如今我們生活在高度互聯的世界，需要使用數字設備，并經常生成數據。為了保護數據確保隱私，以及避免遭到惡意分子伺機破壞數據安全及其他關鍵基礎設施，網絡安全專家們制定了檢測和響應威脅的準則，基于這些準則，為企業組織未來的網絡安全建設構建了“框架”基礎。

應用網絡安全框架的價值

網絡安全框架是由網絡安全專業機構制定的一套標準、準則和程序，旨在幫助組織了解和管理面臨的網絡安全風險。優秀的安全框架應該為用戶提供一種可靠方法，以幫助其實現網絡安全建設計劃。對于那些希望按照行業最佳實踐來設計或改進安全策略的人來說，這些框架是必不可少的工具。

當然，有些人或組織也會試圖通過自己來保護其數字資產，不過，他們很快會為定義一種適當且有效的機制來響應每種威脅而不知所措。IT經理或安全部門借助基于多位行業專家豐富經驗而建的某種主要網絡安全框架，可以簡化這棘手的任務。

大多數網絡安全框架的主要目的是，提升行業防御網絡攻擊的能力。它們實現這一目標的手段是，充分利用框架準則，幫助哪怕是極小的組織實施強有力的安全控制措施。參與制定這些標準的專家通常是小公司無法接觸到的，而網絡安全框架使每家公司都可以從中受益。

網絡安全框架的另一個目的是幫助組織符合監管法規。由于涉及商業和個人的數據泄露越來越頻繁，監管機構陸續制定了安全法規，行業組織必須遵守這些法規。雖然這些法規可能因行業而異，但它們幾乎總是基于網絡安全框架。一個典例是紐約金融服務部的23 NYCRR Part 500，這是一套面向金融服務公司的網絡安全法規，基于 NIST(美國國家標準與技術研究所)網絡安全框架而建。

五大主流網絡安全框架盤點

以下是相關機構梳理的五大網絡安全框架，供大家參考。

1. NIST 網絡安全框架

美國國家標準與技術研究所(NIST)是一個非監管機構，其使命是促進美國的創新和工業競爭力，2013年受總統委托制定“降低關鍵基礎設施網絡風險的框架”。NIST網絡安全框架(CSF)是政府和行業專家共同努力的結果，該框架于2014年首次發布，2018年進行了修訂，以符合現代網絡安全標準。

NIST框架的主要目的是幫助組織開發一致的迭代方法，以識別、評估和管理網絡安全風險，其保護的關鍵基礎設施可能由規模、復雜性和技術能力各異的公共或私營部門組織控制，因此，NIST設計的框架具有廣泛適用性。

該框架的另一個優點是，它使用普遍適用的術語來幫助IT經理完成相關任務，如描述當前的網絡安全態勢、目標，識別并優先考慮改進的機會，評估網絡安全工作進展情況，向內外利益相關者告知網絡安全風險等。這種安全管理風險的綜合方法使NIST安全框架成為任何行業任何組織保護其基礎設施的較佳起點。

更多信息，可查閱：https://www.nist.gov/cyberframework/framework。

2. ISO/IEC 27001/ISO 27002

國際標準化組織(ISO)是一家非政府機構，負責為從生產制造到社會責任方方面面制定全球公認的技術標準。該組織職責廣泛，也制定了網絡安全標準。如ISO/IEC(國際電工委員會)27001和ISO 27002標準隸屬于ISO 27000系列標準，這一系列標準涉及信息安全。ISO 27001涵蓋了設計、實施、維護和持續改進信息安全管理系統(ISMS)的要求，ISO 27002概述了組織可以通過ISMS實施的信息安全標準和實踐。

與NIST CSF相似，ISO框架適用于所有類型和規模的組織。它們需要基于以下因素來分析組織的信息安全要求：評估組織面臨的風險，以識別威脅、易受影響的程度、發生的可能性以及潛在影響;組織必須履行的法律和合同義務;組織用于其業務運營的信息管理內部流程、程序和業務要求。這種分析將幫助組織確定適當的信息安全控制措施，以部署適用于組織的信息安全管理系統。

更多信息，可查閱：https://www.iso.org/standard/54534.html和https://www.iso.org/standard/54533.html。

3. CIS 控制框架

互聯網安全中心(CIS)制定其關鍵安全控制框架的方式是，采用眾包模式，以識別最普遍的網絡威脅，并定義安全措施來防范這些威脅。該框架的最新版CIS Controls Version 8(截至2021年5月)基于活動而不是設備、技術或人員，將這些保護措施歸納到18個控制組。其中一些活動包括企業資產的清點和控制、數據保護、電子郵件Web瀏覽器和保護、安全意識和技能培訓、事件響應管理、滲透測試。

該框架逐漸變得更易于使用，它根據每個組織的技術能力水平和可用資源，將每個CIS控制的保護措施分類到實施組。這種細化確保組織可以將適當的安全措施應用于其IT基礎設施，哪怕該組織的專業水平不高。

更多信息，可查閱：https://www.cisecurity.org/controls/v8/。

4. HIPAA

《醫療保險可攜性及責任性法案》(HIPAA)是一部美國法律，規范了醫療保健組織處理信息的方式。由于信息技術開始在醫療保健業發揮更突出的作用，該法規新增了《HIPAA 安全規則》。該規則要求醫療服務提供者和企業組織維護醫療保健信息(ePHI)的機密性、完整性和安全性。

醫療保健行業管理個人身份信息(PII)的組織必須遵守《HIPAA安全規則》，該規則概述了信息安全合規的三大方面，包括采用規則和流程化的管理保障措施，明確組織將如何遵守該法案;針對受保護的數據提供物理訪問控制的物理保障措施;保護處理、存儲和傳輸數據的軟硬件系統技術保障措施。

更多信息，可查閱：https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool。

5. PCI-DSS

如果組織從事金融服務業，需要處理持卡人信息，就應該了解《支付卡行業數據安全標準》(PCI-DSS)。支付卡行業安全標準委員會(PCI SSC)制定了這套框架，以應對越來越多的信用卡數據泄密事件。遵守PCI-DSS框架的組織須滿足六個控制目標，包括建立和維護安全的網絡和系統、保護持卡人數據、維護漏洞管理計劃、實施強有力的訪問控制措施、定期監控和測試網絡、維護信息安全政策。如今，在線交易量正在慢慢超過實體交易量，因此對于希望將支付業務轉移到線上的組織來說，遵守這套框架必不可少。

更多信息，可查閱：https://www.pcisecuritystandards.org/document_library。

參考鏈接：https://www.liquidweb.com/blog/top-cybersecurity-frameworks/

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文