NCSC及其之前的CESG已经参与确保技术安全超过30年。在那段时间里,随着技术在我们生活中日益增长的作用,我们的保证工作也在扩大。
NCSC发布过一份白皮书,总结了对保证下一步应该走向何方的想法。该文件概述了一种获得对英国所依赖技术的网络安全的信心的新方法。
在这篇文章中,想用一些历史来设置场景,并强调白皮书中一些最重要的要点。
从前
首先确保用于保护政府中最敏感数据的设备。然后,在90年代,工作扩展到包括旨在保护不太敏感的政府(有时是商业)信息的设备。在过去的几年里,它进一步延伸,包括评估具有更实际日常用途的设备的安全功能,例如智能电表。
今天,人们不再孤立地考虑安全功能,因为实际上,任何设备或软件都可以在网络安全中发挥作用。如果构建和维护不当,它可能具有漏洞,为攻击者敞开大门。
获得信心
深入参与了用于获得对设备安全性的信心的标准和方法。
在80年代,CESG运营着英国IT安全评估和认证计划。在 80 年代后期,我们与法国、德国和荷兰的同事合作创建了 IT 安全评估标准 (ITSEC) - 一种欧洲范围内的安全产品评估和相互认可方法。
然后,在90年代中期,英国与加拿大,法国,德国,荷兰和美国的同事合作,通过共同准则计划制定了国际方法。
在所有这些国际工作进行的同时,英国继续制定国家办法,以应对国家挑战。商业产品保证就是一个很好的例子。
当前的想法
最近,英国对技术保障需要采取的方向做了很多思考。白皮书全面介绍了我们的计划,所以在这里我只想列出这些计划背后的思想的一些重要方面。
这不仅仅是关于安全性
嗯,是的,它不仅仅是关于安全产品的功能,如防火墙或VPN。必须包括主要功能不是安全性但包含安全功能(如汽车)的设备和软件。
比以往任何时候都更重要的是,一般使用的技术不会使组织或家庭因设计、实施或维护不当而容易受到攻击。英国的技术保障方法必须能够满足所有这些不同的情况。
英国并不孤单
虽然英国的主要目标是提高英国的网络安全标准,但英国必须认识到其他国家和组织也想做同样的事情,并且供应商需要参与其他计划和方法。
英国的战略需要考虑这些方法,并确保英国有办法在适当的时候获得等效性。
需要有多安全?
网络安全就是管理风险,这些风险会因环境而异。
如果您正在处理高度敏感的数据,您希望能够找到能够保护您免受最复杂工具和技术侵害的技术。但是,对于大多数人来说,这是关于使用足够好的技术来抵制公开可用的东西。Cyber Essentials称这些为“商品能力”。
如果英国提出一种方法,试图使所有技术都能抵御前者,那么时间尺度将延长,成本将飙升,选择将消失。英国需要能够满足人们所处的各种风险环境,并提供信息,使他们能够识别满足其需求的弹性技术。
应该有多规范?
如果我用一个词来描述现有的产品保证方法,那将是“规范性的”。专注于如何满足认证要求的细节并没有留下很大的创新空间 - 这是健康网络安全环境的重要组成部分。它还需要付出很多努力来制定和维护所涉及的标准,因此它们反映了技术的变化。
这种方法确实有一些好处,因为供应商清楚地了解他们需要做什么来满足要求,并且更容易根据它们评估产品。这也许降低了做出判断和解释指令所需的技能水平。
在使用跨领域解决方案的测试用例成功试行原则方法后,我们相信NCSC开发的原则可用于获得对各种技术安全性的信心。
安全源于设计
一次又一次,对组织(或个人)进行成功网络攻击的根本原因是他们正在使用的技术中的漏洞。
好吧,这可能是因为他们没有应用补丁,但首先减少对补丁的需求开始解决根本原因。我们知道许多产品开发人员已经做了很多艰苦的工作来改进他们的工程实践,但这肯定不是全面的。
虽然安全产品构建良好很重要,但同样适用于当今使用的任何技术。当产品离开工厂/软件公司时,故事并没有结束 - 我们仍然需要确信其弹性将在其整个生命周期内保持。这意味着我们必须从“时间点”评估转向我们相信技术在其整个生命周期中保持可用和弹性的情况。换言之,我们需要更持续的保证。
虽然以前的产品保证方法已经认可了开发环境,但重点一直放在安全功能上 - 因为这是有趣的东西。确实如此,但最终,如果基础开发环境不符合要求,您如何对该功能充满信心(尤其是随着时间的推移)?遵循国家网络安全战略中概述的“安全设计”理念,我们的方法需要解决产品漏洞的根本原因,而不仅仅是症状。
让人们轻松做正确的事情
人们通常必须努力工作才能确保安全,当您谈论复杂的技术时,这通常是一种不公平的责任负担。可用性,尤其是在安全性方面,需要成为我们战略的核心部分。
NCSC一直倡导可用性,倡导轻松的技术。英国的技术保障策略将鼓励制造商通过确保默认内置可用的安全性来帮助使用其产品的人。
一切都与信心有关
虽然英国需要能够适当抵御网络攻击的技术,但英国也希望相信它真的“做到了它在锡上所说的”。
确定产品来自具有良好工程实践的制造商是获得这种信心的第一步。如果它是通用技术,那可能就足够了,但如果它具有安全功能,您还需要正确实施的信心。
获得信心的过程始于描述关键安全要求的一套良好原则,并以满足这些要求的适当证据结束。归根结底,这一切都与证据以及您需要多少证据有关......这又回到了风险和影响。
如果您需要高度确信您使用的技术将管理这些风险和影响,那么您可以寻求独立评估,但如果风险和影响较低,那么公开声称他们符合要求的供应商可能是您需要的所有信心。为了保持足够的灵活性,我们的保证战略需要考虑所有这些因素。
做出明智的决定
最终,英国希望帮助人们购买正确的东西,以帮助他们管理网络安全风险。
徽章或证书通常用作已满足某些标准或其他标准的证据。我仍然为我11岁时获得的自行车熟练证书感到自豪。这一点,我的父母认为我可以安全地在路上骑自行车,停止吓唬行人。这之所以有效,是因为获得徽章的标准很简单,但在确保复杂技术方面却不一样。
过去,我们的方法完全遵循这条道路,试图将一大堆复杂问题浓缩成“善良证书”,并在底部附上一些小字警告。问题在于,如今,在特定用例中可能很重要的通常是警告,但随着人们关注证书而被忽视。
这样的证书有一席之地,但英国的战略需要认识到不同的客户需要不同的东西。我们应该致力于确保我们的战略能够帮助公民在购买商品技术时做出明智的选择,并提供适当的信息来帮助组织选择有助于他们具有网络弹性的技术。
但是需求呢?
经常听到供应商说,“如果客户不要求,我为什么要让我的产品更具弹性,这只会让我的竞争力降低?我不能反驳。
然而,提高英国软件的网络弹性是使英国成为安全的在线生活和工作场所的重要组成部分。它还符合综合审查和英国作为技术领导者的愿景。因此,我们必须找到激励开发满足这一需求的产品的方法,同时发展生态系统,为更多的人提供保障能力。
即将出台的消费者物联网行为准则立法就是实践中的一个例子,但我们认识到,如果一些组织要成为这场技术保障革命的一部分,他们将需要更多的帮助来改善他们的开发过程。我们需要与政府各部门的同事合作,找到创新的方式来做到这一点。
最后,这是一场马拉松,而不是短跑
除了帮助更多人选择能够保证他们安全的伟大技术的保障生态系统之外,英国还需要建立英国知道在 5-10 年内需要的那种能力。
英国需要应对当今技术的快速变化,实现英国未来的技术雄心,而不是阻碍它们,这需要时间来建立。
本文仅限于传播更多知识!
-
>>>等级保护<<< -
开启等级保护之路:GB 17859网络安全等级保护上位标准 -
网络安全等级保护:等级保护测评过程及各方责任 -
网络安全等级保护:政务计算机终端核心配置规范思维导图 -
网络安全等级保护:什么是等级保护? -
网络安全等级保护:信息技术服务过程一般要求 -
网络安全等级保护:等级保护测评过程要求PPT -
等级保护测评之安全物理环境测评PPT -
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 -
闲话等级保护:什么是网络安全等级保护工作的内涵? -
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 -
闲话等级保护:测评师能力要求思维导图 -
闲话等级保护:应急响应计划规范思维导图 -
闲话等级保护:浅谈应急响应与保障 -
闲话等级保护:如何做好网络总体安全规划 -
闲话等级保护:如何做好网络安全设计与实施 -
闲话等级保护:要做好网络安全运行与维护 -
闲话等级保护:人员离岗管理的参考实践 -
信息安全服务与信息系统生命周期的对应关系 -
>>>工控安全<<< -
工业控制系统安全:信息安全防护指南 -
工业控制系统安全:工控系统信息安全分级规范思维导图 -
工业控制系统安全:DCS防护要求思维导图 -
工业控制系统安全:DCS管理要求思维导图 -
工业控制系统安全:DCS评估指南思维导图 -
工业控制安全:工业控制系统风险评估实施指南思维导图 -
工业控制系统安全:安全检查指南思维导图(内附下载链接) -
工业控制系统安全:DCS风险与脆弱性检测要求思维导图 -
>>>数据安全<<< -
>>>供应链安全<<<
-
供应链安全指南:建立基础,持续改进。 -
英国的供应链网络安全评估 -
>>>其他<<<
原文始发于微信公众号(祺印说信安):英国技术保障指南之英国技术保障的未来
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论