英國發布第一版《最低網路安全標準》

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全7月1日訊 英國內閣辦公室近日發布第一版《最低網路安全標準》，該標準將被納入《英國政府安全職能標準》（Government Functional Standard for Security）。英國所有政府機構（包括組織機構和承包商）均被要求強制執行該標準。這份標準為所有商業組織機構提供了安全框架。

五大方面+十大措施

這份標準提出了一系列指導性措施，而非具體舉措。這份標準雖然簡短，但卻涵蓋了確保網路安全的五個方面（識別、保護、檢測、響應和恢復）以及對應的10項舉措：

• ?應建立適當的網路安全治理程序。

• ?對持有的敏感信息加以識別，並進行分類。

• ?對提供的操作服務加以識別，並進行分類。

• ?理解並持續管理用戶訪問敏感信息或關鍵操作服務的必要性。

保護：

• ?僅向經確認、身份驗證和授權的用戶或系統訪問敏感信息和關鍵操作服務。

• ?保護處理敏感信息或關鍵操作服務的系統不受已知漏洞利用，包括保護企業技術、終端用戶設備、電子郵件和數字服務。

• ?保護特權賬號不易遭受常見的網路攻擊。

檢測：

採取措施檢測常見的網路攻擊，包括捕捉可能與常見威脅情報來源有關聯的事件，如通過網路安全信息共享夥伴關係（CISP）檢測已知威脅，明確定義必須保護的內容及原因等。

響應：

制定明確、有規劃且可靠的響應計劃，以響應影響敏感信息或關鍵操作服務的安全事件，具體做法包括制定事件響應和管理計劃明確定義行動、角色和職責以及制定事件溝通計劃等。

制定明確定義的可靠流程，以確保出現故障或遭受攻擊時保持關鍵操作服務的連續性，具體舉措包括：確定並測試應急機制，以在出現故障、服務被迫關閉以及系統或服務遭遇攻擊時，確保繼續提供基本服務。

該標準指出，由於其儘可能地明確結果，從而允許英國政府機構根據本地環境靈活執行該標準。

雲安全專業公司 Lacework 的聯合創始人兼首席產品官桑傑·卡爾拉對 該標準持肯定的態度。他認為，此舉對在雲上運行工作負載的組織機構而言尤為重要，雲環境在不斷發生快速變化，因此適當的雲安全措施需要靈活的方法。從某些方面來看，該標準在結構上與《通用數據保護條例》（GDPR）類似。

安全公司 High-Tech Bridge 的首席執行官伊利亞·科洛琴科表示，「該文檔成功將簡單與高效相結合，許多政府實體甚至不知道從何開始，如何下手，這份文件肯定會幫助它們構建並管理數字風險，並實施適當的網路安全程序。」

數據保護軟體公司 Varonis 的銷售工程師總監馬特·洛克表示，「最低標準可能聽起來簡單，即使大型組織機構也可能難以將這些措施付諸實踐。」 安全賬戶管理公司 Thycotic 首席安全科學家約瑟夫·卡爾森補充稱，「所有這些標準的問題都將取決於執行能力。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！