網(wǎng)絡(luò)安全框架主要包括安全控制框架（SCF）、安全管理框架（SMP）和安全治理框架（SGF）等類型。對(duì)于那些希望按照行業(yè)最佳實(shí)踐來開展網(wǎng)絡(luò)安全能力建設(shè)的企業(yè)來說，理解并實(shí)施強(qiáng)大的網(wǎng)絡(luò)安全框架至關(guān)重要。本文收集整理了目前行業(yè)中已被廣泛應(yīng)用的10種較流行網(wǎng)絡(luò)安全框架，并對(duì)其應(yīng)用特點(diǎn)進(jìn)行了簡(jiǎn)要分析。

　　01CIS關(guān)鍵安全控制

　　CIS關(guān)鍵安全控制（CIS Controls）框架提供了一系列簡(jiǎn)單的、清晰的、規(guī)范化的網(wǎng)絡(luò)安全防護(hù)最佳實(shí)踐，可用于增強(qiáng)組織的網(wǎng)絡(luò)安全態(tài)勢(shì)。框架中所列舉的控制措施是全球數(shù)千名網(wǎng)絡(luò)安全專家在達(dá)成共識(shí)的情況下不斷發(fā)展完善而來的。該框架可以幫助企業(yè)簡(jiǎn)化威脅防護(hù)、遵守行業(yè)監(jiān)管法規(guī)、做好網(wǎng)絡(luò)安全基本功、將信息轉(zhuǎn)化為實(shí)際行動(dòng)以及遵守法律法規(guī)。

　　傳送門：

　　https://www.cisecurity.org/controls

　　02COBIT

　　COBIT（即信息和相關(guān)技術(shù)的控制目標(biāo)）來自ISACA（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)），是一個(gè)強(qiáng)大的IT管理和治理框架。該框架以數(shù)字化業(yè)務(wù)發(fā)展為中心，為IT管理定義了一組通用流程，每個(gè)流程都融合了流程輸入和輸出、關(guān)鍵活動(dòng)、目標(biāo)、績(jī)效度量和基本成熟度模型等因素。業(yè)內(nèi)專業(yè)人士表示，COBIT是解決企業(yè)組織信息和技術(shù)治理和管理的模型，雖然其主要目的不是專門針對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但在整個(gè)框架中整合了多種風(fēng)險(xiǎn)實(shí)踐，并引用了多個(gè)全球公認(rèn)的風(fēng)險(xiǎn)框架。COBIT框架主要由以下五個(gè)部分組成：體系架構(gòu)、流程描述、控制目標(biāo)、管理指導(dǎo)方針以及成熟度模型。

　　傳送門：

　　https://www.isaca.org/resources/cobit

　　03CSA云控制矩陣（CCM）

　　CSA云控制矩陣（CCM）是一種專門為云計(jì)算量身定制的網(wǎng)絡(luò)安全控制框架。它包括了覆蓋17個(gè)安全領(lǐng)域的197個(gè)控制目標(biāo)，涵蓋云應(yīng)用安全的所有重要方面。該框架對(duì)于系統(tǒng)性地評(píng)估云實(shí)施非常有用，同時(shí)還為組織提供了實(shí)施哪種安全控制措施方面的建議。CSA云控制矩陣控制框架與CSA云計(jì)算安全指南保持一致，被認(rèn)為是云安全保障和合規(guī)方面的應(yīng)用實(shí)踐標(biāo)準(zhǔn)之一。

　　傳送門：

　　https://cloudsecurityalliance.org/research/cloud-controls-matrix/

　　04NIST網(wǎng)絡(luò)安全框架（CSF）

　　NIST網(wǎng)絡(luò)安全框架旨在幫助組織啟動(dòng)或增強(qiáng)網(wǎng)絡(luò)安全計(jì)劃。它基于一套成熟的網(wǎng)絡(luò)安全建設(shè)實(shí)踐，有助于加強(qiáng)組織的網(wǎng)絡(luò)安全防御。該框架可以促進(jìn)組織內(nèi)、外部各方在網(wǎng)絡(luò)安全方面的協(xié)作與對(duì)話，尤其對(duì)于大型企業(yè)組織，該框架可以將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理與更廣泛的企業(yè)風(fēng)險(xiǎn)管理策略相集成和協(xié)調(diào)。

　　這套框架可以幫助各類型的組織更有效地理解、管理和降低面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并保護(hù)網(wǎng)絡(luò)和數(shù)據(jù)。它為企業(yè)組織概述了一系列最佳實(shí)踐，有助于確定將時(shí)間和資金重點(diǎn)投入到哪個(gè)方面，從而確保有效地保護(hù)網(wǎng)絡(luò)安全。

　　傳送門：

　　https://hitrustalliance.net/product-tool/hitrust-csf/

　　05TARA

　　根據(jù)網(wǎng)絡(luò)安全公司MITRE的定義，TARA（威脅評(píng)估和補(bǔ)救分析）是一種網(wǎng)絡(luò)安全工程方法框架，用于識(shí)別和評(píng)估網(wǎng)絡(luò)安全漏洞并部署對(duì)策來緩解它們。TARA是一種在考慮緩解措施的同時(shí)確定關(guān)鍵風(fēng)險(xiǎn)的實(shí)用方法，其獨(dú)特之處包括使用目錄存儲(chǔ)的緩解映射方式，為給定的攻擊向量范圍預(yù)先選擇可能的對(duì)策，以及提供基于風(fēng)險(xiǎn)容忍度的對(duì)策。

　　該框架同時(shí)也是MITRE系統(tǒng)安全工程（SSE）實(shí)踐組合的一部分。MITRE方面表示，TARA評(píng)估方法可以被描述為聯(lián)合交易研究，其中第一個(gè)交易是基于評(píng)估的風(fēng)險(xiǎn)識(shí)別和排列攻擊向量，第二個(gè)交易是基于評(píng)估的效用、成本識(shí)別和選擇對(duì)策。

　　06SOGP

　　信息安全良好規(guī)范標(biāo)準(zhǔn)（SOGP）是由信息安全論壇（ISF）發(fā)布，這是一套以業(yè)務(wù)安全為重心、注重實(shí)用的綜合性安全實(shí)踐指南，主要可用于識(shí)別和管理組織及第三方供應(yīng)鏈中的信息安全風(fēng)險(xiǎn)，從而在信息安全建設(shè)方面提供實(shí)用可靠的指引。該框架能夠幫助組織將當(dāng)前的安全建設(shè)最佳實(shí)踐以及風(fēng)險(xiǎn)管理和合規(guī)框架落實(shí)到業(yè)務(wù)運(yùn)營(yíng)、信息安全計(jì)劃和政策中。該標(biāo)準(zhǔn)被目前已經(jīng)被各類型組織的首席信息安全官（CISO）、信息安全經(jīng)理廣泛采用。

　　傳送門：

　　https://en.wikipedia.org/wiki/Standard_of_Good_Practice_for_Information_Security

　　07OCTAVE

　　OCTAVE（運(yùn)營(yíng)關(guān)鍵威脅、資產(chǎn)和漏洞評(píng)估）由卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急小組（CERT）開發(fā)，主要用于識(shí)別和管理信息安全風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全框架。它可以從物理、技術(shù)和人力資源的角度來全面看待網(wǎng)絡(luò)安全，并可以識(shí)別企業(yè)組織關(guān)鍵任務(wù)資產(chǎn)，發(fā)現(xiàn)其中的威脅和漏洞OCTAVE-S是一種簡(jiǎn)化方法，主要為具有扁平層次結(jié)構(gòu)的小型企業(yè)組織而設(shè)計(jì)。而OCTAVE Allegro是一個(gè)更加全面的框架，適用于大型或結(jié)構(gòu)復(fù)雜的企業(yè)組織。

　　08ISO/IEC 27001:2022

　　ISO/IEC 27001是一項(xiàng)全球公認(rèn)的信息安全管理系統(tǒng)（ISMS）標(biāo)準(zhǔn)，設(shè)定了網(wǎng)絡(luò)和信息化系統(tǒng)必須滿足的安全標(biāo)準(zhǔn)。這項(xiàng)標(biāo)準(zhǔn)為各種規(guī)模的組織建立、實(shí)施、維護(hù)和持續(xù)增強(qiáng)其信息安全管理體系提供了全面的指導(dǎo)。ISO/IEC 27000系列中的十多項(xiàng)標(biāo)準(zhǔn)較全面地涵蓋了數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)彈性方面的行業(yè)最佳實(shí)踐。它們共同使所有行業(yè)、各種規(guī)模的組織都能夠管理資產(chǎn)的安全性，比如財(cái)務(wù)信息、知識(shí)產(chǎn)權(quán)、員工數(shù)據(jù)以及第三方委托看管的信息等資產(chǎn)。

　　傳送門：

　　https://www.iso.org/standard/iso-iec-27000-family

　　09HITRUST CSF

　　HITRUST CSF是一種可認(rèn)證的網(wǎng)絡(luò)安全框架，能夠?yàn)榻M織提供一種有效的方法來確保在數(shù)字化發(fā)展中的法律合規(guī)，并妥善管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。它提供了必要的框架、透明度、指南以及交叉引用權(quán)威來源，幫助企業(yè)能夠確保遵守?cái)?shù)據(jù)保護(hù)規(guī)定。早期版本的HITRUST CSF主要利用了美國(guó)國(guó)內(nèi)的安全和隱私相關(guān)法規(guī)、標(biāo)準(zhǔn)及框架，包括ISO、NIST、PCI、HIPAA，以確保安全和隱私控制。在最新版本中，則吸納了更多國(guó)際公認(rèn)的法規(guī)來源和應(yīng)用實(shí)踐。

　　傳送門：

　　https://www.nist.gov/cyberframework/framework

　　10PCI DSS

　　支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）是一種主要用于管理支付卡發(fā)卡機(jī)構(gòu)信息安全的安全標(biāo)準(zhǔn)。這項(xiàng)標(biāo)準(zhǔn)由支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)（PCI SSC）制定并實(shí)施監(jiān)管，需要各大支付卡機(jī)構(gòu)共同遵守，其目的是加強(qiáng)對(duì)持卡人數(shù)據(jù)的管理，最大限度地減少信用卡欺詐。

　　PCI DSS不是一項(xiàng)法律或法規(guī)要求。然而，它已經(jīng)成為處理和存儲(chǔ)信用卡、借記卡及其他支付卡交易的企業(yè)組織需要遵守的一項(xiàng)義務(wù)。只有滿足PCI DSS的要求，支付卡機(jī)構(gòu)才能為其客戶建立和維護(hù)一個(gè)安全的環(huán)境。

　　傳送門：https://www.pcisecuritystandards.org/document_library/?document=pci_dss

　　參考鏈接：https://www.helpnetsecurity.com/2024/01/16/cybersecurity-frameworks/