2018年6月，英國政府與NCSC(國家網(wǎng)絡(luò)安全中心)合作，推出了一套新的安全標準，要求所有政府“部門”，包括公司企業(yè)、政府機構(gòu)、非政府公共機構(gòu)和承包商，無一例外，必須遵守。而且，為應(yīng)對新的威脅或新型漏洞，為融入新主動網(wǎng)絡(luò)防御措施，這些標準還會隨時間進程不斷增多。

該標準細分為5節(jié)10條：身份、保護、檢測、響應(yīng)和恢復(fù)。

[[237683]]

身份

第一節(jié)：各部門應(yīng)設(shè)置恰當?shù)木W(wǎng)絡(luò)安全監(jiān)管過程

各部門必須明確負責敏感信息和關(guān)鍵運營服務(wù)的具體個人，清晰定義其職責。

需有恰當?shù)墓芾聿呗院瓦^程以指導部門的總體網(wǎng)絡(luò)安全方法。各部門應(yīng)識別敏感信息和關(guān)鍵運營服務(wù)的重大風險，并加以管理。

各部門還需了解并管理因?qū)ν獠抗?yīng)商或供應(yīng)鏈的依賴而產(chǎn)生的安全問題。供應(yīng)商也須合乎本規(guī)范，可通過獲取有效網(wǎng)絡(luò)基礎(chǔ)證書或直接展示其合規(guī)性來體現(xiàn)。此時，各部門可確定該風險評估是否充分。

第二節(jié)：各部門需識別并編目其所掌握的敏感信息

各部門所持有或處理的信息，持有或處理該信息的原因，用以處理該信息的計算機系統(tǒng)或服務(wù)，以及該信息遺失、被盜或曝光所致的影響，都應(yīng)為各部門所知曉并記錄在案。

第三節(jié)：各部門應(yīng)識別并編目其所提供的關(guān)鍵運營服務(wù)

各部門應(yīng)知曉并記錄下自身關(guān)鍵運營服務(wù)、這些運營服務(wù)所賴以正常安全工作的技術(shù)和服務(wù)、其他依賴(比如電力、冷卻系統(tǒng)、數(shù)據(jù)和人員等)，以及服務(wù)不可用所造成的影響。

第四節(jié)：需了解并持續(xù)管理用戶對訪問敏感信息或關(guān)鍵運營服務(wù)的需求

用戶訪問敏感信息或關(guān)鍵運營服務(wù)的需求應(yīng)受到各部門的理解與持續(xù)管理。各部門尤其應(yīng)銘記：用戶只應(yīng)被賦予其角色必需的最小權(quán)限，且該權(quán)限在用戶離開組織后即應(yīng)撤銷。因此，應(yīng)定期開展審計，確保權(quán)限持續(xù)受到恰當?shù)木S護。

保護

第五節(jié)：敏感信息和關(guān)鍵運營服務(wù)的訪問權(quán)，僅應(yīng)提供給經(jīng)識別、驗證和授權(quán)的用戶或系統(tǒng)

只有經(jīng)識別、驗證和授權(quán)的用戶或系統(tǒng)，才可以被賦予對敏感信息和關(guān)鍵運營服務(wù)的訪問權(quán)。取決于信息的敏感程度或服務(wù)的關(guān)鍵程度，各部門還可能需要驗證和授權(quán)用以訪問的設(shè)備。

第六節(jié)：處理敏感信息或關(guān)鍵運營服務(wù)的系統(tǒng)應(yīng)能抵御已知漏洞利用

本節(jié)覆蓋4個主要技術(shù)領(lǐng)域：企業(yè)技術(shù)、終端用戶設(shè)備、電子郵件系統(tǒng)和數(shù)字服務(wù)。從對所有硬軟件資產(chǎn)的全面審計，到確保英國公共產(chǎn)業(yè)DNS服務(wù)和 TLS 1.2 這樣的技術(shù)得到應(yīng)用，都在本節(jié)討論范圍之內(nèi)。

第七節(jié)：特權(quán)賬戶不應(yīng)被常見網(wǎng)絡(luò)攻擊攻陷

特權(quán)用戶不應(yīng)使用其特權(quán)賬戶進行“讀取郵件或瀏覽網(wǎng)頁”之類的“高風險操作”。只要技術(shù)上允許，就應(yīng)采用多因子身份驗證，包括公司層面上的社交媒體賬戶。能賦予廣泛系統(tǒng)訪問的口令應(yīng)相當復(fù)雜，且需做更改，不能保持默認口令。

檢測

第八節(jié)：各部門應(yīng)采取措施檢測常見網(wǎng)絡(luò)攻擊

使用常見網(wǎng)絡(luò)攻擊技術(shù)的攻擊者不應(yīng)能毫無所查地訪問數(shù)據(jù)或控制技術(shù)服務(wù)。應(yīng)實現(xiàn)事務(wù)性監(jiān)測技術(shù)以保護“網(wǎng)絡(luò)罪犯”眼中誘人的數(shù)字服務(wù)。各部門需明確必須保護的東西及原因，實現(xiàn)檢測已知威脅的監(jiān)視系統(tǒng)。

響應(yīng)

第九節(jié)：針對影響敏感信息或關(guān)鍵運營服務(wù)的網(wǎng)絡(luò)安全事件，各部門應(yīng)擁有定義良好經(jīng)過測試的響應(yīng)計劃

應(yīng)實現(xiàn)明確定義了動作、角色和職責的事件響應(yīng)與管理計劃，其中應(yīng)包含發(fā)現(xiàn)事件即觸發(fā)的通信協(xié)議。如果事件涉及個人數(shù)據(jù)，應(yīng)通告信息專員辦公室。事件響應(yīng)計劃應(yīng)定期測試。

恢復(fù)

第十節(jié)：各部門應(yīng)具備定義良好且經(jīng)過測試的過程，確保關(guān)鍵運營服務(wù)遭遇故障或入侵時的持續(xù)性

各部門應(yīng)擁有應(yīng)急處理機制，確保遭遇故障或入侵時能繼續(xù)交付基本服務(wù)。這些應(yīng)急處理過程應(yīng)經(jīng)受測試，以便通過這些過程進行的恢復(fù)工作已是熟能生巧。為保證同樣的問題不會再次出現(xiàn)，應(yīng)識別并修復(fù)漏洞。

該標準中涉及的很多要求都是公司企業(yè)應(yīng)采納的基本控制措施。最近，互聯(lián)網(wǎng)安全中心(CIS)剛剛發(fā)布了其新版20大安全控制措施。

這些安全控制措施最先由SANS研究所提出，已被中小企業(yè)及大型公司所采用。只要應(yīng)用了這些控制措施，公司企業(yè)就能抵御大部分攻擊了。

查看標準全文：

https://www.gov.uk/government/publications/the-minimum-cyber-security-standard

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文