摘要

自《国家网络安全战略2016-2021》发布后,英国政府大力发展国家网络安全行业,提高网络安全防御能力,确立了英国在网络安全领域的世界前沿地位。本文首先总体介绍了《国家网络安全战略2016-2021》的发展情况,再从知悉威胁、构建网络防御体系以及提高各行业对网络突发事件的响应能力这三个角度具体分析并总结了该战略的实施进展,并从国家网络安全的控制、发展与行动三个角度对该战略进一步解读。

背景

自2016年11月1日英国政府启动新一轮的《国家网络安全战略2016-2021》(后简称《战略》)以来,英国政府在加强互联网安全建设,防范网络攻击,维护英国经济及公民信息安全上做出了巨大的努力。2019 年 5月,英国发布《国家网络安全战略 2016-2021 进展报告》(后简称《进展报告》),旨在跟踪《战略》实施情况以及迄今取得的进展。时至今日,《战略》已经实施了5年,《进展报告》也在持续更新中,本文针对最新战略的实施进展情况进行了详细解读,其中包括了英国政府对冠状病毒(COVID-19)的应对措施。

战略实施进展

本文从知悉威胁、构建网络防御体系以及提高对网络突发事件的响应能力这三个角度具体分析并总结了该战略的实施进展。知悉威胁强调了对威胁的感知以及预防问题,是网络安全防御的前提。构建网络防御体系能够保证网络的根本性安全,是网络安全防御的核心内容。网络突发事件的响应能力强调了安全事件发生后的反应与处理能力,是网络安全防御的关键。

知悉威胁,打击网络犯罪分子

知悉威胁

英国政府的目标是确保英国有能力有效地探测、调查和反击来自对手网络活动的威胁。来自国家和国家支持组织的恶意活动仍然威胁着英国在网络空间的利益。在COVID-19流行期间,一些国家和非国家行为体试图利用这一形势,进行情报收集和破坏活动。国家网络安全中心(NCSC)作为英国的国家技术权威,已经能够为英国超过150个重要的国家医疗服务体系(NHS)网络提供额外地保护,并响应了超过50个相关的网络威胁事件,这些威胁事件可能会在关键的国家响应时期影响运营服务。

如今英国已经适应了2019冠状病毒疾病所带来的网络威胁。英国有能力将威胁情报与来自行业合作伙伴和受害者的信息结合起来进行分析,全面知悉英国政府所面临的网络威胁。

打击网络犯罪

英国政府的目标是显著降低网络犯罪对英国的影响,阻止网络犯罪分子以英国为目标进行网络犯罪。

英国政府大力发展和巩固执法网络犯罪网络的建设。包括在英格兰和威尔士的所有43支警察部队中建立、巩固和整合网络犯罪专家小组。现在,所有部队都有专门的官员和工作人员来调查网络犯罪,并确保受害者从警方得到一致的反应和建议。这些举措在地方产生了重大影响,也使国家打击犯罪局和反区域有组织犯罪单元的能力能够集中处理更复杂、危害更大的案件。

追踪网络空间中的恶意和犯罪行为固然关键,但执法部门也加强了其通过威慑和转移活动的方式来预防网络攻击的能力,这些活动被认为有可能参与网络犯罪,政府支持企业和个人在成为网络犯罪受害者之前采取行动。在COVID -19流行期间,英国政府提供免费的教育和互动游戏资源,为青少年提供网络技能测试,同时提供预防网络犯罪信息。截至2020年3月,预防干预的数量比前一年有所增加。

国家打击犯罪局还将继续通过进一步开发各种工具来提高英国政府的执法反应能力,这些工具可供各级警务人员使用,以支持追捕、保护、预防和准备活动。这将包括实施“网络选择”预防计划,旨在帮助年轻人做出知情选择,并以合法的方式使用他们的网络技能。这是一项国家倡议,由反区域有组织犯罪单元内的预防小组和当地警察网络小组实施。

构建主动网络防御体系,通过设计确保系统内置安全

构建主动网络防御体系

主动网络防御(Active Cyber Defence, ACD)的最终目标是减少网络攻击造成的伤害。它代表了英国在网络安全方面的一个重大变化,因为它是与中央政府、地方政府和企业合作提供的自愿的、非监管的、非法定的方法。COVID-19已经看到许多ACD服务被用来帮助保护我们最基本的服务,从NHS和呼吸机制造商到研究疫苗的大学和超市物流公司。

在过去的一年中,重要的成就是推出了可疑电子邮件报告服务(Suspicious Email Reporting Service, SERS),该服务于2020年4月成功上线,并已取得了显著的成功。在运行的前四个月,该服务已收到公众的230万份报告。这些报告使国家网络安全中心得以取缔22000个恶意网址和9300个恶意网页链接。

基于主机的能力(Host Based Capability, HBC)现在已经在中央政府的17个组织和关键国家基础设施(Critical National Infrastructure, CNI)客户中实施。HBC是一种软件,允许NCSC帮助各组织检测恶意活动,更好地了解他们的网络,并对重大漏洞发出警告。由于COVID-19的影响,HBC的重点是帮助NHS、英格兰公共卫生局和分权政府。商业网络数据与主动网络防御(ACD)保护性DNS服务数据相结合,也成为12月大选期间用于入侵检测和分析的一个关键来源,通过防止公共部门机构访问已知的恶意域名。

越来越多的人要求将ACD的部署扩大到传统的政府部门之外,特别是支持私营部门的关键国家基础设施(Critical National Infrastructure , CNI)。通过ACD拓宽项目,我们的目标是在ACD项目成功的基础上,将服务扩展到更多的部门,使其能够从自动保护中受益。这将为客户组织提供更好的信息,增加对每个部门和次级部门所面临的挑战的了解,从而提供更有用的产品和解决方案。

通过设计确保安全

英国政府的目标是让英国的科技产品和服务更加安全。产品连接互联网的使用时间继续增长,然而,物联网(IoT)领域的各个部分仍然普遍存在安全隐患。这些安全威胁可能会影响接入设备的使用。由于2019冠状病毒病(COVID-19)的影响,越来越多的人在家工作,对智能设备的依赖增加,使这项工作更加重要。2018年3月英国发布了《消费者物联网安全实践准则》,英国政府希望通过设计将强大的网络安全内置到消费物联网产品中。

此外,英国还与ETSI等国际标准机构合作,将《消费者物联网安全实践准则》中的原则转化为可操作且明确的规定。2020年6月,ETSI发布了EN 303 645,这是首个全球适用的消费者物联网安全标准,有助于进一步为行业提供有关如何实施良好物联网安全措施的指南。该标准的核心原则是在制造、存储和销售物联网设备的企业之间实现透明度。

加强政府网络安全,提高各行业对网络突发事件的响应能力

网络突发事件响应

英国政府的目标是保证英国拥有有效管理并应对网络突发事件的能力,减轻伤害,打击网络空间的敌人。NCSC是管理网络事件的主要政府组织,在2020年主导处理了700多起事件,为近1200个受害组织提供支持,自开始运作以来处理了2500多起事件。NCSC和执法部门继续合作,简化和改善英国网络攻击受害者的报告情况。

在COVID-19大流行期间,NCSC的业务主管部门一直在加强对COVID-19基本功能和公共及私营部门企业的监测和事件支持。

免费的NCSC网络演习工具“盒子里的演习(Exercise in a Box)”正在不断壮大,今年年初的使用量几乎增加了10倍。它现在有10个独立的练习,涵盖了从网络钓鱼到勒索软件的所有内容。最受欢迎的演习是技术性恶意软件模拟演习,借鉴事件管理经验和客户表示希望看到的演习。最近的演习是基于最近发布的NCSC供应链风险指南(NCSC guidance for supply chain risks),该指南允许企业了解和讨论与他们依赖供应商提供产品、系统和服务有关的风险,以及他们的组织为减轻这些风险而制定的那些程序。

NCSC及其合作伙伴已经开发出了管理和应对网络事件的世界级先锋能力。在该战略的剩余时间里,英国将继续追求创新方案,以简化事件管理过程的各个方面并使之自动化,从而降低英国的风险。反过来,这种经验将被用于通报和丰富NCSC的公共建议和指导。

加强政府网络安全

英国的目标是让政府的网络和服务在首次实施时就尽可能地安全。公众将能够放心地使用政府数字服务,并相信他们的信息是安全的。

政府安全改革方案正在领导四个安全单位的发展,将43个独立的部门安全办公室聚集在一起,减少重复,节省成本并从规模经济中受益,并成为各部门的中心联络点和信息点。这些单位提供一系列企业安全服务,以解决关键部门风险,符合政府安全小组设定的基线标准和最新的威胁分析。

除了中央政府之外,英国还与其地方政府协会合作,以支持英格兰的地方议会。迄今为止,已有200多个市议会获得了解决关键问题和漏洞的资金。英国还与 NHS信托机构(NHS Trusts)合作,以提高其网络安全,并提供一系列选择和资源,以在关键时刻保护英国的NHS免受网络威胁。

我们已经看到政府在针对最低网络安全标准方面取得了一些积极进展。政府安全小组现在正在与包括 NCSC 和政府数字服务在内的部门合作,了解需要后针对这些标准进行更改。这项审查已经在进行中,并打算成为一项年度活动,并相应发布更新的标准。随着时间的推移,这些措施将逐步增加,从而不断“提高标准”,以跟上不断变化的威胁,并确保对风险进行适当的管理。

一、愿景和目标

英国发布《国家网络安全战略2016-2021》的总体愿景是力争建立起一个安全而富有弹性、繁荣而可靠的数字社会,通过降低网络安全风险,增强网络防御措施,确保英国在全球网络空间的优势地位。《国家网络安全战略进展报告2016-2021》的发布,是英国政府对战略的实施情况的跟踪。本文从国家网络安全的控制、发展与行动三个角度对该战略实施情况进行解读。为了实现总体愿景,英国应分别从以下三个角度实现“小目标”:

控制:使英国的所有组织,都能在国家网络安全中心(National Cyber Security Centre,NCSC)设计的安全框架下,有效管理其网络风险;使所有的CNI(Critical National Infrastructure) 运营商在NCSC设计的高质量建议下,通过监管和激励双管齐下,有效管理其网络风险。

发展:确保英国有一个合适的生态系统来维持和发展能够满足国家安全需求的网络安全部门。通过持续提供和培养网络技术专业人员,以满足日益增长的数字经济的需求。

行动:在自由、开放、和平、安全的网络空间中,对内加强国家安全防御措施和能力,对外减少敌对势力威胁。同时凭借英国工业和学术界的高水平专业知识支撑,为未来的技术和威胁应对做好政策实施的规划和技术储备。

二、战略实施进展

1 控制网络风险

(1)在经济和社会领域控制网络风险

在过去的一年里,NCSC对大中小企业提供了一系列针对性的指导,以帮助企业解决从治理到响应的一系列网络风险管理问题。其中包括网络保险指南、小型企业指南(响应和恢复)、沙箱练习(帮助组织检验其对网络攻击的防御能力,并在安全的环境中演练其应对能力)以及董事会建议书(提供资源以鼓励董事会与其组织之间进行必要的网络安全讨论)。

2019年6月,英国政府开始了一项新的网络安全宣传和监管审查工作,出台了相关政策,包括《通用数据保护条例》(GDPR, General Data Protection Regulation)和《网络和信息系统条例》(NIS Regulation, Network and Information Systems Regulation),希望通过修订条例对网络安全实践产生切实作用。

在2020春季,新冠疫情爆发期间,政府启动了新阶段的增强网络安全意识活动,帮助公众和小企业保持其在网络上的安全。受新冠疫情的影响,人们在网络上的娱乐和工作时间越来越长,由NCSC、DCMS(The Department for Digital, Culture, Media and Sport)和内政部(The Home Office)合作领导了一项网络安全活动,着重宣传了六项最重要的措施来保证安全,进而防范与COVID-19相关的威胁和诈骗。

(2)管理关键国家基础设施(CNI)中的网络风险

在过去的一年中,英国政府领导并出台了多项举措,以改进和加强CNI的网络安全技术。此外,英国政府在改进网络安全监管框架方面不断取得新进展,建立了网络安全监管论坛并继续推行《网络和信息系统条例》(Network and Information Systems Regulation,NIS Regulation)。根据2020年5月发布实施后的审查结果表明,NIS法规正在推动变革:60%的基本服务(Operators of Essential Services,OES)运营商认为这些法规提高了其组织内高级管理层的安全优先级。

政府、监管机构和CNI运营商能够评估保护关键资产的网络安全措施,并识别网络风险。英国政府将继续跨CNI部门开展工作,以改进评估和报告流程,并开发定制渗透测试框架,以帮助增强运营商防范、管理和应对网络攻击事件的能力。展望未来,很明显,英国的CNI必须与时俱进,以识别和适应新的挑战和机遇。

2 发展网络安全

(1)发展网络安全部门

政府继续资助一系列发展网络安全部门和刺激创新的举措。《英国网络安全部门分析报告》强调,在国家网络安全计划(NCSP)的前三年中,政府采取措施总共支持了200多家企业。调查结果表明,参与NCSP增长和创新计划的公司在两年内的收入增长是行业平均水平的两倍。该战略通过英国的学术创业加速器计划(Cyber Security Academic Startup Accelerator Programme, CyberASAP)和UKRI(UK Research and Innovation, 英国创新研究组织)中的“数字安全设计挑战”(Digital security by design challenge, DSBD),为将学术理念转化为成功的商业产品创造了更清晰的途径。

数字安全设计

数字安全设计(DSBD)挑战是工业战略挑战基金(由英国研究与创新部运营)的第三波计划,它将带来7000万英镑的政府资金,以及包括微软和谷歌在内1700万英镑的工业界联合投资。DSBD将通过创建一个新的、更安全的硬件和软件生态系统来彻底替代当前不安全的数字计算基础设施。基于英国研究机构所定义的安全能力,通过该计划开发的DSBD技术将确保从新的安全硬件原型到相应配套软件,再到产品和服务的全流程安全。这将有助于确保每个英国组织和在线消费者尽可能地安全和抵御网络威胁。

英国政府一直在努力确保英国在整个经济运行中拥有足够的网络安全能力。在过去四年中,已经取得了显著的进步。英国网络安全领域的从业人员已从2017年的31000人增加到43000人。英国政府通过与行业、专业组织、学生、雇主、现有网络安全专业人士和学术界广泛接触,从而更好地了解网络安全技能挑战的性质,确保英国具备其所需的持续抵御网络威胁和保障网络安全的能力。

此外,英国政府开展了广泛的课外活动,鼓励年轻人从事网络安全领域学习研究。在2019与2020年,近57000名年轻人参与了CyberFirst和CyberDiscovery学习计划。课程同时面向低年级的学生,推出了针对1-12岁儿童的CyberFirst开拓者课程,针对13岁以上儿童可以展开Cyber Discovery课程。

3 未来行动计划

(1)增强研究能力

促进英国保有世界一流的研究能力是确保现在和未来更好的网络安全的关键部分。英国的博士资助计划允许学生在NCSC资深技术专家的指导下攻读感兴趣的博士学位。该项目支持培训下一代网络安全研究人员,目前有超过100名学生正在进行或完成高级网络安全研究培训,此外还有73名学生在国家网络安全峰会(National Cyber Security Summit,NCSS)期间之前开始了他们的研究。这种模式成功地提供了高质量的研究成果。

(2)展开国际行动

英国现在拥有成熟的网络威慑应对工具,例如网络评估框架(CAF),以对抗恶意网络活动。英国继续与国际社会合作,通过透明和明确的沟通阻止有害的网络活动。

此外,英国将利用其全球领导作用,支持其他国家建设抵御网络风险的能力,以应对COVID-19等重大危机,并从危机中恢复。在脆弱的低收入和中等收入国家,保护公众和企业免受新冠病毒的网络攻击项目已经开始实施。英国将继续展开双边和多边合作,努力阻止敌对国家在网络空间的威胁行为。

网络评估框架

网络评估框架(Cyber Assessment Framework,CAF)作为一款成熟的安全评估工具,用于支持CNI的多个网络监管机构的工作。

2019年9月发布了新版CAF,用于满足更广泛的监管要求。最新版本对网络安全方面的监管提供了更好的支持,这是网络监管格局中越来越重要的一部分。无论是作为攻击者无意识的影响,还是作为对安全系统的专门攻击。计算机安全系统总可能会受到各种网络事件的不利影响,此外,已经有多个有据可查的网络事件表明,恶意攻击者将安全系统作为攻击目标。

最近,NCSC的技术工作提高了监管机构利用CAF在其行业内设定一系列网络安全目标水平的能力。根据现实网络事件中衍生的行业场景示例,这些目标与风险水平保持一致。

本文翻译修改自《国家网络安全战略 2016-2021 进展报告》

作者:曹籽文 信息工程研究所

责编:北平

声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。