2018年6月，英國(guó)政府與NCSC(國(guó)家網(wǎng)絡(luò)安全中心)合作，推出了一套新的安全標(biāo)準(zhǔn)，要求所有政府“部門”，包括公司企業(yè)、政府機(jī)構(gòu)、非政府公共機(jī)構(gòu)和承包商，無(wú)一例外，必須遵守。而且，為應(yīng)對(duì)新的威脅或新型漏洞，為融入新主動(dòng)網(wǎng)絡(luò)防御措施，這些標(biāo)準(zhǔn)還會(huì)隨時(shí)間進(jìn)程不斷增多。

該標(biāo)準(zhǔn)細(xì)分為5節(jié)10條：身份、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。

[[237683]]

身份

第一節(jié)：各部門應(yīng)設(shè)置恰當(dāng)?shù)木W(wǎng)絡(luò)安全監(jiān)管過(guò)程

各部門必須明確負(fù)責(zé)敏感信息和關(guān)鍵運(yùn)營(yíng)服務(wù)的具體個(gè)人，清晰定義其職責(zé)。

需有恰當(dāng)?shù)墓芾聿呗院瓦^(guò)程以指導(dǎo)部門的總體網(wǎng)絡(luò)安全方法。各部門應(yīng)識(shí)別敏感信息和關(guān)鍵運(yùn)營(yíng)服務(wù)的重大風(fēng)險(xiǎn)，并加以管理。

各部門還需了解并管理因?qū)ν獠抗?yīng)商或供應(yīng)鏈的依賴而產(chǎn)生的安全問(wèn)題。供應(yīng)商也須合乎本規(guī)范，可通過(guò)獲取有效網(wǎng)絡(luò)基礎(chǔ)證書(shū)或直接展示其合規(guī)性來(lái)體現(xiàn)。此時(shí)，各部門可確定該風(fēng)險(xiǎn)評(píng)估是否充分。

第二節(jié)：各部門需識(shí)別并編目其所掌握的敏感信息

各部門所持有或處理的信息，持有或處理該信息的原因，用以處理該信息的計(jì)算機(jī)系統(tǒng)或服務(wù)，以及該信息遺失、被盜或曝光所致的影響，都應(yīng)為各部門所知曉并記錄在案。

第三節(jié)：各部門應(yīng)識(shí)別并編目其所提供的關(guān)鍵運(yùn)營(yíng)服務(wù)

各部門應(yīng)知曉并記錄下自身關(guān)鍵運(yùn)營(yíng)服務(wù)、這些運(yùn)營(yíng)服務(wù)所賴以正常安全工作的技術(shù)和服務(wù)、其他依賴(比如電力、冷卻系統(tǒng)、數(shù)據(jù)和人員等)，以及服務(wù)不可用所造成的影響。

第四節(jié)：需了解并持續(xù)管理用戶對(duì)訪問(wèn)敏感信息或關(guān)鍵運(yùn)營(yíng)服務(wù)的需求

用戶訪問(wèn)敏感信息或關(guān)鍵運(yùn)營(yíng)服務(wù)的需求應(yīng)受到各部門的理解與持續(xù)管理。各部門尤其應(yīng)銘記：用戶只應(yīng)被賦予其角色必需的最小權(quán)限，且該權(quán)限在用戶離開(kāi)組織后即應(yīng)撤銷。因此，應(yīng)定期開(kāi)展審計(jì)，確保權(quán)限持續(xù)受到恰當(dāng)?shù)木S護(hù)。

保護(hù)

第五節(jié)：敏感信息和關(guān)鍵運(yùn)營(yíng)服務(wù)的訪問(wèn)權(quán)，僅應(yīng)提供給經(jīng)識(shí)別、驗(yàn)證和授權(quán)的用戶或系統(tǒng)

只有經(jīng)識(shí)別、驗(yàn)證和授權(quán)的用戶或系統(tǒng)，才可以被賦予對(duì)敏感信息和關(guān)鍵運(yùn)營(yíng)服務(wù)的訪問(wèn)權(quán)。取決于信息的敏感程度或服務(wù)的關(guān)鍵程度，各部門還可能需要驗(yàn)證和授權(quán)用以訪問(wèn)的設(shè)備。

第六節(jié)：處理敏感信息或關(guān)鍵運(yùn)營(yíng)服務(wù)的系統(tǒng)應(yīng)能抵御已知漏洞利用

本節(jié)覆蓋4個(gè)主要技術(shù)領(lǐng)域：企業(yè)技術(shù)、終端用戶設(shè)備、電子郵件系統(tǒng)和數(shù)字服務(wù)。從對(duì)所有硬軟件資產(chǎn)的全面審計(jì)，到確保英國(guó)公共產(chǎn)業(yè)DNS服務(wù)和 TLS 1.2 這樣的技術(shù)得到應(yīng)用，都在本節(jié)討論范圍之內(nèi)。

第七節(jié)：特權(quán)賬戶不應(yīng)被常見(jiàn)網(wǎng)絡(luò)攻擊攻陷

特權(quán)用戶不應(yīng)使用其特權(quán)賬戶進(jìn)行“讀取郵件或?yàn)g覽網(wǎng)頁(yè)”之類的“高風(fēng)險(xiǎn)操作”。只要技術(shù)上允許，就應(yīng)采用多因子身份驗(yàn)證，包括公司層面上的社交媒體賬戶。能賦予廣泛系統(tǒng)訪問(wèn)的口令應(yīng)相當(dāng)復(fù)雜，且需做更改，不能保持默認(rèn)口令。

檢測(cè)

第八節(jié)：各部門應(yīng)采取措施檢測(cè)常見(jiàn)網(wǎng)絡(luò)攻擊

使用常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)的攻擊者不應(yīng)能毫無(wú)所查地訪問(wèn)數(shù)據(jù)或控制技術(shù)服務(wù)。應(yīng)實(shí)現(xiàn)事務(wù)性監(jiān)測(cè)技術(shù)以保護(hù)“網(wǎng)絡(luò)罪犯”眼中誘人的數(shù)字服務(wù)。各部門需明確必須保護(hù)的東西及原因，實(shí)現(xiàn)檢測(cè)已知威脅的監(jiān)視系統(tǒng)。

響應(yīng)

第九節(jié)：針對(duì)影響敏感信息或關(guān)鍵運(yùn)營(yíng)服務(wù)的網(wǎng)絡(luò)安全事件，各部門應(yīng)擁有定義良好經(jīng)過(guò)測(cè)試的響應(yīng)計(jì)劃

應(yīng)實(shí)現(xiàn)明確定義了動(dòng)作、角色和職責(zé)的事件響應(yīng)與管理計(jì)劃，其中應(yīng)包含發(fā)現(xiàn)事件即觸發(fā)的通信協(xié)議。如果事件涉及個(gè)人數(shù)據(jù)，應(yīng)通告信息專員辦公室。事件響應(yīng)計(jì)劃應(yīng)定期測(cè)試。

恢復(fù)

第十節(jié)：各部門應(yīng)具備定義良好且經(jīng)過(guò)測(cè)試的過(guò)程，確保關(guān)鍵運(yùn)營(yíng)服務(wù)遭遇故障或入侵時(shí)的持續(xù)性

各部門應(yīng)擁有應(yīng)急處理機(jī)制，確保遭遇故障或入侵時(shí)能繼續(xù)交付基本服務(wù)。這些應(yīng)急處理過(guò)程應(yīng)經(jīng)受測(cè)試，以便通過(guò)這些過(guò)程進(jìn)行的恢復(fù)工作已是熟能生巧。為保證同樣的問(wèn)題不會(huì)再次出現(xiàn)，應(yīng)識(shí)別并修復(fù)漏洞。

該標(biāo)準(zhǔn)中涉及的很多要求都是公司企業(yè)應(yīng)采納的基本控制措施。最近，互聯(lián)網(wǎng)安全中心(CIS)剛剛發(fā)布了其新版20大安全控制措施。

這些安全控制措施最先由SANS研究所提出，已被中小企業(yè)及大型公司所采用。只要應(yīng)用了這些控制措施，公司企業(yè)就能抵御大部分攻擊了。

查看標(biāo)準(zhǔn)全文：

https://www.gov.uk/government/publications/the-minimum-cyber-security-standard

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文