伴随着互联网的普及和物联网的快速发展,网络犯罪日益增多,全球网络空间安全面临严峻挑战。上文从知悉威胁、构建网络防御体系以及提高对网络突发事件的响应能力这三个角度具体分析并总结了《国家网络安全战略2016-2021》的实施进展。本文将延续上文,从国家网络安全的控制、发展与行动三个角度对该战略进一步解读。
一、愿景和目标
英国发布《国家网络安全战略2016-2021》的总体愿景是力争建立起一个安全而富有弹性、繁荣而可靠的数字社会,通过降低网络安全风险,增强网络防御措施,确保英国在全球网络空间的优势地位。《国家网络安全战略进展报告2016-2021》的发布,是英国政府对战略的实施情况的跟踪。本文从国家网络安全的控制、发展与行动三个角度对该战略实施情况进行解读。为了实现总体愿景,英国应分别从以下三个角度实现“小目标”:
控制:使英国的所有组织,都能在国家网络安全中心(National Cyber Security Centre,NCSC)设计的安全框架下,有效管理其网络风险;使所有的CNI(Critical National Infrastructure) 运营商在NCSC设计的高质量建议下,通过监管和激励双管齐下,有效管理其网络风险。
发展:确保英国有一个合适的生态系统来维持和发展能够满足国家安全需求的网络安全部门。通过持续提供和培养网络技术专业人员,以满足日益增长的数字经济的需求。
行动:在自由、开放、和平、安全的网络空间中,对内加强国家安全防御措施和能力,对外减少敌对势力威胁。同时凭借英国工业和学术界的高水平专业知识支撑,为未来的技术和威胁应对做好政策实施的规划和技术储备。
二、战略实施进展
1 控制网络风险
(1)在经济和社会领域控制网络风险
在过去的一年里,NCSC对大中小企业提供了一系列针对性的指导,以帮助企业解决从治理到响应的一系列网络风险管理问题。其中包括网络保险指南、小型企业指南(响应和恢复)、沙箱练习(帮助组织检验其对网络攻击的防御能力,并在安全的环境中演练其应对能力)以及董事会建议书(提供资源以鼓励董事会与其组织之间进行必要的网络安全讨论)。
2019年6月,英国政府开始了一项新的网络安全宣传和监管审查工作,出台了相关政策,包括《通用数据保护条例》(GDPR, General Data Protection Regulation)和《网络和信息系统条例》(NIS Regulation, Network and Information Systems Regulation),希望通过修订条例对网络安全实践产生切实作用。
在2020春季,新冠疫情爆发期间,政府启动了新阶段的增强网络安全意识活动,帮助公众和小企业保持其在网络上的安全。受新冠疫情的影响,人们在网络上的娱乐和工作时间越来越长,由NCSC、DCMS(The Department for Digital, Culture, Media and Sport)和内政部(The Home Office)合作领导了一项网络安全活动,着重宣传了六项最重要的措施来保证安全,进而防范与COVID-19相关的威胁和诈骗。
(2)管理关键国家基础设施(CNI)中的网络风险
在过去的一年中,英国政府领导并出台了多项举措,以改进和加强CNI的网络安全技术。此外,英国政府在改进网络安全监管框架方面不断取得新进展,建立了网络安全监管论坛并继续推行《网络和信息系统条例》(Network and Information Systems Regulation,NIS Regulation)。根据2020年5月发布实施后的审查结果表明,NIS法规正在推动变革:60%的基本服务(Operators of Essential Services,OES)运营商认为这些法规提高了其组织内高级管理层的安全优先级。
政府、监管机构和CNI运营商能够评估保护关键资产的网络安全措施,并识别网络风险。英国政府将继续跨CNI部门开展工作,以改进评估和报告流程,并开发定制渗透测试框架,以帮助增强运营商防范、管理和应对网络攻击事件的能力。展望未来,很明显,英国的CNI必须与时俱进,以识别和适应新的挑战和机遇。
2 发展网络安全
(1)发展网络安全部门
政府继续资助一系列发展网络安全部门和刺激创新的举措。《英国网络安全部门分析报告》强调,在国家网络安全计划(NCSP)的前三年中,政府采取措施总共支持了200多家企业。调查结果表明,参与NCSP增长和创新计划的公司在两年内的收入增长是行业平均水平的两倍。该战略通过英国的学术创业加速器计划(Cyber Security Academic Startup Accelerator Programme, CyberASAP)和UKRI(UK Research and Innovation, 英国创新研究组织)中的“数字安全设计挑战”(Digital security by design challenge, DSBD),为将学术理念转化为成功的商业产品创造了更清晰的途径。
案例研究
数字安全设计
数字安全设计(DSBD)挑战是工业战略挑战基金(由英国研究与创新部运营)的第三波计划,它将带来7000万英镑的政府资金,以及包括微软和谷歌在内1700万英镑的工业界联合投资。DSBD将通过创建一个新的、更安全的硬件和软件生态系统来彻底替代当前不安全的数字计算基础设施。基于英国研究机构所定义的安全能力,通过该计划开发的DSBD技术将确保从新的安全硬件原型到相应配套软件,再到产品和服务的全流程安全。这将有助于确保每个英国组织和在线消费者尽可能地安全和抵御网络威胁。
英国政府一直在努力确保英国在整个经济运行中拥有足够的网络安全能力。在过去四年中,已经取得了显著的进步。英国网络安全领域的从业人员已从2017年的31000人增加到43000人。英国政府通过与行业、专业组织、学生、雇主、现有网络安全专业人士和学术界广泛接触,从而更好地了解网络安全技能挑战的性质,确保英国具备其所需的持续抵御网络威胁和保障网络安全的能力。
此外,英国政府开展了广泛的课外活动,鼓励年轻人从事网络安全领域学习研究。在2019与2020年,近57000名年轻人参与了CyberFirst和CyberDiscovery学习计划。课程同时面向低年级的学生,推出了针对1-12岁儿童的CyberFirst开拓者课程,针对13岁以上儿童可以展开Cyber Discovery课程。
3 未来行动计划
(1)增强研究能力
促进英国保有世界一流的研究能力是确保现在和未来更好的网络安全的关键部分。英国的博士资助计划允许学生在NCSC资深技术专家的指导下攻读感兴趣的博士学位。该项目支持培训下一代网络安全研究人员,目前有超过100名学生正在进行或完成高级网络安全研究培训,此外还有73名学生在国家网络安全峰会(National Cyber Security Summit,NCSS)期间之前开始了他们的研究。这种模式成功地提供了高质量的研究成果。
(2)展开国际行动
英国现在拥有成熟的网络威慑应对工具,例如网络评估框架(CAF),以对抗恶意网络活动。英国继续与国际社会合作,通过透明和明确的沟通阻止有害的网络活动。
此外,英国将利用其全球领导作用,支持其他国家建设抵御网络风险的能力,以应对COVID-19等重大危机,并从危机中恢复。在脆弱的低收入和中等收入国家,保护公众和企业免受新冠病毒的网络攻击项目已经开始实施。英国将继续展开双边和多边合作,努力阻止敌对国家在网络空间的威胁行为。
案例研究
网络评估框架
网络评估框架(Cyber Assessment Framework,CAF)作为一款成熟的安全评估工具,用于支持CNI的多个网络监管机构的工作。
2019年9月发布了新版CAF,用于满足更广泛的监管要求。最新版本对网络安全方面的监管提供了更好的支持,这是网络监管格局中越来越重要的一部分。无论是作为攻击者无意识的影响,还是作为对安全系统的专门攻击。计算机安全系统总可能会受到各种网络事件的不利影响,此外,已经有多个有据可查的网络事件表明,恶意攻击者将安全系统作为攻击目标。
最近,NCSC的技术工作提高了监管机构利用CAF在其行业内设定一系列网络安全目标水平的能力。根据现实网络事件中衍生的行业场景示例,这些目标与风险水平保持一致。
本文翻译修改自《国家网络安全战略 2016-2021 进展报告》