淺談英國網絡安全戰略2016-2021實施進展之二
伴隨著互聯網的普及和物聯網的快速發展,網絡犯罪日益增多,全球網絡空間安全面臨嚴峻挑戰。上文從知悉威脅、構建網絡防御體系以及提高對網絡突發事件的響應能力這三個角度具體分析并總結了《國家網絡安全戰略2016-2021》的實施進展。本文將延續上文,從國家網絡安全的控制、發展與行動三個角度對該戰略進一步解讀。
一、愿景和目標
英國發布《國家網絡安全戰略2016-2021》的總體愿景是力爭建立起一個安全而富有彈性、繁榮而可靠的數字社會,通過降低網絡安全風險,增強網絡防御措施,確保英國在全球網絡空間的優勢地位。《國家網絡安全戰略進展報告2016-2021》的發布,是英國政府對戰略的實施情況的跟蹤。本文從國家網絡安全的控制、發展與行動三個角度對該戰略實施情況進行解讀。為了實現總體愿景,英國應分別從以下三個角度實現“小目標”:
控制:使英國的所有組織,都能在國家網絡安全中心(National Cyber Security Centre,NCSC)設計的安全框架下,有效管理其網絡風險;使所有的CNI(Critical National Infrastructure) 運營商在NCSC設計的高質量建議下,通過監管和激勵雙管齊下,有效管理其網絡風險。
發展:確保英國有一個合適的生態系統來維持和發展能夠滿足國家安全需求的網絡安全部門。通過持續提供和培養網絡技術專業人員,以滿足日益增長的數字經濟的需求。
行動:在自由、開放、和平、安全的網絡空間中,對內加強國家安全防御措施和能力,對外減少敵對勢力威脅。同時憑借英國工業和學術界的高水平專業知識支撐,為未來的技術和威脅應對做好政策實施的規劃和技術儲備。
二、戰略實施進展
1 控制網絡風險
(1)在經濟和社會領域控制網絡風險
在過去的一年里,NCSC對大中小企業提供了一系列針對性的指導,以幫助企業解決從治理到響應的一系列網絡風險管理問題。其中包括網絡保險指南、小型企業指南(響應和恢復)、沙箱練習(幫助組織檢驗其對網絡攻擊的防御能力,并在安全的環境中演練其應對能力)以及董事會建議書(提供資源以鼓勵董事會與其組織之間進行必要的網絡安全討論)。
2019年6月,英國政府開始了一項新的網絡安全宣傳和監管審查工作,出臺了相關政策,包括《通用數據保護條例》(GDPR, General Data Protection Regulation)和《網絡和信息系統條例》(NIS Regulation, Network and Information Systems Regulation),希望通過修訂條例對網絡安全實踐產生切實作用。
在2020春季,新冠疫情爆發期間,政府啟動了新階段的增強網絡安全意識活動,幫助公眾和小企業保持其在網絡上的安全。受新冠疫情的影響,人們在網絡上的娛樂和工作時間越來越長,由NCSC、DCMS(The Department for Digital, Culture, Media and Sport)和內政部(The Home Office)合作領導了一項網絡安全活動,著重宣傳了六項最重要的措施來保證安全,進而防范與COVID-19相關的威脅和詐騙。
(2)管理關鍵國家基礎設施(CNI)中的網絡風險
在過去的一年中,英國政府領導并出臺了多項舉措,以改進和加強CNI的網絡安全技術。此外,英國政府在改進網絡安全監管框架方面不斷取得新進展,建立了網絡安全監管論壇并繼續推行《網絡和信息系統條例》(Network and Information Systems Regulation,NIS Regulation)。根據2020年5月發布實施后的審查結果表明,NIS法規正在推動變革:60%的基本服務(Operators of Essential Services,OES)運營商認為這些法規提高了其組織內高級管理層的安全優先級。
政府、監管機構和CNI運營商能夠評估保護關鍵資產的網絡安全措施,并識別網絡風險。英國政府將繼續跨CNI部門開展工作,以改進評估和報告流程,并開發定制滲透測試框架,以幫助增強運營商防范、管理和應對網絡攻擊事件的能力。展望未來,很明顯,英國的CNI必須與時俱進,以識別和適應新的挑戰和機遇。
2 發展網絡安全
(1)發展網絡安全部門
政府繼續資助一系列發展網絡安全部門和刺激創新的舉措。《英國網絡安全部門分析報告》強調,在國家網絡安全計劃(NCSP)的前三年中,政府采取措施總共支持了200多家企業。調查結果表明,參與NCSP增長和創新計劃的公司在兩年內的收入增長是行業平均水平的兩倍。該戰略通過英國的學術創業加速器計劃(Cyber Security Academic Startup Accelerator Programme, CyberASAP)和UKRI(UK Research and Innovation, 英國創新研究組織)中的“數字安全設計挑戰”(Digital security by design challenge, DSBD),為將學術理念轉化為成功的商業產品創造了更清晰的途徑。
案例研究
數字安全設計
數字安全設計(DSBD)挑戰是工業戰略挑戰基金(由英國研究與創新部運營)的第三波計劃,它將帶來7000萬英鎊的政府資金,以及包括微軟和谷歌在內1700萬英鎊的工業界聯合投資。DSBD將通過創建一個新的、更安全的硬件和軟件生態系統來徹底替代當前不安全的數字計算基礎設施。基于英國研究機構所定義的安全能力,通過該計劃開發的DSBD技術將確保從新的安全硬件原型到相應配套軟件,再到產品和服務的全流程安全。這將有助于確保每個英國組織和在線消費者盡可能地安全和抵御網絡威脅。
英國政府一直在努力確保英國在整個經濟運行中擁有足夠的網絡安全能力。在過去四年中,已經取得了顯著的進步。英國網絡安全領域的從業人員已從2017年的31000人增加到43000人。英國政府通過與行業、專業組織、學生、雇主、現有網絡安全專業人士和學術界廣泛接觸,從而更好地了解網絡安全技能挑戰的性質,確保英國具備其所需的持續抵御網絡威脅和保障網絡安全的能力。
此外,英國政府開展了廣泛的課外活動,鼓勵年輕人從事網絡安全領域學習研究。在2019與2020年,近57000名年輕人參與了CyberFirst和CyberDiscovery學習計劃。課程同時面向低年級的學生,推出了針對1-12歲兒童的CyberFirst開拓者課程,針對13歲以上兒童可以展開Cyber Discovery課程。
3 未來行動計劃
(1)增強研究能力
促進英國保有世界一流的研究能力是確保現在和未來更好的網絡安全的關鍵部分。英國的博士資助計劃允許學生在NCSC資深技術專家的指導下攻讀感興趣的博士學位。該項目支持培訓下一代網絡安全研究人員,目前有超過100名學生正在進行或完成高級網絡安全研究培訓,此外還有73名學生在國家網絡安全峰會(National Cyber Security Summit,NCSS)期間之前開始了他們的研究。這種模式成功地提供了高質量的研究成果。
(2)展開國際行動
英國現在擁有成熟的網絡威懾應對工具,例如網絡評估框架(CAF),以對抗惡意網絡活動。英國繼續與國際社會合作,通過透明和明確的溝通阻止有害的網絡活動。
此外,英國將利用其全球領導作用,支持其他國家建設抵御網絡風險的能力,以應對COVID-19等重大危機,并從危機中恢復。在脆弱的低收入和中等收入國家,保護公眾和企業免受新冠病毒的網絡攻擊項目已經開始實施。英國將繼續展開雙邊和多邊合作,努力阻止敵對國家在網絡空間的威脅行為。
案例研究
網絡評估框架
網絡評估框架(Cyber Assessment Framework,CAF)作為一款成熟的安全評估工具,用于支持CNI的多個網絡監管機構的工作。
2019年9月發布了新版CAF,用于滿足更廣泛的監管要求。最新版本對網絡安全方面的監管提供了更好的支持,這是網絡監管格局中越來越重要的一部分。無論是作為攻擊者無意識的影響,還是作為對安全系統的專門攻擊。計算機安全系統總可能會受到各種網絡事件的不利影響,此外,已經有多個有據可查的網絡事件表明,惡意攻擊者將安全系統作為攻擊目標。
最近,NCSC的技術工作提高了監管機構利用CAF在其行業內設定一系列網絡安全目標水平的能力。根據現實網絡事件中衍生的行業場景示例,這些目標與風險水平保持一致。
本文翻譯修改自《國家網絡安全戰略 2016-2021 進展報告》
