Security Controls 安全控制

设计来降低具体安全风险的保护措施。是 安全架构 的具体构件。

按性质分类

类别	例子
Technical(技术)	防火墙、加密、MFA、杀毒、访问控制
Administrative(管理)	安全政策、员工培训、背景调查、合同条款
Physical(物理)	门禁、摄像头、机柜锁、生物识别

按功能分类

类别	干啥
Preventive(预防)	阻止事件发生 — 防火墙、强密码
Detective(检测)	发现事件 — SIEM、IDS、日志
Corrective(纠正)	事件后处理 — 备份恢复、修补漏洞
Deterrent(威慑)	让攻击者打消念头 — 监控告示、登录前法律警告
Compensating(补偿)	替代不能用的主控制 — 不能装 MFA 时用 IP 白名单
Recovery(恢复)	恢复运营 — DR 计划、备用站点

设计原则

• 分层 —— 不靠单一控制 →纵深防御
• 定期审查 —— 控制有没有失效?
• 可衡量 —— 知道是否生效 → 指标 / KPI
• 跟风险匹配 —— 不要”为了安全而安全”,每个控制要有对应风险

跟 Frameworks / NIST CSF 的关系:

• Frameworks 列出”应该有哪些 Controls”
• Controls 是 Frameworks 的具体填空