| 標準名稱 | 適用對象 | 優點 | 缺點 |
| Microsoft Baseline | 一般企業 | 最佳的應用程式相容性,與 Windows 更新同步,易於部署。 | 安全性相對較寬鬆,僅涵蓋微軟產品。 |
| CIS Benchmarks | 金融、醫療、合規企業 | 業界公認中立且細緻,提供 L1/L2 分層,平衡安全與營運。 | 規則較多,可能需要針對特定業務軟體進行排除設定。 |
| DISA STIG | 政府、軍方、國防承包商 | 極致的安全性,針對國家級攻擊設計,強制執行高強度稽核。 | 設定極其繁雜,極易造成系統功能失效或應用程式崩潰。 |
| NIST SP 800-53 | 美國聯邦機構、FedRAMP | 全球最權威的安全性控制框架,邏輯嚴密,適合大型合規架構。 | 主要是「準則」而非「設定值」,需轉譯為具體指令。 |
| PCI DSS | 支付卡產業、電商、零售 | 專為保護持卡人數據設計,對防火牆與數據加密有明確要求。 | 範疇較窄(僅限支付環境),每年需進行嚴格的合規審查。 |
| HIPAA | 醫療保健、健康保險業 | 核心在於保護受保護健康資訊 (PHI) 的隱私與完整性。 | 規範較為籠統(如「合理防護」),需要配合技術標準實施。 |
| USGCB | 美國政府低風險設備 | 曾是聯邦桌面設備的統一基準,由 NIST、DISA 及微軟協作。 | 已逐漸被 DISA STIG 取代,部分較新版本系統已停止更新。 |
No comments:
Post a Comment