2022年1月25日,英国政府发布了《政府网络安全战略2022-2030》,该战略旨在树立英国作为网络大国的权威,具体规定了政府在面对不断变化的网络风险时将如何建立和保持其弹性。其核心目标是:到2025年,政府的关键职能在网络攻击面前得到显着加强,2030年前,整个公共部门的所有政府机构都能抵御已知的漏洞和攻击方法。
本文主要阐述了英国政府如何确保所有机构和部门共同抵御网络威胁,建立强大的网络弹性,成为一个民主和负责任的网络大国。全文主要围绕5个目标,详细描述具体做法和衡量标准,并给出了各阶段的实施计划。
英国发布《政府网络安全战略2022-2030》
编译:学术plus高级观察员 冰墩墩与雪容融
本文主要内容及关键词
1.背景概述:三大战略文件(综合审查/国家网络安全战略/政府网络安全战略);主体范围(各级政府机构为主)
2.政府网络安全战略:确保核心政府职能;目标增强网络弹性;两个战略支柱(为政府网络安全弹性奠定坚实基础/团结一致);五个目标方针
3.五个目标详解:①管理网络安全风险;②防范网络攻击;③检测网络安全事件;④将网络安全事件的影响降至最低;⑤培养正确的网络安全技能、知识和文化
4.衡量标准:阶段目标(2025-2026-2030);保持适当的复原力措施;KPI指导原则
5.详细实施计划:2022-2025年;2025-2030年
内容主要整理自外文网站相关资料
仅供学习参考,欢迎交流指正!
文章观点不代表本机构立场
*****
网络弹性是这一战略的核心。网络弹性是指组织在发生不利的网络安全事件时,保持其关键功能和服务的交付并确保其数据保护的能力。
1.背景概述
1.1 战略背景
三大文件强调政府网络安全对国家复原力的重要性
《综合审查》(IR全称为“安全、国防、发展和外交政策综合审查”)旨在为英国未来安全和繁荣的带来增强国家复原力的方法。
《国家网络安全战略》旨在将英国建设成为一个领先的网络大国
《政府网络安全战略》旨在确保政府核心职能能够抵御网络攻击
1.2 本次网安战略涉及的主体范围
权力下放的政府(Devoled goverments)和中央政府职能:制定战略方向和跨政府政策;管理中央政府部门的保证;制定和维护跨政府网络安全风险的宏观视图;权力下放的政府(Devoled goverments)和中央政府职能部门协同工作,分享信息,确保集体问题在伙伴关系中得到解决。
中央政府部门/领导政府部门:管理各自部门的网络安全风险;评估和阐明公共部门组织在其职权范围内的宏观网络安全态势
公共部门组织:独立机构;机构;地方当局;其他更广泛的公共部门组织
2.网络安全战略
2.1 战略愿景:确保核心政府职能
从提供公共服务到国家安全机构的运作,能够抵御网络攻击,加强英国作为一个主权国家的地位,并巩固其作为民主和负责任的网络大国的权威。
2.2 战略中心目标:增强网络弹性
到2025年,政府的关键职能将大大加强对网络攻击的强化,整个公共部门的所有政府机构都不迟于2030年对已知的漏洞和攻击方法具有弹性。
2.3 两个战略支柱和转型建议
政府实现这一目标的方法围绕着两个互补的战略支柱,每个支柱都以转型提案为基础,该提案将解锁并推动整个政府的改进。
【支柱一:为政府网络安全弹性奠定坚实基础】
具体内容:确保政府组织拥有正确的机构、机制、工具和支持来管理其网络安全风险。
转型提案:增强网络安全保障(试点将于2022年底进行,随后逐步推出)
通过采用国家网络安全中心(NCSC)的网络评估框架(CAF)作为政府的保证框架来支持,政府特定的CAF配置文件阐明了政府组织所需的结果,以便按比例应对其最重要职能的各种威胁。
独立审计师客观核查将是中央政府部门的一项要求,尽管领导政府部门应以最适合其范围内公共部门组织的方式调整和应用这种方法。
除了提高网络安全风险的可见性外,采用CAF还为政府更有效地理解和管理它们提供了一个通用框架
【支柱二:“团结一致”】
具体内容:认识到威胁的规模和速度需要更全面和联合的应对措施,政府将利用其组织共享网络安全数据,专业知识和能力的价值,以呈现一支比其各部分之和更强大的防御力量。
转型提案:建立政府网络协调中心(2022年的初始运营能力)
建立政府网络协调中心(GCCC)为基础。作为政府安全集团、中央数字和数据办公室以及NCSC的合资企业,GCCC将致力于更好地协调网络安全工作,改变网络安全数据和威胁情报在政府范围内共享、使用和行动的方式。
政府将优先实施其两项转型提案,提供必要的机制,以促进整个政府网络弹性的显着和不成比例的改善。
2.4 五个目标方针
该战略的支柱由五个目标支撑。设定了在网络弹性方面需要考虑的维度,提供了一个可以应用于整个政府的一致框架和共同语言。
管理网络安全风险:有效的网络安全风险管理流程、治理和问责制能够在组织和跨政府层面识别、评估和管理网络安全风险。
防范网络攻击:了解网络安全风险有助于采用具有集中开发功能的相称安全措施,从而实现大规模保护。
检测网络安全事件:对系统、网络和服务的全面监控使网络安全事件能够在它们成为事件之前得到管理。
将网络安全事件的影响降至最低:网络安全事件得到迅速控制和评估,从而实现大规模的快速响应。
培养正确的网络安全技能、知识和文化:经验丰富、学识渊博的专业人员满足所有必需的网络安全需求,从网络安全技术专家到必须将网络安全纳入其提供的服务的专业职能的广度,所有这些都以促进可持续变革的网络安全文化为基础。
3.预期目标
3.1 管理网络安全风险
政府组织将制定风险管理流程、治理和问责制,以便有效地识别、评估和管理其网络安全风险,并具有足够的总体可见性,以有效管理系统性风险。
治理和问责制:政府建立具有明确问责制的治理方案,从而能够有效管理各级政府的网络风险
资产和漏洞:政府对其数字资产具有全面的可见性和理解,使其能够识别和管理漏洞及其带来的网络安全风险
数据资产:政府全面了解其处理和共享的数据,以便能够适当地评估和应对其带来的风险
供应链风险:政府了解并管理商业供应商带来的风险
威胁信息:政府了解其相对于其职能所面临的威胁,以便在组织和跨政府层面规划适当的缓解措施
网络安全数据:政府组织能够及时访问相关且可操作的网络安全数据,从而提高其做出有效风险管理决策的能力
政府网络安全保障:政府网络安全保障为政府提供了做出有效决策所需的可见性,并使其有信心采取适当的网络安全措施来管理其职能的风险
私营部门和国际伙伴关系:进一步巩固与私营部门和国际伙伴的战略伙伴关系,以加强全球范围的积极防御
3.2 防范网络攻击
政府对网络安全风险的理解将为整个政府组织采取相称的安全措施提供信息,集中开发功能实现大规模保护。
安全技术和数字服务:政府采取共同的"安全设计"方法,确保在政府使用的技术中嵌入适当和相称的网络安全措施,并确保数字服务在其整个生命周期中不断得到保证
网络安全控制:政府组织部署与其风险状况相称的网络安全控制措施,以确保按比例管理其职能的风险
安全配置:政府技术得到适当配置,正在制定和不断更新通用技术和体系结构的标准配置文件
共享功能:共享能力、工具和服务大规模解决"常见"网络安全问题
信息和数据安全:对政府数据进行适当分类,并以与其所构成的风险相称的方式处理和分享
3.3 检测网络安全事件
政府有能力监控其系统、网络和服务,以便在网络安全事件成为事件之前对其进行检测。加强协调将使政府能够灵活地使用这些数据输入以速度和规模进行检测,从而促进一致的响应,并提供检测更复杂攻击的能力。
政府机构内部的检测:对政府网络、系统、应用程序和端点进行监测,以提供相称的内部检测能力
大规模检测:共享检测功能提供跨政府的大规模检测
3.4 将网络安全事件的影响降至最低
网络安全事件将得到迅速控制、评估和管理,从而在整个政府范围内实现快速的缓解响应。
应对准备:政府做好充分准备应对网络事件
事件响应:政府在组织和整个政府范围内对网络事件做出快速反应
事件恢复:政府恢复受网络安全事件影响的系统和资产,并在中断最少的情况下恢复其职能的运作
经验教训:从网络事件中吸取的经验教训推动政府网络安全的改善
3.5 培养正确的网络安全技能、知识和文化
政府拥有足够,熟练和知识渊博的专业人员来满足所有必需的网络安全需求。这超越了技术网络安全专家,扩展到专业职能的广度,这些职能必须将网络安全纳入他们提供的服务中,以促进可持续变革的网络安全文化为基础。
技能要求:了解所有政府网络安全技能要求
吸引和留住人才:政府吸引并留住了具有弹性所需的多元化网络安全劳动力
培养人才:政府不断发展其网络安全人员,以确保其拥有并保留所需的技能
其他政府职能部门的网络安全知识:政府专业职能部门具备足够的网络安全知识和意识,确保积极考虑网络安全
网络安全文化:政府拥有网络安全文化,使人民能够学习、质疑和挑战,从而持续改进行为,并实现可持续变革
4.衡量标准
4.1 阶段目标
当所有政府组织在以下时间框架内满足政府网络安全保障框架下相应CAF配置文件中规定的结果时,该战略的目标将得以实现:
到2025年,被确定负责关键职能的政府机构将"增强"达到CAF简介中规定的成果
到2026年,所有中央政府部门都将达到其指定的CAF简介中规定的成果
到2030年,所有其他政府机构将"基本"达到CAF简介中列出的成果
4.2 保持适当的复原力措施
随着网络威胁和风险环境的不断发展,必须确保政府组织所要求的结果保持适当。
将定期审查所有CAF配置文件以及支持它们的政府特定威胁配置文件,以确保所需的结果足以在面对不断变化的风险时保持网络弹性。这样做将保持该战略目标的完整性,并确保实现所需成果仍然是政府复原力的有力指标。
4.3 支持关键绩效指标(KPI)
将应用一些关键原则来指导KPI的使用,以便全面了解政府的网络弹性。绩效衡量原则包括:
KPI将给政府组织带来最小的负担
数据生成将尽可能自动化或基于预先计划和商定的时间表
KPI将是可以实现的
追求KPI不会以牺牲真正的网络安全结果为代价
KPI将展示真正的影响和好处(认识到直接展示网络安全结果的有限可量化数据)
5.实施计划
2022-2025 | 2025-2030 此前各项举措可能尚未完全实施,但应尽快开始规划开发 |
管理网络安全风险 | |
加强政府各部门的治理和问责 | 增强自动化,在政府和更广泛的公共部门之间实时共享威胁信息 |
增强跨政府的资产发现和管理发现措施 | |
投资有关脆弱性的管理,包括为整个政府提供脆弱性报告服务 | |
绘制政府供应链系统风险图,实施政府采购战略 | |
进一步深化与私营部门、学术界和国际伙伴的战略伙伴关系 | |
防范网络攻击 | |
在政府部门实施“安全设计”框架 | 利用新兴技术加强政府网络安全 |
管理、升级或移除政府遗产遗留技术 | |
共同配置开发和共享的共同数字产品和服务 | |
在公共部门推出优先的主动网络防御的同时,试验和开发新的共享能力,以防止攻击 | |
新政府分类政策颁布实施 | |
检测网络安全事件 | |
政府各部门都发展了全面而相称的检测能力 | 每个政府数字系统都有24/7的安全监控 为政府制定一项战略威胁搜寻计划,包括使用共享能力和欺骗策略 |
加强事件和网络安全事件信息共享机制 | |
为组织机构建立共同的语言来记录有关网络安全事件和“未成功”的信息 | |
将网络安全事件的影响降至最低 | |
政府重要职能的日常网络保安工作 | 在整个公营部门提供专家演练能力 |
针对所有严重和跨政府网络安全事件和漏洞的独立审查(经验教训)程序 | |
培养正确的网络安全技能、知识和文化 | |
成立政府安全学习学院 | 扩大网络学徒及培训计划进一步投资于政府的区域保安中心在政府各部门推行单一的网络专业薪酬架构 |
为政府网络职业制定职业路径 | |
建立多个进入网络行业的切入点 | |
实施网络安全文化建设工程 | |
(全文完)
参考链接:
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1049825/government-cyber-security-strategy.pdf
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
