英國《國家網絡安全戰略2016-2021》實施進展分析

◎國家工業信息安全發展研究中心 田素梅

英國《國家網絡安全戰略2016-2021》于2016年發布，迄今為止已經實施3年。2019年5月，英國發布《國家網絡安全戰略2016-2021 進展報告》，依據戰略中概述的13 項戰略成果，對戰略的實施進展情況進行了總結，認為目前英國應對網絡犯罪的能力、公民和組織的應變能力以及網絡安全部門的實力都比2016年有進步。3年來，在19 億英鎊投資的支持下，英國建立了許多基礎設施，加強了網絡安全能力，確立了英國在網絡安全領域的世界前沿地位。

一、知悉威脅，全面遏制網絡犯罪分子

（一）通過各項活動，全面了解英國政府所面臨的網絡威脅

英國通過在情報界進行大量投資，包括建立國家網絡安全中心（NCSC），增加對所面臨威脅的了解。通過一系列發布的指南、宣傳活動和保障計劃（例如《網絡要素》計劃），幫助組織和公民更好地應對攻擊，并從攻擊中恢復。迄今為止，已頒發2萬多個《網絡要素》證書。通過對威脅的了解，英國制定了《主動網絡防御》（ACD）計劃，并將支持目標鎖定在關鍵國家基礎設施部分。英國政府通信總部（GCHQ）與國防部和主要盟國密切合作，在開發攻擊性網絡能力方面也取得了重大進展。

（二）采取各項措施，打擊網絡犯罪

英國執法界在國家、區域和地方一級都建立了專門打擊網絡犯罪的機構。國家打擊犯罪署（NCA）下屬的國家打擊網絡犯罪局有專門小組調查最復雜的網絡攻擊。英格蘭和威爾士的43 個地方警察部隊現在分別都設有一個打擊網絡犯罪部門。9 個區域有組織罪案調查組（ROCU），大都會警察局也都設有專門的網絡專家小組，以確保統籌協調、全面應對。

英國執法界還注重發展國際伙伴關系。NCA領導、支持和協調了400 多起國際調查，合作機構包括美國聯邦調查局和五眼聯盟，以及歐洲合作伙伴、歐洲刑警組織、國際刑警組織和一系列其他國際合作伙伴。

在過去的兩年里，英國已經進行了665 次干擾活動，包括逮捕罪犯、拆除犯罪基礎設施，以及與合作伙伴合作，阻止并干擾國際司法管轄區內的犯罪活動。英國分析了150萬受害者被泄露的信息細節，并與服務提供商分享，以確保他們的私人信息不會被犯罪分子進一步利用。

英國建立了兩個互補的警察網絡。一個小組向個人和組織提供建議和支持，以便他們更有效地保護自己。迄今為止，通過“網絡須知”活動，已與近600 家私營和公共部門組織合作，就個人可以采取的簡單步驟提供指導。第二組是建立英國網絡預防網，通過《網絡選擇》倡議，阻止、轉移或干擾潛在的網絡罪犯。在過去兩年中，已向處于網絡犯罪邊緣的個人提供了470 多項干預措施。

（三）NCSC 與其他部門合作，快速響應網絡事件

事件管理是國家網絡安全中心的核心職能。自2016年以來，NCSC 處理了1100 多起網絡事件。NCSC 和NCA 成立聯合小組，致力于推動政府、行業和國際間在能力、專業知識和協調方面的改進。在NCSC 和執法部門之間創建了一個共享平臺，所有受害者只需報告一次事件，即可快速、一致地獲得正確的支持。事件管理過程實現了自動化，大大縮短了響應時間，在某些情況下從幾天縮短到幾分鐘。開發了一個新的事件分類框架，將NCSC 和執法方法結合起來，確保對各種攻擊做出適當反應，包括針對政府、關鍵國家基礎設施和單個公民的攻擊。

二、構建網絡防御體系，保衛英國不受日益發展的網絡威脅

（一）實施主動網絡防御，大規模提高網絡安全水平

英國一直在關注如何大規模提高基本網絡安全，使攻擊者更加困難，并付出更大代價。NCSC的《主動網絡防御》計劃一直在開發自動化工具和服務，其方法是在惡意內容和鏈接到達人們的收件箱之前自動刪除它們。實施ACD 計劃以來，產生了一些令人印象深刻的成果。2019年3月，服務器位于英國的全球網絡釣魚網站份額首次跌至2%以下，而2016年為5.4%。2016年，英國稅務海關總署（HMRC）在全球網絡釣魚機構排名中位于第16 位，占所有網絡釣魚郵件發送量的1.25%。實施ACD 計劃之后，它排名第146 位，占所有網絡釣魚郵件的不到0.1%。卸載服務將欺騙政府品牌網站的平均可用時間從2016年的42 小時縮短到了2018年的10 小時。現在每月阻止超過450 萬封惡意電子郵件，攔截14 萬多個欺詐性網絡釣魚網站。

（二）在設計中集成安全性能，使英國更加安全

該戰略提出了一個根本性的轉變，即通過設計將強大的網絡安全內置到消費物聯網（IOT）產品中，從而消除消費者的負擔。

2018年，英國發布了世界領先的《消費者物聯網業務守則》，以支持參與安全物聯網產品開發和制造的所有各方。七國集團就支撐《業務守則》的原則達成協議，通過歐洲電信標準協會，制定一套緊密基于該守則的國際認可的行業標準（最近獲得了Tech Accord 行業協會的認可，該協會包括微軟、ARM、臉譜、甲骨文、思科和日立在內的90 多個成員）。2018年4月《英聯邦網絡宣言》達成一項協議，致力于為聯網設備提供一致的方法，以促進默認情況下的用戶安全。

為幫助消費者做出更明智的決策，英國正在咨詢一個自愿標簽計劃，該計劃將強調遵守《業務守則》的關鍵要素，并幫助消費者區分有基本安全規定的產品和沒有基本安全規定的產品。

（三）制定各項政策，改進政府網絡安全

通過《轉變政府安全計劃》，將43 個獨立的部門安全辦公室合并為4 個安全小組，每個小組都由安全方面有良好記錄的部門領導。他們為政府部門提供更加一致的建議和服務水平。

制定新的《最低網絡安全標準》，提升各部門及其供應鏈的網絡安全水平，并在政府內部建立專門的網絡安全專業。采取《主動網絡防御》措施，提高政府的網絡彈性。新的跨政府安全IT 系統已經在158 個國家的250 個政府機構中的40 多個部門推出。為了檢驗這些措施和其他措施的有效性，英國推出了針對政府部門模擬網絡攻擊的最佳方案，該方案準確地復制了來自各個對手的真實威脅。

除了中央政府，還與地方政府協會合作，審查了英格蘭所有343 個地方議會，開發了一個行業支持和改進系統，包括一個撥款資助計劃，以提高其網絡適應力。迄今為止，108 個地方議會已收到了解決關鍵問題的資金，另外100 個議會也有望在2020年前收到資金和支持。

制定跨政府工作計劃，保障選舉過程的安全。這包括地方政府與負責選舉、計票和提交結果或處理選舉名冊等敏感信息的人的接觸。NCSC 和國家基礎設施保護中心在這一過程中提供專家意見。

英國還面臨著一項艱巨的任務，即更換遺留的IT 系統，建立和維護一個足夠的技能基礎，并在政府內部真正嵌入一致的標準和實踐。

三、采取各項措施，提高各行業對網絡攻擊的應變能力

（一）通過提供指南及自愿干預措施，管理各種企業和組織的網絡風險

迄今為止，英國政府工作的重點是通過一系列建議、指導和自愿干預措施，提高整個經濟和社會所有組織的應變能力。NCSC 與公共部門、私營部門和第三方部門廣泛接觸——許多部門是第一次接觸。到目前為止，政府已向數萬家中小企業傳播《小企業指南》，并向3500 多家慈善機構提供網絡安全培訓。

2019年的《網絡漏洞調查》報告稱，30%的企業和36%的慈善機構表示，他們已經改變了其網絡安全政策或流程，這是實施《通用數據保護條例》（GDPR）的結果。近年來網絡安全實踐和行為在組織層面呈現積極趨勢，78%的企業（2018年為74%）和75%的慈善機構（2 018年為53%）現在將其列為優先事項。

（二）妥善管理國家關鍵基礎設施（CNI）的網絡風險

2018年5月，根據《網絡和信息系統（NIS）條例》設立了新的權力機構，要求多個關鍵部門的500 多個機構積極管理網絡安全風險并報告事件。為了支持監管機構和組織履行其在NIS下的義務，并了解CNI 的良好網絡安全狀況，N CSC 制定并發布了一套14 項網絡安全原則。

英國還開發并擴大測試項目，這將在2021年之前逐步改變對CNI 組織及其供應鏈網絡風險管理的了解。

英國正在采取措施，支持CNI 組織獲取他們保護自己所需的可信服務和產品，并刺激網絡安全行業更好地為CNI 提供鍛煉、培訓和保證等服務。英國正在嘗試一種方法，來幫助CNI 機構在現有的NCSC 認證計劃的基礎上，與業界合作，在市場上確定合適的服務和產品。

（三）啟動孵化和加速計劃，發展網絡安全產業

英國擁有一些世界上最具創新性的網絡安全公司。自2016年以來，英國啟動了一系列有針對性的孵化和加速計劃，支持280 多人和企業。

為支持未來的創業者，英國與賽隆公司合作，推出一個早期創業者訓練營Hutzero，旨在支持潛在的創業者。在切爾滕納姆和倫敦的創新中心有網絡初創企業與政府專家合作，開發尖端技術，使英國在網絡安全方面保持領先地位。

英國國家安全戰略投資基金配套基金是風險投資公司為支持前期公司邁出的下一步。英國與“科技國家”的新合作伙伴關系是第一個針對網絡安全部門的國家擴大計劃，目標是支持科技公司。英國繼續與地方政府密切合作，確保威爾士、北愛爾蘭和蘇格蘭的大學、學院和企業能夠充分利用全英國的創新支持安排。

四、開展各項活動，應對未來網絡威脅

（一）發展網絡安全技能通道，大力培養和選拔網絡安全人才

過去三年，政府在網絡安全技能開發方面有顯著的進展。在2018/19年度，有近1.2 萬名年輕女性參加了“網絡第一女孩”競賽（上一年為4000 名）。在最初兩年，總共有超過5.5 萬名年輕人參加了“網絡發現”和“網絡第一”學習計劃。為了補充這些課外活動，英國啟動了8400 萬英鎊的項目，以改善計算機教學，提高計算機科學的參與度，尤其是在女生中。通過“網絡第一”助學金資助了450 多名學生，并在2019年進一步提供了300 個名額。從2019年9月起，將提供80 個“網絡第一”學徒培訓名額，以此作為補充，以建立強大的學徒制度。下一輪250 個助學金和80 名學徒的招聘活動將于2019年9月開始。

2018年，在英格蘭和威爾士設立了網絡安全即時影響基金，以鼓勵創新理念，并匹配來自私營部門的資金。重點關注多元化，以開發人才庫。迄今為止，約有400 名候選人參加了培訓計劃。在蘇格蘭，蘇格蘭政府與包括教育蘇格蘭、技能發展蘇格蘭和NCSC 等在內的主要合作伙伴密切合作，制定和實施全面的《網絡彈性學習》和《技能行動計劃》。

除了這些培養人才的舉措外，英國還尋求推動長期的結構和文化變革。準備建立一個新的、獨立的英國網絡安全委員會，推動不同網絡安全專業領域的卓越表現，并幫助支持2021年以后可持續的、行業主導的技能干預。

（二）采取措施，推動世界領先的研究和創新活動

英國已采取重要步驟，進一步推進世界領先的研究和創新活動。目前已有17 所大學被公認為網絡安全研究的卓越學術中心，自2016年以來，英國直接支持這些機構的博士生。目前，布里斯托爾大學和巴斯大學、皇家霍洛威大學、倫敦大學和倫敦大學學院共設有三個網絡安全博士培訓中心。此外，歐洲創新與技術研究所最近在愛丁堡開設了一個衛星辦公室，打算設立一個新的博士培訓中心，重點關注金融技術和網絡安全。

通過政府資助已經建立4 個研究機構，每個研究所都由來自不同大學的優秀研究人員組成，將最好的學術專長集中在解決最棘手的網絡安全問題上。行業合作伙伴也在對研究機構進行投資。

英國還將最終確定臨時的《網絡安全科學和技術戰略》，以便在網絡空間領域為英國采取經得住時間考驗的方法。

（三）積極采取國際行動，施加全球影響力

以英國為首的反對網絡空間敵對國家活動的聯盟建設運動，提高了網絡空間惡意活動的成本。由英國在擔任主席時提出的《英聯邦網絡宣言》是世界上最大的政府間網絡安全合作承諾。英國參與通過了《布達佩斯公約》，共同打擊網絡犯罪。

英國幫助80 多個國家解決其國家網絡安全能力方面的問題，包括國家網絡安全能力審查、戰略發展支撐、提高公眾認識、采用更好的行業標準、網絡犯罪演習、執法培訓和加強計算機安全事件響應團隊，為英國帶來重大安全、外交和戰略利益。

英國在牛津大學建立了全球網絡安全能力中心，英國發起的網絡安全能力成熟度模型已經被三分之一的聯合國會員國采用。全球網絡專門知識論壇現已擴大到包括67 個成員，通過分享最佳實踐、協調項目和調動資源，來增強全球網絡彈性。英國還將從2019年開始啟動聯合國互聯網規范雙軌談判，繼續擴大能力建設項目。

政府部門承擔的網絡安全責任

五、整合各有關政府部門的工作方法，發揮合力作用

為改善英國政府在網絡安全行動方面的協調性，2016年戰略的最大結構變化是將一系列職能合并為國家網絡安全中心，其職責是推動政府和行業之間的合作。除此之外，內政部等主要部門還負責實現戰略目標，在中央政府以及更廣泛的公共和私營部門開展工作。

鑒于各部門的權益，明確規定了部長的職責。

1、內閣辦公室大臣向議會負責《國家網絡安全戰略》，并支持19 億英鎊的投資。

2、內政部長負責網絡安全響應，并在發生高級別網絡事件時被指定為默認的COBR（內閣辦公室情況通報室）主席。這是他們打擊網絡犯罪的責任之外的事。

3、國防部長全面負責發展英國的攻擊性網絡能力。

4、外交部長對政府通信總部和國家網絡安全中心負有法定責任。

5、數字、文化、媒體和體育部長負責領導數字事務，包括網絡安全的相關增長、創新和技能方面。