您的位置：首页 >论坛 > 电子商务 >

英国政府网络安全标准欢迎

2021-08-09 09:44:06 [来源]：

英国政府为所有部门发表了最低的网络安全标准，其中一些信息安全社区的成员欢迎作为正确方向的一步，而其他人则表示它不够远。

这是政府与国家网络安全中心（NCSC）合作的第一个网络安全技术标准，并将被纳入政府的安全标准。

根据该文件，它定义了政府部门所需的最低安全措施，以保护其信息，技术和数字服务，以满足其安全政策框架和国家网络安全战略义务。

“标准呈现最少一套措施，部门应尽可能超越它们，”标准州。

该文件还表明，这些措施将随着时间的推移递增，以持续“提高栏”，解决新的威胁或漏洞类别，并纳入使用新的积极的网络统计措施，这些措施将有望使用部门以及供应商使用的地方。

主动网络防御计划正在由国家网络安全中心（NCSC）开发，以实施旨在以相对自动的方式解决政府部门的措施 - 以相对自动的方式 - 击中英国的大部分网络攻击以滚动它们一旦证明，遍布英国行业。

这些措施包括通过采用基于MARC（基于域的消息认证，报告和一致性）协议来阻止假装从政府的错误电子邮件，这有助于将组织的通信验证为正版。

该标准概述了政府部门的一套网络安全结果，以实现在识别，保护，检测，响应和恢复领域。

基于结果的方法旨在允许政府部门在如何实施标准“依赖于当地背景”中的灵活性，并根据技术选择，添加“遵守标准的遵守”和业务要求有问题。“

一些关键要求包括明确的责任和问责制，为敏感信息的安全性，高级负责任的唯一负责任的安全性，严格的访问控制，使用安全配置，定期修补，注意电子邮件和Web应用程序安全性，制定事件响应和管理计划以及对应急机制的测试，以确保继续提供基本服务。

技术的少数规定用途之一是使用传输层安全版本1.2（TLS v1.2）来保护传输中的电子邮件和数据。这是在最近被互联网标准机构批准的IETF批准之后，TLS V1.3可以更新的事情之一。

但是，这可能不会发生任何时间，因为IETF发布的NCSC技术总监IAN Levy在博客文章中表示，TLS V1.3将使企业安全模型“多，更难”，因为它会使它不可能白名单网站不再是因为服务器证书被加密，因为代理连接后，您必须在完成之前代理它，这意味着企业将不得不代理每个TLS 1.3连接 - 无论是需要还是不需要 - 以及整个连接持续时间。

“这减少了该企业中员工的隐私，大规模增加了设备和电力成本，并且可能会增加企业及其员工的整体技术风险。显然，这不是一个很大的结果，“他写道。