淺談英國網絡安全戰略2016-2021實施進展之一
背景
自2016年11月1日英國政府啟動新一輪的《國家網絡安全戰略2016-2021》(后簡稱《戰略》)以來,英國政府在加強互聯網安全建設,防范網絡攻擊,維護英國經濟及公民信息安全上做出了巨大的努力。2019 年 5月,英國發布《國家網絡安全戰略 2016-2021 進展報告》(后簡稱《進展報告》),旨在跟蹤《戰略》實施情況以及迄今取得的進展。時至今日,《戰略》已經實施了5年,《進展報告》也在持續更新中,本文針對最新戰略的實施進展情況進行了詳細解讀,其中包括了英國政府對冠狀病毒(COVID-19)的應對措施。
戰略實施進展
本文從知悉威脅、構建網絡防御體系以及提高對網絡突發事件的響應能力這三個角度具體分析并總結了該戰略的實施進展。知悉威脅強調了對威脅的感知以及預防問題,是網絡安全防御的前提。構建網絡防御體系能夠保證網絡的根本性安全,是網絡安全防御的核心內容。網絡突發事件的響應能力強調了安全事件發生后的反應與處理能力,是網絡安全防御的關鍵。
知悉威脅,打擊網絡犯罪分子
知悉威脅
英國政府的目標是確保英國有能力有效地探測、調查和反擊來自對手網絡活動的威脅。來自國家和國家支持組織的惡意活動仍然威脅著英國在網絡空間的利益。在COVID-19流行期間,一些國家和非國家行為體試圖利用這一形勢,進行情報收集和破壞活動。國家網絡安全中心(NCSC)作為英國的國家技術權威,已經能夠為英國超過150個重要的國家醫療服務體系(NHS)網絡提供額外地保護,并響應了超過50個相關的網絡威脅事件,這些威脅事件可能會在關鍵的國家響應時期影響運營服務。
如今英國已經適應了2019冠狀病毒疾病所帶來的網絡威脅。英國有能力將威脅情報與來自行業合作伙伴和受害者的信息結合起來進行分析,全面知悉英國政府所面臨的網絡威脅。
打擊網絡犯罪
英國政府的目標是顯著降低網絡犯罪對英國的影響,阻止網絡犯罪分子以英國為目標進行網絡犯罪。
英國政府大力發展和鞏固執法網絡犯罪網絡的建設。包括在英格蘭和威爾士的所有43支警察部隊中建立、鞏固和整合網絡犯罪專家小組。現在,所有部隊都有專門的官員和工作人員來調查網絡犯罪,并確保受害者從警方得到一致的反應和建議。這些舉措在地方產生了重大影響,也使國家打擊犯罪局和反區域有組織犯罪單元的能力能夠集中處理更復雜、危害更大的案件。
追蹤網絡空間中的惡意和犯罪行為固然關鍵,但執法部門也加強了其通過威懾和轉移活動的方式來預防網絡攻擊的能力,這些活動被認為有可能參與網絡犯罪,政府支持企業和個人在成為網絡犯罪受害者之前采取行動。在COVID -19流行期間,英國政府提供免費的教育和互動游戲資源,為青少年提供網絡技能測試,同時提供預防網絡犯罪信息。截至2020年3月,預防干預的數量比前一年有所增加。
國家打擊犯罪局還將繼續通過進一步開發各種工具來提高英國政府的執法反應能力,這些工具可供各級警務人員使用,以支持追捕、保護、預防和準備活動。這將包括實施“網絡選擇”預防計劃,旨在幫助年輕人做出知情選擇,并以合法的方式使用他們的網絡技能。這是一項國家倡議,由反區域有組織犯罪單元內的預防小組和當地警察網絡小組實施。
構建主動網絡防御體系,通過設計確保系統內置安全
構建主動網絡防御體系
主動網絡防御(Active Cyber Defence, ACD)的最終目標是減少網絡攻擊造成的傷害。它代表了英國在網絡安全方面的一個重大變化,因為它是與中央政府、地方政府和企業合作提供的自愿的、非監管的、非法定的方法。COVID-19已經看到許多ACD服務被用來幫助保護我們最基本的服務,從NHS和呼吸機制造商到研究疫苗的大學和超市物流公司。
在過去的一年中,重要的成就是推出了可疑電子郵件報告服務(Suspicious Email Reporting Service, SERS),該服務于2020年4月成功上線,并已取得了顯著的成功。在運行的前四個月,該服務已收到公眾的230萬份報告。這些報告使國家網絡安全中心得以取締22000個惡意網址和9300個惡意網頁鏈接。
基于主機的能力(Host Based Capability, HBC)現在已經在中央政府的17個組織和關鍵國家基礎設施(Critical National Infrastructure, CNI)客戶中實施。HBC是一種軟件,允許NCSC幫助各組織檢測惡意活動,更好地了解他們的網絡,并對重大漏洞發出警告。由于COVID-19的影響,HBC的重點是幫助NHS、英格蘭公共衛生局和分權政府。商業網絡數據與主動網絡防御(ACD)保護性DNS服務數據相結合,也成為12月大選期間用于入侵檢測和分析的一個關鍵來源,通過防止公共部門機構訪問已知的惡意域名。
越來越多的人要求將ACD的部署擴大到傳統的政府部門之外,特別是支持私營部門的關鍵國家基礎設施(Critical National Infrastructure , CNI)。通過ACD拓寬項目,我們的目標是在ACD項目成功的基礎上,將服務擴展到更多的部門,使其能夠從自動保護中受益。這將為客戶組織提供更好的信息,增加對每個部門和次級部門所面臨的挑戰的了解,從而提供更有用的產品和解決方案。
通過設計確保安全
英國政府的目標是讓英國的科技產品和服務更加安全。產品連接互聯網的使用時間繼續增長,然而,物聯網(IoT)領域的各個部分仍然普遍存在安全隱患。這些安全威脅可能會影響接入設備的使用。由于2019冠狀病毒病(COVID-19)的影響,越來越多的人在家工作,對智能設備的依賴增加,使這項工作更加重要。2018年3月英國發布了《消費者物聯網安全實踐準則》,英國政府希望通過設計將強大的網絡安全內置到消費物聯網產品中。
此外,英國還與ETSI等國際標準機構合作,將《消費者物聯網安全實踐準則》中的原則轉化為可操作且明確的規定。2020年6月,ETSI發布了EN 303 645,這是首個全球適用的消費者物聯網安全標準,有助于進一步為行業提供有關如何實施良好物聯網安全措施的指南。該標準的核心原則是在制造、存儲和銷售物聯網設備的企業之間實現透明度。
加強政府網絡安全,提高各行業對網絡突發事件的響應能力
網絡突發事件響應
英國政府的目標是保證英國擁有有效管理并應對網絡突發事件的能力,減輕傷害,打擊網絡空間的敵人。NCSC是管理網絡事件的主要政府組織,在2020年主導處理了700多起事件,為近1200個受害組織提供支持,自開始運作以來處理了2500多起事件。NCSC和執法部門繼續合作,簡化和改善英國網絡攻擊受害者的報告情況。
在COVID-19大流行期間,NCSC的業務主管部門一直在加強對COVID-19基本功能和公共及私營部門企業的監測和事件支持。
免費的NCSC網絡演習工具“盒子里的演習(Exercise in a Box)”正在不斷壯大,今年年初的使用量幾乎增加了10倍。它現在有10個獨立的練習,涵蓋了從網絡釣魚到勒索軟件的所有內容。最受歡迎的演習是技術性惡意軟件模擬演習,借鑒事件管理經驗和客戶表示希望看到的演習。最近的演習是基于最近發布的NCSC供應鏈風險指南(NCSC guidance for supply chain risks),該指南允許企業了解和討論與他們依賴供應商提供產品、系統和服務有關的風險,以及他們的組織為減輕這些風險而制定的那些程序。
NCSC及其合作伙伴已經開發出了管理和應對網絡事件的世界級先鋒能力。在該戰略的剩余時間里,英國將繼續追求創新方案,以簡化事件管理過程的各個方面并使之自動化,從而降低英國的風險。反過來,這種經驗將被用于通報和豐富NCSC的公共建議和指導。
加強政府網絡安全
英國的目標是讓政府的網絡和服務在首次實施時就盡可能地安全。公眾將能夠放心地使用政府數字服務,并相信他們的信息是安全的。
政府安全改革方案正在領導四個安全單位的發展,將43個獨立的部門安全辦公室聚集在一起,減少重復,節省成本并從規模經濟中受益,并成為各部門的中心聯絡點和信息點。這些單位提供一系列企業安全服務,以解決關鍵部門風險,符合政府安全小組設定的基線標準和最新的威脅分析。
除了中央政府之外,英國還與其地方政府協會合作,以支持英格蘭的地方議會。迄今為止,已有200多個市議會獲得了解決關鍵問題和漏洞的資金。英國還與 NHS信托機構(NHS Trusts)合作,以提高其網絡安全,并提供一系列選擇和資源,以在關鍵時刻保護英國的NHS免受網絡威脅。
我們已經看到政府在針對最低網絡安全標準方面取得了一些積極進展。政府安全小組現在正在與包括 NCSC 和政府數字服務在內的部門合作,了解需要后針對這些標準進行更改。這項審查已經在進行中,并打算成為一項年度活動,并相應發布更新的標準。隨著時間的推移,這些措施將逐步增加,從而不斷“提高標準”,以跟上不斷變化的威脅,并確保對風險進行適當的管理。
參考文獻
本文翻譯修改自《國家網絡安全戰略 2016-2021 進展報告》
