【编者按】英国2016年发布《国家网络安全战略2016-2021》后,投资了19亿英镑,建立了许多基础设施,加强了网络安全能力,确立了英国在网络安全领域的世界前沿地位。本文从提升威胁感知能力、构建网络防御体系、提高对网络攻击的应变能力、整合各有关政府部门的组织职责等角度,分析并总结《国家网络安全战略2016-2021》的实施进展。
英国《国家网络安全战略2016-2021》实施进展分析
国家工业信息安全发展研究中心 田素梅
英国《国家网络安全战略 2016-2021》于2016年发布,迄今为止已经实施3年。2019 年 5月,英国发布《国家网络安全战略 2016-2021 进展报告》,依据战略中概述的 13 项战略成果,对战略的实施进展情况进行了总结,认为目前英国应对网络犯罪的能力、公民和组织的应变能力以及网络安全部门的实力都比 2016 年有进步。3 年来,在 19 亿英镑投资的支持下,英国建立了许多基础设施,加强了网络安全能力,确立了英国在网络安全领域的世界前沿地位。
一、知悉威胁,全面遏制网络犯罪分子
(一)通过各项活动,全面了解英国政府所面临的网络威胁
英国通过在情报界进行大量投资,包括建立国家网络安全中心(NCSC),增加对所面临威胁的了解。通过一系列发布的指南、 宣传活动和保障计划(例如《网络要素》计划), 帮助组织和公民更好地应对攻击,并从攻击中恢复。迄今为止,已颁发 2万多个《网络要素》证书。通过对威胁的了解,英国制定了《主动网络防御》(ACD)计划,并将支持目标锁定在关键国家基础设施部分。英国政府通信总部(GCHQ)与国防部和主要盟国密切合作,在开发攻击性网络能力方面也取得了重大进展。
(二)采取各项措施,打击网络犯罪
英国执法界在国家、区域和地方一级都建立了专门打击网络犯罪的机构。国家打击犯罪署(NCA)下属的国家打击网络犯罪局有专门小组调查最复杂的网络攻击。英格兰和威尔士的 43 个地方警察部队现在分别都设有一个打击网络犯罪部门。9 个区域有组织罪案调查组(ROCU),大都会警察局也都设有专门的网络专家小组,以确保统筹协调、全面应对。
英国执法界还注重发展国际伙伴关系。NCA领导、支持和协调了400 多起国际调查,合作机构包括美国联邦调查局和五眼联盟,以及欧洲合作伙伴、欧洲刑警组织、国际刑警组织和一系列其他国际合作伙伴。
在过去的两年里,英国已经进行了665 次干扰活动,包括逮捕罪犯、拆除犯罪基础设施,以及与合作伙伴合作,阻止并干扰国际司法管辖区内的犯罪活动。英国分析了150万受害者被泄露的信息细节,并与服务提供商分享,以确保他们的私人信息不会被犯罪分子进一步利用。
英国建立了两个互补的警察网络。一个小组向个人和组织提供建议和支持,以便他们更有效地保护自己。迄今为止,通过“网络须知”活动,已与近 600 家私营和公共部门组织合作,就个人可以采取的简单步骤提供指导。第二组是建立英国网络预防网,通过《网络选择》倡议,阻止、转移或干扰潜在的网络罪犯。在过去两年中,已向处于网络犯罪边缘的个人提供了470 多项干预措施。
(三)NCSC 与其他部门合作,快速响应网络事件
事件管理是国家网络安全中心的核心职能。自2016 年以来,NCSC 处理了1100 多起网络事件。NCSC 和 NCA 成立联合小组,致力于推动政府、行业和国际间在能力、专业知识和协调方面的改进。在 NCSC 和执法部门之间创建了一个共享平台,所有受害者只需报告一次事件,即可快速、一致地获得正确的支持。事件管理过程实现了自动化,大大缩短了响应时间,在某些情况下从几天缩短到几分钟。开发了一个新的事件分类框架,将 NCSC 和执法方法结合起来,确保对各种攻击做出适当反应,包括针对政府、关键国家基础设施和单个公民的攻击。
二、构建网络防御体系,保卫英国不受日益发展的网络威胁
(一)实施主动网络防御,大规模提高网络安全水平
英国一直在关注如何大规模提高基本网络安全,使攻击者更加困难,并付出更大代价。NCSC的《主动网络防御》计划一直在开发自动化工具和服务,其方法是在恶意内容和链接到达人们的收件箱之前自动删除它们。实施 ACD 计划以来,产生了一些令人印象深刻的成果。2019 年 3 月,服务器位于英国的全球网络钓鱼网站份额首次跌至 2% 以下,而 2016 年为 5.4%。2016 年,英国税务海关总署(HMRC)在全球网络钓鱼机构排名中位于第16 位,占所有网络钓鱼邮件发送量的 1.25%。实施ACD 计划之后,它排名第 146 位,占所有网络钓鱼邮件的不到 0.1%。卸载服务将欺骗政府品牌网站的平均可用时间从 2016 年的 42 小时缩短到了2018年的 10 小时。现在每月阻止超过 450 万封恶意电子邮件,拦截 14 万多个欺诈性网络钓鱼网站。
(二)在设计中集成安全性能,使英国更加安全
该战略提出了一个根本性的转变,即通过设计将强大的网络安全内置到消费物联网(IOT)产品中,从而消除消费者的负担。
2018 年,英国发布了世界领先的《消费者物联网业务守则》,以支持参与安全物联网产品开发和制造的所有各方。七国集团就支撑《业务守则》的原则达成协议,通过欧洲电信标准协会,制定一套紧密基于该守则的国际认可的行业标准(最近获得了 Tech Accord 行业协会的认可,该协会包括微软、ARM、脸谱、甲骨文、思科和日立在内的 90 多个成员)。2018 年 4月《英联邦网络宣言》达成一项协议,致力于为联网设备提供一致的方法,以促进默认情况下的用户安全。
为帮助消费者做出更明智的决策,英国正在咨询一个自愿标签计划,该计划将强调遵守《业务守则》的关键要素,并帮助消费者区分有基本安全规定的产品和没有基本安全规定的产品。
(三)制定各项政策,改进政府网络安全
通过《转变政府安全计划》,将 43 个独立的部门安全办公室合并为 4 个安全小组,每个小组都由安全方面有良好记录的部门领导。他们为政府部门提供更加一致的建议和服务水平。
制定新的《最低网络安全标准》,提升各部门及其供应链的网络安全水平,并在政府内部建立专门的网络安全专业。采取《主动网络防御》措施,提高政府的网络弹性。新的跨政府安全 IT 系统已经在 158 个国家的 250 个政府机构中的 40 多个部门推出。为了检验这些措施和其他措施的有效性,英国推出了针对政府部门模拟网络攻击的最佳方案,该方案准确地复制了来自各个对手的真实威胁。
除了中央政府,还与地方政府协会合作,审查了英格兰所有 343 个地方议会,开发了一个行业支持和改进系统,包括一个拨款资助计划,以提高其网络适应力。迄今为止,108 个地方议会已收到了解决关键问题的资金,另外 100 个议会也有望在2020 年前收到资金和支持。
制定跨政府工作计划,保障选举过程的安全。这包括地方政府与负责选举、计票和提交结果或处理选举名册等敏感信息的人的接触。NCSC 和国家基础设施保护中心在这一过程中提供专家意见。
英国还面临着一项艰巨的任务,即更换遗留的 IT 系统,建立和维护一个足够的技能基础,并在政府内部真正嵌入一致的标准和实践。
三、采取各项措施,提高各行业对网络攻击的应变能力
(一)通过提供指南及自愿干预措施,管理各种企业和组织的网络风险
迄今为止,英国政府工作的重点是通过一系列建议、指导和自愿干预措施,提高整个经济和社会所有组织的应变能力。NCSC 与公共部门、私营部门和第三方部门广泛接触——许多部门是第一次接触。到目前为止,政府已向数万家中小企业传播《小企业指南》,并向 3500 多家慈善机构提供网络安全培训。
2019 年的《网络漏洞调查》报告称,30% 的企业和 36% 的慈善机构表示,他们已经改变了其网络安全政策或流程,这是实施《通用数据保护条例》(GDPR)的结果。近年来网络安全实践和行为在组织层面呈现积极趋势,78% 的企业(2018 年为74%)和 75% 的慈善机构(2018 年为 53%)现在将其列为优先事项。
(二)妥善管理国家关键基础设施(CNI)的网络风险
2018 年 5月,根据《网络和信息系统(NIS)条例》设立了新的权力机构,要求多个关键部门的 500 多个机构积极管理网络安全风险并报告事件。为了支持监管机构和组织履行其在 NIS下的义务,并了解CNI 的良好网络安全状况,NCSC 制定并发布了一套 14 项网络安全原则。
英国还开发并扩大测试项目,这将在 2021 年之前逐步改变对 CNI 组织及其供应链网络风险管理的了解。
英国正在采取措施,支持 CNI 组织获取他们保护自己所需的可信服务和产品,并刺激网络安全行业更好地为 CNI 提供锻炼、培训和保证等服务。英国正在尝试一种方法,来帮助 CNI 机构在现有的NCSC 认证计划的基础上,与业界合作,在市场上确定合适的服务和产品。
(三)启动孵化和加速计划,发展网络安全产业
英国拥有一些世界上最具创新性的网络安全公司。自 2016 年以来,英国启动了一系列有针对性的孵化和加速计划,支持 280 多人和企业。
为支持未来的创业者,英国与赛隆公司合作,推出一个早期创业者训练营 Hutzero,旨在支持潜在的创业者。在切尔滕纳姆和伦敦的创新中心有网络初创企业与政府专家合作,开发尖端技术,使英国在网络安全方面保持领先地位。
英国国家安全战略投资基金配套基金是风险投资公司为支持前期公司迈出的下一步。英国与“科技国家”的新合作伙伴关系是第一个针对网络安全部门的国家扩大计划,目标是支持科技公司。英国继续与地方政府密切合作,确保威尔士、北爱尔兰和苏格兰的大学、学院和企业能够充分利用全英国的创新支持安排。
四、开展各项活动,应对未来网络威胁
(一)发展网络安全技能通道,大力培养和选拔网络安全人才
过去三年,政府在网络安全技能开发方面有显著的进展。在 2018/19 年度,有近 1.2 万名年轻女性参加了“网络第一女孩”竞赛(上一年为 4000 名)。在最初两年,总共有超过 5.5 万名年轻人参加了“网络发现”和“网络第一”学习计划。为了补充这些课外活动,英国启动了8400 万英镑的项目,以改善计算机教学,提高计算机科学的参与度,尤其是在女生中。通过“网络第一”助学金资助了450 多名学生,并在 2019 年进一步提供了300 个名额。从 2019 年9 月起,将提供 80 个“网络第一”学徒培训名额,以此作为补充,以建立强大的学徒制度。下一轮250 个助学金和 80 名学徒的招聘活动将于 2019 年9月开始。
2018 年,在英格兰和威尔士设立了网络安全即时影响基金,以鼓励创新理念,并匹配来自私营部门的资金。重点关注多元化,以开发人才库。迄今为止,约有 400 名候选人参加了培训计划。在苏格兰,苏格兰政府与包括教育苏格兰、技能发展苏格兰和NCSC 等在内的主要合作伙伴密切合作,制定和实施全面的《网络弹性学习》和《技能行动计划》。
除了这些培养人才的举措外,英国还寻求推动长期的结构和文化变革。准备建立一个新的、独立的英国网络安全委员会,推动不同网络安全专业领域的卓越表现,并帮助支持 2021 年以后可持续的、行业主导的技能干预。
(二)采取措施,推动世界领先的研究和创新活动
英国已采取重要步骤,进一步推进世界领先的研究和创新活动。目前已有 17 所大学被公认为网络安全研究的卓越学术中心,自 2016 年以来,英国直接支持这些机构的博士生。目前,布里斯托尔大学和巴斯大学、皇家霍洛威大学、伦敦大学和伦敦大学学院共设有三个网络安全博士培训中心。此外,欧洲创新与技术研究所最近在爱丁堡开设了一个卫星办公室,打算设立一个新的博士培训中心,重点关注金融技术和网络安全。
通过政府资助已经建立 4 个研究机构,每个研究所都由来自不同大学的优秀研究人员组成,将最好的学术专长集中在解决最棘手的网络安全问题上。行业合作伙伴也在对研究机构进行投资。
英国还将最终确定临时的《网络安全科学和技术战略》,以便在网络空间领域为英国采取经得住时间考验的方法。
(三)积极采取国际行动,施加全球影响力
以英国为首的反对网络空间敌对国家活动的联盟建设运动,提高了网络空间恶意活动的成本。由英国在担任主席时提出的《英联邦网络宣言》是世界上最大的政府间网络安全合作承诺。英国参与通过了《布达佩斯公约》,共同打击网络犯罪。
英国帮助 80 多个国家解决其国家网络安全能力方面的问题,包括国家网络安全能力审查、战略发展支撑、提高公众认识、采用更好的行业标准、网络犯罪演习、执法培训和加强计算机安全事件响应团队,为英国带来重大安全、外交和战略利益。
英国在牛津大学建立了全球网络安全能力中心,英国发起的网络安全能力成熟度模型已经被三分之一的联合国会员国采用。全球网络专门知识论坛现已扩大到包括 67 个成员,通过分享最佳实践、协调项目和调动资源,来增强全球网络弹性。英国还将从 2019 年开始启动联合国互联网规范双轨谈判,继续扩大能力建设项目。
五、整合各有关政府部门的工作方法,发挥合力作用
为改善英国政府在网络安全行动方面的协调性,2016 年战略的最大结构变化是将一系列职能合并为国家网络安全中心,其职责是推动政府和行业之间的合作。除此之外,内政部等主要部门还负责实现战略目标,在中央政府以及更广泛的公共和私营部门开展工作。
政府部门承担的网络安全责任
鉴于各部门的权益,明确规定了部长的职责。
1、内阁办公室大臣向议会负责《国家网络安全战略》,并支持 19 亿英镑的投资。
2、内政部长负责网络安全响应,并在发生高级别网络事件时被指定为默认的 COBR(内阁办公室情况通报室)主席。这是他们打击网络犯罪的责任之外的事。
3、国防部长全面负责发展英国的攻击性网络能力。
4、外交部长对政府通信总部和国家网络安全中心负有法定责任。
5、数字、文化、媒体和体育部长负责领导数字事务,包括网络安全的相关增长、创新和技能方面。
本文刊登于《网信军民融合》杂志2019年8月刊
声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。