什么是安全控制？

鉴于网络攻击的频次不断增长，数据安全性控制如今比以往任何时候都更加重要。根据马里兰大学克拉克学院的一项研究，美国的网络安全攻击现在平均每 39 秒发生一次，每年影响三分之一的美国人。此外，这些攻击中有 43% 针对小型企业。根据《2025 年数据泄露成本报告》，在 2024 年 3 月到 2025 年 2 月期间，美国数据泄露的平均成本为 1022 万美元，这是该报告发布 20 年来任何地区的最高纪录。

与此同时，数据隐私法规不断加强，企业必须加强其数据保护政策，否则将面临潜在的罚款。2018 年，欧盟实施了严格的《通用数据保护条例》(GDPR) 规则。在美国，加利福尼亚州的《消费者隐私法》将于 2020 年 1 月 1 日生效，其他几个州目前正在考虑采取类似措施。这些法规通常会对不符合要求的公司进行严厉处罚。

多种类型的安全控制可以保护硬件、软件、网络和数据免受可能导致损失或损害的行为和事件的影响。例如：

• 物理安全控制包括数据中心的外围围栏、锁具、警卫、访问控制卡、生物识别访问控制系统、监控摄像头和入侵检测传感器等。
  
  
• 数字安全性控制包括用户名和密码、双重身份验证、防病毒软件和防火墙等内容。
  
  
• 网络安全控制包括任何专门设计用来防止对数据的攻击的措施，包括 DDoS 缓解和入侵防御系统。
  
  
• 云安全性控制包括您与云服务提供商合作采取的措施，以确保为数据和工作量提供必要的保护。如果您的组织在云上运行工作量，则必须满足公司或业务策略安全性要求和行业法规。

安全性控制体系包括安全相关流程和文档，用于规定这些控制措施的实施和持续管理，被称为框架或标准。

利用框架，组织能够根据普遍接受和经过测试的方法来一致地管理不同类型资产的安全性控制。一些最著名的框架和标准包括：

美国国家标准技术学会 (NIST) 于 2014 年创建了一个自愿性框架，为组织提供有关如何预防、检测和响应网络攻击的指导。评估方法和程序用于确定组织的安全控制措施是否正确实施并按预期运行。它们确保这些控制措施产生预期效果，满足组织的安全要求。NIST 框架不断更新，以期跟上网络安全演变的步伐。

互联网安全中心 (CIS) 制定了一个高优先级防御行动列表，为每个希望防止网络攻击的企业列出了“必做、先做”的对照指南。根据开发 CIS 控制措施的 SANS Institute 的说法，“CIS 控制措施非常有效，因为它们源自主要威胁报告中强调的最常见攻击模式，并经过了广泛的政府和行业从业者社区的审查。”

组织可以参考这些框架和其他框架来制定自己的安全框架和 IT 安全策略。完善的框架有助于确保组织：

• 通过安全性控制实施 IT 安全策略
• 向员工和用户介绍安全准则
• 符合行业和合规规定
• 通过安全性控制实现运营效率
• 持续评估风险并通过安全性控制解决风险

安全解决方案的强大程度取决于其最薄弱的环节。因此，您应考虑多层次的安全控制，也称为深度防御策略，以在身份和访问管理、数据、应用程序、网络或服务器基础设施、物理安全和安全情报等方面实施安全控制。

安全性控制评估是确定存在漏洞的第一步。安全控制评估使您能够评估当前的控制措施，确保它们正确实施、按预期运行，并满足您的安全要求。

NIST 特别出版物 800-53 由 NIST 创建，是成功进行安全控制评估的基准。NIST 准则是一种最佳实践方法，应用后可以帮助您的组织降低安全威胁的风险。另外，贵组织也可以创建自己的安全评估。

创建安全评估的一些关键步骤包括：

• 确定目标系统：创建需要在网络中扫描的 IP 地址列表。该列表应包含贵组织网络中连接的所有系统和设备的 IP 地址。
  
  
• 确定目标应用程序：列出需要扫描的 Web 应用程序和服务。确定用于构建现有应用程序的 Web 应用程序服务器、Web 服务器、数据库、第三方组件和技术的类型。
  
  
• 漏洞扫描和报告：了解所有评估活动，因为漏洞评估在向目标服务器加载请求时，偶尔会造成网络流量激增。此外，获取整个组织网络中扫描仪 IP 的非认证通过，并确保 IP 在 IPS/IDS 中列入白名单。否则，扫描仪可能会触发恶意流量警报，导致其 IP 被阻止。

进一步了解如何通过创建自己的安全评估来评估企业应用程序和网络的脆弱性。