[[422902]]

伴隨著互聯(lián)網(wǎng)的普及和物聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)犯罪日益增多，全球網(wǎng)絡(luò)空間安全面臨嚴(yán)峻挑戰(zhàn)。上文從知悉威脅、構(gòu)建網(wǎng)絡(luò)防御體系以及提高對網(wǎng)絡(luò)突發(fā)事件的響應(yīng)能力這三個(gè)角度具體分析并總結(jié)了《國家網(wǎng)絡(luò)安全戰(zhàn)略2016-2021》的實(shí)施進(jìn)展。本文將延續(xù)上文，從國家網(wǎng)絡(luò)安全的控制、發(fā)展與行動三個(gè)角度對該戰(zhàn)略進(jìn)一步解讀。

一、愿景和目標(biāo)

英國發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略2016-2021》的總體愿景是力爭建立起一個(gè)安全而富有彈性、繁榮而可靠的數(shù)字社會，通過降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，增強(qiáng)網(wǎng)絡(luò)防御措施，確保英國在全球網(wǎng)絡(luò)空間的優(yōu)勢地位?！秶揖W(wǎng)絡(luò)安全戰(zhàn)略進(jìn)展報(bào)告2016-2021》的發(fā)布，是英國政府對戰(zhàn)略的實(shí)施情況的跟蹤。本文從國家網(wǎng)絡(luò)安全的控制、發(fā)展與行動三個(gè)角度對該戰(zhàn)略實(shí)施情況進(jìn)行解讀。為了實(shí)現(xiàn)總體愿景，英國應(yīng)分別從以下三個(gè)角度實(shí)現(xiàn)“小目標(biāo)”：

控制：使英國的所有組織，都能在國家網(wǎng)絡(luò)安全中心(National Cyber Security Centre，NCSC)設(shè)計(jì)的安全框架下，有效管理其網(wǎng)絡(luò)風(fēng)險(xiǎn);使所有的CNI(Critical National Infrastructure) 運(yùn)營商在NCSC設(shè)計(jì)的高質(zhì)量建議下，通過監(jiān)管和激勵雙管齊下，有效管理其網(wǎng)絡(luò)風(fēng)險(xiǎn)。

發(fā)展：確保英國有一個(gè)合適的生態(tài)系統(tǒng)來維持和發(fā)展能夠滿足國家安全需求的網(wǎng)絡(luò)安全部門。通過持續(xù)提供和培養(yǎng)網(wǎng)絡(luò)技術(shù)專業(yè)人員，以滿足日益增長的數(shù)字經(jīng)濟(jì)的需求。

行動：在自由、開放、和平、安全的網(wǎng)絡(luò)空間中，對內(nèi)加強(qiáng)國家安全防御措施和能力，對外減少敵對勢力威脅。同時(shí)憑借英國工業(yè)和學(xué)術(shù)界的高水平專業(yè)知識支撐，為未來的技術(shù)和威脅應(yīng)對做好政策實(shí)施的規(guī)劃和技術(shù)儲備。

二、戰(zhàn)略實(shí)施進(jìn)展

1 控制網(wǎng)絡(luò)風(fēng)險(xiǎn)

(1)在經(jīng)濟(jì)和社會領(lǐng)域控制網(wǎng)絡(luò)風(fēng)險(xiǎn)

在過去的一年里，NCSC對大中小企業(yè)提供了一系列針對性的指導(dǎo)，以幫助企業(yè)解決從治理到響應(yīng)的一系列網(wǎng)絡(luò)風(fēng)險(xiǎn)管理問題。其中包括網(wǎng)絡(luò)保險(xiǎn)指南、小型企業(yè)指南(響應(yīng)和恢復(fù))、沙箱練習(xí)(幫助組織檢驗(yàn)其對網(wǎng)絡(luò)攻擊的防御能力，并在安全的環(huán)境中演練其應(yīng)對能力)以及董事會建議書(提供資源以鼓勵董事會與其組織之間進(jìn)行必要的網(wǎng)絡(luò)安全討論)。

2019年6月，英國政府開始了一項(xiàng)新的網(wǎng)絡(luò)安全宣傳和監(jiān)管審查工作，出臺了相關(guān)政策，包括《通用數(shù)據(jù)保護(hù)條例》(GDPR, General Data Protection Regulation)和《網(wǎng)絡(luò)和信息系統(tǒng)條例》(NIS Regulation, Network and Information Systems Regulation)，希望通過修訂條例對網(wǎng)絡(luò)安全實(shí)踐產(chǎn)生切實(shí)作用。

在2020春季，新冠疫情爆發(fā)期間，政府啟動了新階段的增強(qiáng)網(wǎng)絡(luò)安全意識活動，幫助公眾和小企業(yè)保持其在網(wǎng)絡(luò)上的安全。受新冠疫情的影響，人們在網(wǎng)絡(luò)上的娛樂和工作時(shí)間越來越長，由NCSC、DCMS(The Department for Digital, Culture, Media and Sport)和內(nèi)政部(The Home Office)合作領(lǐng)導(dǎo)了一項(xiàng)網(wǎng)絡(luò)安全活動，著重宣傳了六項(xiàng)最重要的措施來保證安全，進(jìn)而防范與COVID-19相關(guān)的威脅和詐騙。

(2)管理關(guān)鍵國家基礎(chǔ)設(shè)施(CNI)中的網(wǎng)絡(luò)風(fēng)險(xiǎn)

在過去的一年中，英國政府領(lǐng)導(dǎo)并出臺了多項(xiàng)舉措，以改進(jìn)和加強(qiáng)CNI的網(wǎng)絡(luò)安全技術(shù)。此外，英國政府在改進(jìn)網(wǎng)絡(luò)安全監(jiān)管框架方面不斷取得新進(jìn)展，建立了網(wǎng)絡(luò)安全監(jiān)管論壇并繼續(xù)推行《網(wǎng)絡(luò)和信息系統(tǒng)條例》(Network and Information Systems Regulation，NIS Regulation)。根據(jù)2020年5月發(fā)布實(shí)施后的審查結(jié)果表明，NIS法規(guī)正在推動變革：60%的基本服務(wù)(Operators of Essential Services，OES)運(yùn)營商認(rèn)為這些法規(guī)提高了其組織內(nèi)高級管理層的安全優(yōu)先級。

政府、監(jiān)管機(jī)構(gòu)和CNI運(yùn)營商能夠評估保護(hù)關(guān)鍵資產(chǎn)的網(wǎng)絡(luò)安全措施，并識別網(wǎng)絡(luò)風(fēng)險(xiǎn)。英國政府將繼續(xù)跨CNI部門開展工作，以改進(jìn)評估和報(bào)告流程，并開發(fā)定制滲透測試框架，以幫助增強(qiáng)運(yùn)營商防范、管理和應(yīng)對網(wǎng)絡(luò)攻擊事件的能力。展望未來，很明顯，英國的CNI必須與時(shí)俱進(jìn)，以識別和適應(yīng)新的挑戰(zhàn)和機(jī)遇。

2 發(fā)展網(wǎng)絡(luò)安全

(1)發(fā)展網(wǎng)絡(luò)安全部門

政府繼續(xù)資助一系列發(fā)展網(wǎng)絡(luò)安全部門和刺激創(chuàng)新的舉措?！队W(wǎng)絡(luò)安全部門分析報(bào)告》強(qiáng)調(diào)，在國家網(wǎng)絡(luò)安全計(jì)劃(NCSP)的前三年中，政府采取措施總共支持了200多家企業(yè)。調(diào)查結(jié)果表明，參與NCSP增長和創(chuàng)新計(jì)劃的公司在兩年內(nèi)的收入增長是行業(yè)平均水平的兩倍。該戰(zhàn)略通過英國的學(xué)術(shù)創(chuàng)業(yè)加速器計(jì)劃(Cyber Security Academic Startup Accelerator Programme, CyberASAP)和UKRI(UK Research and Innovation, 英國創(chuàng)新研究組織)中的“數(shù)字安全設(shè)計(jì)挑戰(zhàn)”(Digital security by design challenge, DSBD)，為將學(xué)術(shù)理念轉(zhuǎn)化為成功的商業(yè)產(chǎn)品創(chuàng)造了更清晰的途徑。

案例研究

數(shù)字安全設(shè)計(jì)

數(shù)字安全設(shè)計(jì)(DSBD)挑戰(zhàn)是工業(yè)戰(zhàn)略挑戰(zhàn)基金(由英國研究與創(chuàng)新部運(yùn)營)的第三波計(jì)劃，它將帶來7000萬英鎊的政府資金，以及包括微軟和谷歌在內(nèi)1700萬英鎊的工業(yè)界聯(lián)合投資。DSBD將通過創(chuàng)建一個(gè)新的、更安全的硬件和軟件生態(tài)系統(tǒng)來徹底替代當(dāng)前不安全的數(shù)字計(jì)算基礎(chǔ)設(shè)施?；谟芯繖C(jī)構(gòu)所定義的安全能力，通過該計(jì)劃開發(fā)的DSBD技術(shù)將確保從新的安全硬件原型到相應(yīng)配套軟件，再到產(chǎn)品和服務(wù)的全流程安全。這將有助于確保每個(gè)英國組織和在線消費(fèi)者盡可能地安全和抵御網(wǎng)絡(luò)威脅。

英國政府一直在努力確保英國在整個(gè)經(jīng)濟(jì)運(yùn)行中擁有足夠的網(wǎng)絡(luò)安全能力。在過去四年中，已經(jīng)取得了顯著的進(jìn)步。英國網(wǎng)絡(luò)安全領(lǐng)域的從業(yè)人員已從2017年的31000人增加到43000人。英國政府通過與行業(yè)、專業(yè)組織、學(xué)生、雇主、現(xiàn)有網(wǎng)絡(luò)安全專業(yè)人士和學(xué)術(shù)界廣泛接觸，從而更好地了解網(wǎng)絡(luò)安全技能挑戰(zhàn)的性質(zhì)，確保英國具備其所需的持續(xù)抵御網(wǎng)絡(luò)威脅和保障網(wǎng)絡(luò)安全的能力。

此外，英國政府開展了廣泛的課外活動，鼓勵年輕人從事網(wǎng)絡(luò)安全領(lǐng)域?qū)W習(xí)研究。在2019與2020年，近57000名年輕人參與了CyberFirst和CyberDiscovery學(xué)習(xí)計(jì)劃。課程同時(shí)面向低年級的學(xué)生，推出了針對1-12歲兒童的CyberFirst開拓者課程，針對13歲以上兒童可以展開Cyber Discovery課程。

3 未來行動計(jì)劃

(1)增強(qiáng)研究能力

促進(jìn)英國保有世界一流的研究能力是確?，F(xiàn)在和未來更好的網(wǎng)絡(luò)安全的關(guān)鍵部分。英國的博士資助計(jì)劃允許學(xué)生在NCSC資深技術(shù)專家的指導(dǎo)下攻讀感興趣的博士學(xué)位。該項(xiàng)目支持培訓(xùn)下一代網(wǎng)絡(luò)安全研究人員，目前有超過100名學(xué)生正在進(jìn)行或完成高級網(wǎng)絡(luò)安全研究培訓(xùn)，此外還有73名學(xué)生在國家網(wǎng)絡(luò)安全峰會(National Cyber Security Summit，NCSS)期間之前開始了他們的研究。這種模式成功地提供了高質(zhì)量的研究成果。

(2)展開國際行動

英國現(xiàn)在擁有成熟的網(wǎng)絡(luò)威懾應(yīng)對工具，例如網(wǎng)絡(luò)評估框架(CAF)，以對抗惡意網(wǎng)絡(luò)活動。英國繼續(xù)與國際社會合作，通過透明和明確的溝通阻止有害的網(wǎng)絡(luò)活動。

此外，英國將利用其全球領(lǐng)導(dǎo)作用，支持其他國家建設(shè)抵御網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力，以應(yīng)對COVID-19等重大危機(jī)，并從危機(jī)中恢復(fù)。在脆弱的低收入和中等收入國家，保護(hù)公眾和企業(yè)免受新冠病毒的網(wǎng)絡(luò)攻擊項(xiàng)目已經(jīng)開始實(shí)施。英國將繼續(xù)展開雙邊和多邊合作，努力阻止敵對國家在網(wǎng)絡(luò)空間的威脅行為。

案例研究

網(wǎng)絡(luò)評估框架

網(wǎng)絡(luò)評估框架(Cyber Assessment Framework，CAF)作為一款成熟的安全評估工具，用于支持CNI的多個(gè)網(wǎng)絡(luò)監(jiān)管機(jī)構(gòu)的工作。

2019年9月發(fā)布了新版CAF，用于滿足更廣泛的監(jiān)管要求。最新版本對網(wǎng)絡(luò)安全方面的監(jiān)管提供了更好的支持，這是網(wǎng)絡(luò)監(jiān)管格局中越來越重要的一部分。無論是作為攻擊者無意識的影響，還是作為對安全系統(tǒng)的專門攻擊。計(jì)算機(jī)安全系統(tǒng)總可能會受到各種網(wǎng)絡(luò)事件的不利影響，此外，已經(jīng)有多個(gè)有據(jù)可查的網(wǎng)絡(luò)事件表明，惡意攻擊者將安全系統(tǒng)作為攻擊目標(biāo)。

最近，NCSC的技術(shù)工作提高了監(jiān)管機(jī)構(gòu)利用CAF在其行業(yè)內(nèi)設(shè)定一系列網(wǎng)絡(luò)安全目標(biāo)水平的能力。根據(jù)現(xiàn)實(shí)網(wǎng)絡(luò)事件中衍生的行業(yè)場景示例，這些目標(biāo)與風(fēng)險(xiǎn)水平保持一致。

本文翻譯修改自《國家網(wǎng)絡(luò)安全戰(zhàn)略 2016-2021 進(jìn)展報(bào)告》