网络安全框架主要包括安全控制框架(SCF)、安全管理框架(SMP)和安全治理框架(SGF)等类型。
对于那些希望按照行业最佳实践来开展网络安全能力建设的企业来说,理解并实施强大的网络安全框架至关重要。本文收集整理了目前行业中已被广泛应用的10种较流行网络安全框架,并对其应用特点进行了简要分析。
01:CIS关键安全控制
CIS关键安全控制(CIS Controls)框架提供了一系列简单的、清晰的、规范化的网络安全防护最佳实践,可用于增强组织的网络安全态势。框架中所列举的控制措施是全球数千名网络安全专家在达成共识的情况下不断发展完善而来的。该框架可以帮助企业简化威胁防护、遵守行业监管法规、做好网络安全基本功、将信息转化为实际行动以及遵守法律法规。
传送门:
https://www.cisecurity.org/controls
02:COBIT
COBIT(即信息和相关技术的控制目标)来自ISACA(国际信息系统审计协会),是一个强大的IT管理和治理框架。该框架以数字化业务发展为中心,为IT管理定义了一组通用流程,每个流程都融合了流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型等因素。业内专业人士表示,COBIT是解决企业组织信息和技术治理和管理的模型,虽然其主要目的不是专门针对网络安全风险,但在整个框架中整合了多种风险实践,并引用了多个全球公认的风险框架。COBIT框架主要由以下五个部分组成:体系架构、流程描述、控制目标、管理指导方针以及成熟度模型。
传送门:
https://www.isaca.org/resources/cobit
**
**
03:CSA云控制矩阵(CCM)
CSA云控制矩阵(CCM)是一种专门为云计算量身定制的网络安全控制框架。它包括了覆盖17个安全领域的197个控制目标,涵盖云应用安全的所有重要方面。该框架对于系统性地评估云实施非常有用,同时还为组织提供了实施哪种安全控制措施方面的建议。CSA云控制矩阵控制框架与CSA云计算安全指南保持一致,被认为是云安全保障和合规方面的应用实践标准之一。
传送门:
https://cloudsecurityalliance.org/research/cloud-controls-matrix/
04:NIST网络安全框架(CSF)
NIST网络安全框架旨在帮助组织启动或增强网络安全计划。它基于一套成熟的网络安全建设实践,有助于加强组织的网络安全防御。该框架可以促进组织内、外部各方在网络安全方面的协作与对话,尤其对于大型企业组织,该框架可以将网络安全风险管理与更广泛的企业风险管理策略相集成和协调。
这套框架可以帮助各类型的组织更有效地理解、管理和降低面临的网络安全风险,并保护网络和数据。它为企业组织概述了一系列最佳实践,有助于确定将时间和资金重点投入到哪个方面,从而确保有效地保护网络安全。
传送门:
https://hitrustalliance.net/product-tool/hitrust-csf/
05:TARA
根据网络安全公司MITRE的定义,TARA(威胁评估和补救分析)是一种网络安全工程方法框架,用于识别和评估网络安全漏洞并部署对策来缓解它们。TARA是一种在考虑缓解措施的同时确定关键风险的实用方法,其独特之处包括使用目录存储的缓解映射方式,为给定的攻击向量范围预先选择可能的对策,以及提供基于风险容忍度的对策。
该框架同时也是MITRE系统安全工程(SSE)实践组合的一部分。MITRE方面表示,TARA评估方法可以被描述为联合交易研究,其中第一个交易是基于评估的风险识别和排列攻击向量,第二个交易是基于评估的效用、成本识别和选择对策。
只要你用心学习,即使是零基础也能成为高手,需要的话我可以无偿分享,能不能学会就看你自己了。