十种较流行的网络安全框架及特点分析


文章目录

  • 前言
  • 一、CIS关键安全控制
  • 二、COBIT
  • 三、CSA云控制矩阵(CCM)
  • 四、NIST网络安全框架(CSF)
  • 五、TARA
  • 六、SOGP
  • 七、OCTAVE
  • 八、ISO / IEC 27001:2022
  • 九、HITRUST CSF
  • 十、PCI DSS


前言

网络安全框架主要包括安全控制框架(SCF)、安全管理框架(SMP)和安全治理框架(SGF)等类型。对于那些希望按照行业最佳实践来开展网络安全能力建设的企业来说,理解并实施强大的网络安全框架至关重要。

本文收集整理了目前行业中已被广泛应用的10种较流行网络安全框架,并对其应用特点进行了简要分析。


一、CIS关键安全控制

CIS关键安全控制(CIS Controls)框架提供了一系列简单的、清晰的、规范化的网络安全防护最佳实践,可用于增强组织的网络安全态势。框架中所列举的控制措施是全球数千名网络安全专家在达成共识的情况下不断发展完善而来的。该框架可以帮助企业简化威胁防护、遵守行业监管法规、做好网络安全基本功、将信息转化为实际行动以及遵守法律法规。

二、COBIT

COBIT(即信息和相关技术的控制目标)来自ISACA(国际信息系统审计协会),是一个强大的IT管理和治理框架。该框架以数字化业务发展为中心,为IT管理定义了一组通用流程,每个流程都融合了流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型等因素。业内专业人士表示,COBIT是解决企业组织信息和技术治理和管理的模型,虽然其主要目的不是专门针对网络安全风险,但在整个框架中整合了多种风险实践,并引用了多个全球公认的风险框架。COBIT框架主要由以下五个部分组成:体系架构、流程描述、控制目标、管理指导方针以及成熟度模型。
传送门:

三、CSA云控制矩阵(CCM)

CSA云控制矩阵(CCM)是一种专门为云计算量身定制的网络安全控制框架。它包括了覆盖17个安全领域的197个控制目标,涵盖云应用安全的所有重要方面。该框架对于系统性地评估云实施非常有用,同时还为组织提供了实施哪种安全控制措施方面的建议。CSA云控制矩阵控制框架与CSA云计算安全指南保持一致,被认为是云安全保障和合规方面的应用实践标准之一。

四、NIST网络安全框架(CSF)

NIST网络安全框架旨在帮助组织启动或增强网络安全计划。它基于一套成熟的网络安全建设实践,有助于加强组织的网络安全防御。该框架可以促进组织内、外部各方在网络安全方面的协作与对话,尤其对于大型企业组织,该框架可以将网络安全风险管理与更广泛的企业风险管理策略相集成和协调。
这套框架可以帮助各类型的组织更有效地理解、管理和降低面临的网络安全风险,并保护网络和数据。它为企业组织概述了一系列最佳实践,有助于确定将时间和资金重点投入到哪个方面,从而确保有效地保护网络安全。

五、TARA

根据网络安全公司MITRE的定义,TARA(威胁评估和补救分析)是一种网络安全工程方法框架,用于识别和评估网络安全漏洞并部署对策来缓解它们。TARA是一种在考虑缓解措施的同时确定关键风险的实用方法,其独特之处包括使用目录存储的缓解映射方式,为给定的攻击向量范围预先选择可能的对策,以及提供基于风险容忍度的对策。
该框架同时也是MITRE系统安全工程(SSE)实践组合的一部分。MITRE方面表示,TARA评估方法可以被描述为联合交易研究,其中第一个交易是基于评估的风险识别和排列攻击向量,第二个交易是基于评估的效用、成本识别和选择对策。

六、SOGP

信息安全良好规范标准(SOGP)是由信息安全论坛(ISF)发布,这是一套以业务安全为重心、注重实用的综合性安全实践指南,主要可用于识别和管理组织及第三方供应链中的信息安全风险,从而在信息安全建设方面提供实用可靠的指引。该框架能够帮助组织将当前的安全建设最佳实践以及风险管理和合规框架落实到业务运营、信息安全计划和政策中。该标准被目前已经被各类型组织的首席信息安全官(CISO)、信息安全经理广泛采用。

七、OCTAVE

OCTAVE(运营关键威胁、资产和漏洞评估)由卡内基梅隆大学的计算机应急小组(CERT)开发,主要用于识别和管理信息安全风险的网络安全框架。它可以从物理、技术和人力资源的角度来全面看待网络安全,并可以识别企业组织关键任务资产,发现其中的威胁和漏洞OCTAVE-S是一种简化方法,主要为具有扁平层次结构的小型企业组织而设计。而OCTAVE Allegro是一个更加全面的框架,适用于大型或结构复杂的企业组织。

八、ISO / IEC 27001:2022

ISO/IEC 27001是一项全球公认的信息安全管理系统(ISMS)标准,设定了网络和信息化系统必须满足的安全标准。这项标准为各种规模的组织建立、实施、维护和持续增强其信息安全管理体系提供了全面的指导。ISO/IEC 27000系列中的十多项标准较全面地涵盖了数据保护和网络弹性方面的行业最佳实践。它们共同使所有行业、各种规模的组织都能够管理资产的安全性,比如财务信息、知识产权、员工数据以及第三方委托看管的信息等资产。

九、HITRUST CSF

HITRUST CSF是一种可认证的网络安全框架,能够为组织提供一种有效的方法来确保在数字化发展中的法律合规,并妥善管理网络安全风险。它提供了必要的框架、透明度、指南以及交叉引用权威来源,帮助企业能够确保遵守数据保护规定。早期版本的HITRUST CSF主要利用了美国国内的安全和隐私相关法规、标准及框架,包括ISO、NIST、PCI、HIPAA,以确保安全和隐私控制。在最新版本中,则吸纳了更多国际公认的法规来源和应用实践。

十、PCI DSS

支付卡行业数据安全标准(PCI DSS)是一种主要用于管理支付卡发卡机构信息安全的安全标准。这项标准由支付卡行业安全标准委员会(PCI SSC)制定并实施监管,需要各大支付卡机构共同遵守,其目的是加强对持卡人数据的管理,最大限度地减少信用卡欺诈。
PCI DSS不是一项法律或法规要求。然而,它已经成为处理和存储信用卡、借记卡及其他支付卡交易的企业组织需要遵守的一项义务。只有满足PCI DSS的要求,支付卡机构才能为其客户建立和维护一个安全的环境。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/635599.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

LabVIEW振动筛螺栓松动故障诊断

LabVIEW振动筛螺栓松动故障诊断 概述:利用LabVIEW解决振动筛螺栓松动的故障诊断问题。通过集成的方法,不仅提高了故障检测的准确性,还优化了维护流程,为类似的机械设备故障提供了可靠的解决方案。 由于工作条件复杂,…

Linux系统安装NFS服务器

NFS是一种网络文件系统,英文全称Network File System,通过NFS可以让不同的主机系统之间共享文件或目录。通过NFS,用户可以直接在本地NFS客户端读写NFS服务端上的文件,是非常好的共享存储工具。本篇文章将介绍如何在CentOS7上安装N…

android 开发 W/TextToSpeech: speak failed: not bound to TTS engine

问题 笔者使用TTS(TextToSpeech)对于文本内容进行语音播报,控制台报错 android 开发 speak failed:not bound to TTS engine详细问题 笔者核心代码: import android.os.Bundle; import android.speech.tts.TextToSpeech; import android.speech.tts.…

git rev-parse v406 ‘v4.0.4‘^{} master什么意思?

git rev-parse 是一个 Git 命令,用于解析出 git 对象(如分支、标签、提交等)的完整 SHA-1 哈希值。这个命令对于理解 git 中各种引用的内部表示非常有用。 让我们一步步分析 git rev-parse v406 v4.0.4^{} master 这条命令: v406…

[嵌入式软件][入门篇][仿真平台] STM32F103实现LED、按键

上一篇:[嵌入式软件][入门篇] 搭建在线仿真平台(STM32) 文章目录 一、点亮LED灯(1) 简介(2) 示例代码(3) 仿真效果(闪烁) 二、按键检测(1) 简介1. 按键原理2. 检测按键端口3. 消抖 (2) 示例代码1 (按下点亮,松开熄灭&a…

微信小程序海报插件Painter 2.0(canvas画图)使用并保存图片到相册案例

一、下载与引入 Painter通过 json 数据形式,来进行动态渲染并绘制出图片。 Painter 的优势 功能全,支持文本、图片、矩形、qrcode 类型的 view 绘制布局全,支持多种布局方式,如 align(对齐方式)、rotate&…

一个简单的Web程序(详解创建一个Flask项目后自带的一个简单的Web程序)

程序代码截图如下: 1.应用初始化 在创建 Flask 程序时,通常需要先创建一个应用实例进行应用初始化。 from flask import Flask # 应用的初始化 app Flask(__name__) 上述代码中,使用 Flask 类创建了一个应用实例 app。 __name__ 参数用…

理解 Stable Diffusion、模型检查点(ckpt)和变分自编码器(VAE)

前言 在探索深度学习和人工智能领域的旅途中,理解Stable Diffusion、模型检查点(ckpt)以及变分自编码器(VAE)之间的关系至关重要。这些组件共同构成了当下一些最先进图像生成系统的基础。本文将为初学者提供一个详细的概述,帮助您理解这些概念以及它们是…

mp4文件可以转成mp3音频吗

现在是个非常流行刷短视频一个年代,刷短视似乎成了人们休闲娱乐的一种方式,在日常刷短视频过程中,肯定会有很多同学被短视频 bgm 神曲洗脑,比如很多被网红翻唱带火的歌曲,例如其中"不负人间”,就是其中…

Python 散点图的绘制(Seaborn篇-03)

Python 散点图的绘制(Seaborn篇-03)         🍹博主 侯小啾 感谢您的支持与信赖。☀️ 🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹…

【温故而知新】HTML5拖放/地理定位/浏览器支持

文章目录 一、概念二、拖放三、地理定位(Geolocation)四、浏览器支持 一、概念 HTML5是HTML的最新版本,它引入了许多新的元素和功能,以适应现代网页开发的需求。以下是HTML5的一些主要特点: 新增语义元素&#xff1a…

go获取文件md5值不正确的问题记录

一次偶然的操作,发现了一些端倪,获取md5时如下是常规操作: md5hash : md5.New()file, _ : os.Open(filename)defer file.Close()_, err : io.Copy(md5hash, file) // file 为*os.File类型,即读取文件后的文件对象if err ! nil {r…

2024年1月19日Arxiv最热NLP大模型论文:Self-Rewarding Language Models

超越人类反馈限制,Meta自我奖励语言模型刷新AlpacaEval 2.0排行榜 引言:超越人类的AI代理——自我奖励语言模型的探索 在人工智能的发展历程中,我们一直在探索如何打造出能够超越人类智慧的AI代理。这些代理不仅需要能够理解和执行人类的指…

BuildRoot配置RTL8822CE WIFIBT模块(BT部分)

BuildRoot配置RTL8822CE WIFI&BT模块(WIFI部分)-CSDN博客 WIFI部分更新一下: ①、rkwifibt.mk 查看了output/rockchip_rk3399_tinkerboard2/build/的两个目录都有wifi相关的ko(后面make clean之后剩下linux-headers-custom路径的)&…

使用函数计算,数禾如何实现高效的数据处理?

作者:邱鑫鑫,王彬,牟柏旭 公司背景和业务 数禾科技以大数据和技术为驱动,为金融机构提供高效的智能零售金融解决方案,服务银行、信托、消费金融公司、保险、小贷公司等持牌金融机构,业务涵盖消费信贷、小…

菜鸟关于做前、后端的整理(html、js),以及疑问

涉及到后端的接口py&#xff0c;前端html和js 这三部分就按照如下格式放到server项目主路径下&#xff0c;这样后端机可以作为一个前端server main.pystaticmain.jsmain.htmlhtml 首先是html要设定网页的显示 <!DOCTYPE html> <html> <head><title>…

电力能源实景三维可视化合集,智慧电网数字孪生

电力能源是现代社会发展和运行的基石&#xff0c;渗透于工业、商业、农业、家庭生活等方方面面&#xff0c;它为经济、生活质量、环境保护和社会发展提供了巨大的机会和潜力。图扑软件应用自研 HT for Web 强大的渲染引擎&#xff0c;助力现代化的电力能源数字孪生场景&#xf…

【Vue】vue项目中Uncaught runtime errors:怎样关闭

vue项目中Uncaught runtime errors:怎样关闭 一、背景描述二、报错原因三、解决方案3.1 只显示错误信息不全屏覆盖3.2 取消全屏覆盖 四、参考资料 一、背景描述 项目本来运行的好好&#xff0c;换了个新的浏览器&#xff0c;新的Chrome浏览器版本号是116.0.5845.97&#xff08…

视频增强修复Topaz Video AI

Topaz Video AI是一款强大的视频增强软件&#xff0c;利用人工智能技术对数千个视频进行训练&#xff0c;结合多个输入视频的帧信息来提高素材的分辨率。该软件可将视频的分辨率提高到最高8K&#xff0c;并保持真实的细节和运动一致性。同时&#xff0c;它还能自动修复视频中的…

HCIA-HarmonyOS设备开发认证-序

序 最近涉及到HarmonyOS鸿蒙系统设备开发&#xff0c;在网络上已经有很多相关资料&#xff0c;视频教程&#xff0c;我也移植了公司的一个stm32G474板卡&#xff0c;运行LiteOS-m L0系统。 一面看资料一面移植&#xff0c;遇到不少坑&#xff0c;当看到运行的LOGO时&#xff0…