2022年1月25日,英国政府发布了《政府网络安全战略2022-2030》,该战略旨在树立英国作为网络大国的权威,确保英国政府所有机构和部门共同抵御网络威胁,建立强大的网络弹性,成为一个民主和负责任的网络大国。该报告从政府网络安全对国家弹性的重要性、政府网络安全发展面临的挑战和机遇、两个战略支柱、五个目标方针以及实现目标的方法等内容展开阐述。该报告对我国网络安全领域发展亦具有启发价值,故将本报告重要内容编译如下,供读者学习交流。
原报告封面
一、政府网络安全对国家弹性的重要性
随着全球对数字服务和连接性的依赖不断增加,强大网络弹性的需求将对这一国家的努力变得越来越重要。英国作为一个网络大国的合法性和权威取决于其国内的网络弹性,而政府部门正是构建网络强国的中坚力量。政府有一个基本的职能——提供维护和促进英国经济和社会的职能,从提供公共服务到国家安全机构的运作,这些职能必须能够在不受过度破坏的情况下运作,以维持公众对英国繁荣所需的信任和信心,进而在其境外发挥影响力。英国发布《政府网络安全战略》报告旨在确保政府核心职能能够抵御网络攻击,加强政府网络安全发展,保护和促进英国在这个基本由技术塑造的世界中作为一个主权国家的利益。
二、政府网络安全发展面临的挑战和机遇
(一)挑战
(1)网络安全发展现状与预期目标差距明显
尽管政府对网络安全风险的认识和理解有所演变,但它也凸显了政府目前的网络弹性和它需要所处的位置之间的差距,各部门在实现最低网络安全标准方面依然存在巨大挑战。
(2)政府组织统筹规划不一致,应对措施单一
政府数字资产的规模和复杂性,包括遗留IT的存在,使挑战变得更加复杂。政府供应链的规模和多样性使得它难以管理风险,因为长期合同扼杀了创新。此外,政府复杂的治理结构、不足的问责制和激励措施、有效共享信息和能力的欠发达机制,严重影响了政府对网络风险的可见性和推动变革的能力。
(3)网络人才竞争过于激烈
在国家网络安全技能短缺的背景下,政府内部以牺牲知识保留和持续变革为代价,与私营企业展开一场网络人才的激烈竞争,进而吸引和留住所需的多元化和熟练的网络安全专业人员。
(4)数字化的世界对提高网络弹性的需求正变得越来越迫切
虽然无处不在的数字连接和大规模数据生成为政府创造了重大机会,改善了英国和公民的利益,但它也带来了重大的网络安全风险。从数字产品和服务的使用到政府数据和服务转向云计算,政府对数字服务的依赖不断增长,从根本上改变了政府的工作方式,混合工作成为政府的常态。
(5)来自外部势力的网络攻击日益严峻
政府对众多恶意网络攻击者来说仍然是一个有吸引力的目标。在2020年9月至2021年8月期间,NCSC管理的777起事件中,约有40%影响了政府的公共部门,预计这一数字将继续增长。近年来,国家医疗保健、教育和其他基本服务也陆续成为网络攻击者的目标,这不仅对基本公共服务的提供造成重大干扰,而且还可能对公共安全构成真正的风险。
(二)机遇
(1)发挥所长,借力使力
尽管政府面临着重大挑战,但它本身也有许多特点和优势,这种组织的多样性带来了必须开发和利用的丰富的能力、知识和数据。政府还可以充分利用数字化转型所带来的好处,以推动创新、分析性的理解和能力的扩展。
(2)从根源出发,团结力量来发展
网络弹性仍然是对抗网络威胁的一个具有成本效益和有影响力的杠杆。因此,政府组织必须从这些基础上建立起强大的网络安全体系结构,以提高他们的网络弹性。同时,政府还需要团结集体力量来发展和强化自身能力,进而呈现一种更强大的防御力量,以适应不断演变的网络风险格局。
三、两个战略支柱
支柱一:为政府组织网络安全弹性建立坚实基础
政府组织除了负责管理自己的网络安全风险外,还必须日益认识到他们在整个政府网络弹性中所要承担的集体责任。鉴于一个组织的失败可能会对许多其他组织产生重大影响,所有个人组织都必须建立和加强其网络安全态势,确保政府组织拥有正确的机构、机制、工具和支持来管理其网络安全风险。
支柱二:团结一致,作为一个整体进行防御
在建立强有力的网络安全基础之上,政府需要充分认识到来自网络攻击的威胁规模和速度,进而制定出更加全面有效的应对措施,政府可以利用其组织共享网络安全数据、专业知识和能力的价值来确保他们都能够及时访问相关和可操作的网络安全数据,以提高其管理网络风险的能力,打造一支比其各部分之和更强大的网络防御力量。
四、五个目标方针
(一)管理网络安全风险:有效的网络安全风险管理流程、治理和问责制能够在组织和跨政府层面识别、评估和管理网络安全风险。
(二)防范网络攻击:了解网络安全风险有助于采取具有集中开发能力的相应安全措施,从而实现大规模保护。
(三)检测网络安全事件:对系统、网络和服务进行全面监控,使网络安全事件在成为事件之前得到及时管理。
(四)将网络安全事件的影响降至最低:网络安全事件若能得到迅速控制和评估,将能够实现大规模的快速响应。
(五)培养正确的网络安全技能、知识和文化:经验丰富和知识渊博的专业人员能够满足政府所有的网络安全需求,从网络安全技术专家到必须将网络安全纳入其提供的服务的专业职能的广度,所有这些都以促进可持续变革的网络安全文化为基础。
五、实现目标的方法
(一)在管理网络安全风险方面
(1)加强政府各部门的治理和问责,使各级政府能够有效地管理网络风险;
(2)政府需要增强对数字资产全面的可见性和理解能力,使其能够发现和管理其所存在的漏洞和网络安全风险;
(3)政府组织需要及时获取相关和可操作的网络安全数据,以提高其作出有效风险管理决策的能力;
(4)进一步深化与私营部门和国际伙伴的战略伙伴关系,以加强全球范围内的主动防御。
(二)在防范网络攻击方面
(1)在政府部门实施“安全设计”框架,以确保在政府使用的技术中嵌入适当的网络安全措施和数字服务在整个生命周期的安全;
(2)政府组织部署与其风险概况相称的网络安全控制,以确保其职能中的风险得到按比例管理;
(3)试验和开发新的共享能力、工具和服务来解决“常见的”网络安全问题。
(三)在检测网络安全事件方面
(1)对政府网络、系统、应用程序和终端进行监控,以提供相应的内部检测能力;
(2)加强事件和网络安全事件信息共享机制,提高共享检测能力。
(四)在将网络安全事件的影响降至最低方面
(1)政府需要预先制定应急方案,进而对突发的网络事件作出快速反应;
(2)吸取网络事件的教训,加强政府日常网络安全工作。
(五)在培养正确的网络安全技能、知识和文化方面
(1)积极吸收并留住多样化的网络安全员工队伍,以保持政府网络弹性;
(2)加大对政府工作人员网络安全技术的培训,提升他们应对网络攻击的能力;
(3)实施网络安全文化建设工程,使更多的人加入到网络安全知识和文化的学习中来。
随着人工智能、大数据、5G等新兴技术的发展,网络安全问题已经影响到国家政治、经济、文化和军事等各个领域,加快网络安全技术发展和创新已成为世界各国共识。2021年11月17日,根据英国国家网络安全中心(NCSC)发布的《2021年度审查报告》,NCSC在2021年共处理777起网络攻击事件,其中专业、有组织的勒索软件活动对英国组织造成了巨大影响。英国制定此战略将能够提高政府组织抵御网络威胁和管控网络安全风险的能力,进一步增强英国的整体网络防御力量,从而有效缓解其目前所面临的严峻网络安全形势。
文字 | 麦生金(国防科技大学)
图片 | 来源于网络
编辑 | 许婧
审阅 | 李广昊
声明:本文来自军事高科技在线,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
