什么是网络安全的框架类型、好处和最佳做法?
什么是网络安全的框架类型、好处和最佳做法?
网络安全是一个热门的相关话题,它将无限期地保持下去。如果人们、组织、企业和国家都依赖于计算机和信息技术,那么网络安全将永远是一个关键的问题。而且,由于社会背弃数字世界的可能性为零,这种相关性将是永久性的。
您只需要回溯到5月和Colonial Pipeline的网络攻击,就可以找到网络安全持续重要性的例子。每个由数字和IT组成的组织都需要一个健全的网络安全战略,这意味着他们需要最好的网络安全框架。
这就是为什么今天我们要把注意力转向网络安全框架。它们是什么,有哪些种类,有什么好处?在文章的最后,我们希望您能对这些框架有一个扎实的掌握,并希望它们能帮助改善您的网络安全状况。
那么,网络安全框架到底是什么?
什么是网络安全框架?
网络安全框架是一套描述网络安全风险管理的准则、标准和最佳实践的文件。这些框架的存在是为了减少组织的弱点和漏洞暴露于黑客和其他网络犯罪分子面前。
框架 "这个词让人觉得这个词是指硬件,但事实并非如此。大型机 "这个词的存在并没有什么帮助,它的存在可能意味着我们正在处理一个由服务器、数据存储等组成的有形基础设施。
但是,就像 "现实世界 "中的框架由支持建筑物或其他大型物体的结构组成一样,网络安全框架为组织的安全方法提供基础、结构和支持。
正如我们看到的,这些框架有很多类型。
网络安全框架的类型有哪些?
框架根据需要的功能分为三种类型。
控制框架
为组织的网络安全部门制定基本战略
提供一个安全控制的基线组
评估基础设施和技术的现状
对安全控制的实施进行优先排序
程序框架
评估组织的安全计划的当前状态
构建一个完整的网络安全计划
衡量该计划的安全性和竞争力分析
促进并简化网络安全团队与经理或行政人员之间的沟通
风险框架
定义了风险评估和管理的必要程序
构建风险管理的安全方案
识别、测量和量化组织的安全风险
对适当的安全措施和活动进行优先排序
顶级网络安全框架
当谈到挑选网络安全框架时,您拥有足够的选择。以下是当今业界公认的一些较好的框架。当然,您的选择取决于你的组织的安全需求。
公司向网络安全框架寻求指导。正确的框架和正确的制定可以让IT安全团队智能地管理他们公司的网络风险。公司可以定制一个现有的框架,或者在内部开发一个框架。
一些企业必须采用特定的信息安全框架,以遵循行业或政府法规。例如,如果您的企业通过信用卡处理采购,它必须遵守支付卡行业数据安全标准(PCI-DSS)框架。在这种情况下,公司必须通过审计来表明他们符合PCI-DSS框架标准。
1. NIST网络安全框架。
NIST改善关键基础设施网络安全框架,简而言之就是 "NIST网络安全框架",是在奥巴马政府时期为响应总统13636号行政命令而建立的。NIST旨在保护美国的关键基础设施(如水坝、发电厂)免受网络攻击。
NIST是一套自愿的安全标准,私营部门的公司可以用它来发现、识别和应对网络攻击。该框架还具有帮助组织预防和恢复网络攻击的准则。有五个与NIST相关的功能或最佳实践:
识别
保护
检测
反应
恢复
2. 互联网安全中心关键安全控制(CIS)。
如果您想让公司从小事做起,逐渐发展壮大,您必须选择CIS。这个框架是在2000年代末开发的,旨在保护公司免受网络威胁。它由20项控制措施组成,由来自许多领域(学术界、政府、工业界)的安全专家定期更新。该框架从基础知识开始,接着是基础性的,最后以组织性的结束。
CIS使用基于共同标准的基准,如HIPAA或NIST,映射安全标准,并为不受强制安全协议约束但想提高网络安全的组织提供替代配置。
3. 国际标准组织(ISO)的框架ISO/IEC 27001和27002。
这个框架也被称为ISO 270K。它被认为是国际公认的网络安全验证标准,适用于内部情况和跨第三方。ISO 270K运作的前提是组织要具备一个信息安全管理系统。ISO/IEC 27001要求管理层详尽地管理其组织的信息安全风险,重点关注威胁和漏洞。
ISO 270K的要求非常高。该框架推荐了114种不同的控制措施,分为14个类别。因此,考虑到维护标准所涉及的工作量,ISO 270K可能不适合所有人。然而,如果实施ISO 270K是吸引新客户的一个卖点,那么它是值得的。
4. 健康保险可携性和责任法案。
更为人所知的是HIPAA,它提供了一个管理病人和消费者机密数据的框架,特别是隐私问题。这项立法保护电子医疗信息对于医疗服务提供者、保险公司和信息交流中心至关重要。
还有许多其他框架可供选择,包括:
SOC2(服务组织控制)
NERC-CIP (北美电力可靠性公司关键基础设施保护)
GDPR (通用数据保护条例)
FISMA (联邦信息系统管理法)
HITRUST CSF (健康信息信任联盟)
PCI-DSS (支付卡行业数据安全标准)
COBIT(信息及相关技术的控制目标)
COSO (赞助组织委员会)
在有些情况下,一个企业或组织会同时使用一个以上的框架。
为什么我们需要网络安全框架?
网络安全框架消除了对于数字资产安全的一些猜测。框架为网络安全经理提供了一种可靠的、标准化的、系统化的方式来减轻网络风险——无论环境有多复杂。
网络安全框架帮助团队应对网络安全挑战,提供一个战略性的、深思熟虑的计划来保护其数据、基础设施和信息系统。这些框架提供指导,帮助IT安全领导者更明智地管理其组织的网络风险。
公司可以适应并调整现有的框架以满足他们自己的需求,或者在内部创建一个框架。然而,后一种选择可能带来挑战,因为一些企业必须采用符合商业或政府法规的安全框架。自制的框架可能不足以满足这些标准。
一句话,企业越来越需要遵守标准的网络安全实践,而使用这些框架可以使合规性更容易、更智能。不同的框架将适合不同规模企业的需要——无论它们属于无数个行业中的哪一个。
框架能够帮助企业遵循正确的安全程序。这不仅可以保证组织的安全,而且可以促进消费者的信任。客户对于遵循既定安全协议的公司在网上交易方面有较少的保留,以保证他们的财务信息安全。
网络安全框架的最佳做法
虽然每一个框架都是不同的,但某些最佳实践是全面适用的。在此,我们将对NIST之前提到的五项功能进行扩展。
识别
为了管理其资产、数据、能力和系统的安全风险,公司必须充分了解这些环境并确定潜在的薄弱点。
保护
公司必须创建和部署适当的保障措施,以减少或限制潜在的网络安全漏洞和事件的影响。
检测
企业应启动必要的程序,尽快识别网络安全事件。
反应
公司必须有能力制定适当的应对计划,以控制任何网络安全事件的影响。
恢复
公司必须建立和实施有效的程序,以恢复任何被网络安全事件破坏的能力和服务。
以上就是什么是网络安全框架的类型、好处和最佳做法全部内容。
来自:https://cn.bluehost.com/blog/security/16533.html