英國最低網絡安全標準介紹
2018年6月,英國政府與NCSC(國家網絡安全中心)合作,推出了一套新的安全標準,要求所有政府“部門”,包括公司企業、政府機構、非政府公共機構和承包商,無一例外,必須遵守。而且,為應對新的威脅或新型漏洞,為融入新主動網絡防御措施,這些標準還會隨時間進程不斷增多。
該標準細分為5節10條:身份、保護、檢測、響應和恢復。
身份
第一節:各部門應設置恰當的網絡安全監管過程
各部門必須明確負責敏感信息和關鍵運營服務的具體個人,清晰定義其職責。
需有恰當的管理策略和過程以指導部門的總體網絡安全方法。各部門應識別敏感信息和關鍵運營服務的重大風險,并加以管理。
各部門還需了解并管理因對外部供應商或供應鏈的依賴而產生的安全問題。供應商也須合乎本規范,可通過獲取有效網絡基礎證書或直接展示其合規性來體現。此時,各部門可確定該風險評估是否充分。
第二節:各部門需識別并編目其所掌握的敏感信息
各部門所持有或處理的信息,持有或處理該信息的原因,用以處理該信息的計算機系統或服務,以及該信息遺失、被盜或曝光所致的影響,都應為各部門所知曉并記錄在案。
第三節:各部門應識別并編目其所提供的關鍵運營服務
各部門應知曉并記錄下自身關鍵運營服務、這些運營服務所賴以正常安全工作的技術和服務、其他依賴(比如電力、冷卻系統、數據和人員等),以及服務不可用所造成的影響。
第四節:需了解并持續管理用戶對訪問敏感信息或關鍵運營服務的需求
用戶訪問敏感信息或關鍵運營服務的需求應受到各部門的理解與持續管理。各部門尤其應銘記:用戶只應被賦予其角色必需的最小權限,且該權限在用戶離開組織后即應撤銷。因此,應定期開展審計,確保權限持續受到恰當的維護。
保護
第五節:敏感信息和關鍵運營服務的訪問權,僅應提供給經識別、驗證和授權的用戶或系統
只有經識別、驗證和授權的用戶或系統,才可以被賦予對敏感信息和關鍵運營服務的訪問權。取決于信息的敏感程度或服務的關鍵程度,各部門還可能需要驗證和授權用以訪問的設備。
第六節:處理敏感信息或關鍵運營服務的系統應能抵御已知漏洞利用
本節覆蓋4個主要技術領域:企業技術、終端用戶設備、電子郵件系統和數字服務。從對所有硬軟件資產的全面審計,到確保英國公共產業DNS服務和 TLS 1.2 這樣的技術得到應用,都在本節討論范圍之內。
第七節:特權賬戶不應被常見網絡攻擊攻陷
特權用戶不應使用其特權賬戶進行“讀取郵件或瀏覽網頁”之類的“高風險操作”。只要技術上允許,就應采用多因子身份驗證,包括公司層面上的社交媒體賬戶。能賦予廣泛系統訪問的口令應相當復雜,且需做更改,不能保持默認口令。
檢測
第八節:各部門應采取措施檢測常見網絡攻擊
使用常見網絡攻擊技術的攻擊者不應能毫無所查地訪問數據或控制技術服務。應實現事務性監測技術以保護“網絡罪犯”眼中誘人的數字服務。各部門需明確必須保護的東西及原因,實現檢測已知威脅的監視系統。
響應
第九節:針對影響敏感信息或關鍵運營服務的網絡安全事件,各部門應擁有定義良好經過測試的響應計劃
應實現明確定義了動作、角色和職責的事件響應與管理計劃,其中應包含發現事件即觸發的通信協議。如果事件涉及個人數據,應通告信息專員辦公室。事件響應計劃應定期測試。
恢復
第十節:各部門應具備定義良好且經過測試的過程,確保關鍵運營服務遭遇故障或入侵時的持續性
各部門應擁有應急處理機制,確保遭遇故障或入侵時能繼續交付基本服務。這些應急處理過程應經受測試,以便通過這些過程進行的恢復工作已是熟能生巧。為保證同樣的問題不會再次出現,應識別并修復漏洞。
該標準中涉及的很多要求都是公司企業應采納的基本控制措施。最近,互聯網安全中心(CIS)剛剛發布了其新版20大安全控制措施。
這些安全控制措施最先由SANS研究所提出,已被中小企業及大型公司所采用。只要應用了這些控制措施,公司企業就能抵御大部分攻擊了。
查看標準全文:
https://www.gov.uk/government/publications/the-minimum-cyber-security-standard
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
