开发新的保证方法

NCSC的新技术保障方法的特点是专注于明显降低系统中网络安全风险的结果。这些结果可能包括“技术受到保护，防止未经授权的访问”或“技术不能默默默认不安全地运行”。

基于结果的方法使供应商能够以多种方式证明他们已经实现了预期结果的证据。这鼓励了创新，并扩大了我们可以保证的技术范围。

基于原则的保证 （PBA）

理想的结果的基本集合在我们的鉴证原则中有所体现。这些是我们可以就任何技术提出的常见问题。鼓励“系统优先”的态度，这些基本成果为我们命名为基于原则的保证（PBA）。

最初将有三套原则：

1.产品设计和功能原则

描述产品需要实现的功能。

2.产品开发原则

描述应如何设计、实施和测试产品。

3.贯穿始终的原则

描述在开发之外需要采取的安全措施。

上下文中的保证

确保给定技术意味着根据该技术在其拟议使用中面临的威胁和风险来解释这些理想的安全结果。例如，与大使馆使用的安全协议相比，家庭环境中的Wi-Fi路由器对某些安全协议的实施要求不那么严格。

此过程使用“基于风险”的方法从由 NCSC 管理的通用技术基础生成安全要求。

保证原则将发布在我们的网站上，供其他人在评估产品针对自己的特定用例的网络安全时使用。供应商还可以使用它们来证明它们已满足安全要求。

NCSC及其行业合作伙伴还将使用该原则，为英国使用的具有关键安全要求的产品和系统提供相称和严格的保证活动。

衍生新原则

NCSC将利用我们独特的技能，观点和洞察力，根据需要继续制定原则和从中得出的要求。

NCSC使用这种方法来支持DCMS交付消费者物联网安全行为准则。“高级工程标准”也是如此。

原则可分为三个标题：

·特定技术原则（例如安全通信原则、跨域解决方案的安全原则）

·特定领域原则（例如，高保证产品的设计指南)

·特定应用原则（例如消费者物联网安全行为准则，即将出台的高等级工程标准）。

这些原则作为原始集合的衍生物，在结构和内容上将是一致的;但根据环境和人员进行调整。

开发上下文

对背景的理解是相称保证和有效网络风险管理的重要组成部分。

为了理解背景，我们首先要问，“您希望实现什么业务目标？我们接下来要问，“我们需要在哪些系统中得到保证？对于每种技术，我们可以确定，“这种（技术）如何为该系统的网络安全做出贡献？

这与以前的方法形成鲜明对比，后者从技术开始，例如，“我们保证防火墙”。这显然没有解决家庭环境中的防火墙与疫苗研究实验室中的防火墙之间的要求差异。

PBA还更加强调技术的构建方式以及供应商开发和维护其产品的能力。

网络安全市场

在NCSC，我们将网络安全视为英国技术品牌的重要财产。通过认可供应商始终如一地展示良好网络安全工程实践的能力，我们帮助将英国作为国际网络大国。

对于海外开发的技术，NCSC旨在为我们集成到英国系统的产品和服务的网络安全“设定标准”。

这种更灵活的方法也为网络安全定下了基调，网络安全是数字增长的推动者，是产品开发不可或缺的一部分，而不是最后一刻的补充和创新的障碍。

1. >>>等级保护<<<
2. 开启等级保护之路：GB 17859网络安全等级保护上位标准
3. 网络安全知识：什么是AAA（认证、授权和记账）？
4. 网络安全等级保护：安全管理中心测评PPT
5. 网络安全等级保护：等级保护测评过程要求PPT
6. 网络安全等级保护：安全管理制度测评PPT
7. 等级保护测评之安全物理环境测评PPT
8. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
9. 网络安全等级保护：等级测评中的渗透测试应该如何做
10. 网络安全等级保护：等级保护测评过程及各方责任
11. 网络安全等级保护：政务计算机终端核心配置规范思维导图
12. 网络安全等级保护：什么是等级保护？
    
13. 网络安全等级保护：信息技术服务过程一般要求
14. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
15. 闲话等级保护：什么是网络安全等级保护工作的内涵？
16. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
17. 闲话等级保护：测评师能力要求思维导图
    
18. 闲话等级保护：应急响应计划规范思维导图
    
19. 闲话等级保护：浅谈应急响应与保障
    
20. 闲话等级保护：如何做好网络总体安全规划
    
21. 闲话等级保护：如何做好网络安全设计与实施
    
22. 闲话等级保护：要做好网络安全运行与维护
    
23. 闲话等级保护：人员离岗管理的参考实践

24. 网络安全等级保护：浅谈物理位置选择测评项

25. 信息安全服务与信息系统生命周期的对应关系
26. >>>工控安全<<<
27. 工业控制系统安全：信息安全防护指南
28. 工业控制系统安全：工控系统信息安全分级规范思维导图
29. 工业控制系统安全：DCS防护要求思维导图
30. 工业控制系统安全：DCS管理要求思维导图
31. 工业控制系统安全：DCS评估指南思维导图
32. 工业控制安全：工业控制系统风险评估实施指南思维导图
33. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
34. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
35. >>>数据安全<<<

36. 数据安全风险评估清单

37. 成功执行数据安全风险评估的3个步骤

38. 美国关键信息基础设施数据泄露的成本

39. VMware 发布9.8分高危漏洞补丁

40. 备份：网络和数据安全的最后一道防线

41. 数据安全：数据安全能力成熟度模型

42. 数据安全知识：什么是数据保护以及数据保护为何重要？

43. 信息安全技术：健康医疗数据安全指南思维导图

44. >>>供应链安全<<<

45. 美国政府为客户发布软件供应链安全指南
    

46. OpenSSF 采用微软内置的供应链安全框架
    

47. 供应链安全指南：了解组织为何应关注供应链网络安全
    

48. 供应链安全指南：确定组织中的关键参与者和评估风险
    

49. 供应链安全指南：了解关心的内容并确定其优先级

50. 供应链安全指南：为方法创建关键组件

51. 供应链安全指南：将方法整合到现有供应商合同中

52. 供应链安全指南：将方法应用于新的供应商关系

53. 供应链安全指南：建立基础，持续改进。

54. 思维导图：ICT供应链安全风险管理指南思维导图
    

55. 英国的供应链网络安全评估

56. >>>其他<<<

57. 网络安全十大安全漏洞

58. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

59. 网络安全等级保护：应急响应计划规范思维导图

60. 安全从组织内部人员开始

61. 影响2022 年网络安全的五个故事

62. 2023年的4大网络风险以及如何应对

63. 网络安全知识：物流业的网络安全

原文始发于微信公众号（祺印说信安）：英国技术保障指南之开发新的保证方法