英国国家网络安全中心运作效果解析
2020-04-18国家工业信息安全发展研究中心田素梅
◎国家工业信息安全发展研究中心 田素梅
按照《2016-2021年国家网络安全战略》的要求,英国于2016年成立国家网络安全中心(NCSC)。NCSC迄今已运作三年。作为管理网络事件的主要政府组织,NCSC自运作以来,处理了近1800起事件。在2018年9月1日至2019年8月31日一年的时间内,NCSC处理了658起事件,为近900个受害组织提供支持。但这些功劳NCSC不能独享,这是它与执法部门、英国情报界、政府和私营部门密切合作的成果。
作为一个全球领先的数字保护机构,NCSC的成功运作对于加强英国的防御能力功不可没。2019年,英国在国际电信联盟(ITU)公布的全球网络安全指数中名列第一,成为世界上数字化程度最高的经济体之一,这与NCSC的努力是分不开的。过去一年,NCSC采取若干重要技术干预措施,维护英国网络安全,推动《主动网络防御》计划第二年的执行,活跃在国际舞台,致力于培养下一代网络安全人才,取得了丰硕成果。
一、采取重要技术干预措施,维护英国网络安全
过去一年,NCSC在保护公民、企业、国家和地方政府以及关键国家基础设施方面,采取了很多技术干预措施,取得良好效果。
(一)保护公民
确保公民使用互联网连接设备和在线服务时更加安全是NCSC的核心任务。NCSC注重运用技术和专业知识,解决网络安全问题,确保其对英国公民的影响尽可能小。比如通过设计实现安全,减轻消费者负担;首创“搬运工”业务,打击金融网络犯罪等。
NCSC认为,不能期望所有消费者都成为“网络安全专家”,应确保设备在设计阶段就具有良好的网络安全实践。NCSC于2018年10月发布《消费者物联网安全业务守则》,为制造商嵌入设备提供13条准则。NCSC和数字、文化、媒体和体育部(DCMS),还与国际标准机构合作,制定行业领先的物联网安全标准。2019年2月,欧洲电信标准协会(ETSI)发布了首个全球适用的互联网连接消费设备网络安全标准。该技术规范以《消费者物联网安全业务守则》为基础,创建了一个全球范围的社区驱动标准。
NCSC 首创“搬运工”(Haulster)业务,对100多万张被盗信用卡的欺诈意图进行标记,从而打击金融网络犯罪。“搬运工”接受由NCSC及其合作伙伴收集的被盗信用卡,与英国金融机构合作,在信用卡被用于犯罪之前,将信用卡汇回银行。信用卡提供商可以屏蔽信用卡,以保护金融机构和公众。目前,它正在扩大这一行动的规模,并希望在不久的将来大大减少攻击的数量。
NCSC还与内阁办公室、DCMS和内政部合作,开展网络意识运动,推行更广泛的举措,旨在更好地保护公民。
(二)保护企业
针对中小企业和大型企业,NCSC分别采取措施施加援助。
1、针对中小企业
一是发布《小企业指南》,提供5个简单快捷的步骤,大大减少企业成为网络犯罪受害者的机会,已惠及数十万中小企业。2019年,NCSC推出新的指导方针,帮助小企业准备应对措施,并尽快从网络事件中恢复过来。二是执行《网络要素》计划。目前,很多公司使用《网络要素》证书来为其供应链安全性提供证明。但是《网络要素》证书没有自动到期日。为改进这一点,从2020年起,NCSC将颁发有效期为12个月的证书。三是开展演练活动。演练是企业了解自己如何应对事故的最佳方式之一。2019年初,NCSC推出在线工具“箱盒演练”(Exercise in a Box)项目,它可以让企业了解其对网络攻击的适应力,并评估他们的应对准备情况。该工具最初是为中小企业、地方政府和应急服务设计的,但需求量很大,许多大型企业都使用该工具来确定自己的弹性。四是建立基本安全日志系统。对任何组织来说,日志记录都是一种重要的工具,可用来跟踪和捕获重要的数据。NCSC新推出的开源项目“容易日志”(Logging Make Easy,LME)是一个自我安装教程,它易于理解,部署和使用于大多数小型网络,而且是免费的。
2、针对大型企业
一是为董事会提供网络安全工具包,旨在鼓励董事会与其技术专家就网络安全问题进行必要的讨论,帮助英国大型企业应对网络威胁。工具包对于董事会成员及其首席信息官很实用,有助于他们确定最佳做法,更好地了解如何在董事会讨论网络投资决策。二是确保供应链安全。大部分企业依赖供应商提供产品、系统和服务。但是供应链可能规模很大、很复杂,涉及很多不同部门。有效地保护供应链可能很困难,因为漏洞可能是固有的或植入的,并可能在供应链的任何一点被利用,在某些情况下,引起大范围损失。为了应对这个风险,NCSC采取支持措施,帮助企业保护自己,作为其供应链合同的一部分,以书面形式制定流程,以确保供应链中的任何网络威胁产生尽可能小的负面影响。NCSC正在试行一项名为“供应商检查”的计划,对政府的关键供应商进行检查。旨在识别漏洞,提高其网络安全水平。
(三)保护政府部门
建立漏洞披露制度。NCSC建立漏洞报告服务处,如果有人在英国政府网站中发现漏洞,无法联系系统所有者,他们可以向该处报告该漏洞。这将提高整个公共部门处理问题的能力。除此之外,NCSC还与英国政府多个部门合作,启动了漏洞披露试点。
启动探测和预警功能。NCSC推出基于主机的能力工具,收集并分析技术元数据,以帮助政府部门了解他们面临的威胁。在成功试验一年之后,这项服务已经部署到9个部门的35000台政府设备上。这种能力是对各部门自身安全措施的补充。NCSC收集数据,用于检测恶意活动,提供月度威胁报告,并评估严重网络威胁。
(四)保护关键国家基础设施
NCSC的工作涵盖了公共部门和九个关键的私营部门(通信、运输、能源、民用核能、金融、水、化学品、空间和食品)的关键国家基础设施(CNI)。它为数百家在英国拥有、管理和维护CNI资产的公共和私营部门组织提供直接支持,包括一对一的技术咨询、共享威胁信息、进行网络演习,以及组织交流信息。
1、与金融机构合作
NCSC多次提醒英国金融机构注意国内外ATM套现欺诈的威胁。NCSC与世界各地的政府和行业合作伙伴合作,利用其独特的地位将电信和金融行业的专家聚集在一起,通过NCSC的《网络安全信息共享伙伴关系》(CISP)平台,共享有关威胁和预期恶意活动的信息并发布警报,制定缓解措施。提醒银行迅速采取防御措施,保护自己免受财务损失和声誉损害。
2、与能源部门合作
NCSC与能源部门开展的合作具有多样性和广泛性。2019年,NCSC与英国最大的炼油厂之一合作,对其系统的升级进行审查并提出建议,大大提高了其弹性。NCSC的网络对手模拟小组还对一家关键的道路燃料供应商进行了一次演习,该供应商发现了一直防范的漏洞。NCSC与商业、能源和工业战略部(BEIS)合作,与配电网络运营商举行了一次复杂的电力技术演习。共有超过170名参与者在英国13个不同的地点参与演习,测试该行业对国家级事件的反应。NCSC还对BEIS智能计量基础设施进行审查并提出建议,确保整个行业最高网络安全标准。
3、电信供应链审查
DCMS启动电信供应链审查时,要求NCSC审查英国电信供应链中的网络安全风险,以确保审查得到专家技术分析的支持。分析强调了该行业面临的一系列网络风险,因此建议需要改变政策,以推动电信行业改进安全。
(五)维护国家安全
NCSC 将“罗莎”(ROSA)(中央政府IT系统)转变为跨政府的全面支持服务。ROSA在全球152个国家提供固定和移动秘密协作工具和通信,允许用户安全地创建并共享数据。NCSC本身使用ROSA与政府客户和行业合作伙伴进行更有效、更安全的合作。目前,ROSA已扩展到多个政府部门,确保政府通信得到适当保护。
开展“网络手术”活动。参加“网络手术”的有国防部和其他政府利益相关者,这使他们有机会听取NCSC技术专家的意见。“手术”还提供了讨论、挑战和反馈的机会,确保NCSC的领导层在面对不断变化的技术挑战时,更好地满足利益相关者的要求。
NCSC通过事件和威胁报告、提供网络安全风险和政策建议,识别供应链漏洞,支持持续海上威慑(CASD)。NCSC还将支持新的后继计划,在未来30年内为目前的先锋级三叉戟潜艇提供替代品。
《联合加密密钥计划》(JCKP)是国防部和NCSC为未来开发高端加密密钥解决方案的联合项目。它投资于使用高端加密技术的产品和服务,帮助英国保守秘密,有效共享信息,确保信息在需要时可用。JCKP帮助英国保持其在加密密钥服务领域的世界领先地位,使英国能够跟上业务需求发展的规模,应对来自对手日益增加的威胁。英国密钥生产管理局(UKKPA)是NCSC加密防御的重要组成部分。UKKPA为政府、行业和海外盟国生成、分发并说明加密密钥材料,支持安全加密通信。
二、持续开展各项计划和活动,大幅提高对网络空间威胁的防御能力
(一)《主动网络防御》计划第二年的实施情况
《主动网络防御》(ACD)计划的最终目标是减少世界范围内的网络攻击。它代表着英国在网络安全方面的一个重大进步,因为它与中央政府、地方政府和企业合作,采取了自愿、非监管、非法定的方式。ACD主要提供四项服务:网页检查、受保护的域名系统(DNS)、删除服务和邮件检查。
通过删除服务,NCSC删除了98%的恶意钓鱼网址,这些网址中的62.4%在确定是恶意后的24小时之内被删除。英国在全球网络钓鱼中的份额,2016年6月为5.31%,2018年10月为3.33%,2019年6月下降到2.07%。2016年,英国税务及海关总署(HMRC)在全球网络钓鱼机构中排名第16位。2019年9月,由于ACD服务和HMRC反制措施的影响,它们的排名已降至世界第126位。
(二)启动网络防御生态系统,实时共享知识
NCSC启动网络防御生态系统(CDE),实时共享网络安全知识。CDE的目标是利用开放的行业标准,建立一个协作威胁分析和自动威胁共享的国家或国际生态系统。该计划是对ACD计划的补充。自2016年以来,该计划已经证明,简单的措施可以大大减少网络攻击。CDE的目的不仅仅是共享信息,而是通过具体行动,加强对服务提供商、企业和那些维护社区网络的人们的保护。
这个新的生态系统旨在提供四个关键成果:一是在全英国(并及时在全球范围内)建立一个结构化和自动化的生态系统。二是分享NCSC的困惑,以更好地保护英国、合作伙伴和盟友。三是建立并加强威胁意识,以便更好地进行探测和防御。四是发现恶意活动,迅速提醒企业受害者。
(三)召开“2019网络英国”会议
2019年 4月,“2019网络英国”会议首次在苏格兰举办,近3000名来自行业、政府和学术界的代表参加了会议。会议为英国网络安全界提供了一个充满活力的论坛,促进了国内和国际对话。为配合“2019网络英国”会议,苏格兰政府在格拉斯哥举办了一个网络周。现在计划每年举办一次,确保留下持久的遗产。
五眼情报联盟在“2019网络英国”会议上召开小组会。五眼情报联盟由英国、美国、加拿大、澳大利亚和新西兰组成。2019年,来自五眼情报联盟的专家们在英国本土首次召开公开会议,该次会议是在NCSC “2019网络英国”年会上举行的,旨在倡导全球网络攻击抵御能力。
NCSC始终活跃在国际舞台,促进跨国界共享英国的网络安全专业知识。在过去一年,NCSC代表访问了20多个国家,进行双边和多边活动,并作为发言人参加了30项国际活动。
(四)与北约进行网络防御合作
2019年5月,NCSC在伦敦主办了北约网络防御承诺会议,旨在协调各个国家,汇集最优秀的专业知识,应对日益增长的网络威胁。英国外交和国防大臣接待了北约秘书长、北大西洋理事会大使和来自29个国家的120名网络专家,在NCSC总部和伦敦兰开斯特宫举行会议。NCSC强烈支持全面实施2016年在华沙达成的网络防御承诺,确保联盟具备网络意识,开展网络培训,提高网络安全能力。
(五)继续开展各项活动,选拔、培养网络安全人才
1、发放“网络第一”(CyberFirst)助学金
“网络第一”计划旨在发现和培养年轻人才,吸引来自不同背景和地区的学生,帮助他们发掘自己对网络安全技术的热情,并为他们提供必要的技能和知识,将其付诸实践。“网络第一”助学金已进入第四个年头,超过750名英国大学生在本科学习期间每年获得4000英镑的助学金,这些学生每年夏天将回到“网络第一”学院学习至少8周的关键网络安全技能,为他们开始网络职业生涯提供帮助。
2、继续举办“网络第一女孩”竞赛
“网络第一女孩”竞赛激励年轻女孩从事网络安全职业。这项全国性比赛是免费的,面向英格兰和威尔士的8年级女孩、北爱尔兰的9年级女孩和苏格兰的S2年级女孩。2019“网络第一女孩”竞赛参与者数量最大、最多样化,是迄今为止最成功的。来自英国各个地方的841所学校的接近12000名女孩参赛,来自苏格兰和威尔士的参与学校的数量翻倍。参加竞赛之后,98%的女孩表示她们将学习更多的网络安全知识。
3、开办各等级“网络第一”课程
“网络第一冒险家”课程面向11-14岁孩子,“网络第一捍卫者”课程面向14-15岁孩子,“网络第一未来”课程面向15-16岁孩子,“网络第一高级”课程面向16-17岁孩子。过去一年,课程申请者增长了29%,其中女性申请者增长了47%。“网络发现”是政府的免费在线课外项目,旨在培养全国青少年的网络安全技能。通过这些课程,NCSC在13到18岁的学生中寻找网络安全人才。“网络第一学位学徒制”让大学生们在学习的同时获得收入,为他们在政府通信总部(GCHQ)工作作准备。
4、组建网络学校中心
2018年,NCSC在格洛斯特郡组建了两个网络学校中心,过去的12个月是网络学校中心第一个完整的学年。中心旨在开发一种模式,与学校就网络安全展开合作。该项目目前以多种方式支持格洛斯特郡各地的学校,从共享技术设备和教学计划,到资助教育访问,并与行业支持者保持联系。
(六)开展网络安全研究
1、构建网络安全知识体系
网络安全学科相对年轻,不够成熟。为此,NCSC建立了网络安全知识体系,长期致力于促进网络安全行业的发展。该项目的目的是将支撑这一职业的网络安全知识编纂成册。该项目提供核心知识、主题和参考文本的结构,重点是为英国人提供学习途径、专业发展和职业信息。NCSC一直在与网络安全机构合作,以确定关键知识领域。迄今为止,该项目已发布了19个知识领域,其中14个领域作为1.0版发布,包括人为因素、敌对行为和软件安全。
2、支持网络安全学术研究机构
NCSC与政府、行业和学术界的合作伙伴合作,支持网络安全研究方面的优秀成果,并鼓励行业投资。目前认可的具有成立网络安全研究卓越学术中心(ACE-CSR)的大学总数达到19所。NCSC目前正在支持四个成功的学术研究机构:网络安全科学研究所、验证可信软件系统研究所、可信互联网络物理系统研究所、安全硬件和嵌入式系统研究所,在具有重要战略意义的领域发展网络安全能力。
三、结语
NCSC自成立以来,每年出版年度回顾,总结过去一年所取得的进展和成就。NCSC运作进入第三年,很多工作在持续开展,已经形成品牌,如每年召开“网络英国”会议,举办“网络第一女孩”竞赛。在减少和应对网络攻击方面,NCSC进行了技术创新,开展了开创性的工作,取得显著成效。随着NCSC的逐步成熟,它在网络安全领域的影响力会越来越大。