英國內閣辦公室近日發(fā)布第一版《最低網絡安全標準》，該標準將被納入《英國政府安全職能標準》（Government Functional Standard for Security）。英國所有政府機構（包括組織機構和承包商）均被要求強制執(zhí)行該標準。這份標準為所有商業(yè)組織機構提供了安全框架。

這份標準提出了一系列指導性措施，而非具體舉措。這份標準雖然簡短，但卻涵蓋了確保網絡安全的五個方面（識別、保護、檢測、響應和恢復）以及對應的10項舉措：

識別：
1、應建立適當的網絡安全治理程序。
2、對持有的敏感信息加以識別，并進行分類。
3、對提供的操作服務加以識別，并進行分類。
4、理解并持續(xù)管理用戶訪問敏感信息或關鍵操作服務的必要性。

保護：
1、僅向經確認、身份驗證和授權的用戶或系統(tǒng)訪問敏感信息和關鍵操作服務。
2、保護處理敏感信息或關鍵操作服務的系統(tǒng)不受已知漏洞利用，包括保護企業(yè)技術、終端用戶設備、電子郵件和數字服務。
3、保護特權賬號不易遭受常見的網絡攻擊。

檢測：
采取措施檢測常見的網絡攻擊，包括捕捉可能與常見威脅情報來源有關聯的事件，如通過網絡安全信息共享伙伴關系（CISP）檢測已知威脅，明確定義必須保護的內容及原因等。

響應：
制定明確、有規(guī)劃且可靠的響應計劃，以響應影響敏感信息或關鍵操作服務的安全事件，具體做法包括制定事件響應和管理計劃明確定義行動、角色和職責以及制定事件溝通計劃等。

恢復：
制定明確定義的可靠流程，以確保出現故障或遭受攻擊時保持關鍵操作服務的連續(xù)性，具體舉措包括：確定并測試應急機制，以在出現故障、服務被迫關閉以及系統(tǒng)或服務遭遇攻擊時，確保繼續(xù)提供基本服務。

該標準指出，由于其盡可能地明確結果，從而允許英國政府機構根據本地環(huán)境靈活執(zhí)行該標準。

安全行業(yè)怎么看？
云安全專業(yè)公司的聯合創(chuàng)始人兼首席產品官桑杰·卡爾拉對 該標準持肯定的態(tài)度。他認為，此舉對在云上運行工作負載的組織機構而言尤為重要，云環(huán)境在不斷發(fā)生快速變化，因此適當的云安全措施需要靈活的方法。從某些方面來看，該標準在結構上與《通用數據保護條例》（GDPR）類似。

安全公司 High-Tech Bridge 的首席執(zhí)行官伊利亞·科洛琴科表示，“該文檔成功將簡單與高效相結合，許多政府實體甚至不知道從何開始，如何下手，這份文件肯定會幫助它們構建并管理數字風險，并實施適當的網絡安全程序?！?/p>

數據保護軟件公司 Varonis 的銷售工程師總監(jiān)馬特·洛克表示，“最低標準可能聽起來簡單，即使大型組織機構也可能難以將這些措施付諸實踐。” 安全賬戶管理公司 Thycotic 首席安全科學家約瑟夫·卡爾森補充稱，“所有這些標準的問題都將取決于執(zhí)行能力。”

ice

收藏 海報分享