网络安全相关的今天,已经相关的几十年,在未来将越来越重要。如果你使用电脑或智能手机,是否连接到互联网,网络安全应该是你的一个主要问题。
如今,手机锁(生物、销、模式等),电脑加密和密码,通常放置在一个安全的位置。例如,一台计算机可以锁在你的办公室,和一个电话可能对人。这些都是方法不断增加设备的网络安全的物理方面。
请注意,没有人强迫你实现这些安全检查——这些仅仅是一般规则和最佳实践来保持你的设备安全。同样的,有记录的指南和最佳实践由领先的IT专家机构来提高网络安全,这被称为“网络安全框架。”
在这篇文章中,我们将讨论网络安全框架是什么,他们的类型,为什么他们很重要,可以受益于他们的人。年底的这篇文章中,你将了解到的主要网络安全框架和他们每个人拥有什么。
这一页封面
什么是网络安全框架?
当你谈论一个框架,非技术用户可能认为它是物理和有形的东西。例如,建筑物的框架将厚厚的金属或混凝土结构的建筑构造。然而,这并不是指网络安全框架。
网络安全框架是一组/相结合的方针,最佳实践和守则的预防和管理网络安全威胁。这些规则和策略用于指导组织,以及个人执行风险评估,减少威胁的影响,等等。
网络安全框架构造经过深入讨论,反馈,和真实的场景,然后品牌“框架。“不同类型的网络安全框架的存在,和每种类型可以有多个框架。
虽然一些网络安全框架可以应用于任何规模的组织,其他框架是特定国家的总和。例如,英国可以拥有自己的网络安全保护的标准和政策,因此,都有其特定的框架下所有的IT公司必须遵守英国的法律。
为什么网络安全框架使用?
正如上面隐含的,网络安全框架是一个预定义的规则和方针政策来实现让你的网络和系统安全。与框架,而不是从头开始,你已经知道如何使你的系统尽可能的安全,什么行为来实现,哪些培训给(或学习),等等。
网络安全框架还设置标准为个人和组织通过创建安全文化和最小化风险因素。反过来,这不仅有助于抑制组织的管理机构,但也使企业和客户的数据安全。
框架定义了如何处理主体和实施最佳实践来保护系统及其资产潜在的网络威胁。他们帮助网络安全专业人员的技术、方法和政策来实现,这样他们可以减少攻击表面和管理威胁立即同时减少的影响降到最低。
类型的网络安全框架
我们前面提到的,有不同类型的网络安全框架。这是什么一个框架的分类。它保护资产,还是让外部威胁网络安全的和无懈可击的?
有三个主要类型的网络安全框架:
- 控制框架:
- 控制框架用于定义基本的安全团队规则和策略。这些包括清单、程序、维修细节,等等。它包括适应的基本策略。此外,一个控制框架还评估系统的当前状态为风险管理基础设施。
- 程序框架:
- 程序框架,它包含一个程序,提高了整体系统的安全。这通常开始于评估现有的网络安全基础设施,然后设计了一个计划。这个项目可以包括简化安全专家和高层管理人员之间的沟通,向员工提供培训成为网络钓鱼诈骗的受害者,等等。
- 风险框架:
- 所有评估的框架,量化,减少和管理风险是风险框架。这些包括治理、风险管理和合规,基本上为评估,管理,然后实施风险评估政策。框架,用于识别、衡量和量化风险框架范畴,也可能包括风险评估和管理的过程。
一个框架不需要满足所有上述条件符合一个类别。然而,除非定制,很可能一个已知的网络安全框架适合多个类别。
也就是说,下面我们共享的一些流行的细节,和适应网络安全框架。
至关重要的网络安全框架
下面你会发现一些流行的和著名的网络安全框架目前实现今天世界各地。这包括所有3种框架上面所讨论的。然而,每一个旨在保护系统中不同的组件。
例如,当一个框架的目的是确保完整的内部网,另一个可能专注于保护网络内的资产。
NIST网络安全框架(CSF)
NIST代表“国家标准与技术研究院。“这是美国管理机构的标准化规则,政策,法规在全国范围内。NIST的官员公开发布的网络安全框架(CSF)是在2018年之后,奥巴马政府下令保护美国所有的关键基础设施免受网络攻击,如大坝、发电厂等。
NIST的CSF是专为新组织和现有企业,这样他们就可以从网络攻击安全知识和实物资产。这个框架由大量的规则,政策,和最佳实践,可以帮助更好的系统的网络安全基础设施。
CSF被认为是最受欢迎的和至关重要的框架,因为它定下了基调为公司的安全评估和管理其核心安全基础设施。虽然这是专为美国国家资产,它是跨国界广泛采用。
NIST的CSF是基于以下五个原则:
- 识别
- 保护
- 检测
- 回应
- 恢复
按照框架,这些是实现和坚持同样的顺序。你就会明白为什么它是重要的去观察这个订单一旦我们详细解释原则。
NIST CSF:确定
NIST的识别是第一部分网络安全框架。这意味着你需要首先确定资产(物理和软件),以及你必须绝对保护的过程。
识别过程的核心框架。因此,它需要执行总关注。一旦你确定的对象,只有这样你才能保护他们,发现任何威胁,应对威胁,并执行全面复苏。
注意,不能只局限于有形的物体识别,但也核心意识形态。例如,您还必须确定的关键业务,因此它可以保护,和一个业务连续性计划可以实施。
需要进行以下活动在“识别”阶段:
- 识别物理和虚拟资产。这是需要建立一个资产管理计划的基础。
- 识别组织的商业意识形态。
- 标识已经存在的网络安全政策,帮助制造治理计划以及识别有关网络安全的法律和监管需求的能力。
- 识别资产漏洞、威胁资源和风险应对活动。
- 识别风险容忍度阈值。
- 识别供应链风险管理策略包括优先级、约束和风险承受力。
NIST CSF:保护
一旦资产和资源已确定,你现在必须保护他们,从各种各样的威胁。这些可以物理以及网络威胁。
该框架的“保护”部分讨论如何确保识别资产的维护。这些做法将有助于保证资产安全事件的未经授权的破坏,自然灾害或其他不可预见的威胁。
这部分的框架包括以下活动:
- 安装保护访问控制和身份管理在组织内包括物理和远程访问。
- 提供主管培训员工和员工的数据保护,网络钓鱼诈骗和其他方法来保护资产。
- 建立数据保护的政策,符合组织的风险战略保护机密性、完整性和可用性的信息。
- 实现程序来管理和维护信息系统的保护和资产。
- 执行日常维护保护组织资源,包括远程维护活动。
- 执行技术政策,确保系统的安全性和弹性,符合组织的政策和程序。
NIST CSF:检测
在现实世界中,适当的框架没有实现,网络攻击是未被发现。只有在一些,当关键用户数据被黑暗网络上拍卖,组织意识到他们的数据已经被黑客入侵。
因此,NIST CSF包含一个“检测”的方针,确保适当的制衡,立即通知安全团队的不规则活动。
这部分的框架包括活动,比如连续监测网络流量和资产,就地警报的不规则的上传或下载,未经授权的访问请求的警报和通知等。
当然,一旦检测到一个事件时,只有这样你才能回应。
NIST CSF:回复
“响应”功能的框架提供了指导方针采取适当的行动来减少威胁如果它发生的影响。计划的这一部分通常是实现网络安全事件发生期间和之后。这部分包括活动,如:
- 减少攻击表面,防止事故蔓延更多的资源。
- 分析了威胁并立即采取适当的行动。
- 执行减排活动,防止事件的扩张和解决这一事件。
- 不断的交流与利益相关者及时抓的情况。
- 改进后的系统保护之前从错误中学习。
NIST CSF:恢复
的“复苏”的部分框架之前,已经有一个网络事件。这部分并不一定意味着数据恢复,但也从网络上的任何停机时间的资产中恢复。
NIST CSF强调坚持的最佳实践和规范网络攻击的情况下,如何克服它,学习它,以防止未来的攻击。这部分通常包括以下活动:
- 恢复所有网络连接和资产正常功能。
- 完善现有的基础设施和框架政策后学习从以前的漏洞。
- 进行取证分析攻击事件是不重复。
这些NISTT CSF的5大支柱可以帮助你改善你的可以使用现有网络的安全或从头开始建立你的安全基础设施。
ISO / IEC 27001和27002
国际标准化组织(ISO)创造了两个网络安全框架:ISO / IEC 27001和ISO / IEC 27002。在一起,这两个标准具有重要意义在确保一个公司的能力来保护数据。这些也是最接受的框架由公司处理用户数据。
ISO 27000系列框架的公司使用信息安全管理系统(主义)。主义是一套规则和政策,确保敏感数据保护的国际标准。除此之外,ISO 27001和27002框架表示的数据保持其完整性和处理良好的保护和以风险评估为基础的收费系统。
说,与NIST CSF,你不能简单地采用ISO 27001 - 27002标准的要求。相反,您需要遵循定义的实践和程序,之后你必须请求从一个指定审计师的审计。一旦你通过了审核,只有这样,你才能实现的状态ISO / IEC 27001和27002认证。
如果你想知道为什么有两个单独的ISO标准的同样的事情,你的关心将是有效的。ISO 27001是一个标准,指导如何处理风险评估,控制选择,策略/规则实现。它讲述了要求建立一个主义。
另一方面,ISO 27002不是一个标准,而是一个守则强调安全控制措施的细节。
当一个组织这两个认证,可以认为,该组织拥有或处理任何数据在可靠的人手中。
独联体控制框架
发表在2000年代末,互联网安全中心(CIS)控制框架通过定期更新仍然有效。独联体框架是用来保护网络免受网络攻击和覆盖区域访问控制和管理、资产管理、事件报告和响应,等。它是一组20控制包括以下:
- 数据保护和完整性
- 审计日志管理
- 控制库存和资产
- 防御恶意软件
- 渗透测试
与NIST CSF,独联体控制框架仅仅关注减少网络风险,增加弹性,而不是执行风险分析。这些控件分为三个主要类别如下:
- 基本的控制:这些都是最基本的网络安全防范措施,任何组织,如定期更新补丁、防病毒安全等。
- 基本的控制:这些更复杂的安全措施包括两因素身份验证和日常检查生成的日志的可疑行为。这些控件实现除了基本的控制。
- 组织控制:这些控件创建提供额外的安全措施为个人定制的组织,如用户教育和意识,协议,等等。
框架的指导并没有在这里结束。然后进一步定义三种不同的实现组织针对不同大小的组织。
组织以最少的资源和网络安全经验应该使用“实现组1”。组织合理的资源和网络安全知识应采取“实现组2”。“实现集团3”是建立企业与充足的资源和网络安全技术。
服务组织控制(SOC) 2型
服务组织控制(SOC) 2型,也称为“SOC2”,是一个全面的安全框架围绕审计控制和政策的组织处理客户数据。尤其是企业实现在线交易处理和敏感的财务信息,并由授权的第三方审计公司。
这个框架是由美国注册会计师协会(AICPA),由60遵从性需求。有时,一个详细的审计需要一年,该公司获得认证后适应的框架。
SOC2框架评估保密、安全、可用性、处理完整性和隐私组织的系统和服务。雷竞技下载iOS地址这就是这些SOC2框架的信托服务包括:雷竞技下载iOS地址
- 安全:网络和资产是防止未经授权的访问和渗透,或任何形式的数据泄漏。
- 一个vailability:数据和信息可以以最少的停机时间。
- 处理完整性:确保数据处理端到端安全、准确、有效、及时、和符合标准。
- 机密性:在所有阶段和保护客户数据保密,内部和外部。
- 隐私:个人数据保护和保密,使用必须符合客观,然后妥善处置的不完整性的损失。
此外,SOC2给一个全面的框架实现的结果,因为它描述了一个组织的系统功能在一段时间内,而不是在任何一个时间点。
HITRUST共同安全框架(CSF)
HITRUST代表“卫生信息信任联盟”——一个合作组织由领先的医疗代表。HITRUST共同安全框架,通常被称为网络安全框架,是一组最佳实践,创建一个标准来保护病人信息和数据的安全。
HITRUST CSF的控制策略分布在14个不同类别和156控制规范。因为它是一个仔细的认证获得,许多医疗组织只有尝试获得认证框架的较小的地区。
下表强调分工的控制要求,控制目标,控制类别HITRUST CSF中:
| 类别不。 | 控制类别 | 控制目标 | 控制规范 |
| 1 | 信息安全管理程序 | 1 | 1 |
| 2 | 访问控制 | 7 | 25 |
| 3 | 人力资源安全 | 4 | 9 |
| 4 | 风险管理 | 1 | 4 |
| 5 | 安全策略 | 1 | 2 |
| 6 | 信息安全组织 | 2 | 11 |
| 7 | 合规 | 3 | 10 |
| 8 | 资产管理 | 2 | 5 |
| 9 | 物理和环境安全 | 2 | 13 |
| 10 | 通信和操作管理 | 10 | 32 |
| 11 | 信息系统获取、开发和维护 | 6 | 13 |
| 12 | 信息安全事件管理 | 2 | 5 |
| 13 | 业务连续性管理 | 1 | 5 |
| 14 | 隐私惯例 | 7 | 21 |
从表中可以得出,最大控制范围属于通信类别。因此,它是安全的假设大多数的威胁存在当病人之间传输数据的人通过不同的媒介。
由于共同的安全框架是一个认证,是颁发授权第三方供应商审计组织在提供认证。
此外,还有许多其他准则HITRUST CSF中可用的,如分类和确定风险因素,定义架构的控制类,等等。学习更深入,从上面的快速链接下载HITRUST CSF文档。
信息及相关技术的控制目标(COBIT)
快速链接
COBIT框架是由信息系统审计与控制协会(ISACA),和最新更新了COBIT框架5 2019(因为它在2019年被释放)。
COBIT框架提供了思考,端到端指南旨在帮助组织更有效地管理他们的IT资源和有效。这个框架提供了最佳实践治理、风险管理和安全性。这个框架功能在以下6个管理原则:
- 满足利益相关者的需求:管理系统应该根据将利益相关者的需求,进而将产生价值。由平衡资源,价值创造是可能的好处,风险,管理系统,可操作的策略。
- 有一个全面的方法:整个系统应该是可互操作的,一起工作,和有不同的部分。
- 动态管理系统:并不是所有的场景符合相同的条件。所有的治理政策必须定制根据当前的条件和环境,而不是固定的。
- 不同的治理与管理:不应该有重叠,管理和治理。他们都应该是不同的,彼此分离。
- 根据组织的需求:整个系统应设计在保持组织的利益放在心上。这一目标是可以实现的,根据自定义和优先级系统中使用的组件。
- 端到端管理系统:系统必须足够广泛的特性的所有功能、数据、技术、资产,一个企业必须使用达到期望的目标。
除了COBIT框架的基本支柱,还有五大类别划分的控制系统,它是:
- 评估、直接和监控
- 对齐、计划和组织
- 构建、购买和实施
- 交付、服务和支持
- 监控、评价和评估
管理员,COBIT不仅仅是一个技术要求的列表。这个框架支持通过结合企业IT应用程序的要求,相关流程和来源。它所提供的参数可以分为两大类:
- 控制:这包括IT管理政策、实践、过程和结构。这些确保业务目标将会实现。
- 它控制目标:这个状态时,必须达到可接受的结果水平,实现控制程序为特定的操作。
COBIT指南并没有在这里结束。它还包括关键组件设置酒吧设计实际的框架。讨论什么注意事项要记住同时实现治理系统。
网络要素(英国)
网络基本框架是特定于英国。它包含了非常基本的指导方针,保持组织的It基础设施安全、防止常见的网络攻击。这个框架成立于2014年由国家网络安全中心(成都市)。
网络本质提供了一个自我评估清单,一个组织可以遵循,自检是否符合要求标准按照网络的基本框架。另一方面,一个组织可以选择“网络要素+,”这是一个外部审计师认证颁发。
说,这个框架是围绕以下5控制预防最常见的网络攻击:
- 防火墙和路由器
- 安全配置
- 访问控制
- 恶意软件保护
- 补丁管理/软件更新
联邦信息安全管理法案》(FISMA)
快速链接
FISMA框架瀑布直属国土安全部(DHS)。成立于2014年,它是一个全面的网络安全框架设计实现在所有美国联邦政府的信息和系统。
的核心准则FISMA框架结合NIST CSF(如上所述)。它的目的是保护有价值的政府信息免受网络攻击和威胁。因为它是精心制作的联邦机构,满足框架的控制系统可以是一个麻烦,因为它包含了复杂的实践,指导方针和安全控制。
以下是FISMA的核心原则:
- 信息系统库存:联邦机构必须保持库存的所有使用公司内部网络安全系统。
- 风险分类:资产保护,造成最大风险,必须根据其优先级分类,这样他们就可以相应的保护。
- 系统安全计划:组织必须制定和维护一个安全的计划。它应包括诸如实现安全控制,安全策略,进一步的控制措施的引入,时间表等。
- 安全控制:与其他框架,FISMA并不鼓励一个组织来实现安全控制。相反,它只控制相关的指南实现组织的域和功能。一旦选择适当的控制和安全需求已经满足,组织必须文档选择控制系统安全计划。
- 风险评估:FISMA框架遵循NIST CSF指南时进行风险评估。风险评估应该是三层识别安全风险在组织层面,业务处理层次,信息系统的水平。
- 认证认可:这个框架是certification-based,这意味着其他授权联邦机构执行年度审计确认组织满足最低标准。
忽视网络安全框架
如果你是一个组织处理或处理敏感信息和选择不遵守任何框架,可能出现的最坏情况是什么?
很多!框架是用来启动你的网络安全基础设施,所以你知道检查执行,如何最小化攻击表面,如何处理事件,如何生成报告,从这些报道如何学习,如何从攻击中恢复过来。如果你不遵循框架,可能容易受到网络攻击,数字盗窃、数据泄露,严重得多。
另外,如果你是一个注册的组织,然后你可能会面临一些严重的财政处罚没有实现基本的安全预防措施。
高级网络安全框架:一个总结
正如前面提到的,有各种不同的框架,关注组织内部网络安全的不同方面。下表总结了流行的网络安全框架,他们每个人都提供指导。
| 网络安全框架 | 描述 |
| NIST脑脊液 | 使用新的和现有的组织。为了保护网络和资产从网络威胁。包括以下原则:识别、保护、检测、响应、恢复 |
| ISO / IEC 27001 & 27002 | 由组织处理消费者数据信息安全使用管理系统(主义)。Audit-based认证。指导如何处理风险评估,控制选择,策略/规则实现。它讲述了要求建立一个主义。 |
| 独联体控制框架 | 用于保护网络免受网络攻击通过访问控制和管理、资产管理、事件报告和响应,等等。它包括基本控制,基本控制,和组织控制。 |
| SOC2 | 使用在一个组织处理客户数据,特别是财务信息。该框架围绕安全、可用性、处理完整性、机密性和隐私。 |
| HITRUST脑脊液 | 全面保护医疗患者的数据。控制系统是通过14个奖项来实现的,与156年控制规范。 |
| COBIT | 一个端到端的指南旨在帮助组织更有效地管理他们的IT资源。围绕以下6个原则:满足利益相关者的需求,整体的方法,动态管理,不同的治理与管理,精心组织的需求,和端到端治理。 |
| 网络生活必需品 | 英国的框架。基本指导方针,保持组织的IT基础设施防止常见的网络攻击。建议实施以下5控制:防火墙和路由器、安全配置、访问控制、恶意软件保护,和软件更新。 |
| FISMA | 联邦机构的审计是由其他联邦机构。坚持以下原则:信息系统库存、风险分类、系统安全计划、安全控制,风险评估和认证认可。 |
