网络安全框架有哪些?
网络安全框架是由网络安全专业机构制定的一套标准、准则和程序,旨在帮助组织了解和管理面临的网络安全风险。五大主流网络安全框架:
NIST 网络安全框架
NIST 框架的主要目的是帮助组织开发一致的迭代方法,以识别、评估和管理网络安全风险,其保护的关键基础设施可能由规模、复杂性和技术能力各异的公共或私营部门组织控制,因此,NIST 设计的框架具有广泛适用性。
该框架的另一个优点是,它使用普遍适用的术语来帮助 IT 经理完成相关任务,如描述当前的网络安全态势、目标,识别并优先考虑改进的机会,评估网络安全工作进展情况,向内外利益相关者告知网络安全风险等。这种安全管理风险的综合方法使 NIST 安全框架成为任何行业任何组织保护其基础设施的较佳起点。
ISO/IEC 27001/ISO 27002
与 NIST CSF 相似,ISO 框架适用于所有类型和规模的组织。它们需要基于以下因素来分析组织的信息安全要求:评估组织面临的风险,以识别威胁、易受影响的程度、发生的可能性以及潜在影响;组织必须履行的法律和合同义务;组织用于其业务运营的信息管理内部流程、程序和业务要求。这种分析将帮助组织确定适当的信息安全控制措施,以部署适用于组织的信息安全管理系统。
CIS 控制框架
互联网安全中心 (CIS) 制定其关键安全控制框架的方式是,采用众包模式,以识别最普遍的网络威胁,并定义安全措施来防范这些威胁。该框架的最新版 CIS Controls Version 8 (截至 2021 年 5 月) 基于活动而不是设备、技术或人员,将这些保护措施归纳到 18 个控制组。其中一些活动包括企业资产的清点和控制、数据保护、电子邮件 Web 浏览器和保护、安全意识和技能培训、事件响应管理、渗透测试。
该框架逐渐变得更易于使用,它根据每个组织的技术能力水平和可用资源,将每个 CIS 控制的保护措施分类到实施组。这种细化确保组织可以将适当的安全措施应用于其 IT 基础设施,哪怕该组织的专业水平不高。
HIPAA
《医疗保险可携性及责任性法案》(HIPAA) 是一部美国法律,规范了医疗保健组织处理信息的方式。由于信息技术开始在医疗保健业发挥更突出的作用,该法规新增了《HIPAA 安全规则》。该规则要求医疗服务提供者和企业组织维护医疗保健信息 (ePHI) 的机密性、完整性和安全性。
医疗保健行业管理个人身份信息 (PII_的组织必须遵守《HIPAA 安全规则》,该规则概述了信息安全合规的三大方面,包括采用规则和流程化的管理保障措施,明确组织将如何遵守该法案;针对受保护的数据提供物理访问控制的物理保障措施;保护处理、存储和传输数据的软硬件系统技术保障措施。
PCI-DSS
如果组织从事金融服务业,需要处理持卡人信息,就应该了解《支付卡行业数据安全标准》(PCI-DSS)。支付卡行业安全标准委员会 (PCI SSC) 制定了这套框架,以应对越来越多的信用卡数据泄密事件。遵守 PCI-DSS 框架的组织须满足六个控制目标,包括建立和维护安全的网络和系统、保护持卡人数据、维护漏洞管理计划、实施强有力的访问控制措施、定期监控和测试网络、维护信息安全政策。如今,在线交易量正在慢慢超过实体交易量,因此对于希望将支付业务转移到线上的组织来说,遵守这套框架必不可少。