最好的网络安全指南在保护美国和世界各地的数据免遭盗窃和泄露方面发挥了巨大作用。
这些指南是一套全面的推荐做法、程序和原则,旨在帮助组织和个人保护其数字资产、系统和数据免受恶意攻击。它们涵盖了广泛的实践,部分目的是收集和分享基于行业标准和专业知识的最佳实践和策略。至关重要的是,它们会经常更新,以应对不断变化的威胁和技术进步。
真正有效的网络安全指南是实现安全性最大化的路线图。这些指南内容全面,涵盖技术和组织方面。它们具有清晰的治理结构、详细的实施计划和适应灵活性。它们认识到人为因素的重要性,注重用户赋权和教育,而不是假设和批评用户的无知。
然而,并非所有网络安全指南都是一样的。最不有效的做法往往过分强调技术而忽视人为因素,忽视可用性考虑,未能解决操作方面的问题,或缺乏持续评估和改进的规定。
以下是产生最大积极影响的五条网络安全指南和有待改进的三条指南。
1. NIST CSF
美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF)是最有效和最具影响力的网络安全指南之一。其中一个原因是它非常全面,并围绕五个核心功能构建:识别、保护、检测、响应和恢复。这种结构为组织提供了网络安全风险管理的整体视图,确保解决所有关键方面。
NIST CSF 经历了三个主要迭代:1.0 版最初于 2014 年发布,随后于 2018 年对 1.1 版进行了小幅更新,并于 2024 年对 2.0 版进行了重大修订。
还非常灵活。各种规模和不同行业的组织都可以根据自己的特定需求轻松调整该框架,使其具有广泛的适用性。
2.ISO 27001
ISO 27001标准因其高度系统化的方法和对持续改进的重视,在全球网络安全领域发挥了巨大作用。它提供了一种结构化的方法来识别、评估和处理信息安全风险。作为一项国际公认的标准,ISO 27001 认证受到各行各业和各国的尊重。
3. CIS 控制
互联网安全中心 (CIS) 控制措施已被广泛采用,成为一套实用有效的网络安全指南。这些指南的特点是优先行动,解决最关键的安全措施,并帮助组织有效分配资源。该框架的分层实施使组织能够根据规模和网络安全成熟度量身定制其战略。CIS 定期更新控制措施,以应对新出现的威胁和不断发展的最佳实践。
4. CSA 云控制矩阵
云安全联盟(CSA) 云控制矩阵因其专注于云而脱颖而出,解决了云计算固有的独特安全挑战。其全面覆盖多个安全领域,包括应用程序安全、加密和身份管理。该矩阵的互操作性与其他主要标准和法规相一致,有助于组织跨多个框架实现合规性。
5. PCI DSS
支付卡行业数据安全标准 (PCI DSS)尽管属于特定行业,但已大大提高了支付卡的安全性。处理支付卡数据的组织必须遵守 PCI DSS,以确保其得到广泛采用。该标准为保护持卡人数据提供了详细且可操作的要求。并且,它定期进行改进,以应对支付卡行业中新出现的威胁和技术。
一些网络安全指南尚未产生如此大的影响
遗憾的是,一些网络安全指南并没有像上面列出的五个那样受到欢迎。
TSA 的初始管道指令
在殖民地输油管道遭受网络攻击之后,美国运输安全管理局 (TSA) 于 2021 年 5 月 27 日发布了其初始管道安全指令,即“安全指令管道-2021-01”。
该指令旨在加强美国各地管道所有者和运营商的网络安全措施。
最初的指令对管道公司提出了几项关键要求。它要求指定一名网络安全协调员,全天候响应事件并与政府机构进行协调。此外,公司必须在发现网络安全事件后 12 小时内向网络安全和基础设施安全局 (CISA) 报告。
许多网络安全专家认为,该指令实施仓促,且缺乏充分的行业咨询。批评人士认为,该指令在某些部分过于规范,而在其他部分则过于模糊。该指令还被批评为过于死板。
该指令经过修改,满足了许多业界的批评意见。
联合国网络犯罪条约
联合国于 8 月最终确定并批准了一项新的全球网络犯罪公约,这是国际打击网络犯罪努力的重要里程碑。该条约之所以具有里程碑意义,是因为它是联合国所有成员国(经过三年谈判)协商并一致接受的第一项网络犯罪条约。
但一些批评人士表示,该条约实际上将网络安全研究定为犯罪,它已经过时,规定性过强。他们说,这实际上可能会削弱全球网络安全。
美国网络报告规则草案
网络安全和基础设施安全局(CISA)最近提出了美国网络事件报告规则草案,这可能会影响关键基础设施公司向联邦政府报告网络攻击的方式。
草案针对的是拥有或运营被美国政府视为关键基础设施的系统的公司。这包括医疗、能源、制造业和金融服务等行业。这些规则还扩展到对行业运作至关重要的公司,包括各种服务提供商。
一些组织表示担心,报告要求可能会造成负担(特别是对较小的组织而言)、成本高昂且与现有要求重叠。
美国制造商协会表示,这些规则过于宽泛,可能影响超过 30 万个实体,这让人怀疑所有目标组织是否都涉及“关键基础设施”。
最佳网络安全指南实现恰当的平衡
网络安全指南旨在提高安全性。最好的指南是推动组织实现这一目标的重要工具。制定优秀的指南需要大量的行业投入,涵盖全面而广泛的问题,并具有足够的灵活性以适应不同规模和类型的组织。
