1.3中GCM的IV（初始化向量）构造方法 54。

声明 6.2.4 (FIPS 140-3)：中小企业在采购加密硬件（如VPN网关、HSM）时，必须要求供应商提供FIPS 140-3验证 56。FIPS 140-3（2019年9月生效）取代了FIPS 140-2，并与ISO/IEC 19790 (2012) 保持一致 57。

6.3 电子邮件安全 (SPF, DKIM, DMARC)

声明 6.3.1 (SPF)：中小企业必须发布SPF (Sender Policy Framework, RFC 7208) 记录。SPF允许域名所有者在DNS TXT记录中声明授权为其域名发送邮件的IP地址 60。

声明 6.3.2 (DKIM)：中小企业必须实施DKIM (DomainKeys Identified Mail, RFC 6376)。DKIM通过将数字签名（链接到域名）附加到出站邮件中，来验证邮件内容未被篡改 63。

声明 6.3.3 (DMARC)：中小企业必须发布DMARC (RFC 7489) 策略。DMARC利用SPF和DKIM的结果，允许域名所有者指示收件方如何处理验证失败的邮件（p=none - 仅报告, p=quarantine - 隔离, 或 p=reject - 拒绝）67。中小企业应从p=none开始，逐步过渡到p=quarantine或p=reject。

6.4 数据保护与事件响应 (CISA Ransomware Guide & NIST IR)

声明 6.4.1 (勒索软件防护)：中小企业必须遵循CISA的#StopRansomware指南（2025年更新版）作为对抗勒索软件和数据勒索的核心战术手册 71。

声明 6.4.2 (不可变备份)：CISA指南的核心最佳实践是：维护关键数据的离线 (Offline)、加密 (Encrypted) 备份，并定期测试其可用性和完整性 71。

声明 6.4.3 (中小企业备份基线)：中小企业必须采用不可变 (Immutable) 存储。不可变性是实现“离线”概念（防止勒索软件加密或删除备份）的现代技术手段 75。

声明 6.4.4 (事件响应新模型)：中小企业必须采用NIST SP 800-61r3（2025年4月发布）作为事件响应（IR）的新标准 76。

声明 6.4.5 (IR 与 CSF 2.0 的融合)：SP 800-61r3的最大变革是将其IR模型与NIST CSF 2.0的六大职能（Govern, Identify, Protect, Detect, Respond, Recover）完全对齐 80。

声明 6.4.6 (IR即风险管理)：IR不再是一个独立的、线性的（准备-检测-遏制-恢复）生命周期，而是被重新定义为持续的网络安全风险管理活动，涉及法律、人力资源和高管层 80。2025年的事件响应标准 (800-61r3) 将“响应”从一个技术动作（Respond）提升为一个治理功能（Govern）。对于中小企业而言，这意味着“事件响应”不再是“事后灭火”。中小企业的“治理”职能（如C-SCRM、供应商合同）现在被NIST正式定义为事件响应能力的核心组成部分。

表格 3：NIST SP 800-61r3 (2025) 下的IR活动与CSF 2.0职能映射

7. 核心基线 (六)：2025年后的前瞻——后量子密码学 (PQC) 迁移

中小企业在2025年不需要实施后量子密码学（PQC），但必须开始规划PQC迁移。PQC迁移是一个供应链（C-SCRM）问题。

声明 7.1 (PQC 标准化)：NIST已于2024年8月发布了首批三个PQC标准，以应对未来量子计算机对当前公钥加密（RSA, ECC）的威胁 81。

声明 7.2 (PQC 标准)：

FIPS 203 (ML-KEM)：模块化基于格的密钥封装机制。用于密钥交换（替换Diffie-Hellman/ECDH）。源于CRYSTALS-KYBER。其安全性基于模块学习与错误（MLWE）问题的计算难度 83。

FIPS 204 (ML-DSA)：模块化基于格的数字签名标准。用于数字签名（替换RSA/ECDSA）。源于CRYSTALS-Dilithium 83。

FIPS 205 (SLH-DSA)：无状态基于哈希的数字签名标准。作为ML-DSA的备选方案，基于SPHINCS+。用于检测未经授权的数据修改和认证签名者身份 83。

声明 7.3 (中小企业的PQC行动)：中小企业的PQC行动不是技术实施，而是加密敏捷性（Crypto-Agility）评估和供应商治理。

声明 7.4 (IETF 混合模式)：中小企业应关注IETF的PQC迁移进展，特别是用于TLS和X.509证书的“混合（Composite）”模式 98。这些模式在一个证书/握手中同时包含传统算法（如ECDSA）和PQC算法（如ML-DSA），以在PQC算法被证明可靠前提供防御纵深 99。

声明 7.5 (PQC 与 C-SCRM)：PQC迁移是NIST CSF 2.0中“GV.SC”（供应链治理）职能的终极“压力测试”。中小企业绝对无法自行实施PQC。他们必须利用其C-SCRM流程（见第2章），向所有关键供应商（VPN、防火墙、云服务、操作系统）询问其PQC迁移路线图。一个在2025年没有PQC迁移路线图的供应商，表明其不符合NIST C-SCRM（SP 800-161r1）6 和CSF 2.0（GV.SC）3 的治理要求。

8. 结论：柯克霍夫原则（Kerckhoffs’s Principle）——中小企业的唯一可行之道

本报告提出的、完全基于开放、透明、可验证的国际标准的基线，是“柯克霍夫原则”在2025年商业环境中的具体实践。

声明 8.1 (柯克霍夫原则)：该原则由Auguste Kerckhoffs在1883年的《军事密码学》中提出。其核心（第二条）是：一个密码系统的安全性不应依赖于对其算法、设计或实现的保密，而必须仅依赖于密钥的保密 101。

声明 8.2 (香农的重述)：信息论之父Claude Shannon 104 将此原则重述为“香农格言 (Shannon's Maxim)”：“敌人了解系统 (The enemy knows the system)” 101。

声明 8.3 (中小企业的“安全靠保密”谬误)：传统中小企业安全（如果存在）往往依赖于“安全靠保密 (Security through Obscurity)”——例如，隐藏网络拓扑、使用非标准端口、依赖供应商的“专有”黑盒算法、或认为“小企业不会被盯上”。

声明 8.4 (中小企业现实：系统已被知晓)：在2025年，自动化扫描器、勒索软件即服务（RaaS）的普及，意味着中小企业的“系统”（其IP、开放端口、使用的软件版本）一定会被敌人知晓。

声明 8.5 (本基线的柯克霍夫原则实践)：

(a) ZTA (NIST SP 800-207)：ZTA是柯克霍夫原则的架构体现。它明确假设“系统”（网络）是不可信的、已被敌人知晓的 16。因此，安全必须仅依赖于“密钥”（动态的身份验证和设备健康）。

(b) 开放标准 (NIST/IETF)：本报告中的所有标准——AES 49、TLS 1.3 42、FIDO2 24、ML-KEM 84——其“系统”（算法）都是公开的，经受了全球密码学家的审查 108。它们的安全性仅依赖于“密钥”的保密和数学难度。

(c) CISA 安全设计 (SbD)：SbD 8 和内存安全 10 是柯克霍夫原则在软件工程上的延伸。CISA的逻辑是：“敌人将会找到实现中的漏洞（系统将会被知晓）”。因此，必须通过健壮的设计（如内存安全语言）来消除整个类别的漏洞，而不是依赖“隐藏”C++代码中的缺陷。

声明 8.6 (最终结论)：中小企业在2025年面临的选择不是“是否安全”，而是“如何实现安全”。“安全靠保密”的路径已被证明是灾难性的。中小企业实现可防御安全的唯一途径，是采纳柯克霍夫原则，即放弃隐藏，转而拥抱基于开放标准（NIST, IETF, CISA）的透明、可验证、且仅依赖于强密钥（FIDO2 Passkeys, PQC Keys）和强身份管理的零信任架构。

Works cited

The NIST Cybersecurity Framework (CSF) 2.0 - NIST Technical ..., accessed November 1, 2025,

NIST Releases Version 2.0 of Landmark Cybersecurity Framework, accessed November 1, 2025,

NIST CSF 2.0: Govern Function - Arctic Wolf, accessed November 1, 2025,

NIST Cybersecurity Framework 2.0: Resource & Overview Guide, accessed November 1, 2025,

SP 800-161 Rev. 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations | CSRC - National Institute of Standards and Technology, accessed November 1, 2025,

SP 800-161 Rev. 1, Cybersecurity Supply Chain Risk Management ..., accessed November 1, 2025,

Cybersecurity Supply Chain Risk Management - NIST Computer Security Resource Center, accessed November 1, 2025,

Secure by Design - CISA, accessed November 1, 2025,

Secure By Design - CISA, accessed November 1, 2025,

The Case for Memory Safe Roadmaps - CISA, accessed November 1, 2025,

The Case for Memory Safe Roadmaps - CISA, accessed November 1, 2025,

The Case for Memory Safe Roadmaps - CISA, accessed November 1, 2025,

CISA, NSA, FBI and International Cybersecurity Authorities Publish Guide on The Case for Memory Safe Roadmaps, accessed November 1, 2025,

Microsoft's Secure by Design journey: One year of success, accessed November 1, 2025,

US and International Partners Issue Recommendations to Secure Software Products Through Memory Safety, accessed November 1, 2025,

Zero Trust Architecture | NIST - National Institute of Standards and Technology, accessed November 1, 2025,

SP 800-207, Zero Trust Architecture | CSRC - NIST Computer Security Resource Center, accessed November 1, 2025,

SP 800-207A, A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Cloud Environments - NIST Computer Security Resource Center, accessed November 1, 2025,

Zero Trust Maturity Model - CISA, accessed November 1, 2025,

CISA Zero Trust Maturity Model V2 - Cloud Security Alliance, accessed November 1, 2025,

Zero Trust Maturity Model - CISA, accessed November 1, 2025,

Configure Microsoft cloud services for the CISA Zero Trust Maturity Model, accessed November 1, 2025,

Zero Trust Maturity Model Version 2.0 - CISA, accessed November 1, 2025,

FIDO User Authentication Specifications | FIDO Alliance, accessed November 1, 2025,

FIDO Alliance Overview, accessed November 1, 2025,

User Authentication Specifications - FIDO Alliance, accessed November 1, 2025,

Passkeys: Passwordless Authentication - FIDO Alliance, accessed November 1, 2025,

Download Authentication Specifications - FIDO Alliance, accessed November 1, 2025,

rfc9190.xml - » RFC Editor, accessed November 1, 2025,

RFC 9190 - EAP-TLS 1.3: Using the Extensible Authentication ..., accessed November 1, 2025,

RFC 9427 - TLS-Based Extensible Authentication Protocol (EAP) Types for Use with TLS 1.3, accessed November 1, 2025,

draft-ietf-emu-tls-eap-types-13 - TLS-Based Extensible Authentication Protocol (EAP) Types for Use with TLS 1.3 - IETF Datatracker, accessed November 1, 2025,

Windows 11, version 25H2 security baseline | Microsoft Community ..., accessed November 1, 2025,

An IT pro's guide to Windows 11, version 25H2 - Microsoft Community Hub, accessed November 1, 2025,

Get ready for Windows 11, version 25H2 - Windows IT Pro Blog - Microsoft Community Hub, accessed November 1, 2025,

Microsoft Security Baselines Blog, accessed November 1, 2025,

Apple Platform Security, accessed November 1, 2025,

0xmachos/Apple-Platform-Security-Guides - GitHub, accessed November 1, 2025,

Introduction to Apple platform security, accessed November 1, 2025,

Apple Security Research, accessed November 1, 2025,

Apple Platform Security, accessed November 1, 2025,

RFC 8446 - The Transport Layer Security (TLS) Protocol Version 1.3, accessed November 1, 2025,

Information on RFC 9114 - » RFC Editor, accessed November 1, 2025,

History for rfc9114 - IETF Datatracker, accessed November 1, 2025,

RFC 9114 - HTTP/3 - IETF Datatracker, accessed November 1, 2025,

RFC 9114 – HTTP/3 - Hacker News, accessed November 1, 2025,

Transport Layer Security (tls) - IETF Datatracker, accessed November 1, 2025,

draft-ietf-tls-esni-25 - TLS Encrypted Client Hello - IETF Datatracker, accessed November 1, 2025,

Advanced Encryption Standard (AES) - NIST Technical Series Publications, accessed November 1, 2025,

FIPS 197, Advanced Encryption Standard (AES) - NIST Computer Security Resource Center, accessed November 1, 2025,

FIPS 197, Advanced Encryption Standard (AES) - NIST Technical Series Publications, accessed November 1, 2025,

NIST SP 800-38D, Recommendationfor Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC - NIST Technical Series Publications, accessed November 1, 2025,

SP 800-38D, Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC - NIST Computer Security Resource Center - National Institute of Standards and Technology, accessed November 1, 2025,

SP 800-38D Rev. 1, Pre-Draft Call for Comments: GCM and GMAC Block Cipher Modes of Operation - NIST Computer Security Resource Center - National Institute of Standards and Technology, accessed November 1, 2025,

NIST to Revise SP 800-38D, GCM and GMAC Modes | CSRC, accessed November 1, 2025,

FIPS 140-3, Security Requirements for Cryptographic Modules | CSRC, accessed November 1, 2025,

Cryptographic Module Validation Program - FIPS 140-3 Standards, accessed November 1, 2025,

Cryptographic Module Validation Program | CSRC - NIST Computer Security Resource Center - National Institute of Standards and Technology, accessed November 1, 2025,

FIPS 140-3 Development | CSRC - NIST Computer Security Resource Center, accessed November 1, 2025,

RFC 7208 - Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1 - IETF Datatracker, accessed November 1, 2025,

Information on RFC 7208 - » RFC Editor, accessed November 1, 2025,

SPF: Project Overview, accessed November 1, 2025,

Information on RFC 6376 - » RFC Editor, accessed November 1, 2025,

DomainKeys Identified Mail - Wikipedia, accessed November 1, 2025,

RFC 6376 - DomainKeys Identified Mail (DKIM) Signatures - IETF Datatracker, accessed November 1, 2025,

RFC 6376 (Sep 2011, Internet Standard - Tech-invite, accessed November 1, 2025,

RFC 7489 - Domain-based Message Authentication, Reporting, and Conformance (DMARC) - IETF Datatracker, accessed November 1, 2025,

DMARC - Wikipedia, accessed November 1, 2025,

Information on RFC 7489 - » RFC Editor, accessed November 1, 2025,

dmarc.org – Domain Message Authentication Reporting & Conformance, accessed November 1, 2025,

#StopRansomware Guide | CISA, accessed November 1, 2025,

Stop Ransomware - CISA, accessed November 1, 2025,

#StopRansomware: Play Ransomware - CISA, accessed November 1, 2025,

#StopRansomware Guide - CISA, accessed November 1, 2025,

Immutable Backups & Their Role in Cyber Resilience - Veeam, accessed November 1, 2025,

NIST Incident Response Guide: Lifecycle, Best Practices & Recovery - AuditBoard, accessed November 1, 2025,

NIST Revises SP 800-61: Incident Response Recommendations and Considerations for Cybersecurity Risk Management April 03, 2025, accessed November 1, 2025,

Incident Response Recommendations and Considerations for ..., accessed November 1, 2025,

SP 800-61 Rev. 3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile | CSRC, accessed November 1, 2025,

Top 5 Changes NIST SP 800-61r3 Incident Response - SOClogix, accessed November 1, 2025,

Announcing Issuance of Federal Information Processing Standards (FIPS) FIPS 203, Module-Lattice-Based Key-Encapsulation Mechanism Standard, FIPS 204, Module-Lattice-Based Digital Signature Standard, and FIPS 205, Stateless Hash-Based Digital Signature Standard - Federal Register, accessed November 1, 2025,

Session VII – NIST 6 th PQC Standardization Conference NIST Cybersecurity Whitepaper 39 Considerations for Achieving Cryptogra - NIST Computer Security Resource Center, accessed November 1, 2025,

State of the post-quantum Internet in 2025 - The Cloudflare Blog, accessed November 1, 2025,

FIPS 203, Module-Lattice-Based Key-Encapsulation Mechanism Standard | CSRC, accessed November 1, 2025,

Module-Lattice-Based Key-Encapsulation Mechanism Standard, accessed November 1, 2025,

Module-Lattice-Based Key-Encapsulation Mechanism Standard | NIST, accessed November 1, 2025,

FIPS 203, Module-Lattice-Based Key-Encapsulation Mechanism Standard | CSRC, accessed November 1, 2025,

FIPS 204, Module-Lattice-Based Digital Signature Standard | CSRC, accessed November 1, 2025,

FIPS 204, Module-Lattice-Based Digital Signature Standard | CSRC, accessed November 1, 2025,

Module-Lattice-Based Digital Signature Standard | FIPS 204 | NIST Technical Series Publications, accessed November 1, 2025,

FIPS 204 initial public draft, Module-Lattice-Based Digital Signature Standard - NIST Technical Series Publications, accessed November 1, 2025,

Post-Quantum Cryptography (PQC) Standardization - 2025 Update, accessed November 1, 2025,

FIPS 205, Stateless Hash-Based Digital Signature Standard | CSRC, accessed November 1, 2025,

Stateless Hash-Based Digital Signature Standard - NIST Technical Series Publications, accessed November 1, 2025,

Stateless Hash-Based Digital Signature Standard | NIST, accessed November 1, 2025,

FIPS 205, Stateless Hash-Based Digital Signature Standard | CSRC, accessed November 1, 2025,

FIPS 205 initial public draft, Stateless Hash-Based Digital Signature Standard, accessed November 1, 2025,

Transport Layer Security (tls) - IETF Datatracker, accessed November 1, 2025,

draft-reddy-pquip-pqc-signature-migration-01 - Guidance for Migration to Composite, Dual, or PQC Authentication - IETF Datatracker, accessed November 1, 2025,

draft-ietf-lamps-pq-composite-sigs-12 - Composite ML-DSA for use in X.509 Public Key Infrastructure - IETF Datatracker, accessed November 1, 2025,

Kerckhoffs's principle - Wikipedia, accessed November 1, 2025,

(PDF) Kerckhoffs Principle - ResearchGate, accessed November 1, 2025,

accessed November 1, 2025,

accessed November 1, 2025,

Communication Theory of Secrecy Systems - Wikipedia, accessed November 1, 2025,

Communication Theory of Secrecy Systems* - By CE SHANNON - 1 ..., accessed November 1, 2025,

Deception and Kerckhoffs's Cryptographic Principle | Smokescreen, accessed November 1, 2025,

Kerckhoffs' principle definition – Glossary - NordVPN, accessed November 1, 2025,