7月1日訊 英國內閣辦公室近日發布第一版《最低網絡安全標準》，該標準將被納入《英國政府安全職能標準》（Government Functional Standard for Security）。英國所有政府機構（包括組織機構和承包商）均被要求強制執行該標準。這份標準為所有商業組織機構提供了安全框架。

五大方面+十大措施

這份標準提出了一系列指導性措施，而非具體舉措。這份標準雖然簡短，但卻涵蓋了確保網絡安全的五個方面（識別、保護、檢測、響應和恢復）以及對應的10項舉措：

識別：

?應建立適當的網絡安全治理程序。

?對持有的敏感信息加以識別，并進行分類。

?對提供的操作服務加以識別，并進行分類。

?理解并持續管理用戶訪問敏感信息或關鍵操作服務的必要性。

保護：

?僅向經確認、身份驗證和授權的用戶或系統訪問敏感信息和關鍵操作服務。

?保護處理敏感信息或關鍵操作服務的系統不受已知漏洞利用，包括保護企業技術、終端用戶設備、電子郵件和數字服務。

?保護特權賬號不易遭受常見的網絡攻擊。

檢測：

采取措施檢測常見的網絡攻擊，包括捕捉可能與常見威脅情報來源有關聯的事件，如通過網絡安全信息共享伙伴關系（CISP）檢測已知威脅，明確定義必須保護的內容及原因等。

響應：

制定明確、有規劃且可靠的響應計劃，以響應影響敏感信息或關鍵操作服務的安全事件，具體做法包括制定事件響應和管理計劃明確定義行動、角色和職責以及制定事件溝通計劃等。

恢復：

制定明確定義的可靠流程，以確保出現故障或遭受攻擊時保持關鍵操作服務的連續性，具體舉措包括：確定并測試應急機制，以在出現故障、服務被迫關閉以及系統或服務遭遇攻擊時，確保繼續提供基本服務。

該標準指出，由于其盡可能地明確結果，從而允許英國政府機構根據本地環境靈活執行該標準。

安全行業怎么看？

云安全專業公司 Lacework 的聯合創始人兼首席產品官桑杰·卡爾拉對 該標準持肯定的態度。他認為，此舉對在云上運行工作負載的組織機構而言尤為重要，云環境在不斷發生快速變化，因此適當的云安全措施需要靈活的方法。從某些方面來看，該標準在結構上與《通用數據保護條例》（GDPR）類似。

安全公司 High-Tech Bridge 的首席執行官伊利亞·科洛琴科表示，“該文檔成功將簡單與高效相結合，許多政府實體甚至不知道從何開始，如何下手，這份文件肯定會幫助它們構建并管理數字風險，并實施適當的網絡安全程序。”

數據保護軟件公司 Varonis 的銷售工程師總監馬特·洛克表示，“最低標準可能聽起來簡單，即使大型組織機構也可能難以將這些措施付諸實踐。” 安全賬戶管理公司 Thycotic 首席安全科學家約瑟夫·卡爾森補充稱，“所有這些標準的問題都將取決于執行能力。”