7月1日訊 英國內(nèi)閣辦公室近日發(fā)布第一版《最低網(wǎng)絡(luò)安全標準》，該標準將被納入《英國政府安全職能標準》（Government Functional Standard for Security）。英國所有政府機構(gòu)（包括組織機構(gòu)和承包商）均被要求強制執(zhí)行該標準。這份標準為所有商業(yè)組織機構(gòu)提供了安全框架。

五大方面+十大措施

這份標準提出了一系列指導性措施，而非具體舉措。這份標準雖然簡短，但卻涵蓋了確保網(wǎng)絡(luò)安全的五個方面（識別、保護、檢測、響應(yīng)和恢復(fù)）以及對應(yīng)的10項舉措：

識別：

?應(yīng)建立適當?shù)木W(wǎng)絡(luò)安全治理程序。

?對持有的敏感信息加以識別，并進行分類。

?對提供的操作服務(wù)加以識別，并進行分類。

?理解并持續(xù)管理用戶訪問敏感信息或關(guān)鍵操作服務(wù)的必要性。

保護：

?僅向經(jīng)確認、身份驗證和授權(quán)的用戶或系統(tǒng)訪問敏感信息和關(guān)鍵操作服務(wù)。

?保護處理敏感信息或關(guān)鍵操作服務(wù)的系統(tǒng)不受已知漏洞利用，包括保護企業(yè)技術(shù)、終端用戶設(shè)備、電子郵件和數(shù)字服務(wù)。

?保護特權(quán)賬號不易遭受常見的網(wǎng)絡(luò)攻擊。

檢測：

采取措施檢測常見的網(wǎng)絡(luò)攻擊，包括捕捉可能與常見威脅情報來源有關(guān)聯(lián)的事件，如通過網(wǎng)絡(luò)安全信息共享伙伴關(guān)系（CISP）檢測已知威脅，明確定義必須保護的內(nèi)容及原因等。

響應(yīng)：

制定明確、有規(guī)劃且可靠的響應(yīng)計劃，以響應(yīng)影響敏感信息或關(guān)鍵操作服務(wù)的安全事件，具體做法包括制定事件響應(yīng)和管理計劃明確定義行動、角色和職責以及制定事件溝通計劃等。

恢復(fù)：

制定明確定義的可靠流程，以確保出現(xiàn)故障或遭受攻擊時保持關(guān)鍵操作服務(wù)的連續(xù)性，具體舉措包括：確定并測試應(yīng)急機制，以在出現(xiàn)故障、服務(wù)被迫關(guān)閉以及系統(tǒng)或服務(wù)遭遇攻擊時，確保繼續(xù)提供基本服務(wù)。

該標準指出，由于其盡可能地明確結(jié)果，從而允許英國政府機構(gòu)根據(jù)本地環(huán)境靈活執(zhí)行該標準。

安全行業(yè)怎么看？

云安全專業(yè)公司 Lacework 的聯(lián)合創(chuàng)始人兼首席產(chǎn)品官桑杰·卡爾拉對 該標準持肯定的態(tài)度。他認為，此舉對在云上運行工作負載的組織機構(gòu)而言尤為重要，云環(huán)境在不斷發(fā)生快速變化，因此適當?shù)脑瓢踩胧┬枰`活的方法。從某些方面來看，該標準在結(jié)構(gòu)上與《通用數(shù)據(jù)保護條例》（GDPR）類似。

安全公司 High-Tech Bridge 的首席執(zhí)行官伊利亞·科洛琴科表示，“該文檔成功將簡單與高效相結(jié)合，許多政府實體甚至不知道從何開始，如何下手，這份文件肯定會幫助它們構(gòu)建并管理數(shù)字風險，并實施適當?shù)木W(wǎng)絡(luò)安全程序?！?/p>

數(shù)據(jù)保護軟件公司 Varonis 的銷售工程師總監(jiān)馬特·洛克表示，“最低標準可能聽起來簡單，即使大型組織機構(gòu)也可能難以將這些措施付諸實踐。” 安全賬戶管理公司 Thycotic 首席安全科學家約瑟夫·卡爾森補充稱，“所有這些標準的問題都將取決于執(zhí)行能力?！?/p>