英國(guó)最低網(wǎng)絡(luò)安全標(biāo)準(zhǔn)介紹
2018年6月,英國(guó)政府與NCSC(國(guó)家網(wǎng)絡(luò)安全中心)合作,推出了一套新的安全標(biāo)準(zhǔn),要求所有政府“部門(mén)”,包括公司企業(yè)、政府機(jī)構(gòu)、非政府公共機(jī)構(gòu)和承包商,無(wú)一例外,必須遵守。而且,為應(yīng)對(duì)新的威脅或新型漏洞,為融入新主動(dòng)網(wǎng)絡(luò)防御措施,這些標(biāo)準(zhǔn)還會(huì)隨時(shí)間進(jìn)程不斷增多。
該標(biāo)準(zhǔn)細(xì)分為5節(jié)10條:身份、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。
身份
第一節(jié):各部門(mén)應(yīng)設(shè)置恰當(dāng)?shù)木W(wǎng)絡(luò)安全監(jiān)管過(guò)程
各部門(mén)必須明確負(fù)責(zé)敏感信息和關(guān)鍵運(yùn)營(yíng)服務(wù)的具體個(gè)人,清晰定義其職責(zé)。
需有恰當(dāng)?shù)墓芾聿呗院瓦^(guò)程以指導(dǎo)部門(mén)的總體網(wǎng)絡(luò)安全方法。各部門(mén)應(yīng)識(shí)別敏感信息和關(guān)鍵運(yùn)營(yíng)服務(wù)的重大風(fēng)險(xiǎn),并加以管理。
各部門(mén)還需了解并管理因?qū)ν獠抗?yīng)商或供應(yīng)鏈的依賴(lài)而產(chǎn)生的安全問(wèn)題。供應(yīng)商也須合乎本規(guī)范,可通過(guò)獲取有效網(wǎng)絡(luò)基礎(chǔ)證書(shū)或直接展示其合規(guī)性來(lái)體現(xiàn)。此時(shí),各部門(mén)可確定該風(fēng)險(xiǎn)評(píng)估是否充分。
第二節(jié):各部門(mén)需識(shí)別并編目其所掌握的敏感信息
各部門(mén)所持有或處理的信息,持有或處理該信息的原因,用以處理該信息的計(jì)算機(jī)系統(tǒng)或服務(wù),以及該信息遺失、被盜或曝光所致的影響,都應(yīng)為各部門(mén)所知曉并記錄在案。
第三節(jié):各部門(mén)應(yīng)識(shí)別并編目其所提供的關(guān)鍵運(yùn)營(yíng)服務(wù)
各部門(mén)應(yīng)知曉并記錄下自身關(guān)鍵運(yùn)營(yíng)服務(wù)、這些運(yùn)營(yíng)服務(wù)所賴(lài)以正常安全工作的技術(shù)和服務(wù)、其他依賴(lài)(比如電力、冷卻系統(tǒng)、數(shù)據(jù)和人員等),以及服務(wù)不可用所造成的影響。
第四節(jié):需了解并持續(xù)管理用戶(hù)對(duì)訪問(wèn)敏感信息或關(guān)鍵運(yùn)營(yíng)服務(wù)的需求
用戶(hù)訪問(wèn)敏感信息或關(guān)鍵運(yùn)營(yíng)服務(wù)的需求應(yīng)受到各部門(mén)的理解與持續(xù)管理。各部門(mén)尤其應(yīng)銘記:用戶(hù)只應(yīng)被賦予其角色必需的最小權(quán)限,且該權(quán)限在用戶(hù)離開(kāi)組織后即應(yīng)撤銷(xiāo)。因此,應(yīng)定期開(kāi)展審計(jì),確保權(quán)限持續(xù)受到恰當(dāng)?shù)木S護(hù)。
保護(hù)
第五節(jié):敏感信息和關(guān)鍵運(yùn)營(yíng)服務(wù)的訪問(wèn)權(quán),僅應(yīng)提供給經(jīng)識(shí)別、驗(yàn)證和授權(quán)的用戶(hù)或系統(tǒng)
只有經(jīng)識(shí)別、驗(yàn)證和授權(quán)的用戶(hù)或系統(tǒng),才可以被賦予對(duì)敏感信息和關(guān)鍵運(yùn)營(yíng)服務(wù)的訪問(wèn)權(quán)。取決于信息的敏感程度或服務(wù)的關(guān)鍵程度,各部門(mén)還可能需要驗(yàn)證和授權(quán)用以訪問(wèn)的設(shè)備。
第六節(jié):處理敏感信息或關(guān)鍵運(yùn)營(yíng)服務(wù)的系統(tǒng)應(yīng)能抵御已知漏洞利用
本節(jié)覆蓋4個(gè)主要技術(shù)領(lǐng)域:企業(yè)技術(shù)、終端用戶(hù)設(shè)備、電子郵件系統(tǒng)和數(shù)字服務(wù)。從對(duì)所有硬軟件資產(chǎn)的全面審計(jì),到確保英國(guó)公共產(chǎn)業(yè)DNS服務(wù)和 TLS 1.2 這樣的技術(shù)得到應(yīng)用,都在本節(jié)討論范圍之內(nèi)。
第七節(jié):特權(quán)賬戶(hù)不應(yīng)被常見(jiàn)網(wǎng)絡(luò)攻擊攻陷
特權(quán)用戶(hù)不應(yīng)使用其特權(quán)賬戶(hù)進(jìn)行“讀取郵件或?yàn)g覽網(wǎng)頁(yè)”之類(lèi)的“高風(fēng)險(xiǎn)操作”。只要技術(shù)上允許,就應(yīng)采用多因子身份驗(yàn)證,包括公司層面上的社交媒體賬戶(hù)。能賦予廣泛系統(tǒng)訪問(wèn)的口令應(yīng)相當(dāng)復(fù)雜,且需做更改,不能保持默認(rèn)口令。
檢測(cè)
第八節(jié):各部門(mén)應(yīng)采取措施檢測(cè)常見(jiàn)網(wǎng)絡(luò)攻擊
使用常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)的攻擊者不應(yīng)能毫無(wú)所查地訪問(wèn)數(shù)據(jù)或控制技術(shù)服務(wù)。應(yīng)實(shí)現(xiàn)事務(wù)性監(jiān)測(cè)技術(shù)以保護(hù)“網(wǎng)絡(luò)罪犯”眼中誘人的數(shù)字服務(wù)。各部門(mén)需明確必須保護(hù)的東西及原因,實(shí)現(xiàn)檢測(cè)已知威脅的監(jiān)視系統(tǒng)。
響應(yīng)
第九節(jié):針對(duì)影響敏感信息或關(guān)鍵運(yùn)營(yíng)服務(wù)的網(wǎng)絡(luò)安全事件,各部門(mén)應(yīng)擁有定義良好經(jīng)過(guò)測(cè)試的響應(yīng)計(jì)劃
應(yīng)實(shí)現(xiàn)明確定義了動(dòng)作、角色和職責(zé)的事件響應(yīng)與管理計(jì)劃,其中應(yīng)包含發(fā)現(xiàn)事件即觸發(fā)的通信協(xié)議。如果事件涉及個(gè)人數(shù)據(jù),應(yīng)通告信息專(zhuān)員辦公室。事件響應(yīng)計(jì)劃應(yīng)定期測(cè)試。
恢復(fù)
第十節(jié):各部門(mén)應(yīng)具備定義良好且經(jīng)過(guò)測(cè)試的過(guò)程,確保關(guān)鍵運(yùn)營(yíng)服務(wù)遭遇故障或入侵時(shí)的持續(xù)性
各部門(mén)應(yīng)擁有應(yīng)急處理機(jī)制,確保遭遇故障或入侵時(shí)能繼續(xù)交付基本服務(wù)。這些應(yīng)急處理過(guò)程應(yīng)經(jīng)受測(cè)試,以便通過(guò)這些過(guò)程進(jìn)行的恢復(fù)工作已是熟能生巧。為保證同樣的問(wèn)題不會(huì)再次出現(xiàn),應(yīng)識(shí)別并修復(fù)漏洞。
該標(biāo)準(zhǔn)中涉及的很多要求都是公司企業(yè)應(yīng)采納的基本控制措施。最近,互聯(lián)網(wǎng)安全中心(CIS)剛剛發(fā)布了其新版20大安全控制措施。
這些安全控制措施最先由SANS研究所提出,已被中小企業(yè)及大型公司所采用。只要應(yīng)用了這些控制措施,公司企業(yè)就能抵御大部分攻擊了。
查看標(biāo)準(zhǔn)全文:
https://www.gov.uk/government/publications/the-minimum-cyber-security-standard
【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】