2022年1月25日,英国政府正式发布《国家网络安全战略》(Government Cyber Security Strategy: 2022 to 2030)文件。文件对英国政府如何确保公共部门有效应对网络威胁进行了阐释,并描绘了战略愿景,即确保政府核心功能对网络攻击具有韧性,强化英国作为主权国家地位,提升影响力,打造民主、负责任的网络强国。
英国是全球最早将网络安全提升至国家战略高度的大国之一,早在2009年6月就发布了首份国家网络安全战略文件,用以指导和加强国家网络安全建设。随着网络安全威胁的发展变化及其对国家安全威胁的不断增长,英国政府于2011年发布第二版国家网络安全战略,设定了新的网络安全目标,并通过《国家网络安全计划》(National Cyber Security Programme,简称NCSP),加大专项资金投入,不断提升网络安全能力。英国内阁办公室每年发布报告,总结过去一年网络安全工作的进展,并提出下一年的工作计划。2016年11月,英国政府发布《2016-2021年国家网络安全战略》,明确了网络安全的愿景目标以及未来五年的行动方案,并同步启动新的《国家网络安全计划》,以支持网络安全战略的实施。英国网络安全战略在总结以往经验教训的基础上,不断适应新形势进行优化调整。2021年12月,英国政府发布《2022年国家网络战略》(National Cyber Strategy),也将“检测、干扰和威慑英国的对手,加强英国网络空间安全”作为“支柱”(pillar,即优先计划)之一。在上述背景下,英国2022版网络安全战略问世。
2022年1月25日,英国政府内阁办公室正式发布专门针对公共政府部门的首部网络安全战略——《2022年-2030年英国政府网络安全战略》,战略涉及多项具体安全保障措施,并设立两大关键性战略目标:一是致力于为英国政府部门的网络安全弹性夯下坚实基础,并辅以采用国家网络安全中心的《网络评估框架》(CAF);二是批准并推动英国各政府部门通过共享数据、专长和能力,实现“一体化防御”。
英国是全球最早将网络安全提升至国家战略高度的国家之一,早在2009年6月就发布了首份国家网络安全战略文件,用以指导和加强国家网络安全建设。随着网络安全威胁的发展变化及其对国家安全威胁的不断增长,英国政府在2021年12月,发布更新了最新版《国家网络安全战略》,在总结以往经验教训的基础上,不断适应新形势进行优化调整,为公共部门、私营部门和第三部门之间的“全社会”努力设定安全目标。
此次发布《政府网络安全战略》,首次明确强调了政府机构等公共部门战略涉及的安全保障措施和要求,实现政府机构间一体化的安全防护,包括:
• 设立新的政府网络协调中心,以协调英国全国公共部门的网络安全整体协同工作,该中心将直接隶属英国内阁办公室;
• 推出新的、更详细的保证机制,包括评估各部门计划和漏洞,旨在提供更详细的网络健康状况;
• 迅速识别和调查对公共部门系统发动的攻击,并协调响应工作,确保相关数据得到共享;
• 采用分层模式(tiered profile)负责响应政府职能部门面临的各种威胁;
• 加强支持地方政府的安全工作,包括拨款3780万英镑以确保议会服务的网络安全等。
英国内阁办公室部长Steve Barclay表示:《政府网络安全战略》的发布,旨在进一步加强政府机构的网络安全防御能力,从提供公共服务到运作国家安全机构,我们的核心政府职能必须比以往任何时候都更有弹性,积极应对网络攻击。我们正在制定明确的目标,即到2025年,政府关键职能的安全防护能力将显著得到加强。这个目标适用于所有公共服务组织——包括地方政府、卫生和教育部门。只有确保网络攻击既不会破坏英国政府机构的核心职能,也不会削弱政府至关重要的公信力,我们才能充分利用网络技术的潜力,保护和促进英国的国家整体利益。
据了解,此次发布的《政府网络安全战略》共分九章,从背景、方法、网络安全风险管理、网络攻击防御、网络安全事件检测、网络安全事件影响控制、网络安全知识技能及文化培养、成果评估、战略执行等方面,确定了五个安全防护目标,以提供一致性的安全框架和通用原则,包括:管理网络安全和风险、防范网络攻击、检测网络安全事件、尽量减小事件的影响,以及培养合适的网络安全技能、知识和文化。但上述目标的实现还需要依赖一系列关键绩效指标的支撑,这些指标仍有待开发。
与前几版网络安全战略相比,英国新版网络安全战略更加激进、更富雄心。例如,在内阁办公室建立新的政府协调中心(Government Cyber Coordination Centre ,简称GCCC),在公共部门间更好地进行网络安全工作协调。在金融部门网络合作中心(Financial Sector Cyber Collaboration Centre,简称FSCCC)等私营模式成功运行的基础上,GCCC将更快速地识别、调查和协调政府对公共网络系统攻击的反应,以确保信息共享更及时,实现“统一防御”(Defend As One)。此外,GCCC还将加强漏洞管理,建立跨政府部门漏洞报告服务体系,以方便安全研究人员及公共部门人员更加方便地汇报公共数字服务系统中存在的漏洞。
此次发布《政府网络安全战略》,首次明确强调了政府机构等公共部门战略涉及的安全保障措施和要求,实现政府机构间一体化的安全防护,包括:
• 设立新的政府网络协调中心,以协调英国全国公共部门的网络安全整体协同工作,该中心将直接隶属英国内阁办公室;
• 推出新的、更详细的保证机制,包括评估各部门计划和漏洞,旨在提供更详细的网络健康状况;
• 迅速识别和调查对公共部门系统发动的攻击,并协调响应工作,确保相关数据得到共享;
• 采用分层模式(tiered profile)负责响应政府职能部门面临的各种威胁;
• 加强支持地方政府的安全工作,包括拨款3780万英镑以确保议会服务的网络安全等。
英国内阁办公室部长Steve Barclay表示:《政府网络安全战略》的发布,旨在进一步加强政府机构的网络安全防御能力,从提供公共服务到运作国家安全机构,我们的核心政府职能必须比以往任何时候都更有弹性,积极应对网络攻击。我们正在制定明确的目标,即到2025年,政府关键职能的安全防护能力将显著得到加强。这个目标适用于所有公共服务组织——包括地方政府、卫生和教育部门。只有确保网络攻击既不会破坏英国政府机构的核心职能,也不会削弱政府至关重要的公信力,我们才能充分利用网络技术的潜力,保护和促进英国的国家整体利益。
英国现任首相约翰逊为新版战略作序,强调网络韧性的重要性,指出英国作为主权国家要在以技术塑造的当今世界中切实维护自身利益,并要求政府部门发挥表率作用,为数字经济发展护航。(陈伟)
信息来源:
- https://www.gov.uk/government/news/first-ever-government-cyber-security-strategy-to-step-up-britains-defence-and-resilience–2
- https://www.gov.uk/government/publications/government-cyber-security-strategy-2022-to-2030
本文来自苏州信息安全法学所、
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/17494.html
