英国国家网络安全战略发展及实施情况
2018-10-12
随着互联网的迅猛发展和广泛应用,国家运转和社会生活的诸多领域与网络空间的联系愈加紧密。与此同时,网络安全问题频繁出现,给国家、企业以及个人带来了严重的威胁与挑战。作为互联网发展和信息化建设起步较早的国家,英国面临的网络安全问题极富典型性。为应对网络空间的安全挑战,英国政府于2009年出台了首个国家网络安全战略,用以指导和加强国家的网络安全建设,并于2011年、2016年根据安全形势和建设需求的变化,发布了第二、第三版国家网络安全战略。相较于美国的网络空间国际战略,英国的国家网络安全战略并不谋求网络空间的主导地位,而是聚焦于维护本国网络安全、提升本国网络安全产业竞争力等方面,用以构建安全、可靠与可恢复性强的网络空间和确保英国在网络空间的优势地位,从而促进并实现英国的经济繁荣、国家安全和社会稳定。
一、战略推出
英国是世界上网络和信息化建设最先进的国家之一,其利用网络空间进行商业活动的规模和发展速度都远超欧洲平均水平。网络和信息化建设的高速发展,也使得英国的政治、经济、文化等国家运转和社会生活的各个方面都越来越离不开网络空间。这种对网络空间的高度依赖,加上信息成为国家的重要战略资源以及网络空间存在的开放性、脆弱性、可操纵性等特征,导致英国面临的网络安全威胁日益严重和凸显。英国政府充分认识到维护网络安全对国家安全和利益的战略意义,因此于2009年6月发布《英国网络安全战略:网络空间的安全、可靠性和可恢复性》,用以指导和加强国家的网络安全建设。这是英国历史上首个全面的网络安全国家战略文件,在该文件中,英国政府将21世纪确保网络空间安全与19世纪时确保海洋安全、20世纪时确保空中安全的重要性相提并论,成为最早将网络安全提升至国家战略高度的大国之一。在该文件中,英国政府定义了网络空间的概念与内涵,阐述了国家实施网络安全战略的必要性和指导原则,分析了英国面临的网络安全威胁与挑战,描述了英国网络安全的愿景目标,并提出了实现愿景目标应当采取的行动方略和措施。
随着网络安全威胁的发展变化及其对国家安全威胁的不断增长,英国政府于2010年10月发布两个文件——《国家安全战略:不确定时代的强大英国》和《战略防御与安全评估:保护不确定时代的英国安全》,将网络攻击与恐怖主义、紧急民事(重大事故和自然灾害)、军事危机等并列为英国国家安全面临的一级威胁(最高威胁),后者还决定在未来4年实施“国家网络安全计划”(NCSP),用以支持国家网络安全战略的实施。2011年11月,英国政府发布第二版国家网络安全战略——《英国网络安全战略:保护和促进数字世界中的英国》,同时启动了NCSP。在新版战略文件中,英国政府阐述了网络空间促进经济增长与社会稳定、网络安全威胁发展变化情况,描述了2015年网络安全的愿景目标,并提出了未来4年的行动方案。在后来的实施过程中,英国政府又将国家网络安全战略和NCSP的执行时间由4年调整为5年。相较于2009年首个战略,2011年第二版战略不再局限于维护网络安全本身,而是试图通过构建安全和充满活力的网络空间,促进英国的经济繁荣、国家安全和社会稳定。
在NCSP的支持下,英国政府2011年实施的国家网络安全战略取得了重大成果,显著改善了英国的网络安全局面。但相较网络安全威胁的迅速发展变化,该战略并没有达到领先威胁所需的变革规模和速度。2015年11月,英国政府发布《2015年国家安全战略、战略防御与安全评估:安全繁荣的英国》,确认网络安全风险仍是英国经济和国家安全的一级威胁,并且这种威胁的规模和复杂性正在增加。因此,国家安全战略提出,作为网络安全的全球领军者,英国政府将推出强硬和创新的措施解决网络威胁。2016年11月,英国政府发布第三版国家网络安全战略——《2016-2021年国家网络安全战略》,明确了2021年网络安全的愿景目标以及未来5年的行动方案等事项。英国政府还同步启动了新的“国家网络安全计划”,用以支持战略的实施,保护英国免受网络攻击并发展英国在网络空间的主权能力。
二、主要内容
英国政府已依计划期程执行完成2009年和2011年版国家网络安全战略,目前正在执行2016年版国家网络安全战略,在最新版战略文件中,英国政府除概述网络安全威胁最新评估情况(即战略背景)外,重点描述了2021年网络安全的愿景目标、实现目标的指导原则,并提出了未来5年的行动方案。其主要内容如下:
(一)愿景目标
2021年英国网络安全的愿景是:将英国建设成为一个安全、能有效应对网络威胁的国家,在数字世界中繁荣而自信。实现该愿景有三项关键具体目标,包括:一是防御。有能力保护英国免受日益发展的网络威胁,有效应对突发事件,以及确保英国网络、数据、系统的安全和可恢复性;公民、企业和公共部门具有自我防护的知识和能力。二是威慑。有能力探测、了解、调查和破坏敌对的网络行动,追捕和起诉网络侵犯者,以及必要时在网络空间采取进攻行动。三是发展。形成科技研发能力全球领先、创新能力强、产业规模不断壮大的网络安全产业;形成自我维续的人才输送渠道,满足公私领域的技能需求;拥有先进的分析和专业知识,使英国能应对、克服未来的威胁与挑战。与2009年、2011年两版战略提出的愿景目标相比,2016年版的愿景更加宏大和彰显自信,三项关键具体目标之一的“威慑”也是首次提出。
(二)指导原则
英国政府在2009年、2011年两版战略中都提出了实现网络安全愿景目标应遵循的指导原则,并在执行过程中结合网络安全威胁发展和建设需求的变化不断检验和完善,据此形成了实现2021年网络安全愿景目标的指导原则,主要包括:①根据保护人民和促进繁荣的双重需求来驱动英国的行动和政策;②将对英国的网络攻击视为与常规攻击等同的严重攻击,必要时采取自卫行动;③遵照国家法律和国际法行事;④有力保护和促进英国的核心价值观,包括民主、法治、自由、开放与负责任的政府和机构、人权、言论自由;⑤保护英国公民的隐私;⑥将与自治政府、公共部门、企业、机构和民众通力合作;⑦英国政府将履行其职责并领导网络事件的国家响应,但企业、组织和公民亦有责任保护自身网络安全;⑧公共部门各级组织的网络安全,由各部长、常务秘书长和管理委员会负责;⑨将与志同道合和拥有共同安全利益的国家紧密合作,并广泛开展与国际合作伙伴的合作;⑩为确保政府的干预对维护国家网络安全和可恢复性产生实质影响,将定义、分析并公布衡量英国网络安全状况和战略目标完成情况的数据。
(三)行动方案
英国政府实现2021年网络安全愿景目标的行动方案包括:
1、防御网络空间。一是主动网络防御(ACD)。与行业特别是通信服务提供商(CSP)合作,采取措施增加网络攻击的难度;加大政府通信总部(GCHQ)、国防部和国家打击犯罪局(NCA)建设投资,提升瓦解网络犯罪分子和国外敌对分子网络攻击行动的能力;提升政府系统和网络的防护能力,加强国家关键基础设施及其产业供应链的安全。二是构建更安全的互联网。政府率先提供安全的在线服务;政府与行业合作探索和开发使软硬件“默认更安全”的新技术;政府率先采用新型网络安全技术,通过验证和展示新技术的安全性、减少推广使用的感知风险。三是保护政府网络、系统和数据的安全。确保提供的新数字化服务“默认安全”;确保仍在用的老旧系统和厂商不再支持升级的商业软件没有不可控的风险;提高政府和公共部门抵御网络攻击的弹性;定期开展网络事件演习和测试政府网络的安全性,以及强化医疗保健和国防领域敏感通信的安全等。四是保护关键基础设施和重要部门。各机构和企业定期评估关键系统的安全漏洞,增加网络安全技术和人员培训的投资,以提升应对网络攻击的能力;关键基础设施与政府机构和监管机构合作,强化网络风险管理。五是改善公众和商业行为。政府向公众提供可行的自我保护措施建议;通过保险、监管、标准化等组织机构敦促企业加强网络风险管理;编制网络安全指南,涵盖商业和公共部门优先事项和实践;执法机构与行业和国家网络安全中心(NCSC)合作共享网络威胁最新情报。六是加强事件管理和深化威胁认知。政府网络事件管理过程反映前兆原因、事件处理和事后响应;严格审查和界定政府的响应范围,向政府和私营部门提供有效的事件管理;以及建立信息共享系统,帮助各机构掌握威胁信息和迅速采取行动等。
2、威慑敌对分子。一是减少网络犯罪。提高追查、起诉和威慑英国境内外网络犯罪分子的执法能力;深入了解网络犯罪模式;建立国际合作伙伴关系,将海外司法管辖区的罪犯绳之以法;采取早期干预措施,防止个人遭诱惑涉入网络犯罪;以及与行业加强合作,从上游瓦解网络犯罪活动等。二是打击外国敌对势力。促使各国达成自愿协定并制定互信机制,加强国际法在网络空间的适用;加强集体防御、安全合作和提升北约成员国的威慑力等多种形式的国际合作;研究制订威慑和应对网络威胁的各种可行方案;与主要国际伙伴共享网络威胁信息。三是制止恐怖主义。侦察锁定试图对英国及其盟国进行破坏性网络行动的敌对分子;调查和打击网络恐怖主义分子,防其利用网络能力攻击英国及其盟国;与国际伙伴密切合作,更加有效地应对网络恐怖主义威胁。四是提升主权能力。发展进攻性网络能力:投资“国家进攻性网络计划”(National Offensive Cyber Programme,NOCP),开发所需的工具、技能和谍报技术,发展利用进攻性网络工具的能力;发展武装力量部署进攻性网络的能力,使之成为整体作战能力的组成部分。维持加密能力:与盟国有效共享信息,确保获得可信、有效的信息和信息系统;推动国防部和GCHQ与其他政府部门和机构合作,共同界定主权要求。
3、发展能力。一是提升网络安全技能。将网络安全纳入教育体系,并持续改进教育体系,满足行业和政府不断变化的需求;鼓励企业加强员工培训;推动行业与学术界、职业机构和行业协会合作,构建多元化的职业岗位和培训途径;以及建立技能咨询小组,支持长期战略的制定等。二是促进网络安全行业发展。建立两个创新中心,推动前沿网络产品和有活力的网络安全初创企业发展;投入资金支持国防和安全领域的创新采购;为企业开发产品提供试验设施,并为下一代产品和服务提供快评服务;帮助企业扩大规模并进入国际市场;通过政府采购促进小企业技术创新和支持小企业发展。三是发展网络安全科学与技术。鼓励科研的合作与创新、灵活的资助模式以及科研成果的商业化;制定“网络科技战略”,明确科技发展的重要领域和能力差距;在大数据分析、自主系统、工控系统、网络物理系统和物联网、智慧城市、自动化系统验证和网络安全科学等重点学科领域创建新的研究机构;与“创新英国”(Innovate UK)研究理事会等机构合作,并推动行业、政府与学术界之间的合作;资助“重大挑战”项目,发展并提供急需的创新解决方案。四是提升检视与评估能力。明确当前工作差距,协调跨学科边界工作,制定检视整体网络安全的方法;促进网络安全技术与应用科学更好整合;加强对新型工具和服务的市场监控,以及对新兴联网控制技术、数字货币漏洞的预测分析;监控电信技术发展趋势,制定针对未来攻击行动的早期防御措施。
三、实现措施
英国政府在国家网络安全战略(NCSS)的指导下,采取了多项措施推动战略的实施进程和目标实现,主要包括:
(一)组建新的网络安全机构
近年来,英国政府根据国家网络安全战略的设计和部署,先后组建了多个新的职能机构,负责国家网络安全战略、国家网络安全计划等方面的管理和协调工作。一是网络安全和信息保障办公室(Office of Cyber Security and Information Assurance,OCSIA)。为英国内阁办公室的内设机构,前身为2009年9月根据首个国家网络安全战略成立的网络安全办公室(UK Office of Cyber Security,OCS),成立之初主要负责政府各部门网络安全计划的协调工作,2010年改组为OCSIA,职责包括协调国家网络安全和信息保障方面的跨政府工作,管理国家网络安全计划和国家网络安全战略的实施,以及为内阁部长和国家安全委员会提供网络安全方面的决策支持等。二是网络安全行动中心(UK Cyber Security Operations Centre,CSOC)。根据首个国家网络安全战略成立的实体机构,于2010年3月正式运营,隶属于政府通信总部(GCHQ),负责协调政府和民间机构主要计算机系统的安全保护工作。三是国家网络安全中心(National Cyber Security Centre,NCSC)。根据2016年版国家网络安全战略于2017年2月14日正式成立和运作,隶属于GCHQ。NCSC由网络评估中心(Centre for Cyber Assessment,CCA)、英国计算机应急响应小组(Computer Emergency Response Team UK,CERT UK)及GCHQ的信息安全小组(Communications Electronics Security Group,CESG)等3个网络安全组织合并而成,其主要职责包括为公私部门提供应对网络安全威胁的建议和指导、牵头响应网络安全事件等。此外,英国政府在新组建的国家打击犯罪局(NCA)下设了国家打击网络犯罪组(NCCU),用以加强打击网络犯罪的执法能力。
(二)启动多项网络安全计划
在国家网络安全战略(NCSS)的指导下,英国政府近年来启动了多项网络安全计划,主要包括:一是国家网络安全计划(NCSP)。该计划是英国政府2010年战略防御与安全评估的成果之一,它的制定旨在支持NCSS的实施,以防护英国免受网络安全威胁。NCSP计划周期为5年,由代表内阁办公室的OCSIA管理和协调,受内阁大臣的监督。其中,第一个计划周期为2011-2016年,与2011年版NCSS同时启动,最初计划是4年投资6.5亿英镑(约8.3亿美元),后英国政府于2013年又决定追加2.1亿英镑(约2.7亿美元)的投资,并将计划周期由4年上调为5年。第二个计划周期为2016-2021年,与2016年版NCSS同时启动,计划投资19亿英镑(约24亿美元)。在NCSP的支持下,英国NCSS取得了重大阶段成果,显著改善了英国网络安全状况。二是网络安全信息共享合作计划。英国政府于2013年3月启动网络安全信息共享合作伙伴关系(CISP),并通过NCSP资助了CISP。CISP由国家安全局(即军情五处)、GCHQ、NCA和行业相关人员组成的“融合小组(Fusion Cell)”负责运行,其为政府、企业和组织提供了一个共享网络安全信息的可信平台,使他们可获得网络威胁早期预警和解决方案等免费服务,从而提高网络安全防护能力。因CISP的价值获得认可,CISP的成员数量逐年增长,截至2017年12月已吸纳4000多家企业、组织和机构。三是主动网络防御计划。主动网络防御(ACD)计划是英国政府2016年版NCSS批准施行的一项行动计划,包含多项重要举措,旨在使各部门、组织和个人更安全的使用网络安全基础设施、产品和服务。2017年6月,NCSC又提出ACD计划的四项细化措施,以改善公共部门的基本网络安全并使企业受益,具体包括:设置域名服务器过滤功能,阻止政府办公网络访问恶意网站;构建DMARC协议下的邮件检查服务,阻止恶意电子邮件收取;构建Web Check服务,帮助公共部门与组织发现网站漏洞并提供解决方案;与私营企业合作,帮助政府部门和企业删除互联网不良信息。
(三)大力培育网络安全人才
为确保优秀网络安全专业人才的持续供应,满足国家网络安全运行的技能需求,英国政府重视采取措施大力加强人才的培训和教育,主要包括:一是将人才培育纳入国家网络安全战略。为凸显重视并鼓励人才培育,英国政府将人才培育作为重点写入了国家网络安全战略(NCSS),其中2011年版NCSS提出要加强网络安全教育和技能培训,建立网络安全专业人才队伍,满足政企提高网络安全能力所需的技能和专业知识;2016年版NCSS再次提出要大力培养和持续提供优秀的本土网络安全人才,解决网络安全专家与青少年人才短缺问题,满足公私部门的网络安全技能需求。二是加强青少年网络人才培育。英国政府推出多项针对青少年的教育培训项目或计划,用以储备国家网络安全建设发展所需的网络安全专业人才。例如,启动网络校园项目,面向14岁至18岁的青少年开设为期5年的网络安全课程,用以提升这些青少年的网络安全意识和技能;施行“Cyber First”计划,邀请11岁至17岁的青少年参加网络安全挑战赛、国家数学竞赛等各类竞赛,从中挖掘高潜力人才用以培养“下一代网络安全专家”。三是重视挖掘和培养女性网络人才。除青少年外,英国政府还重视发掘和培养网络安全领域的女性群体,用以充实网络安全人才队伍。例如,NCSC强调会率先采用“网络行为准则”,确保网络安全职业女性受到尊重并获得平等对待;NCSC于2017年3月办理了“Cyber First Girls”比赛,发掘13岁至15岁女性中的优秀网络技能人员;NCSC还在2017年CYBER UK会议上,宣布了多项鼓励女性从事网络安全职业的支持性政策,包括为具有STEM学位的女性毕业生提供第一份职位、为重返网络技术职业生涯的女性提供指导和赞助等。
(四)加强跨部门及公私协作
在应对网络安全威胁的过程中,英国政府逐渐意识到,仅凭政府无法提供国家各个领域的网络安全,只有与各公共部门、机构、组织、企业和公民个人充分协作并发挥作用,才能成功保障英国在网络空间的安全。因此,英国政府在三版国家网络安全战略中都强调了加强政府跨部门及公私部门协作的重要性,并据此指导推动和密切了政府相关部门之间和公私部门之间的协作。具体措施包括:在政府跨部门协作方面,英国政府组建了网络安全和信息保障办公室,负责协调政府跨部门之间的网络安全建设工作;建立了由政府通信总部、内阁办公室、网络安全和信息保障办公室、国家基础设施保护中心、信息委员会办公室(ICO)、国防部信息保障产品目录管理部门等共同运作的信息保障联盟,负责协调相关部门信息安全领域的日常工作;由国家网络安全中心与军事网络安全运营中心(CSOC)密切合作,确保政府在遭受重大网络攻击时获得武装力量的支持;责成政府通信总部协助新组建的国家打击犯罪局加强网络安全技术开发和技能培训,提高国家打击犯罪局打击网络犯罪的执法能力。在公私部门协作方面,英国政府成立网络安全行动中心,负责协调政府部门与民间机构之间的网络安全防护工作;由内阁办公室等政府部门与银行、零售、互联网安全等私营部门联合发起“获得安全在线”(Get Safe Online)行动,促进小型企业和公众提高在线安全意识;由政府提供额外资金支持和扩大政府与行业已经开展的技术研发协作工作;由网络安全和信息保障办公室与技术战略委员会的网络安全创新平台(NSIP)密切合作,为英国世界级高科技公司提供机会;由政府推出“网络安全早期加速项目”和“伦敦网络”(CyLon)网络安全孵化器项目,为英国网络安全企业尤其是初创企业提供大力支持。
(五)重视开展国际交流合作
英国政府认为,网络空间安全威胁是超越国界的,英国网络空间活动所依赖的基础设施也不是以英国为基地的,因此英国不能仅仅依靠自身来取得网络安全建设的所有进展和实现国家网络安全战略(NCSS)的所有目标。为此,英国政府将网络安全领域的国际交流合作列为国家网络安全战略中的指导原则和施政重点之一,希望通过促进国际治理交流和加强双边与多边合作,使网络空间的发展朝着有利于英国经济繁荣和国家安全的方向发展,以及确保英国在网络空间的优势地位。在2009年版NCSS中,英国政府就提出了要与国际合作伙伴密切合作,确保英国在全球网络空间的发展中获益,并决定组建网络安全办公室(OCS)负责与国际合作伙伴的协调工作。在2011年版NCSS中,英国政府明确提出要“加强网络安全国际合作”,行动重点包括寻求与志同道合和不赞成英国意见但仍可合作的国家建立伙伴关系,寻求国际支持为网络空间行为制定国际准则,以及说服其他国家发展与《布达佩斯网络犯罪公约》兼容的法律等,通过与他国政府和国际组织等加强合作,确保英国在网络安全领域的国际主导地位。在2016年版NCSS中,英国政府不仅将“与志同道合和拥有共同安全利益的国家紧密合作,并广泛开展与国际合作伙伴的合作”纳入指导原则,还在行动重点中将“国际行动”单独成章,强调要通过达成国际法适用于网络空间的协议、支持建立和实施信任措施、推动制定新兴技术管理的技术标准、确保北约为21世纪网络空间战做好准备等行动,不断扩大与盟国和国际组织等的合作,促进网络空间的持续开放、和平与安全。
四、主要特点
初步分析英国政府近年来先后推出的三版国家网络安全战略,其具有以下显著特点:
(一)网络安全战略框架较完备
从英国三版国家网络安全战略的发展演变来看,经过多年的努力和不断优化完善,英国政府已经建立起较为完备的国家网络安全战略框架。主要体现在:一是战略目标和指导原则清晰明确。随着战略的实施和演进,英国政府对国家网络安全的愿景(战略总目标)日益清晰和宏大,关键具体目标也越来越详细和明确,实现战略目标应遵循的指导原则也不断丰富和完善,为英国加强网络安全建设提供了方略指导。二是重视安全形势评估和安全理念阐释。英国在发布的三版国家网络安全战略文件中,十分重视分析英国面临的网络安全形势特别是威胁来源,阐述英国政府对网络空间、网络安全等核心概念的主张,明确英国在维护网络安全方面追求的核心价值观,从而对各项行动举措提供思想支持和理论指导。三是行动举措可操作性强。英国在战略文件中均提出了确保战略目标实现的行动方案及具体措施,其中涉及部门职责、网络执法、技能培训、人才培养、市场培育以及国际合作等多个层面的行动细则,具有很强的可操作性。
(二)突出积极防御与战略威慑
从英国三版国家网络安全战略内容看,英国政府在实现战略目标的行动举措中高度重视积极防御和战略威慑,希望借此降低网络安全威胁并维护英国的网络空间优势地位。积极防御方面,英国在2009年版战略中提出要在积极防御的同时,充分利用英国在网络空间的优势主动展开行动,例如打击恐怖主义和严重的集团犯罪行为等,用以支持网络安全和国家安全政策目标的实现;在2011年版战略中提出将落实研发潜在的网络安全创新解决方案、开发新的网络防御战术和技术等防御措施;在2016年版战略中提出将投入更多资金用于支持网络安全项目研发、网络威胁侦测与预警等举措。战略威慑方面,英国在2016年版战略中将“威慑”作为实现战略的三大关键具体目标之一,提出要加强网络威慑能力建设,使英国具备世界领先的、可适当支配的进攻性网络能力,可在必要时采取网络进攻行动,以此来“削弱对手攻击意愿和能力”,“震慑、阻止网络攻击”。
(三)注重商业及经济发展繁荣
作为老牌商业帝国,促进经济增长是英国政府的首要目标,其更看重网络安全战略给国家商业和经济发展繁荣带来的机遇。在三版国家网络安全战略中,英国政府始终将网络安全建设的终极目标定位在促进商业及经济发展繁荣上,其中2009年版战略的愿景目标是政府、企业和公民享受网络空间安全的全部好处,维护和促进本国经济发展;2011年版战略的最终愿景是从充满活力和可恢复性强的安全网络空间中获利,促成经济大规模增长和经济繁荣;2016年版战略的愿景则提出“争取在2021年成为安全的数字化国家,维护英国经济安全发展”,行动方案中也提出要加大网络安全投资,促使网络空间朝有利于英国经济和安全利益的方向发展。此外,英国政府还通过发布《商业领域网络安全指南》等措施,为商业企业发展提供网络安全方面的指导。以上充分显示了英国政府在利用网络空间安全促进商业和经济繁荣发展上的重视和自信。