如今我们生活在高度互联的世界,需要使用数字设备,并经常生成数据。为了保护数据确保隐私,以及避免遭到恶意分子伺机破坏数据安全及其他关键基础设施,网络安全专家们制定了检测和响应威胁的准则,基于这些准则,为企业组织未来的网络安全建设构建了“框架”基础。
应用网络安全框架的价值
网络安全框架是由网络安全专业机构制定的一套标准、准则和程序,旨在帮助组织了解和管理面临的网络安全风险。优秀的安全框架应该为用户提供一种可靠方法,以帮助其实现网络安全建设计划。对于那些希望按照行业最佳实践来设计或改进安全策略的人来说,这些框架是必不可少的工具。
当然,有些人或组织也会试图通过自己来保护其数字资产,不过,他们很快会为定义一种适当且有效的机制来响应每种威胁而不知所措。IT经理或安全部门借助基于多位行业专家丰富经验而建的某种主要网络安全框架,可以简化这棘手的任务。
大多数网络安全框架的主要目的是,提升行业防御网络攻击的能力。它们实现这一目标的手段是,充分利用框架准则,帮助哪怕是极小的组织实施强有力的安全控制措施。参与制定这些标准的专家通常是小公司无法接触到的,而网络安全框架使每家公司都可以从中受益。
网络安全框架的另一个目的是帮助组织符合监管法规。由于涉及商业和个人的数据泄露越来越频繁,监管机构陆续制定了安全法规,行业组织必须遵守这些法规。虽然这些法规可能因行业而异,但它们几乎总是基于网络安全框架。一个典例是纽约金融服务部的23 NYCRR Part 500,这是一套面向金融服务公司的网络安全法规,基于 NIST(美国国家标准与技术研究所)网络安全框架而建。
五大主流网络安全框架盘点
以下是相关机构梳理的五大网络安全框架,供大家参考。
1. NIST 网络安全框架
美国国家标准与技术研究所(NIST)是一个非监管机构,其使命是促进美国的创新和工业竞争力,2013年受总统委托制定“降低关键基础设施网络风险的框架”。NIST网络安全框架(CSF)是政府和行业专家共同努力的结果,该框架于2014年首次发布,2018年进行了修订,以符合现代网络安全标准。
NIST框架的主要目的是帮助组织开发一致的迭代方法,以识别、评估和管理网络安全风险,其保护的关键基础设施可能由规模、复杂性和技术能力各异的公共或私营部门组织控制,因此,NIST设计的框架具有广泛适用性。
该框架的另一个优点是,它使用普遍适用的术语来帮助IT经理完成相关任务,如描述当前的网络安全态势、目标,识别并优先考虑改进的机会,评估网络安全工作进展情况,向内外利益相关者告知网络安全风险等。这种安全管理风险的综合方法使NIST安全框架成为任何行业任何组织保护其基础设施的较佳起点。
更多信息,可查阅:https://www.nist.gov/cyberframework/framework。
2. ISO/IEC 27001/ISO 27002
国际标准化组织(ISO)是一家非政府机构,负责为从生产制造到社会责任方方面面制定全球公认的技术标准。该组织职责广泛,也制定了网络安全标准。如ISO/IEC(国际电工委员会)27001和ISO 27002标准隶属于ISO 27000系列标准,这一系列标准涉及信息安全。ISO 27001涵盖了设计、实施、维护和持续改进信息安全管理系统(ISMS)的要求,ISO 27002概述了组织可以通过ISMS实施的信息安全标准和实践。
与NIST CSF相似,ISO框架适用于所有类型和规模的组织。它们需要基于以下因素来分析组织的信息安全要求:评估组织面临的风险,以识别威胁、易受影响的程度、发生的可能性以及潜在影响;组织必须履行的法律和合同义务;组织用于其业务运营的信息管理内部流程、程序和业务要求。这种分析将帮助组织确定适当的信息安全控制措施,以部署适用于组织的信息安全管理系统。
更多信息,可查阅:https://www.iso.org/standard/54534.html和https://www.iso.org/standard/54533.html。
3. CIS 控制框架
互联网安全中心(CIS)制定其关键安全控制框架的方式是,采用众包模式,以识别最普遍的网络威胁,并定义安全措施来防范这些威胁。该框架的最新版CIS Controls Version 8(截至2021年5月)基于活动而不是设备、技术或人员,将这些保护措施归纳到18个控制组。其中一些活动包括企业资产的清点和控制、数据保护、电子邮件Web浏览器和保护、安全意识和技能培训、事件响应管理、渗透测试。
该框架逐渐变得更易于使用,它根据每个组织的技术能力水平和可用资源,将每个CIS控制的保护措施分类到实施组。这种细化确保组织可以将适当的安全措施应用于其IT基础设施,哪怕该组织的专业水平不高。
更多信息,可查阅:https://www.cisecurity.org/controls/v8/。
4. HIPAA
《医疗保险可携性及责任性法案》(HIPAA)是一部美国法律,规范了医疗保健组织处理信息的方式。由于信息技术开始在医疗保健业发挥更突出的作用,该法规新增了《HIPAA 安全规则》。该规则要求医疗服务提供者和企业组织维护医疗保健信息(ePHI)的机密性、完整性和安全性。
医疗保健行业管理个人身份信息(PII)的组织必须遵守《HIPAA安全规则》,该规则概述了信息安全合规的三大方面,包括采用规则和流程化的管理保障措施,明确组织将如何遵守该法案;针对受保护的数据提供物理访问控制的物理保障措施;保护处理、存储和传输数据的软硬件系统技术保障措施。
更多信息,可查阅:https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool。
5. PCI-DSS
如果组织从事金融服务业,需要处理持卡人信息,就应该了解《支付卡行业数据安全标准》(PCI-DSS)。支付卡行业安全标准委员会(PCI SSC)制定了这套框架,以应对越来越多的信用卡数据泄密事件。遵守PCI-DSS框架的组织须满足六个控制目标,包括建立和维护安全的网络和系统、保护持卡人数据、维护漏洞管理计划、实施强有力的访问控制措施、定期监控和测试网络、维护信息安全政策。如今,在线交易量正在慢慢超过实体交易量,因此对于希望将支付业务转移到线上的组织来说,遵守这套框架必不可少。
更多信息,可查阅:https://www.pcisecuritystandards.org/document_library。
参考链接:https://www.liquidweb.com/blog/top-cybersecurity-frameworks/
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】