安全建设的支点：五大网络安全框架介绍

今天我们生活在一个高度互联的世界，需要使用数字设备并频繁产生数据。为了保护数据、确保隐私并防止恶意元素破坏数据安全和其他关键基础设施，网络安全专家制定了检测和响应威胁的指南。框架”的基础。应用网络安全框架的价值方法来帮助他们实现他们的网络安全建设计划。这些框架对于那些希望根据行业最佳实践设计或改进安全策略的人来说是必不可少的工具。当然，一些人或组织试图自己保护他们的数字资产，但他们很快在定义适当且有效的机制来应对每种威胁时变得不知所措。IT经理或安全部门可以使用一些基于多位行业专家经验的主要网络安全框架来简化这项棘手的任务。大多数网络安全框架的主要目的是改进行业防御能力网络攻击。他们通过利用框架原则来帮助即使是最小的组织实施强大的安全控制来做到这一点。参与制定这些标准的专家通常是小公司无法企及的，而网络安全框架可以让每家公司从中受益。网络安全框架的另一个目的是帮助组织遵守监管规定。随着涉及企业和个人的数据泄露变得越来越频繁，监管机构制定了行业组织必须遵守的安全法规。虽然这些法规可能因行业而异，但它们几乎总是基于网络安全框架。一个很好的例子是纽约金融服务部的23NYCRRPart500，这是一套基于NIST（美国国家标准与技术研究院）网络安全框架的针对金融服务公司的网络安全法规。五大主流网络安全框架盘点以下是相关机构整理出的五大网络安全框架，供大家参考。1.NIST网络安全框架美国国家标准技术研究院(NIST)是一个非监管机构，其使命是促进美国的创新和产业竞争力。2013年受总统委托制定了“降低关键基础设施网络风险的框架”。NIST网络安全框架(CSF)是政府和行业专家共同努力的成果，于2014年首次发布，并于2018年修订以符合现代网络安全标准。NIST框架的主要目的是帮助组织开发一种一致的、迭代的方法来识别、评估和管理网络安全风险，以保护可能由不同规模、复杂性和技术能力的公共或私营部门组织控制的关键基础设施，因此，NIST设计的框架具有广泛的适用性。该框架的另一个优势是它使用普遍适用的术语来帮助IT经理完成任务，例如描述当前的网络安全态势、目标、确定改进机会并确定改进机会的优先级、评估网络安全工作的进展情况，以及通知内部和外部相关方网络安全风险等。这种全面的安全管理风险方法使NIST安全框架成为任何行业任何组织保护其基础设施的最佳起点。如需更多信息，请访问：https://www.nist.gov/cyberframework/framework。2.ISO/IEC27001/ISO27002国际标准化组织(ISO)是一个非政府组织，负责为从制造到社会责任的所有领域制定全球公认的技术标准。该组织拥有广泛的授权，还制定了网络安全标准。例如，ISO/IEC（国际电工委员会）27001和ISO27002标准属于ISO27000系列标准，涉及信息安全。ISO27001涵盖了信息安全管理系统(ISMS)的设计、实施、维护和持续改进的要求，ISO27002概述了组织可以通过ISMS实施的信息安全标准和实践。与NISTCSF类似，ISO框架适用于所有类型和规模的组织。他们需要基于以下方面对组织的信息安全需求进行分析：组织必须履行的法律和合同义务；信息管理内部流程、程序和业务运营的业务要求。该分析将帮助组织确定适当的信息安全控制，以部署适用于组织的信息安全管理系统。如需更多信息，请访问：https://www.iso.org/standard/54534.html和https://www.iso.org/standard/54533.html。3.CIS控制框架互联网安全中心(CIS)通过众包开发了关键的安全控制框架，以识别最普遍的网络威胁并定义安全措施来抵御这些威胁。该框架的最新版本CISControlsVersion8（截至2021年5月）根据活动而非设备、技术或人员将这些保护组织成18个控制组。其中一些活动包括企业资产的清点和控制、数据保护、电子邮件网络浏览器和保护、安全意识和技能培训、事件响应管理、渗透测试。该框架逐渐变得更易于使用，根据每个组织的技术能力水平和可用资源将每个CIS控制的保护措施分类为实施组。这种粒度确保组织可以将适当的安全措施应用到他们的IT基础设施，即使组织的专业知识很低。如需更多信息，请访问：https://www.cisecurity.org/controls/v8/。4.HIPAA《医疗保险可携性及责任性法案》(HIPAA)是一项美国法律，规定医疗机构如何处理信息。随着信息技术开始在医疗保健行业发挥更加突出的作用，《HIPAA 安全规则》被添加到法规中。该规则要求医疗保健提供者和企业组织维护医疗保健信息(ePHI)的机密性、完整性和安全性。在医疗保健行业管理个人身份信息(PII)的组织必须遵守《HIPAA安全规则》，其中概述了信息安全合规的三个主要方面，包括采用规则和基于流程的管理保障措施以阐明组织将如何遵守该法案;为受保护数据提供物理访问控制的物理安全措施；保护数据处理、存储和传输的软件和硬件系统的技术保障。如需更多信息，请访问：https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool。5.PCI-DSS如果一个组织在金融服务行业并且需要处理持卡人信息，它应该了解《支付卡行业数据安全标准》（PCI-DSS）。支付卡行业安全标准委员会(PCISSC)开发了此框架，以应对越来越多的信用卡数据泄露事件。符合PCI-DSS框架的组织必须满足六项控制目标，包括建立和维护安全的网络和系统、保护持卡人数据、维护漏洞管理计划、实施强有力的访问控制措施、定期监控和测试网络、维护信息安全政策.随着在线交易的速度逐渐超过实体交易，遵守这一框架对于希望在线支付的组织来说至关重要。如需更多信息，请访问：https://www.pcisecuritystandards.org/document_library。参考链接：https://www.liquidweb.com/blog/top-cybersecurity-frameworks/【本文为专栏作者“安全牛”原创文章，转载请通过安全牛（微信公众号id：gooann-sectv)获取授权】点此阅读作者更多好文