如今我們生活在高度互聯(lián)的世界，需要使用數(shù)字設(shè)備，并經(jīng)常生成數(shù)據(jù)。為了保護(hù)數(shù)據(jù)確保隱私，以及避免遭到惡意分子伺機(jī)破壞數(shù)據(jù)安全及其他關(guān)鍵基礎(chǔ)設(shè)施，網(wǎng)絡(luò)安全專家們制定了檢測和響應(yīng)威脅的準(zhǔn)則，基于這些準(zhǔn)則，為企業(yè)組織未來的網(wǎng)絡(luò)安全建設(shè)構(gòu)建了“框架”基礎(chǔ)。

應(yīng)用網(wǎng)絡(luò)安全框架的價值

網(wǎng)絡(luò)安全框架是由網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)制定的一套標(biāo)準(zhǔn)、準(zhǔn)則和程序，旨在幫助組織了解和管理面臨的網(wǎng)絡(luò)安全風(fēng)險。優(yōu)秀的安全框架應(yīng)該為用戶提供一種可靠方法，以幫助其實現(xiàn)網(wǎng)絡(luò)安全建設(shè)計劃。對于那些希望按照行業(yè)最佳實踐來設(shè)計或改進(jìn)安全策略的人來說，這些框架是必不可少的工具。

當(dāng)然，有些人或組織也會試圖通過自己來保護(hù)其數(shù)字資產(chǎn)，不過，他們很快會為定義一種適當(dāng)且有效的機(jī)制來響應(yīng)每種威脅而不知所措。IT經(jīng)理或安全部門借助基于多位行業(yè)專家豐富經(jīng)驗而建的某種主要網(wǎng)絡(luò)安全框架，可以簡化這棘手的任務(wù)。

大多數(shù)網(wǎng)絡(luò)安全框架的主要目的是，提升行業(yè)防御網(wǎng)絡(luò)攻擊的能力。它們實現(xiàn)這一目標(biāo)的手段是，充分利用框架準(zhǔn)則，幫助哪怕是極小的組織實施強(qiáng)有力的安全控制措施。參與制定這些標(biāo)準(zhǔn)的專家通常是小公司無法接觸到的，而網(wǎng)絡(luò)安全框架使每家公司都可以從中受益。

網(wǎng)絡(luò)安全框架的另一個目的是幫助組織符合監(jiān)管法規(guī)。由于涉及商業(yè)和個人的數(shù)據(jù)泄露越來越頻繁，監(jiān)管機(jī)構(gòu)陸續(xù)制定了安全法規(guī)，行業(yè)組織必須遵守這些法規(guī)。雖然這些法規(guī)可能因行業(yè)而異，但它們幾乎總是基于網(wǎng)絡(luò)安全框架。一個典例是紐約金融服務(wù)部的23 NYCRR Part 500，這是一套面向金融服務(wù)公司的網(wǎng)絡(luò)安全法規(guī)，基于 NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究所)網(wǎng)絡(luò)安全框架而建。

五大主流網(wǎng)絡(luò)安全框架盤點

以下是相關(guān)機(jī)構(gòu)梳理的五大網(wǎng)絡(luò)安全框架，供大家參考。

1. NIST 網(wǎng)絡(luò)安全框架

美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)是一個非監(jiān)管機(jī)構(gòu)，其使命是促進(jìn)美國的創(chuàng)新和工業(yè)競爭力，2013年受總統(tǒng)委托制定“降低關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險的框架”。NIST網(wǎng)絡(luò)安全框架(CSF)是政府和行業(yè)專家共同努力的結(jié)果，該框架于2014年首次發(fā)布，2018年進(jìn)行了修訂，以符合現(xiàn)代網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

NIST框架的主要目的是幫助組織開發(fā)一致的迭代方法，以識別、評估和管理網(wǎng)絡(luò)安全風(fēng)險，其保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施可能由規(guī)模、復(fù)雜性和技術(shù)能力各異的公共或私營部門組織控制，因此，NIST設(shè)計的框架具有廣泛適用性。

該框架的另一個優(yōu)點是，它使用普遍適用的術(shù)語來幫助IT經(jīng)理完成相關(guān)任務(wù)，如描述當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢、目標(biāo)，識別并優(yōu)先考慮改進(jìn)的機(jī)會，評估網(wǎng)絡(luò)安全工作進(jìn)展情況，向內(nèi)外利益相關(guān)者告知網(wǎng)絡(luò)安全風(fēng)險等。這種安全管理風(fēng)險的綜合方法使NIST安全框架成為任何行業(yè)任何組織保護(hù)其基礎(chǔ)設(shè)施的較佳起點。

更多信息，可查閱：https://www.nist.gov/cyberframework/framework。

2. ISO/IEC 27001/ISO 27002

國際標(biāo)準(zhǔn)化組織(ISO)是一家非政府機(jī)構(gòu)，負(fù)責(zé)為從生產(chǎn)制造到社會責(zé)任方方面面制定全球公認(rèn)的技術(shù)標(biāo)準(zhǔn)。該組織職責(zé)廣泛，也制定了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。如ISO/IEC(國際電工委員會)27001和ISO 27002標(biāo)準(zhǔn)隸屬于ISO 27000系列標(biāo)準(zhǔn)，這一系列標(biāo)準(zhǔn)涉及信息安全。ISO 27001涵蓋了設(shè)計、實施、維護(hù)和持續(xù)改進(jìn)信息安全管理系統(tǒng)(ISMS)的要求，ISO 27002概述了組織可以通過ISMS實施的信息安全標(biāo)準(zhǔn)和實踐。

與NIST CSF相似，ISO框架適用于所有類型和規(guī)模的組織。它們需要基于以下因素來分析組織的信息安全要求：評估組織面臨的風(fēng)險，以識別威脅、易受影響的程度、發(fā)生的可能性以及潛在影響;組織必須履行的法律和合同義務(wù);組織用于其業(yè)務(wù)運營的信息管理內(nèi)部流程、程序和業(yè)務(wù)要求。這種分析將幫助組織確定適當(dāng)?shù)男畔踩刂拼胧?，以部署適用于組織的信息安全管理系統(tǒng)。

更多信息，可查閱：https://www.iso.org/standard/54534.html和https://www.iso.org/standard/54533.html。

3. CIS 控制框架

互聯(lián)網(wǎng)安全中心(CIS)制定其關(guān)鍵安全控制框架的方式是，采用眾包模式，以識別最普遍的網(wǎng)絡(luò)威脅，并定義安全措施來防范這些威脅。該框架的最新版CIS Controls Version 8(截至2021年5月)基于活動而不是設(shè)備、技術(shù)或人員，將這些保護(hù)措施歸納到18個控制組。其中一些活動包括企業(yè)資產(chǎn)的清點和控制、數(shù)據(jù)保護(hù)、電子郵件Web瀏覽器和保護(hù)、安全意識和技能培訓(xùn)、事件響應(yīng)管理、滲透測試。

該框架逐漸變得更易于使用，它根據(jù)每個組織的技術(shù)能力水平和可用資源，將每個CIS控制的保護(hù)措施分類到實施組。這種細(xì)化確保組織可以將適當(dāng)?shù)陌踩胧?yīng)用于其IT基礎(chǔ)設(shè)施，哪怕該組織的專業(yè)水平不高。

更多信息，可查閱：https://www.cisecurity.org/controls/v8/。

4. HIPAA

《醫(yī)療保險可攜性及責(zé)任性法案》(HIPAA)是一部美國法律，規(guī)范了醫(yī)療保健組織處理信息的方式。由于信息技術(shù)開始在醫(yī)療保健業(yè)發(fā)揮更突出的作用，該法規(guī)新增了《HIPAA 安全規(guī)則》。該規(guī)則要求醫(yī)療服務(wù)提供者和企業(yè)組織維護(hù)醫(yī)療保健信息(ePHI)的機(jī)密性、完整性和安全性。

醫(yī)療保健行業(yè)管理個人身份信息(PII)的組織必須遵守《HIPAA安全規(guī)則》，該規(guī)則概述了信息安全合規(guī)的三大方面，包括采用規(guī)則和流程化的管理保障措施，明確組織將如何遵守該法案;針對受保護(hù)的數(shù)據(jù)提供物理訪問控制的物理保障措施;保護(hù)處理、存儲和傳輸數(shù)據(jù)的軟硬件系統(tǒng)技術(shù)保障措施。

更多信息，可查閱：https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool。

5. PCI-DSS

如果組織從事金融服務(wù)業(yè)，需要處理持卡人信息，就應(yīng)該了解《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI-DSS)。支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(PCI SSC)制定了這套框架，以應(yīng)對越來越多的信用卡數(shù)據(jù)泄密事件。遵守PCI-DSS框架的組織須滿足六個控制目標(biāo)，包括建立和維護(hù)安全的網(wǎng)絡(luò)和系統(tǒng)、保護(hù)持卡人數(shù)據(jù)、維護(hù)漏洞管理計劃、實施強(qiáng)有力的訪問控制措施、定期監(jiān)控和測試網(wǎng)絡(luò)、維護(hù)信息安全政策。如今，在線交易量正在慢慢超過實體交易量，因此對于希望將支付業(yè)務(wù)轉(zhuǎn)移到線上的組織來說，遵守這套框架必不可少。

更多信息，可查閱：https://www.pcisecuritystandards.org/document_library。

參考鏈接：https://www.liquidweb.com/blog/top-cybersecurity-frameworks/

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文