投资网络安全的框架

① 网络安全人士必知的35个安全框架及模型

网络安全人士必知的35个安全框架及模型，由于篇幅限制，这里无法一一列举，但我可以介绍一些核心和广泛认可的框架及模型：

1. PDR模型：

   • 强调主动防御，包括保护、检测和响应三个环节。

2. P2DR模型：

   • 扩展了PDR模型，添加了策略层面的指导。

3. PDRR模型和PDR2A模型：

   • 细化了响应和恢复环节，确保全面应对威胁。

4. IPDRR模型：

   • 考虑网络安全的动态性，包括风险评估、策略制定、检测与响应。

5. APPDRR模型：

   • 在IPDRR基础上进一步强调实时响应的重要性。

6. PADIMEE模型：

   • 涵盖整个安全生命周期，包括策略制定、评估、设计和实施等。

7. WPDRRC模型：

   • 结合预警和反击功能，强调预警、保护、检测、响应、恢复和反击的动态性。

8. 自适应安全架构ASA3.0：

   • 适应云时代，强调预测、防御和持续的动态分析。

9. IATF：

   • 关注网络的生存性和抵御能力。

10. 网络生存模型：

    • 强调纵深防御和分层防护策略。

11. SSECMM：

    • 针对工程能力提升的框架。

12. 数据安全能力成熟度模型：

    • 针对组织和技术能力提升的框架。

1. ISO/IEC 27001：

   • 国际信息安全管理体系标准。

2. NIST Cybersecurity Framework：

   • 美国国家标准与技术研究院的网络安全框架。

3. OWASP Top Ten：

   • 开放Web应用安全项目发布的十大Web应用安全风险。

4. COBIT：

   • 控制目标框架，用于IT治理和管理。

5. ZERO TRUST：

   • 零信任安全模型，不信任、验证一切。

6. IAM框架：

   • 用于管理用户身份和访问权限。

7. MITRE ATT&CK：

   • 对抗战术、技术和常识框架，用于描述攻击者行为。

8. HIPAA：

   • 美国健康保险流通与责任法案，涉及医疗信息安全。

9. PCI DSS：

   • 支付卡行业数据安全标准。

10. SOC 2：

    • 服务组织控制2报告，用于评估云服务提供商的安全性。

11. GDPR：

    • 欧盟通用数据保护条例，涉及个人隐私保护。

12. CCPA：

    • 加利福尼亚州消费者隐私法案，同样涉及个人隐私保护。

13. NIST 800系列：

    • 一系列关于信息安全和隐私的出版物和指导文件。

14. CIS Controls：

    • 关键安全控制，一组针对常见网络威胁的最佳实践。

15. STIX/TAXII/Cybox：

    • 用于表示、共享和交换网络安全信息的标准。

16. 钻石模型：

    • 一种用于分析网络攻击事件的框架。

17. KILL CHAIN：

    • 描述网络攻击过程的模型。

18. ATT&CK for ICS：

    • 针对工业控制系统的ATT&CK框架。

19. Veracode Secure Development Lifecycle：

    • 一种软件开发生命周期安全框架。

20. SAMM：

    • 用于评估和改进软件安全实践的框架。

21. TOGAF：

    • 开放组架构框架，用于企业架构开发。

22. FEDRAMP：

    • 联邦风险和授权管理计划，用于美国政府云服务的安全性评估。

23. Cloud Security Alliance Security, Trust & Assurance Registry ：

    • 云安全联盟的安全、信任和保障注册表，提供云服务提供商的安全认证。

这些框架和模型在实际应用中用于威胁建模、风险评估、策略制定、漏洞管理、合规性确保、员工培训和应急响应等方面，是构建安全网络策略的重要基石。

② 简要概述网络安全保障体系的总体框架

网络安全保障体系的总体框架

1．网络安全整体保障体系

计算机网络安全的整体保障作用，主要体现在整个系统生命周期对风险进行整体的管理、应对和控制。网络安全整体保障体系如图1所示。

图4 网络安全保障体系框架结构

【拓展阅读】：风险管理是指在对风险的可能性和不确定性等因素进行收集、分析、评估、预测的基础上，制定的识别、衡量、积极应对、有效处置风险及妥善处理风险等一整套系统而科学的管理方法，以避免和减少风险损失。网络安全管理的本质是对信息安全风险的动态有效管理和控制。风险管理是企业运营管理的核心，风险分为信用风险、市场风险和操作风险，其中包括信息安全风险。

实际上，在网络信息安全保障体系框架中，充分体现了风险管理的理念。网络安全保障体系架构包括五个部分：

(1)网络安全策略。以风险管理为核心理念，从长远发展规划和战略角度通盘考虑网络建设安全。此项处于整个体系架构的上层，起到总体的战略性和方向性指导的作用。

(2)网络安全政策和标准。网络安全政策和标准是对网络安全策略的逐层细化和落实，包括管理、运作和技术三个不同层面，在每一层面都有相应的安全政策和标准，通过落实标准政策规范管理、运作和技术，以保证其统一性和规范性。当三者发生变化时，相应的安全政策和标准也需要调整相互适应，反之，安全政策和标准也会影响管理、运作和技术。

(3)网络安全运作。网络安全运作基于风险管理理念的日常运作模式及其概念性流程（风险评估、安全控制规划和实施、安全监控及响应恢复）。是网络安全保障体系的核心，贯穿网络安全始终；也是网络安全管理机制和技术机制在日常运作中的实现，涉及运作流程和运作管理。

(4)网络安全管理。网络安全管理是体系框架的上层基础，对网络安全运作至关重要，从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现，而网络安全管理体系是从人员组织的角度保证正常运作，网络安全技术体系是从技术角度保证运作。

(5)网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的网络安全技术可以极大提高网络安全运作的有效性，从而达到网络安全保障体系的目标，实现整个生命周期（预防、保护、检测、响应与恢复）的风险防范和控制。

引自高等教育出版社网络安全技术与实践贾铁军主编2014.9