使用网络安全框架实现 Web 应用程序安全

安全资讯 小布 471浏览 0评论

网络安全框架是一套全面的指导方针,可帮助组织定义网络安全政策,以评估其安全态势并提高面对网络攻击的弹性。网络安全框架正式定义了安全控制、风险评估方法和适当的保护措施,以保护信息系统和数据免受网络威胁。虽然最初是为大型组织和服务提供商开发的,但网络安全框架也可以成为中小型企业安全最佳实践的宝贵来源。让我们来看看使用网络安全框架的原因,看看如何找到适用于 Web 应用程序安全的最佳实践网络安全流程和操作。

 

 

 

为什么要开发网络安全框架

网络威胁已成为世界各地日常生活的一部分,一次成功的网络攻击(例如拒绝服务或数据泄露)可能会产生严重的社会、经济甚至政治后果。现在,维护网络安全不仅对现代企业及其供应链的运营,而且对政府机构、市场和整个经济体的运营都至关重要。数据安全和隐私也被提上日程,保护个人数据迅速成为企业、立法者和公众的主要关注点。

由于各种规模的公共和私人组织都不得不应对相同的网络安全事件和挑战,很明显,一个通用的网络安全框架将通过推荐与信息安全和网络安全相关的最佳实践政策、保护技术和特定活动而使每个人受益一般来说。任何组织的内部政策都将至少包括其中的一些活动,在规划阶段拥有一个现成的框架将是非常宝贵的,特别是因为组织可能缺乏从头开始设计自己的政策的资源或技术能力。

常用的网络安全框架

网络安全框架可以是定义程序和目标以指导更详细的网络安全政策的任何文件。包含网络安全指南的现有文件包括:

  • NIST网络安全框架:通过标准与技术研究所开发的,这可能是网络安全政策和规划应用最为广泛的文件。
  • ISO 27001 信息安全管理:国际标准化组织的信息安全管理系统 (ISMS) 指南。
  • 用于有效网络防御的 CIS 关键安全控制(CIS 控制):保护组织免受已知网络威胁的优先行动框架。
  • 风险管理框架:诸如 NIST 的风险管理框架 ( NIST SP 800-37 Rev. 2 ) 或ISO 27005:2018标准(信息安全风险管理)等文件侧重于风险管理策略,包括与网络安全相关的风险。
  • 行业特定框架:许多行业都有自己的安全标准,这些标准是这些行业所要求或推荐的,例如用于电子支付处理的PCI DSS、用于医疗保健的HIPAA 规则或用于 IT 管理和治理的COBIT。

深入了解 NIST 网络安全框架

2013 年,美国发布了一项总统行政命令,呼吁建立标准化的网络安全框架,以描述和构建与网络安全相关的活动。为此,NIST 制定了改进关键基础设施网络安全的框架,通常称为NIST 网络安全框架。它是一份综合性政策文件,旨在帮助组织更好地管理和降低网络安全风险,并促进与风险和网络安全管理相关的沟通。虽然 CSF 最初旨在供管理美国私营部门关键基础设施的公司使用,但它已被各种规模的公共和私营组织广泛使用。

NIST CSF 分为三个主要组成部分,以帮助组织采用:

  • 框架核心:这是文件的主要信息部分,定义与网络安全相关的常见活动和结果。核心信息分为功能、类别和子类别。
  • 框架简介:组织根据其需求和风险评估选择应用的核心类别和子类别的子集。
  • 实施层:一组实施级别,旨在帮助组织定义和传达其管理方法,确定的风险级别是其特定的业务环境。

框架核心提供了清晰的网络安全管理流程结构,具有五个主要功能:识别保护检测响应恢复。对于每个功能,定义了多个类别和子类别,组织可以挑选和混合以将一组与其各自的风险、要求和预期结果相对应的项目放在一起。功能和类别具有唯一标识符,因此,例如资产管理范围内的识别功能ID.AM,并应对规划的内响应功能RS.RP

每个类别包括许多与适当活动相对应的子类别,这次是子类别的数字标识符。例如,子类别检测流程检测流程类别下进行测试检测功能被标识为DE.DP-3。子类别附有对标准文件相关部分的信息参考,允许快速访问每个行动的规范指南。

 

如何将 NIST 框架应用于 Web 应用程序安全

就其本质而言,NIST CSF 的范围极其广泛,覆盖的活动远远超出大多数组织的需要。要将框架应用于Web 应用程序安全,您可以首先在现有和计划的安全活动和风险管理流程的上下文中分析五个功能中的每一个。然后,您可以选择与您的特定需求相关的类别和子类别,并将它们用作您自己的安全策略的支柱,以确保您将涵盖所有必需的网络安全活动。对于基本的 Web 应用程序安全,骨架网络安全策略至少应包括每个功能的以下子类别:

确认:

  • ID.AM-2:清点组织内的软件平台和应用程序
  • ID.RA-1:识别并记录资产漏洞

保护:

  • PR.AC-4:管理访问权限和授权,结合最小特权和职责分离原则
  • PR.DS-2:传输中的数据受到保护
  • PR.IP-10:测试响应和恢复计划

探测:

  • DE.AE-2:分析检测到的事件以了解攻击目标和方法
  • DE.CM-8:执行漏洞扫描

回应:

  • RS.RP-1:在事件期间或之后执行响应计划
  • RS.AN-1:调查来自检测系统的通知

恢复:

  • RC.RP-1:在网络安全事件期间或之后执行恢复计划
  • RC.CO-3:将恢复活动传达给内部和外部利益相关者以及执行和管理团队

概括

网络安全框架,例如 NIST 框架,提供了网络安全规划、实施和响应各个方面的详细概述。通过为每个基本功能选择相关操作(子类别),组织可以构建适合其业务和合规性要求的自定义网络安全策略。通过将基于标准的策略与企业 Web 安全最佳实践和领先的 Web 应用程序安全解决方案相结合,您可以确保有效的网络安全风险管理和可重复的结果。

 

转载请注明:布尔云安的博客 » 使用网络安全框架实现 Web 应用程序安全

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址