國際上五個(gè)最具影響力的網(wǎng)絡(luò)安全指南
最好的網(wǎng)絡(luò)安全指南在保護(hù)世界各地的數(shù)據(jù)免遭盜竊和泄露方面發(fā)揮了巨大作用。
這些指南是一套全面的推薦做法、程序和原則,旨在幫助組織和個(gè)人保護(hù)其數(shù)字資產(chǎn)、系統(tǒng)和數(shù)據(jù)免受惡意攻擊。它們涵蓋了廣泛的實(shí)踐,部分目的是收集和分享基于行業(yè)標(biāo)準(zhǔn)和專業(yè)知識的最佳實(shí)踐和策略。至關(guān)重要的是,它們會經(jīng)常更新,以應(yīng)對不斷變化的威脅和技術(shù)進(jìn)步。
真正有效的網(wǎng)絡(luò)安全指南是實(shí)現(xiàn)安全性最大化的路線圖。這些指南內(nèi)容全面,涵蓋技術(shù)和組織方面。它們具有清晰的治理結(jié)構(gòu)、詳細(xì)的實(shí)施計(jì)劃和適應(yīng)靈活性。它們認(rèn)識到人為因素的重要性,注重用戶賦權(quán)和教育,而不是假設(shè)和批評用戶的無知。
然而,并非所有網(wǎng)絡(luò)安全指南都是一樣的。最不有效的做法往往過分強(qiáng)調(diào)技術(shù)而忽視人為因素,忽視可用性考慮,未能解決操作方面的問題,或缺乏持續(xù)評估和改進(jìn)的規(guī)定。
以下是產(chǎn)生最大積極影響的五條網(wǎng)絡(luò)安全指南和有待改進(jìn)的三條指南。
1. NIST CSF
美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 網(wǎng)絡(luò)安全框架 (CSF)是最有效和最具影響力的網(wǎng)絡(luò)安全指南之一。其中一個(gè)原因是它非常全面,并圍繞五個(gè)核心功能構(gòu)建:識別、保護(hù)、檢測、響應(yīng)和恢復(fù)。這種結(jié)構(gòu)為組織提供了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的整體視圖,確保解決所有關(guān)鍵方面。
NIST CSF 經(jīng)歷了三個(gè)主要迭代:1.0 版最初于 2014 年發(fā)布,隨后于 2018 年對 1.1 版進(jìn)行了小幅更新,并于 2024 年對 2.0 版進(jìn)行了重大修訂。
還非常靈活。各種規(guī)模和不同行業(yè)的組織都可以根據(jù)自己的特定需求輕松調(diào)整該框架,使其具有廣泛的適用性。
2.ISO 27001
ISO 27001標(biāo)準(zhǔn)因其高度系統(tǒng)化的方法和對持續(xù)改進(jìn)的重視,在全球網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮了巨大作用。它提供了一種結(jié)構(gòu)化的方法來識別、評估和處理信息安全風(fēng)險(xiǎn)。作為一項(xiàng)國際公認(rèn)的標(biāo)準(zhǔn),ISO 27001 認(rèn)證受到各行各業(yè)和各國的尊重。
3. CIS 控制
互聯(lián)網(wǎng)安全中心 (CIS) 控制措施已被廣泛采用,成為一套實(shí)用有效的網(wǎng)絡(luò)安全指南。這些指南的特點(diǎn)是優(yōu)先行動,解決最關(guān)鍵的安全措施,并幫助組織有效分配資源。該框架的分層實(shí)施使組織能夠根據(jù)規(guī)模和網(wǎng)絡(luò)安全成熟度量身定制其戰(zhàn)略。CIS 定期更新控制措施,以應(yīng)對新出現(xiàn)的威脅和不斷發(fā)展的最佳實(shí)踐。
4. CSA 云控制矩陣
云安全聯(lián)盟(CSA) 云控制矩陣因其專注于云而脫穎而出,解決了云計(jì)算固有的獨(dú)特安全挑戰(zhàn)。其全面覆蓋多個(gè)安全領(lǐng)域,包括應(yīng)用程序安全、加密和身份管理。該矩陣的互操作性與其他主要標(biāo)準(zhǔn)和法規(guī)相一致,有助于組織跨多個(gè)框架實(shí)現(xiàn)合規(guī)性。
5. PCI DSS
支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)盡管屬于特定行業(yè),但已大大提高了支付卡的安全性。處理支付卡數(shù)據(jù)的組織必須遵守 PCI DSS,以確保其得到廣泛采用。該標(biāo)準(zhǔn)為保護(hù)持卡人數(shù)據(jù)提供了詳細(xì)且可操作的要求。并且,它定期進(jìn)行改進(jìn),以應(yīng)對支付卡行業(yè)中新出現(xiàn)的威脅和技術(shù)。
一些網(wǎng)絡(luò)安全指南尚未產(chǎn)生如此大的影響
遺憾的是,一些網(wǎng)絡(luò)安全指南并沒有像上面列出的五個(gè)那樣受到歡迎。
TSA 的初始管道指令
在殖民地輸油管道遭受網(wǎng)絡(luò)攻擊之后,美國運(yùn)輸安全管理局 (TSA) 于 2021 年 5 月 27 日發(fā)布了其初始管道安全指令,即“安全指令管道-2021-01”。
該指令旨在加強(qiáng)美國各地管道所有者和運(yùn)營商的網(wǎng)絡(luò)安全措施。
最初的指令對管道公司提出了幾項(xiàng)關(guān)鍵要求。它要求指定一名網(wǎng)絡(luò)安全協(xié)調(diào)員,全天候響應(yīng)事件并與政府機(jī)構(gòu)進(jìn)行協(xié)調(diào)。此外,公司必須在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件后 12 小時(shí)內(nèi)向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 報(bào)告。
許多網(wǎng)絡(luò)安全專家認(rèn)為,該指令實(shí)施倉促,且缺乏充分的行業(yè)咨詢。批評人士認(rèn)為,該指令在某些部分過于規(guī)范,而在其他部分則過于模糊。該指令還被批評為過于死板。
該指令經(jīng)過修改,滿足了許多業(yè)界的批評意見。
聯(lián)合國網(wǎng)絡(luò)犯罪條約
聯(lián)合國于 8 月最終確定并批準(zhǔn)了一項(xiàng)新的全球網(wǎng)絡(luò)犯罪公約,這是國際打擊網(wǎng)絡(luò)犯罪努力的重要里程碑。該條約之所以具有里程碑意義,是因?yàn)樗锹?lián)合國所有成員國(經(jīng)過三年談判)協(xié)商并一致接受的第一項(xiàng)網(wǎng)絡(luò)犯罪條約。
但一些批評人士表示,該條約實(shí)際上將網(wǎng)絡(luò)安全研究定為犯罪,它已經(jīng)過時(shí),規(guī)定性過強(qiáng)。他們說,這實(shí)際上可能會削弱全球網(wǎng)絡(luò)安全。
美國網(wǎng)絡(luò)報(bào)告規(guī)則草案
網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)最近提出了美國網(wǎng)絡(luò)事件報(bào)告規(guī)則草案,這可能會影響關(guān)鍵基礎(chǔ)設(shè)施公司向聯(lián)邦政府報(bào)告網(wǎng)絡(luò)攻擊的方式。
草案針對的是擁有或運(yùn)營被美國政府視為關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)的公司。這包括醫(yī)療、能源、制造業(yè)和金融服務(wù)等行業(yè)。這些規(guī)則還擴(kuò)展到對行業(yè)運(yùn)作至關(guān)重要的公司,包括各種服務(wù)提供商。
一些組織表示擔(dān)心,報(bào)告要求可能會造成負(fù)擔(dān)(特別是對較小的組織而言)、成本高昂且與現(xiàn)有要求重疊。
美國制造商協(xié)會表示,這些規(guī)則過于寬泛,可能影響超過 30 萬個(gè)實(shí)體,這讓人懷疑所有目標(biāo)組織是否都涉及“關(guān)鍵基礎(chǔ)設(shè)施”。
最佳網(wǎng)絡(luò)安全指南實(shí)現(xiàn)恰當(dāng)?shù)钠胶?/span>
網(wǎng)絡(luò)安全指南旨在提高安全性。最好的指南是推動組織實(shí)現(xiàn)這一目標(biāo)的重要工具。制定優(yōu)秀的指南需要大量的行業(yè)投入,涵蓋全面而廣泛的問題,并具有足夠的靈活性以適應(yīng)不同規(guī)模和類型的組織。
