投資網路安全的框架

① 網路安全人士必知的35個安全框架及模型

網路安全人士必知的35個安全框架及模型，由於篇幅限制，這里無法一一列舉，但我可以介紹一些核心和廣泛認可的框架及模型：

1. PDR模型：

   • 強調主動防禦，包括保護、檢測和響應三個環節。

2. P2DR模型：

   • 擴展了PDR模型，添加了策略層面的指導。

3. PDRR模型和PDR2A模型：

   • 細化了響應和恢復環節，確保全面應對威脅。

4. IPDRR模型：

   • 考慮網路安全的動態性，包括風險評估、策略制定、檢測與響應。

5. APPDRR模型：

   • 在IPDRR基礎上進一步強調實時響應的重要性。

6. PADIMEE模型：

   • 涵蓋整個安全生命周期，包括策略制定、評估、設計和實施等。

7. WPDRRC模型：

   • 結合預警和反擊功能，強調預警、保護、檢測、響應、恢復和反擊的動態性。

8. 自適應安全架構ASA3.0：

   • 適應雲時代，強調預測、防禦和持續的動態分析。

9. IATF：

   • 關注網路的生存性和抵禦能力。

10. 網路生存模型：

    • 強調縱深防禦和分層防護策略。

11. SSECMM：

    • 針對工程能力提升的框架。

12. 數據安全能力成熟度模型：

    • 針對組織和技術能力提升的框架。

1. ISO/IEC 27001：

   • 國際信息安全管理體系標准。

2. NIST Cybersecurity Framework：

   • 美國國家標准與技術研究院的網路安全框架。

3. OWASP Top Ten：

   • 開放Web應用安全項目發布的十大Web應用安全風險。

4. COBIT：

   • 控制目標框架，用於IT治理和管理。

5. ZERO TRUST：

   • 零信任安全模型，不信任、驗證一切。

6. IAM框架：

   • 用於管理用戶身份和訪問許可權。

7. MITRE ATT&CK：

   • 對抗戰術、技術和常識框架，用於描述攻擊者行為。

8. HIPAA：

   • 美國健康保險流通與責任法案，涉及醫療信息安全。

9. PCI DSS：

   • 支付卡行業數據安全標准。

10. SOC 2：

    • 服務組織控制2報告，用於評估雲服務提供商的安全性。

11. GDPR：

    • 歐盟通用數據保護條例，涉及個人隱私保護。

12. CCPA：

    • 加利福尼亞州消費者隱私法案，同樣涉及個人隱私保護。

13. NIST 800系列：

    • 一系列關於信息安全和隱私的出版物和指導文件。

14. CIS Controls：

    • 關鍵安全控制，一組針對常見網路威脅的最佳實踐。

15. STIX/TAXII/Cybox：

    • 用於表示、共享和交換網路安全信息的標准。

16. 鑽石模型：

    • 一種用於分析網路攻擊事件的框架。

17. KILL CHAIN：

    • 描述網路攻擊過程的模型。

18. ATT&CK for ICS：

    • 針對工業控制系統的ATT&CK框架。

19. Veracode Secure Development Lifecycle：

    • 一種軟體開發生命周期安全框架。

20. SAMM：

    • 用於評估和改進軟體安全實踐的框架。

21. TOGAF：

    • 開放組架構框架，用於企業架構開發。

22. FEDRAMP：

    • 聯邦風險和授權管理計劃，用於美國政府雲服務的安全性評估。

23. Cloud Security Alliance Security, Trust & Assurance Registry ：

    • 雲安全聯盟的安全、信任和保障注冊表，提供雲服務提供商的安全認證。

這些框架和模型在實際應用中用於威脅建模、風險評估、策略制定、漏洞管理、合規性確保、員工培訓和應急響應等方面，是構建安全網路策略的重要基石。

② 簡要概述網路安全保障體系的總體框架

網路安全保障體系的總體框架

1．網路安全整體保障體系

計算機網路安全的整體保障作用，主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。

圖4 網路安全保障體系框架結構

【拓展閱讀】：風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上，制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心，風險分為信用風險、市場風險和操作風險，其中包括信息安全風險。

實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

(1)網路安全策略。以風險管理為核心理念，從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層，起到總體的戰略性和方向性指導的作用。

(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個不同層面，在每一層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，以保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整相互適應，反之，安全政策和標准也會影響管理、運作和技術。

(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

(4)網路安全管理。網路安全管理是體系框架的上層基礎，對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9