安全性控制是为了保护对组织重要的、各种形式的数据和基础架构而实施的参数。用于避免、检测、消解或最大限度降低实物财产、信息、计算机系统或其他资产的安全风险的任何类型的保障措施或对策，都被视为安全性控制。

鉴于网络攻击的频次不断增长，数据安全性控制如今比以往任何时候都更加重要。马里兰大学克拉克学院的一项研究表明，美国现在平均每 39 秒就会发生一次网络安全攻击，每年影响三分之一的美国人；其中 43% 的攻击针对小型企业。2021 年 3 月至 2022 年 3 月期间，美国数据泄露的平均成本为 944 万美元。

与此同时，数据隐私法规不断加强，企业必须加强其数据保护政策，否则将面临潜在的罚款。去年，欧盟实施了严格的《通用数据保护条例》(GDPR) 规则。在美国，加利福尼亚州的《消费者隐私法》将于 2020 年 1 月 1 日生效，其他几个州目前正在考虑采取类似措施。

这些法规通常会对不符合要求的公司进行严厉处罚。例如，Facebook 最近报告称，由于数据保护政策方面的缺陷导致多起数据泄露，预计美国联邦贸易委员会将对其处以超过 30 亿美元的罚款。

有多种类型的安全性控制措施可以实施，用于保护硬件、软件、网络和数据，免受潜在的破坏性操作和事件的影响。例如：

• 物理安全性控制包括数据中心周边围栏、锁、警卫、门禁卡、生物识别门禁系统、监控摄像头和入侵检测传感器等。
  
  
• 数字安全性控制包括用户名和密码、双重身份验证、防病毒软件和防火墙等内容。
  
  
• 网络安全性控制包括任何专门用于防止数据攻击的措施，包括 DDoS 缓解和入侵防御系统。
  
  
• 云安全性控制包括您与云服务提供商合作采取的措施，以确保为数据和工作负载提供必要的保护。如果您的组织在云上运行工作负载，则必须满足公司或业务策略安全性要求和行业法规。

安全性控制体系包括安全相关流程和文档，用于规定这些控制措施的实施和持续管理，被称为框架或标准。

利用框架，组织能够根据普遍接受和经过测试的方法来一致地管理不同类型资产的安全性控制。一些最著名的框架和标准包括：

美国国家标准技术学会网络安全框架

美国国家标准技术学会 (NIST) 于 2014 年创建了一个自愿性框架，为组织提供有关如何预防、检测和响应网络攻击的指导。评估方法和程序用于确定组织的安全性控制是否正确实施、按预期运行并产生期望的结果（满足组织的安全要求）。NIST 框架不断更新，以期跟上网络安全演变的步伐。

互联网安全中心控制措施

互联网安全中心 (CIS) 制定了一个高优先级防御行动列表，为每个希望防止网络攻击的企业列出了“必做、先做”的对照指南。根据开发 CIS 控制措施的 SANS Institute 的说法，“CIS 控制措施非常有效，因为它们源自主要威胁报告中强调的最常见攻击模式，并经过了广泛的政府和行业从业者社区的审查。”

组织可以参考这些框架和其他框架来制定自己的安全框架和 IT 安全策略。完善的框架可确保组织执行以下操作：

• 通过安全性控制实施 IT 安全策略
• 向员工和用户介绍安全准则
• 符合行业和合规规定
• 通过安全性控制实现运营效率
• 持续评估风险并通过安全性控制解决风险

安全解决方案的强大程度取决于其最薄弱的环节。因此，您应该考虑多层安全性控制（也称为深度防御策略），在身份和访问管理、数据、应用程序、网络或服务器基础架构、物理安全和安全情报等方面实施安全性控制。

安全性控制评估是确定存在漏洞的第一步。安全性控制评估使您能够评估当前实施的控制措施，并确定它们是否正确实施、是否按预期运行以及是否满足您的安全要求。NIST 特别出版物 800-53 由 NIST 创建，是成功进行安全控制评估的基准。NIST 准则是一种最佳实践方法，应用后可以帮助您的组织降低安全威胁的风险。另外，贵组织也可以创建自己的安全评估。

创建安全评估的一些关键步骤如下：

• 确定目标系统：创建网络中需要扫描的 IP 地址列表。该列表应包含贵组织网络中连接的所有系统和设备的 IP 地址。
  
  
• 确定目标应用程序： 列出要扫描的 Web 应用程序和服务。确定用于构建现有应用程序的 Web 应用程序服务器、Web 服务器、数据库、第三方组件和技术的类型。
  
  
• 漏洞扫描和报告：了解所有评估活动，因为漏洞评估在向目标服务器加载请求时，偶尔会造成网络流量激增。此外，获取整个组织网络中扫描仪 IP 的非认证通过，并确保 IP 在 IPS/IDS 中列入白名单。否则，扫描仪可能会触发恶意流量警报，导致其 IP 被阻止。

进一步了解如何通过创建自己的安全评估来评估企业应用程序和网络的脆弱性。