英国政府2022年12月15日发布了2022年新版《国家网络战略》,该版战略是在《2016-2021年国家网络安全战略》上的优化,旨在反映英国国家价值观的网络空间,以及形成足以影响世界的全球行动,促进网络在技术重塑的格局中对于国家利益的保护和影响。

本版战略将聚焦两个方面:一是加强对网络至关重要的技术;二是限制和避免对不符合英国价值观的个别供应商或技术的依赖。英国《国家网络战略》依托于英国政府对科学和技术高达220亿英镑的投资计划,建立强大的网络韧性和安全性,为英国人民和企业蓬勃发展提供可靠支撑。

图:英国2022年新版《国家网络战略》封面

英国2022年新版《国家网络战略》

编译作者:季語川晴

全文摘要与关键词

1.战略背景与目标:网络力量的五个维度;目标在2030年继续成为网络大国

2.战略支柱--2025年目标实现

①网络生态系统:建立新的高级国家网络咨询委员会,与工业界建立全流程伙伴关系,结构化的网安专业体系

②支持韧性:有效管理网络风险,应对攻击与恢复

③技术优势:“数字安全设计”计划,国家加密密钥(Crypt-Key)企业

④全球领导力:成为全球三大网络解决方案和网络专业知识出口国

⑤应对威胁:增加威慑能力,整合至国防作战中

3.实施措施:明确机构责任;投资(未来3年投资26亿英镑用于网络和传统信息技术行业,包括为为国家网络安全计划增加1.14亿英镑);衡量标准框架;确定战略可持续性

4. 评述:英国《国家网络战略》总体来说较为全面,从政府、业界和对手层面进行了全面、准确、务实的阐述,具备一定可操作性。未来大国竞争中“网络”将极具塑造和改变国际秩序的潜力。

1、战略背景与目标

1.1 战略基础

该战略建立在《2016-2021年国家网络安全战略》以及政府《安全、国防、发展和外交政策综合审查》中提出的三个重要结论的基础上:

  • 一是数字时代英国网络力量将成为实现国家目标的重要杠杆;

  • 二是结合当前网络目标和能力,需要建立一个更全面、综合的战略;

  • 三是通过建立“全社会的方法”合作实现国家网络力量的协同行动。

1.2 网络力量的五个维度

另外,战略明确了网络力量的五个维度:

  • 一是人员、知识、技能、结构和伙伴关系是网络力量的基础;

  • 二是网络安全和韧性可为人民实际生活与经济发展的带来好处;

  • 三是技术和工业能力可保持关键网络技术发展的利益;

  • 四是全球影响力、关系和道德标准,塑造网络空间的规则和规范以促进国际安全与稳定;

  • 五是网络行动、执法行动和应用网络制裁,以支持国家安全、经济福祉和预防犯罪的能力。

1.3 战略目标与愿景

该战略愿景将聚焦未来十年互联网、数字技术以及相关基础设施的发展与保护,同时增进英国与盟友和合作伙伴的关系,在竞争时代重塑英国网络力量的角色,最终的目标是:到2030年,英国继续成为一个负责任的民主网络大国,能够保护和促进网络空间利益并实现国家目标。具体而言如下:

  • 使英国成为一个更安全、更有韧性的国家,应对不断变化的威胁和风险,并通过网络能力保护公民免受犯罪、欺诈和国家威胁;

  • 建立创新、繁荣的数字经济,为全国人民创造更加公平机会;

  • 成为超级科技大国,通过安全可靠应用变革性技术支持绿色和健康社会;

  • 成为具有全球影响力和价值的合作伙伴,塑造开放稳定的国际秩序的未来前沿,并维护网络空间行动自由。

2、战略支柱

2.1 支柱一:网络生态系统

聚焦增强英国的网络生态系统,需要确保拥有合适的人员、知识和伙伴关系,并由此维系政府、行业和学术界之间的牢固伙伴关系,构建拥有多元化和技术熟练的劳动力、充满活力的研究社区、具有国际竞争力的网络部门和蓬勃发展的区域创新生态系统,使英国在关键技术方面处于领先地位。具体而言有三个目标:

1)调动并整合全国的人才与伙伴网络

具体措施:一是会聚人才力量,增强培养和利用人才的能力,形成跨公共部门、行业和学术界的完整网络;二是与工业界建立全流程伙伴关系,并确保在英国中央政府与地方政府密切合作因地制宜,利用网络力量提升基础设施

2025年目标实现:一是建立新的高级国家网络咨询委员会,涵盖行业、学术界和公民形成更具包容性和战略性的研讨氛围;二是有效整合和英国各地区区域网络,使政府、行业和学术界建立更牢固的伙伴关系,支持业务增长和韧性。

图:英国网络生态系统组成机构

2)加强和扩大国家网络技能,激励和武装面向未来人才的世界级和多样化的网络安全专业。

具体措施:一是提升公共部门的专业知识,促进执法、国防和安全方面的能力;二是英国中央政府与地方政府密切合作,统一教育和技能培训方法。

2025年目标实现:一是网络劳动力所需技能的人数显着增加;二是建立高质量、成熟、专业和结构化的网络安全专业;三是产生多样化的网络劳动力;四是通过现有教育系统,促进稳定且多样化的高技能人才流动;五是更好地识别、招聘、培训和保留网络专业人员。

3)促进可持续、创新和具有国际竞争力的网络和信息安全部门,提供满足政府和更广泛经济需求的优质产品和服务。

具体措施:一是基于开发尖端技术,支持和投资所需能力和产品;二是业界遵循政府标准和要求进行创新。

2025年目标实现:一是通过贸易和出口等方式实现网络行业高于全球平均水平的增长;二是建立更具创新性的网络行业;三是使英国网络经济趋于平稳;四是使更多公司能够提供符合质量标准的网络安全技术、产品和服务。

2.2 支柱二:支持韧性

聚焦建立建设一个韧性和繁荣的数字英国,通过数字技术转型重建网络体系。同时发展具体方法,并改变英国网络的基本态势,按照设备和设施的重要程度,主要将关注以下四个层次设备的网络韧性,如图所示:

图:四个层级的韧性

具体而言有三个目标:

1)增进了解网络风险的,有效推动网络安全和韧性方面的行动。

具体措施为:一是在政府、企业和组织之间建立更紧密的伙伴关系,提高对风险的共同理解并提供行动优先级理由;二是提供专门合作通道进一步加强对跨领域风险的识别能力。

2025年目标实现:一是政府提升对国家网络风险的战略理解;二是政府在理解网络风险方面以身作则;三是更深入了解关键国家基础设施的网络风险;四是明确界定企业和组织对网络风险及其管理风险责任。

2)通过改善网络风险管理,更有效地预防和抵御网络攻击,并为公民提供更大的保护。

具体措施为:一是建立强有力的问责制和良好治理框架;二是政府与工业界合作,采取直接步骤大规模降低风险;三是提供支持和指导,以帮助个人以及小型企业和组织管理网络风险。

2025年目标实现:一是大规模减少了网络攻击对国家以及公民的伤害;二是加强政府应对网络攻击的关键职能,到2030年可抵御已知漏洞和攻击方法;三是有效管理关键国家基础设施的网络风险;四是数据基础设施具备安全性和韧性;四是促进企业和组织采取行动积极管理网络风险;五是不断改进技术咨询、自助工具以及有保证的产品和服务。

3)加强国家和组织的韧性,防范、应对网络攻击并从中恢复。

具体措施为:加强所有组织的事件管理和响应能力,尽量减少伤害,并为受害者提供支持。

2025年目标实现:一是有效提高对国家重大网络事件响应的战略管理和协调;二是支持便捷化网络事件的报告;三是充分准备应对事件和从中恢复;四是企业和组织对发生事故时的处理流程有更清楚的理解。

2.3 支柱三:技术优势

聚焦在对网络力量至关重要的技术方面处于领先地位。在英国国家网络安全中心(NCSC)和政府其他部门的领导下,确定网络力量的关键技术领域,通过国家战略决定优先事项,投资发展所需的研发活动和战略伙伴关系,与行业、监管机构和国际合作伙伴合作,形成值得信赖和多样化的供应链,并制定标准以确保技术的安全和开放。

具体而言有四个目标,一个附属目标:

1)提高预测、评估和应对网络力量科学和技术发展的能力。

具体措施为:一是建立协调、严格和一致的方法识别和分析科学和技术的关键领域和优先次序;二是与政府架构结合,充分扫描技术情报,同时利用海外网络了解国际合作的优先事项和系统。2025年目标实现:一是政府能够更好地分析新的和发展中的科学技术,并了解其对英国网络政策和战略的影响;二是更快、更有效地为政府更广泛的视野扫描、优先排序和决策提供信息。

2)在重要技术的网络安全方面促进和保持主权和盟国优势。

具体措施是:寻求发展国内工业基础实现自身的技术优势。2025年目标实现:一是将研究转化为网络力量关键技术创新;二是开展“数字安全设计”计划,成为安全微处理器设计的世界领导者;三是在操作技术和关键工业控制系统进行安全性研究,使测试和运行能力达到全球最佳;四是更好地保护技术创新和知识产权。同时,作为目标2)的衍生部分,需要维护一个强大而有韧性的国家加密密钥(Crypt-Key)企业。具体措施是:政府和私营部门使用正确技能和技术,并继续基于政府需求进行投资。

2025年目标实现::一是实现更具韧性和安全的Crypt-Key企业,拥有可持续、世界领先的工业基础;二是政府拥有强大的Crypt-Key能力和服务;三是提升Crypt-Key领域的全球领导地位,并增加对合作伙伴和盟友的出口。

3)确保下一代互联技术的安全,减轻依赖全球市场的网络安全风险,并确保获得可信和多样化的供应。

具体措施是:确保在设计、开发和部署下一代互联技术时尽可能考虑到安全性和韧性,并作为采用“安全设计”方法的共同努力的一部分。

2025年目标实现::一是网络互联产品符合基本网络安全标准;二是包括云、软件、托管服务和应用商店在内的主要数字服务提供商遵循更好的网络安全标准;三是使英国处于安全应用互联技术的最前沿;四是将网络安全设计理念部署到其他新兴技术中。

4)与多个利益相关方社区合作制定全球数字技术标准。

具体措施是:结合开发和部署方式考虑全球数字技术标准带来的问题和影响。

2025年目标实现::一是多个利益相关方更多地参与全球数字技术标准生态系统;二是建立英国全球数字技术标准时,充分考虑民主价值观、网络安全考虑以及新兴技术的研究和创新。

图 聚焦技术优势

2.4 支柱四:全球领导力

聚焦提升英国的全球领导地位和影响力,建立安全和繁荣的国际秩序。英国需要发挥积极领导作用,促进在网络空间的利益和价值观;与更广泛的合作伙伴合作,包括行业、全球技术标准机构、民间社会和学术界建立一个核心联盟。具体而言有三个目标:

1)加强国际伙伴的网络安全和韧性,统筹共同行动和威慑力。

2025年目标实现:一是使英国的国际合作伙伴拥有更强的能力、政治决心、治理和系统,可以调查和破坏网络威胁以建立韧性;二是建立一个更广泛的国际联盟,可针对对手施加更有有效的行动。

2)塑造全球治理,促进自由、开放、和平和安全的网络空间。

具体措施是:采取更积极主动的方法,与盟友和伙伴合作,确保国际规则和框架发展符合民主价值观。2025年目标实现:一是在网络空间和互联网的全球治理上展现英国的利益和价值观;二是继续促进英国对网络空间和互联网未来的愿景,以有效对抗威权国家的影响。

3)通过网络能力和专业知识增强战略优势,促进更广泛的外交政策和利益。

具体措施是:统筹考虑网络活动和能力与其他国家力量,增强战略优势,促进外交政策和目标繁荣的有利发展。2025年目标实现:一是维护与网络空间有关的活动的全球稳定;二是使英国成为全球三大网络解决方案和网络专业知识出口国。

2.5 支柱五:应对威胁

聚焦发现、破坏和威慑对手,以加强英国在网络空间和应对网络空间威胁时保证安全。以国家网络安全中心(NCSC)为基础,英国将与国内外公共和私营部门的合作伙伴合作以检测和应对威胁和事件;同时通过新国家网络部队(NCF)对进攻性网络能力进行了大量投资;通过国家犯罪局(NCA)制定国家执法综合应对措施,利用外交,军事,情报,执法,经济,法律和战略沟通工具,保持对对手的技术优势。

具体而言有三个目标:

1)检测、调查和分享有关国家、犯罪和其他恶意网络行为者和活动的信息,以保护国家和公民。

2025年目标实现:一是政府全面了解国家、犯罪和其他恶意网络行为者的网络能力及其战略意图;二是对最严重的国家、刑事和其他威胁进行例行和全面调查;三是限制威胁信息和数据的共享行动。

2)阻止和破坏针对英国的犯罪和其他恶意网络行为者的活动。

2025年目标实现:一是国家、犯罪分子和其他恶意网络行为者的行动成本显著提高;二是国家、犯罪分子和其他恶意网络行为者不以英国为目标;三是对网络犯罪分子的刑事司法和其他破坏性结果的惩罚增加。

3)通过网络空间采取行动,支持国家安全和犯罪预防。

2025年目标实现:一是网络能力在威慑和破坏非网络威胁方面具有更大的影响;二是网络能力根据2025年综合作战概念整合到整个国防作战行动中。

3. 实施措施

3.1 明确政府各机构的角色和责任

国家安全委员会将对战略进行部长级监督,并监督执行情况,通盘考虑国家战略的总体平衡和方向。

  • 兰开斯特公国大臣提供跨部门的全面领导;

  • 内政大臣与外交、联邦和发展事务大臣以及国防大臣一起发现、破坏和威慑对手,并为提供全面协调,承担具体领导责任;

  • 外交、联邦和发展事务大臣对政府通讯总部承担法定责任,具体负责网络归因流程、网络制裁制度和对高类别网络事件的国际参与;

  • 外交、联邦和发展事务大臣和国防大臣负责国家网络部队;

  • 数字、文化、媒体和体育大臣领导经济组织网络安全;

  • 关键国家基础设施的所有牵头政府部门的部长负责其部门的网络安全和韧性政策;

  • 所有部长都应监督其部门的网络安全并实施适当的缓解措施。

3.2 投资网络力量

政府将在未来三年内投资26亿英镑用于网络和传统信息技术行业,这是对国家网络部队的重大投资的补充,其中,将为国家网络安全计划增加1.14亿英镑;另外,国际计划将通过“维稳基金”(CSSF)提供,以协助伙伴国家,建立其网络韧性并应对网络威胁;与此同时,还将增加研发,情报,国防,创新,基础设施和技能方面的投资,加强英国的网络力量。

3.3 衡量成功标准

该战略建立在一个不断发展的衡量框架下,其中包括:

  • 规划战略实现的明确途径;

  • 确保战略实施和交付问责制;

  • 提供战略合规目标的透明度;

  • 明确活动的调整措施使其与战略保持一致;

  • 了解活动的战略目标有效性和未来可能应用;

  • 全面了解五大战略支柱活动,并确定国家网络力量的优势和劣势;

  • 确保该战略为社会各阶层提供网络支持。

3.4 确定后续步骤

该战略旨在作为行动指南,不仅适用于政府中负责网络和其他相关政策的人员,也适用于社会中国家网络工作的利益相关者和组织。这将确保英国的网络目标和优先事项在未来五到十年内仍然具有相关性。

4、评述

英国新版《国家网络战略》着眼网络,注重安全,通过网络发展所包括的生态系统、可靠能力、技术发展、全球地位以及威胁角度全面详实地展示了其在网络领域渴望寻求的野心,也隐隐展示了其对全球领导力的觊觎。

其提出的战略支柱以及支撑目标涉及方方面面,从政府层面、业界层面和对手层面进行了准确且务实的阐述,可以说具备一定的可操作性。也可以看出,未来世界大国竞争的情形了网络将成为至关重要的一极,具备塑造和改变国际秩序的潜力。

参考链接:

https://www.gov.uk/government/publications/national-cyber-strategy-2022/national-cyber-security-strategy-2022

文章内容编译自网络,本文观点不代表本公众号立场。欢迎交流讨论,批评指正。

声明:本文来自网络安全跟踪,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。