英国为政府部门发布网络安全最新标准,它将被纳入到政府部门安全标准中。所有政府部门必须遵守这一标准,而它也为所有的商业组织机构提供了出色的安全检查清单/框架。

五大类十项内容

这份文档非常简短,只有7页,分5类10项内容。五类是识别、保护、检测、响应和恢复。它基本遵循了欧洲强调结果而非实现这些结果的具体途径的方法,从而让各部门能够根据当地情况灵活执行标准;另外标准对“机密”、“必需”、“重要”和“适当”的定义也保持开放态度,以便各部门能够根据具体情况使用自己的评估;然而各部门应该为这些决策的有效性负责,并且应该反映“HMG 政府安全分类策略”。另外,该标准也涉及了一些具体实现途径。

网络安全最低标准的5大类10项内容定义如下:

  • 识别(Identify)

  • 各政府部门必须部署适当的网络安全管理进程。

  • 各政府部门必须识别敏感信息并对所持有的敏感信息进行分类。

  • 各政府部门必须识别关键运营服务并对所提供的关键运营服务进行分类。

  • 必须懂得并持续管理用户访问敏感信息或关键运营服务的需求。

  • 保护(Protect)

  • 敏感信息和关键运营服务的访问权限仅向已识别的、经认证的且授权用户或系统提供。

  • 处理敏感信息或关键运营服务的系统必须免遭已知漏洞利用的攻击。

  • 高权限账户不应易受常见的网络攻击。

  • 检测 (Detect)

  • 各政府部门必须采取措施检测常见的网络攻击。

  • 响应 (Respond)

  • 各政府部门必须对影响敏感信息或关键运营服务的网络安全事件做出明确的、经计划的且经测试的响应。

  • 恢复(Recover)

  • 各政府部门应制定明确和经过测试的流程,以确保在发生故障或妥协时保持关键业务服务的连续性。

专家看法总体积极

这个未提供具体说明的标准得到 Lacework 首席产品官兼创始人 Sanjay Kalra 的欢迎。他指出标准对于在云端运营工作负载的组织机构而言尤为重要。云端处理变化快速持续,而适当的云保护措施要求具有灵活性。从某种程度来讲,他认为该标准和《通用数据保护条例》类似,它们强调的都是结果,而实现的指导方针允许足够灵活的方法的存在,以便组织机构做出最佳选择。

安全圈子对该标准也赞誉有加。该标准被认为既简单又有效。很多政府实体甚至不知道从哪里以及如何开始网络安全工作,而该标准将有助于将数字风险结构化并得到管理,以及实现适当的网络安全进程。

简单、清晰而有效的技术要求如正确的 TLS 加密和根据 OWASP top 10 实施的 web 应用强制测试也广受欢迎。

但也有专家担心标准能否真正得到有效执行。研究人员认为整个标准从某种程度而言是在即将到来的英国脱欧之际,英国自主选择的网络安全之路。然而,历史经验表明,凡是未能触及国家边境的网络安全战略注定要失败,因为这类战略认为所有的网络犯罪活动源自国内。

还有人认为这对于政府而言是良好的开端,不过政府也需要通过更多的能力将标准推广到整个私营行业。

英国版的 NIST 网络安全框架?

美国安全专家认为英国政府发布的标准相当于美国国家标准技术委员会 (NIST) 的网络安全框架。二者在框架上非常类似,不过 NIST 框架强调的是对数据的保护、提供最小权限“仅供传阅”的模式以及在其它关键领域的持续改进。和美国模式一样,英国发布的标准也要求进行持续改进,准备好迎接下一次攻击。

总体而言,英国发布的标准得到的评价较高。虽然网络安全最低标准对政府而言是强制的,但它也为私营行业提供了有价值的框架,相当于美国的 NIST。英国颁布的标准很好地展示了政府应该如何管理网络安全,为其它欧洲国家起到了很好的带头作用。

本文由360代码卫士翻译自SecurityWeek

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。