網(wǎng)絡(luò)安全框架主要包括安全控制框架(SCF)、安全管理框架(SMP)和安全治理框架(SGF)等類型。對于那些希望按照行業(yè)最佳實(shí)踐來開展網(wǎng)絡(luò)安全能力建設(shè)的企業(yè)來說，理解并實(shí)施強(qiáng)大的網(wǎng)絡(luò)安全框架至關(guān)重要。本文收集整理了目前行業(yè)中已被廣泛應(yīng)用的10種較流行網(wǎng)絡(luò)安全框架，并對其應(yīng)用特點(diǎn)進(jìn)行了簡要分析。

01、CIS關(guān)鍵安全控制

CIS關(guān)鍵安全控制(CIS Controls)框架提供了一系列簡單的、清晰的、規(guī)范化的網(wǎng)絡(luò)安全防護(hù)最佳實(shí)踐，可用于增強(qiáng)組織的網(wǎng)絡(luò)安全態(tài)勢。框架中所列舉的控制措施是全球數(shù)千名網(wǎng)絡(luò)安全專家在達(dá)成共識的情況下不斷發(fā)展完善而來的。該框架可以幫助企業(yè)簡化威脅防護(hù)、遵守行業(yè)監(jiān)管法規(guī)、做好網(wǎng)絡(luò)安全基本功、將信息轉(zhuǎn)化為實(shí)際行動以及遵守法律法規(guī)。

02、COBIT

COBIT(即信息和相關(guān)技術(shù)的控制目標(biāo))來自ISACA(國際信息系統(tǒng)審計(jì)協(xié)會)，是一個(gè)強(qiáng)大的IT管理和治理框架。該框架以數(shù)字化業(yè)務(wù)發(fā)展為中心，為IT管理定義了一組通用流程，每個(gè)流程都融合了流程輸入和輸出、關(guān)鍵活動、目標(biāo)、績效度量和基本成熟度模型等因素。業(yè)內(nèi)專業(yè)人士表示，COBIT是解決企業(yè)組織信息和技術(shù)治理和管理的模型，雖然其主要目的不是專門針對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但在整個(gè)框架中整合了多種風(fēng)險(xiǎn)實(shí)踐，并引用了多個(gè)全球公認(rèn)的風(fēng)險(xiǎn)框架。COBIT框架主要由以下五個(gè)部分組成：體系架構(gòu)、流程描述、控制目標(biāo)、管理指導(dǎo)方針以及成熟度模型。

03、CSA云控制矩陣(CCM)

CSA云控制矩陣(CCM)是一種專門為云計(jì)算量身定制的網(wǎng)絡(luò)安全控制框架。它包括了覆蓋17個(gè)安全領(lǐng)域的197個(gè)控制目標(biāo)，涵蓋云應(yīng)用安全的所有重要方面。該框架對于系統(tǒng)性地評估云實(shí)施非常有用，同時(shí)還為組織提供了實(shí)施哪種安全控制措施方面的建議。CSA云控制矩陣控制框架與CSA云計(jì)算安全指南保持一致，被認(rèn)為是云安全保障和合規(guī)方面的應(yīng)用實(shí)踐標(biāo)準(zhǔn)之一。

04、NIST網(wǎng)絡(luò)安全框架(CSF)

NIST網(wǎng)絡(luò)安全框架旨在幫助組織啟動或增強(qiáng)網(wǎng)絡(luò)安全計(jì)劃。它基于一套成熟的網(wǎng)絡(luò)安全建設(shè)實(shí)踐，有助于加強(qiáng)組織的網(wǎng)絡(luò)安全防御。該框架可以促進(jìn)組織內(nèi)、外部各方在網(wǎng)絡(luò)安全方面的協(xié)作與對話，尤其對于大型企業(yè)組織，該框架可以將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理與更廣泛的企業(yè)風(fēng)險(xiǎn)管理策略相集成和協(xié)調(diào)。

這套框架可以幫助各類型的組織更有效地理解、管理和降低面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并保護(hù)網(wǎng)絡(luò)和數(shù)據(jù)。它為企業(yè)組織概述了一系列最佳實(shí)踐，有助于確定將時(shí)間和資金重點(diǎn)投入到哪個(gè)方面，從而確保有效地保護(hù)網(wǎng)絡(luò)安全。

05、TARA

根據(jù)網(wǎng)絡(luò)安全公司MITRE的定義，TARA(威脅評估和補(bǔ)救分析)是一種網(wǎng)絡(luò)安全工程方法框架，用于識別和評估網(wǎng)絡(luò)安全漏洞并部署對策來緩解它們。TARA是一種在考慮緩解措施的同時(shí)確定關(guān)鍵風(fēng)險(xiǎn)的實(shí)用方法，其獨(dú)特之處包括使用目錄存儲的緩解映射方式，為給定的攻擊向量范圍預(yù)先選擇可能的對策，以及提供基于風(fēng)險(xiǎn)容忍度的對策。

該框架同時(shí)也是MITRE系統(tǒng)安全工程(SSE)實(shí)踐組合的一部分。MITRE方面表示，TARA評估方法可以被描述為聯(lián)合交易研究，其中第一個(gè)交易是基于評估的風(fēng)險(xiǎn)識別和排列攻擊向量，第二個(gè)交易是基于評估的效用、成本識別和選擇對策。

06、SOGP

信息安全良好規(guī)范標(biāo)準(zhǔn)(SOGP)是由信息安全論壇(ISF)發(fā)布，這是一套以業(yè)務(wù)安全為重心、注重實(shí)用的綜合性安全實(shí)踐指南，主要可用于識別和管理組織及第三方供應(yīng)鏈中的信息安全風(fēng)險(xiǎn)，從而在信息安全建設(shè)方面提供實(shí)用可靠的指引。該框架能夠幫助組織將當(dāng)前的安全建設(shè)最佳實(shí)踐以及風(fēng)險(xiǎn)管理和合規(guī)框架落實(shí)到業(yè)務(wù)運(yùn)營、信息安全計(jì)劃和政策中。該標(biāo)準(zhǔn)被目前已經(jīng)被各類型組織的首席信息安全官(CISO)、信息安全經(jīng)理廣泛采用。

07、OCTAVE

OCTAVE(運(yùn)營關(guān)鍵威脅、資產(chǎn)和漏洞評估)由卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急小組(CERT)開發(fā)，主要用于識別和管理信息安全風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全框架。它可以從物理、技術(shù)和人力資源的角度來全面看待網(wǎng)絡(luò)安全，并可以識別企業(yè)組織關(guān)鍵任務(wù)資產(chǎn)，發(fā)現(xiàn)其中的威脅和漏洞OCTAVE-S是一種簡化方法，主要為具有扁平層次結(jié)構(gòu)的小型企業(yè)組織而設(shè)計(jì)。而OCTAVE Allegro是一個(gè)更加全面的框架，適用于大型或結(jié)構(gòu)復(fù)雜的企業(yè)組織。

08、ISO / IEC 27001:2022

ISO/IEC 27001是一項(xiàng)全球公認(rèn)的信息安全管理系統(tǒng)(ISMS)標(biāo)準(zhǔn)，設(shè)定了網(wǎng)絡(luò)和信息化系統(tǒng)必須滿足的安全標(biāo)準(zhǔn)。這項(xiàng)標(biāo)準(zhǔn)為各種規(guī)模的組織建立、實(shí)施、維護(hù)和持續(xù)增強(qiáng)其信息安全管理體系提供了全面的指導(dǎo)。ISO/IEC 27000系列中的十多項(xiàng)標(biāo)準(zhǔn)較全面地涵蓋了數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)彈性方面的行業(yè)最佳實(shí)踐。它們共同使所有行業(yè)、各種規(guī)模的組織都能夠管理資產(chǎn)的安全性，比如財(cái)務(wù)信息、知識產(chǎn)權(quán)、員工數(shù)據(jù)以及第三方委托看管的信息等資產(chǎn)。

09、HITRUST CSF

HITRUST CSF是一種可認(rèn)證的網(wǎng)絡(luò)安全框架，能夠?yàn)榻M織提供一種有效的方法來確保在數(shù)字化發(fā)展中的法律合規(guī)，并妥善管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。它提供了必要的框架、透明度、指南以及交叉引用權(quán)威來源，幫助企業(yè)能夠確保遵守?cái)?shù)據(jù)保護(hù)規(guī)定。早期版本的HITRUST CSF主要利用了美國國內(nèi)的安全和隱私相關(guān)法規(guī)、標(biāo)準(zhǔn)及框架，包括ISO、NIST、PCI、HIPAA，以確保安全和隱私控制。在最新版本中，則吸納了更多國際公認(rèn)的法規(guī)來源和應(yīng)用實(shí)踐。

10、PCI DSS

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)是一種主要用于管理支付卡發(fā)卡機(jī)構(gòu)信息安全的安全標(biāo)準(zhǔn)。這項(xiàng)標(biāo)準(zhǔn)由支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(PCI SSC)制定并實(shí)施監(jiān)管，需要各大支付卡機(jī)構(gòu)共同遵守，其目的是加強(qiáng)對持卡人數(shù)據(jù)的管理，最大限度地減少信用卡欺詐。

PCI DSS不是一項(xiàng)法律或法規(guī)要求。然而，它已經(jīng)成為處理和存儲信用卡、借記卡及其他支付卡交易的企業(yè)組織需要遵守的一項(xiàng)義務(wù)。只有滿足PCI DSS的要求，支付卡機(jī)構(gòu)才能為其客戶建立和維護(hù)一個(gè)安全的環(huán)境。