GCHQ的信息中心工作人员计划扩大网络监察以提高uk.gov网站的安全性

DVLA否认驾驶执照处理网站是安全“车祸”

英国政府和机构网站提供的网络证书设置和加密有时会低于最佳标准,因为最近与驾驶和车辆授权代理机构(DVLA)的问题证明了这点。几乎所有的中央政府网站都开始遵循最佳做法和网站安全 - 虽然仍有很大的改进空间 - 但至少达到了及格分数。

据英国政府领先的网络安全机构称,去年英国政府网站安全性的提高可归功于国家网络安全中心的网络检查服务。

Web Check检查网站是否存在安全问题,然后将审核结果报告给所有者,并提供有关如何解决所发现问题的建议。根据NCSC的统计数据,该服务可用于所有公共部门组织,在近8000个不同站点发现6000个不同问题,其中包括2178个证书相关问题。

自2017年4月以来,已经编辑了4,000多份此类咨询意见,导致大部分问题在报告后的两天内得到解决。

NCSC表示,它希望“鼓励所有gov.uk域名受益于易于实施的Web Check服务”。

NCSC技术总监Ian Levy博士说:“我们发现资源紧张的公共部门组织有时在他们的网络资产上存在安全问题,所以我们建立了Web Check,这是一项为公共部门提供的免费服务,帮助确定最常见的问题并提供补救建议。

“来年的计划是将服务扩展到绝大多数公共部门的网站,”他补充说。

独立安全专家保罗摩尔质疑当前的补丁安全是否可以归咎于缺乏资源。

“缺乏后续和必要的检查可能被归咎于缺乏资源,但实施失败表明缺乏技术理解,没有任何资金可以解决,”摩尔告诉埃尔Reg。“看起来,除非NCSC进行了他们的(优秀的)工作,否则大部分.gov投资组合将会因安全错误而挂钩。”

Web Check用户还可以创建他们管理的网站URL的“观察列表”。该服务涉及在将调查结果报告给订户之前,运行不断增长的非侵入式扫描。

网络支票是Active网络防御的一部分,去年发布的网络安全策略是全国网络安全策略的一部分,这是一项更全面的方案,最终旨在阻止商业网络攻击。

Moore指出,尽管Web Check检查审计站点的安全性头部,但它不会将此度量标准报告给站点所有者,这可能是因为安全性头部比Qualys SSLLabs式数字证书设置和配置检查更复杂。他形容这种做法“令人沮丧”。

“如果没有NCSC,我们都依赖的服务将大大减弱,并且在某些情况下,完全不适合,”摩尔说。“......显然还有很多工作要做。”

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/03/27/ncsc_web_check_sitrep

扫码关注云+社区

领取腾讯云代金券