最好的網(wǎng)絡(luò)安全指南在保護世界各地的數(shù)據(jù)免遭盜竊和泄露方面發(fā)揮了巨大作用。

這些指南是一套全面的推薦做法、程序和原則，旨在幫助組織和個人保護其數(shù)字資產(chǎn)、系統(tǒng)和數(shù)據(jù)免受惡意攻擊。它們涵蓋了廣泛的實踐，部分目的是收集和分享基于行業(yè)標(biāo)準(zhǔn)和專業(yè)知識的最佳實踐和策略。至關(guān)重要的是，它們會經(jīng)常更新，以應(yīng)對不斷變化的威脅和技術(shù)進步。

真正有效的網(wǎng)絡(luò)安全指南是實現(xiàn)安全性最大化的路線圖。這些指南內(nèi)容全面，涵蓋技術(shù)和組織方面。它們具有清晰的治理結(jié)構(gòu)、詳細的實施計劃和適應(yīng)靈活性。它們認(rèn)識到人為因素的重要性，注重用戶賦權(quán)和教育，而不是假設(shè)和批評用戶的無知。

然而，并非所有網(wǎng)絡(luò)安全指南都是一樣的。最不有效的做法往往過分強調(diào)技術(shù)而忽視人為因素，忽視可用性考慮，未能解決操作方面的問題，或缺乏持續(xù)評估和改進的規(guī)定。

以下是產(chǎn)生最大積極影響的五條網(wǎng)絡(luò)安全指南和有待改進的三條指南。

1. NIST CSF

美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 網(wǎng)絡(luò)安全框架 (CSF)是最有效和最具影響力的網(wǎng)絡(luò)安全指南之一。其中一個原因是它非常全面，并圍繞五個核心功能構(gòu)建：識別、保護、檢測、響應(yīng)和恢復(fù)。這種結(jié)構(gòu)為組織提供了網(wǎng)絡(luò)安全風(fēng)險管理的整體視圖，確保解決所有關(guān)鍵方面。

NIST CSF 經(jīng)歷了三個主要迭代：1.0 版最初于 2014 年發(fā)布，隨后于 2018 年對 1.1 版進行了小幅更新，并于 2024 年對 2.0 版進行了重大修訂。

還非常靈活。各種規(guī)模和不同行業(yè)的組織都可以根據(jù)自己的特定需求輕松調(diào)整該框架，使其具有廣泛的適用性。

2.ISO 27001

ISO 27001標(biāo)準(zhǔn)因其高度系統(tǒng)化的方法和對持續(xù)改進的重視，在全球網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮了巨大作用。它提供了一種結(jié)構(gòu)化的方法來識別、評估和處理信息安全風(fēng)險。作為一項國際公認(rèn)的標(biāo)準(zhǔn)，ISO 27001 認(rèn)證受到各行各業(yè)和各國的尊重。

3. CIS 控制

互聯(lián)網(wǎng)安全中心 (CIS) 控制措施已被廣泛采用，成為一套實用有效的網(wǎng)絡(luò)安全指南。這些指南的特點是優(yōu)先行動，解決最關(guān)鍵的安全措施，并幫助組織有效分配資源。該框架的分層實施使組織能夠根據(jù)規(guī)模和網(wǎng)絡(luò)安全成熟度量身定制其戰(zhàn)略。CIS 定期更新控制措施，以應(yīng)對新出現(xiàn)的威脅和不斷發(fā)展的最佳實踐。

4. CSA 云控制矩陣

云安全聯(lián)盟(CSA) 云控制矩陣因其專注于云而脫穎而出，解決了云計算固有的獨特安全挑戰(zhàn)。其全面覆蓋多個安全領(lǐng)域，包括應(yīng)用程序安全、加密和身份管理。該矩陣的互操作性與其他主要標(biāo)準(zhǔn)和法規(guī)相一致，有助于組織跨多個框架實現(xiàn)合規(guī)性。

5. PCI DSS

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)盡管屬于特定行業(yè)，但已大大提高了支付卡的安全性。處理支付卡數(shù)據(jù)的組織必須遵守 PCI DSS，以確保其得到廣泛采用。該標(biāo)準(zhǔn)為保護持卡人數(shù)據(jù)提供了詳細且可操作的要求。并且，它定期進行改進，以應(yīng)對支付卡行業(yè)中新出現(xiàn)的威脅和技術(shù)。

一些網(wǎng)絡(luò)安全指南尚未產(chǎn)生如此大的影響

遺憾的是，一些網(wǎng)絡(luò)安全指南并沒有像上面列出的五個那樣受到歡迎。

TSA 的初始管道指令

在殖民地輸油管道遭受網(wǎng)絡(luò)攻擊之后，美國運輸安全管理局 (TSA) 于 2021 年 5 月 27 日發(fā)布了其初始管道安全指令，即“安全指令管道-2021-01”。

該指令旨在加強美國各地管道所有者和運營商的網(wǎng)絡(luò)安全措施。

最初的指令對管道公司提出了幾項關(guān)鍵要求。它要求指定一名網(wǎng)絡(luò)安全協(xié)調(diào)員，全天候響應(yīng)事件并與政府機構(gòu)進行協(xié)調(diào)。此外，公司必須在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件后 12 小時內(nèi)向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 報告。

許多網(wǎng)絡(luò)安全專家認(rèn)為，該指令實施倉促，且缺乏充分的行業(yè)咨詢。批評人士認(rèn)為，該指令在某些部分過于規(guī)范，而在其他部分則過于模糊。該指令還被批評為過于死板。

該指令經(jīng)過修改，滿足了許多業(yè)界的批評意見。

聯(lián)合國網(wǎng)絡(luò)犯罪條約

聯(lián)合國于 8 月最終確定并批準(zhǔn)了一項新的全球網(wǎng)絡(luò)犯罪公約，這是國際打擊網(wǎng)絡(luò)犯罪努力的重要里程碑。該條約之所以具有里程碑意義，是因為它是聯(lián)合國所有成員國（經(jīng)過三年談判）協(xié)商并一致接受的第一項網(wǎng)絡(luò)犯罪條約。

但一些批評人士表示，該條約實際上將網(wǎng)絡(luò)安全研究定為犯罪，它已經(jīng)過時，規(guī)定性過強。他們說，這實際上可能會削弱全球網(wǎng)絡(luò)安全。

美國網(wǎng)絡(luò)報告規(guī)則草案

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）最近提出了美國網(wǎng)絡(luò)事件報告規(guī)則草案，這可能會影響關(guān)鍵基礎(chǔ)設(shè)施公司向聯(lián)邦政府報告網(wǎng)絡(luò)攻擊的方式。

草案針對的是擁有或運營被美國政府視為關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)的公司。這包括醫(yī)療、能源、制造業(yè)和金融服務(wù)等行業(yè)。這些規(guī)則還擴展到對行業(yè)運作至關(guān)重要的公司，包括各種服務(wù)提供商。

一些組織表示擔(dān)心，報告要求可能會造成負(fù)擔(dān)（特別是對較小的組織而言）、成本高昂且與現(xiàn)有要求重疊。

美國制造商協(xié)會表示，這些規(guī)則過于寬泛，可能影響超過 30 萬個實體，這讓人懷疑所有目標(biāo)組織是否都涉及“關(guān)鍵基礎(chǔ)設(shè)施”。

最佳網(wǎng)絡(luò)安全指南實現(xiàn)恰當(dāng)?shù)钠胶?/span>

網(wǎng)絡(luò)安全指南旨在提高安全性。最好的指南是推動組織實現(xiàn)這一目標(biāo)的重要工具。制定優(yōu)秀的指南需要大量的行業(yè)投入，涵蓋全面而廣泛的問題，并具有足夠的靈活性以適應(yīng)不同規(guī)模和類型的組織。