英國《國家網(wǎng)絡(luò)安全戰(zhàn)略2016-2021》實施進展分析

◎國家工業(yè)信息安全發(fā)展研究中心 田素梅

英國《國家網(wǎng)絡(luò)安全戰(zhàn)略2016-2021》于2016年發(fā)布，迄今為止已經(jīng)實施3年。2019年5月，英國發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略2016-2021 進展報告》，依據(jù)戰(zhàn)略中概述的13 項戰(zhàn)略成果，對戰(zhàn)略的實施進展情況進行了總結(jié)，認為目前英國應(yīng)對網(wǎng)絡(luò)犯罪的能力、公民和組織的應(yīng)變能力以及網(wǎng)絡(luò)安全部門的實力都比2016年有進步。3年來，在19 億英鎊投資的支持下，英國建立了許多基礎(chǔ)設(shè)施，加強了網(wǎng)絡(luò)安全能力，確立了英國在網(wǎng)絡(luò)安全領(lǐng)域的世界前沿地位。

一、知悉威脅，全面遏制網(wǎng)絡(luò)犯罪分子

（一）通過各項活動，全面了解英國政府所面臨的網(wǎng)絡(luò)威脅

英國通過在情報界進行大量投資，包括建立國家網(wǎng)絡(luò)安全中心（NCSC），增加對所面臨威脅的了解。通過一系列發(fā)布的指南、宣傳活動和保障計劃（例如《網(wǎng)絡(luò)要素》計劃），幫助組織和公民更好地應(yīng)對攻擊，并從攻擊中恢復(fù)。迄今為止，已頒發(fā)2萬多個《網(wǎng)絡(luò)要素》證書。通過對威脅的了解，英國制定了《主動網(wǎng)絡(luò)防御》（ACD）計劃，并將支持目標鎖定在關(guān)鍵國家基礎(chǔ)設(shè)施部分。英國政府通信總部（GCHQ）與國防部和主要盟國密切合作，在開發(fā)攻擊性網(wǎng)絡(luò)能力方面也取得了重大進展。

（二）采取各項措施，打擊網(wǎng)絡(luò)犯罪

英國執(zhí)法界在國家、區(qū)域和地方一級都建立了專門打擊網(wǎng)絡(luò)犯罪的機構(gòu)。國家打擊犯罪署（NCA）下屬的國家打擊網(wǎng)絡(luò)犯罪局有專門小組調(diào)查最復(fù)雜的網(wǎng)絡(luò)攻擊。英格蘭和威爾士的43 個地方警察部隊現(xiàn)在分別都設(shè)有一個打擊網(wǎng)絡(luò)犯罪部門。9 個區(qū)域有組織罪案調(diào)查組（ROCU），大都會警察局也都設(shè)有專門的網(wǎng)絡(luò)專家小組，以確保統(tǒng)籌協(xié)調(diào)、全面應(yīng)對。

英國執(zhí)法界還注重發(fā)展國際伙伴關(guān)系。NCA領(lǐng)導(dǎo)、支持和協(xié)調(diào)了400 多起國際調(diào)查，合作機構(gòu)包括美國聯(lián)邦調(diào)查局和五眼聯(lián)盟，以及歐洲合作伙伴、歐洲刑警組織、國際刑警組織和一系列其他國際合作伙伴。

在過去的兩年里，英國已經(jīng)進行了665 次干擾活動，包括逮捕罪犯、拆除犯罪基礎(chǔ)設(shè)施，以及與合作伙伴合作，阻止并干擾國際司法管轄區(qū)內(nèi)的犯罪活動。英國分析了150萬受害者被泄露的信息細節(jié)，并與服務(wù)提供商分享，以確保他們的私人信息不會被犯罪分子進一步利用。

英國建立了兩個互補的警察網(wǎng)絡(luò)。一個小組向個人和組織提供建議和支持，以便他們更有效地保護自己。迄今為止，通過“網(wǎng)絡(luò)須知”活動，已與近600 家私營和公共部門組織合作，就個人可以采取的簡單步驟提供指導(dǎo)。第二組是建立英國網(wǎng)絡(luò)預(yù)防網(wǎng)，通過《網(wǎng)絡(luò)選擇》倡議，阻止、轉(zhuǎn)移或干擾潛在的網(wǎng)絡(luò)罪犯。在過去兩年中，已向處于網(wǎng)絡(luò)犯罪邊緣的個人提供了470 多項干預(yù)措施。

（三）NCSC 與其他部門合作，快速響應(yīng)網(wǎng)絡(luò)事件

事件管理是國家網(wǎng)絡(luò)安全中心的核心職能。自2016年以來，NCSC 處理了1100 多起網(wǎng)絡(luò)事件。NCSC 和NCA 成立聯(lián)合小組，致力于推動政府、行業(yè)和國際間在能力、專業(yè)知識和協(xié)調(diào)方面的改進。在NCSC 和執(zhí)法部門之間創(chuàng)建了一個共享平臺，所有受害者只需報告一次事件，即可快速、一致地獲得正確的支持。事件管理過程實現(xiàn)了自動化，大大縮短了響應(yīng)時間，在某些情況下從幾天縮短到幾分鐘。開發(fā)了一個新的事件分類框架，將NCSC 和執(zhí)法方法結(jié)合起來，確保對各種攻擊做出適當反應(yīng)，包括針對政府、關(guān)鍵國家基礎(chǔ)設(shè)施和單個公民的攻擊。

二、構(gòu)建網(wǎng)絡(luò)防御體系，保衛(wèi)英國不受日益發(fā)展的網(wǎng)絡(luò)威脅

（一）實施主動網(wǎng)絡(luò)防御，大規(guī)模提高網(wǎng)絡(luò)安全水平

英國一直在關(guān)注如何大規(guī)模提高基本網(wǎng)絡(luò)安全，使攻擊者更加困難，并付出更大代價。NCSC的《主動網(wǎng)絡(luò)防御》計劃一直在開發(fā)自動化工具和服務(wù)，其方法是在惡意內(nèi)容和鏈接到達人們的收件箱之前自動刪除它們。實施ACD 計劃以來，產(chǎn)生了一些令人印象深刻的成果。2019年3月，服務(wù)器位于英國的全球網(wǎng)絡(luò)釣魚網(wǎng)站份額首次跌至2%以下，而2016年為5.4%。2016年，英國稅務(wù)海關(guān)總署（HMRC）在全球網(wǎng)絡(luò)釣魚機構(gòu)排名中位于第16 位，占所有網(wǎng)絡(luò)釣魚郵件發(fā)送量的1.25%。實施ACD 計劃之后，它排名第146 位，占所有網(wǎng)絡(luò)釣魚郵件的不到0.1%。卸載服務(wù)將欺騙政府品牌網(wǎng)站的平均可用時間從2016年的42 小時縮短到了2018年的10 小時?，F(xiàn)在每月阻止超過450 萬封惡意電子郵件，攔截14 萬多個欺詐性網(wǎng)絡(luò)釣魚網(wǎng)站。

（二）在設(shè)計中集成安全性能，使英國更加安全

該戰(zhàn)略提出了一個根本性的轉(zhuǎn)變，即通過設(shè)計將強大的網(wǎng)絡(luò)安全內(nèi)置到消費物聯(lián)網(wǎng)（IOT）產(chǎn)品中，從而消除消費者的負擔。

2018年，英國發(fā)布了世界領(lǐng)先的《消費者物聯(lián)網(wǎng)業(yè)務(wù)守則》，以支持參與安全物聯(lián)網(wǎng)產(chǎn)品開發(fā)和制造的所有各方。七國集團就支撐《業(yè)務(wù)守則》的原則達成協(xié)議，通過歐洲電信標準協(xié)會，制定一套緊密基于該守則的國際認可的行業(yè)標準（最近獲得了Tech Accord 行業(yè)協(xié)會的認可，該協(xié)會包括微軟、ARM、臉譜、甲骨文、思科和日立在內(nèi)的90 多個成員）。2018年4月《英聯(lián)邦網(wǎng)絡(luò)宣言》達成一項協(xié)議，致力于為聯(lián)網(wǎng)設(shè)備提供一致的方法，以促進默認情況下的用戶安全。

為幫助消費者做出更明智的決策，英國正在咨詢一個自愿標簽計劃，該計劃將強調(diào)遵守《業(yè)務(wù)守則》的關(guān)鍵要素，并幫助消費者區(qū)分有基本安全規(guī)定的產(chǎn)品和沒有基本安全規(guī)定的產(chǎn)品。

（三）制定各項政策，改進政府網(wǎng)絡(luò)安全

通過《轉(zhuǎn)變政府安全計劃》，將43 個獨立的部門安全辦公室合并為4 個安全小組，每個小組都由安全方面有良好記錄的部門領(lǐng)導(dǎo)。他們?yōu)檎块T提供更加一致的建議和服務(wù)水平。

制定新的《最低網(wǎng)絡(luò)安全標準》，提升各部門及其供應(yīng)鏈的網(wǎng)絡(luò)安全水平，并在政府內(nèi)部建立專門的網(wǎng)絡(luò)安全專業(yè)。采取《主動網(wǎng)絡(luò)防御》措施，提高政府的網(wǎng)絡(luò)彈性。新的跨政府安全IT 系統(tǒng)已經(jīng)在158 個國家的250 個政府機構(gòu)中的40 多個部門推出。為了檢驗這些措施和其他措施的有效性，英國推出了針對政府部門模擬網(wǎng)絡(luò)攻擊的最佳方案，該方案準確地復(fù)制了來自各個對手的真實威脅。

除了中央政府，還與地方政府協(xié)會合作，審查了英格蘭所有343 個地方議會，開發(fā)了一個行業(yè)支持和改進系統(tǒng)，包括一個撥款資助計劃，以提高其網(wǎng)絡(luò)適應(yīng)力。迄今為止，108 個地方議會已收到了解決關(guān)鍵問題的資金，另外100 個議會也有望在2020年前收到資金和支持。

制定跨政府工作計劃，保障選舉過程的安全。這包括地方政府與負責(zé)選舉、計票和提交結(jié)果或處理選舉名冊等敏感信息的人的接觸。NCSC 和國家基礎(chǔ)設(shè)施保護中心在這一過程中提供專家意見。

英國還面臨著一項艱巨的任務(wù)，即更換遺留的IT 系統(tǒng)，建立和維護一個足夠的技能基礎(chǔ)，并在政府內(nèi)部真正嵌入一致的標準和實踐。

三、采取各項措施，提高各行業(yè)對網(wǎng)絡(luò)攻擊的應(yīng)變能力

（一）通過提供指南及自愿干預(yù)措施，管理各種企業(yè)和組織的網(wǎng)絡(luò)風(fēng)險

迄今為止，英國政府工作的重點是通過一系列建議、指導(dǎo)和自愿干預(yù)措施，提高整個經(jīng)濟和社會所有組織的應(yīng)變能力。NCSC 與公共部門、私營部門和第三方部門廣泛接觸——許多部門是第一次接觸。到目前為止，政府已向數(shù)萬家中小企業(yè)傳播《小企業(yè)指南》，并向3500 多家慈善機構(gòu)提供網(wǎng)絡(luò)安全培訓(xùn)。

2019年的《網(wǎng)絡(luò)漏洞調(diào)查》報告稱，30%的企業(yè)和36%的慈善機構(gòu)表示，他們已經(jīng)改變了其網(wǎng)絡(luò)安全政策或流程，這是實施《通用數(shù)據(jù)保護條例》（GDPR）的結(jié)果。近年來網(wǎng)絡(luò)安全實踐和行為在組織層面呈現(xiàn)積極趨勢，78%的企業(yè)（2018年為74%）和75%的慈善機構(gòu)（2 018年為53%）現(xiàn)在將其列為優(yōu)先事項。

（二）妥善管理國家關(guān)鍵基礎(chǔ)設(shè)施（CNI）的網(wǎng)絡(luò)風(fēng)險

2018年5月，根據(jù)《網(wǎng)絡(luò)和信息系統(tǒng)（NIS）條例》設(shè)立了新的權(quán)力機構(gòu)，要求多個關(guān)鍵部門的500 多個機構(gòu)積極管理網(wǎng)絡(luò)安全風(fēng)險并報告事件。為了支持監(jiān)管機構(gòu)和組織履行其在NIS下的義務(wù)，并了解CNI 的良好網(wǎng)絡(luò)安全狀況，N CSC 制定并發(fā)布了一套14 項網(wǎng)絡(luò)安全原則。

英國還開發(fā)并擴大測試項目，這將在2021年之前逐步改變對CNI 組織及其供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險管理的了解。

英國正在采取措施，支持CNI 組織獲取他們保護自己所需的可信服務(wù)和產(chǎn)品，并刺激網(wǎng)絡(luò)安全行業(yè)更好地為CNI 提供鍛煉、培訓(xùn)和保證等服務(wù)。英國正在嘗試一種方法，來幫助CNI 機構(gòu)在現(xiàn)有的NCSC 認證計劃的基礎(chǔ)上，與業(yè)界合作，在市場上確定合適的服務(wù)和產(chǎn)品。

（三）啟動孵化和加速計劃，發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)

英國擁有一些世界上最具創(chuàng)新性的網(wǎng)絡(luò)安全公司。自2016年以來，英國啟動了一系列有針對性的孵化和加速計劃，支持280 多人和企業(yè)。

為支持未來的創(chuàng)業(yè)者，英國與賽隆公司合作，推出一個早期創(chuàng)業(yè)者訓(xùn)練營Hutzero，旨在支持潛在的創(chuàng)業(yè)者。在切爾滕納姆和倫敦的創(chuàng)新中心有網(wǎng)絡(luò)初創(chuàng)企業(yè)與政府專家合作，開發(fā)尖端技術(shù)，使英國在網(wǎng)絡(luò)安全方面保持領(lǐng)先地位。

英國國家安全戰(zhàn)略投資基金配套基金是風(fēng)險投資公司為支持前期公司邁出的下一步。英國與“科技國家”的新合作伙伴關(guān)系是第一個針對網(wǎng)絡(luò)安全部門的國家擴大計劃，目標是支持科技公司。英國繼續(xù)與地方政府密切合作，確保威爾士、北愛爾蘭和蘇格蘭的大學(xué)、學(xué)院和企業(yè)能夠充分利用全英國的創(chuàng)新支持安排。

四、開展各項活動，應(yīng)對未來網(wǎng)絡(luò)威脅

（一）發(fā)展網(wǎng)絡(luò)安全技能通道，大力培養(yǎng)和選拔網(wǎng)絡(luò)安全人才

過去三年，政府在網(wǎng)絡(luò)安全技能開發(fā)方面有顯著的進展。在2018/19年度，有近1.2 萬名年輕女性參加了“網(wǎng)絡(luò)第一女孩”競賽（上一年為4000 名）。在最初兩年，總共有超過5.5 萬名年輕人參加了“網(wǎng)絡(luò)發(fā)現(xiàn)”和“網(wǎng)絡(luò)第一”學(xué)習(xí)計劃。為了補充這些課外活動，英國啟動了8400 萬英鎊的項目，以改善計算機教學(xué)，提高計算機科學(xué)的參與度，尤其是在女生中。通過“網(wǎng)絡(luò)第一”助學(xué)金資助了450 多名學(xué)生，并在2019年進一步提供了300 個名額。從2019年9月起，將提供80 個“網(wǎng)絡(luò)第一”學(xué)徒培訓(xùn)名額，以此作為補充，以建立強大的學(xué)徒制度。下一輪250 個助學(xué)金和80 名學(xué)徒的招聘活動將于2019年9月開始。

2018年，在英格蘭和威爾士設(shè)立了網(wǎng)絡(luò)安全即時影響基金，以鼓勵創(chuàng)新理念，并匹配來自私營部門的資金。重點關(guān)注多元化，以開發(fā)人才庫。迄今為止，約有400 名候選人參加了培訓(xùn)計劃。在蘇格蘭，蘇格蘭政府與包括教育蘇格蘭、技能發(fā)展蘇格蘭和NCSC 等在內(nèi)的主要合作伙伴密切合作，制定和實施全面的《網(wǎng)絡(luò)彈性學(xué)習(xí)》和《技能行動計劃》。

除了這些培養(yǎng)人才的舉措外，英國還尋求推動長期的結(jié)構(gòu)和文化變革。準備建立一個新的、獨立的英國網(wǎng)絡(luò)安全委員會，推動不同網(wǎng)絡(luò)安全專業(yè)領(lǐng)域的卓越表現(xiàn)，并幫助支持2021年以后可持續(xù)的、行業(yè)主導(dǎo)的技能干預(yù)。

（二）采取措施，推動世界領(lǐng)先的研究和創(chuàng)新活動

英國已采取重要步驟，進一步推進世界領(lǐng)先的研究和創(chuàng)新活動。目前已有17 所大學(xué)被公認為網(wǎng)絡(luò)安全研究的卓越學(xué)術(shù)中心，自2016年以來，英國直接支持這些機構(gòu)的博士生。目前，布里斯托爾大學(xué)和巴斯大學(xué)、皇家霍洛威大學(xué)、倫敦大學(xué)和倫敦大學(xué)學(xué)院共設(shè)有三個網(wǎng)絡(luò)安全博士培訓(xùn)中心。此外，歐洲創(chuàng)新與技術(shù)研究所最近在愛丁堡開設(shè)了一個衛(wèi)星辦公室，打算設(shè)立一個新的博士培訓(xùn)中心，重點關(guān)注金融技術(shù)和網(wǎng)絡(luò)安全。

通過政府資助已經(jīng)建立4 個研究機構(gòu)，每個研究所都由來自不同大學(xué)的優(yōu)秀研究人員組成，將最好的學(xué)術(shù)專長集中在解決最棘手的網(wǎng)絡(luò)安全問題上。行業(yè)合作伙伴也在對研究機構(gòu)進行投資。

英國還將最終確定臨時的《網(wǎng)絡(luò)安全科學(xué)和技術(shù)戰(zhàn)略》，以便在網(wǎng)絡(luò)空間領(lǐng)域為英國采取經(jīng)得住時間考驗的方法。

（三）積極采取國際行動，施加全球影響力

以英國為首的反對網(wǎng)絡(luò)空間敵對國家活動的聯(lián)盟建設(shè)運動，提高了網(wǎng)絡(luò)空間惡意活動的成本。由英國在擔任主席時提出的《英聯(lián)邦網(wǎng)絡(luò)宣言》是世界上最大的政府間網(wǎng)絡(luò)安全合作承諾。英國參與通過了《布達佩斯公約》，共同打擊網(wǎng)絡(luò)犯罪。

英國幫助80 多個國家解決其國家網(wǎng)絡(luò)安全能力方面的問題，包括國家網(wǎng)絡(luò)安全能力審查、戰(zhàn)略發(fā)展支撐、提高公眾認識、采用更好的行業(yè)標準、網(wǎng)絡(luò)犯罪演習(xí)、執(zhí)法培訓(xùn)和加強計算機安全事件響應(yīng)團隊，為英國帶來重大安全、外交和戰(zhàn)略利益。

英國在牛津大學(xué)建立了全球網(wǎng)絡(luò)安全能力中心，英國發(fā)起的網(wǎng)絡(luò)安全能力成熟度模型已經(jīng)被三分之一的聯(lián)合國會員國采用。全球網(wǎng)絡(luò)專門知識論壇現(xiàn)已擴大到包括67 個成員，通過分享最佳實踐、協(xié)調(diào)項目和調(diào)動資源，來增強全球網(wǎng)絡(luò)彈性。英國還將從2019年開始啟動聯(lián)合國互聯(lián)網(wǎng)規(guī)范雙軌談判，繼續(xù)擴大能力建設(shè)項目。

政府部門承擔的網(wǎng)絡(luò)安全責(zé)任

五、整合各有關(guān)政府部門的工作方法，發(fā)揮合力作用

為改善英國政府在網(wǎng)絡(luò)安全行動方面的協(xié)調(diào)性，2016年戰(zhàn)略的最大結(jié)構(gòu)變化是將一系列職能合并為國家網(wǎng)絡(luò)安全中心，其職責(zé)是推動政府和行業(yè)之間的合作。除此之外，內(nèi)政部等主要部門還負責(zé)實現(xiàn)戰(zhàn)略目標，在中央政府以及更廣泛的公共和私營部門開展工作。

鑒于各部門的權(quán)益，明確規(guī)定了部長的職責(zé)。

1、內(nèi)閣辦公室大臣向議會負責(zé)《國家網(wǎng)絡(luò)安全戰(zhàn)略》，并支持19 億英鎊的投資。

2、內(nèi)政部長負責(zé)網(wǎng)絡(luò)安全響應(yīng)，并在發(fā)生高級別網(wǎng)絡(luò)事件時被指定為默認的COBR（內(nèi)閣辦公室情況通報室）主席。這是他們打擊網(wǎng)絡(luò)犯罪的責(zé)任之外的事。

3、國防部長全面負責(zé)發(fā)展英國的攻擊性網(wǎng)絡(luò)能力。

4、外交部長對政府通信總部和國家網(wǎng)絡(luò)安全中心負有法定責(zé)任。

5、數(shù)字、文化、媒體和體育部長負責(zé)領(lǐng)導(dǎo)數(shù)字事務(wù)，包括網(wǎng)絡(luò)安全的相關(guān)增長、創(chuàng)新和技能方面。