英国政府网络安全标准欢迎

英国政府为所有部门发表了最低的网络安全标准，其中一些信息安全社区的成员欢迎作为正确方向的一步，而其他人则表示它不够远。

这是政府与国家网络安全中心（NCSC）合作的第一个网络安全技术标准，并将被纳入政府的安全标准。

根据该文件，它定义了政府部门所需的最低安全措施，以保护其信息，技术和数字服务，以满足其安全政策框架和国家网络安全战略义务。

“标准呈现最少一套措施，部门应尽可能超越它们，”标准州。

该文件还表明，这些措施将随着时间的推移递增，以持续“提高栏”，解决新的威胁或漏洞类别，并纳入使用新的积极的网络统计措施，这些措施将有望使用部门以及供应商使用的地方。

主动网络防御计划正在由国家网络安全中心（NCSC）开发，以实施旨在以相对自动的方式解决政府部门的措施 - 以相对自动的方式 - 击中英国的大部分网络攻击以滚动它们一旦证明，遍布英国行业。

这些措施包括通过采用基于MARC（基于域的消息认证，报告和一致性）协议来阻止假装从政府的错误电子邮件，这有助于将组织的通信验证为正版。

该标准概述了政府部门的一套网络安全结果，以实现在识别，保护，检测，响应和恢复领域。

基于结果的方法旨在允许政府部门在如何实施标准“依赖于当地背景”中的灵活性，并根据技术选择，添加“遵守标准的遵守”和业务要求有问题。“

一些关键要求包括明确的责任和问责制，为敏感信息的安全性，高级负责任的唯一负责任的安全性，严格的访问控制，使用安全配置，定期修补，注意电子邮件和Web应用程序安全性，制定事件响应和管理计划以及对应急机制的测试，以确保继续提供基本服务。

技术的少数规定用途之一是使用传输层安全版本1.2（TLS v1.2）来保护传输中的电子邮件和数据。这是在最近被互联网标准机构批准的IETF批准之后，TLS V1.3可以更新的事情之一。

但是，这可能不会发生任何时间，因为IETF发布的NCSC技术总监IAN Levy在博客文章中表示，TLS V1.3将使企业安全模型“多，更难”，因为它会使它不可能白名单网站不再是因为服务器证书被加密，因为代理连接后，您必须在完成之前代理它，这意味着企业将不得不代理每个TLS 1.3连接 - 无论是需要还是不需要 - 以及整个连接持续时间。

“这减少了该企业中员工的隐私，大规模增加了设备和电力成本，并且可能会增加企业及其员工的整体技术风险。显然，这不是一个很大的结果，“他写道。

共同工作

几天后，征税补充了他的帖子澄清：“我不是说TLS 1.3是坏事。我不是说它应该停下来。我并不是说这些变化并不根本不是良好的技术安全。我只是说这将使一堆企业相关的安全文件更难。所以，鉴于这一点，我们需要共同努力，致力于如何适应监管，技术和政策世界。“

该标准的出版表明，政府理解，英国和爱尔兰地区副总裁Mark Adam表示，备份，恢复和数据管理公司Veeam软件的区域副总裁Mark Adam表示。

“通过GDPR [欧盟一般数据保护规范]和NIS [网络和信息系统]目前指令，网络攻击的成本，漏洞和网络中断现在只是令人眼花。

“新标准表明，政府意识到任何其他替代方案根本不值得对其运营的风险，并为其他行业奠定了一个优秀的榜样，”他说。

亚当斯称，该文件强调恢复，他将描述通常是数据管理的“无名英雄”。

“无论你是谁还是在哪里工作，都从未如此重要的是，确保您的数字生命永久地”打开“。他说，将数据无缝地移动到多云环境中最佳位置的能力，这对于业务连续性，合规性，安全性和资源的最佳利用来说至关重要，“他说。

保持可靠性

根据亚当斯的说法，这种“超可用性”不仅有助于我们在需要时始终存在数据和应用程序，但它还有助于维护可靠性，降低手动流程的成本，最大限度地减少停机时间，确保生产IT服务的连续交付，并满足合规要求。

“所有这些对公共部门至关重要。我们很高兴看到英国政府已经认识到今天需要为所有这一切做好准备，以避免明天的罚款或威胁，“他说。

英国和爱尔兰主任Mike Trevett在Fireeye的Mandiant，也欢迎出版标准。

“在过去的十年中，英国政府一直旨在简化安全 - 在安全标准中远离剥离强制性要求，以描述需要实现的最低安全结果。本标准有助于确切地说。

“对于成熟的组织，它提供了管理其信息风险的坚实框架。对于不太成熟的组织，它将帮助他们构建它们如何管理信息风险并指导他们的网络安全过程开发，“他说。

有一个明确的事件响应计划

根据Trevett的说法，组织需要真正清楚地了解在发生违规事件时该做什么。“每个组织都需要有一个明确的事件响应计划，这些计划得到了很好的测试和定期排练，”他说。“在本标准之后，将使组织成为网络弹性的目标。”

然而，威胁情报总监Andy Norton表示，新标准在检测和响应的要求方面错过了标志。

“这些要求仅集中在”普遍“威胁上，”他说。“对政府部门来说，这是一种提出风险的先进威胁。新标准没有什么可以在政府网络中提升酒吧以检测和响应先进的威胁。“