12月15日,英国政府发布了《国家网络空间战略2022版》(National Cyber Strategy 2022)。英国政府认为,网络空间正在彻底改变传统的生活方式和对待国家安全的方式。英国需要明确保护和促进其网络空间利益的方法,从而确保英国继续成为负责任的和民主的网络大国。新的国家网络空间战略将强化英国的网络空间安全,使其能够满怀信心地追求和促进其在网络空间的利益,同时确保领先于对手,加强其在网络空间采取行动的能力,以及影响和塑造未来的能力技术。战略制定了英国未来五年的五项“优先行动”,也是支撑战略的五大支柱。其中,第二项,支柱2:建设一个有弹性和繁荣的数字英国。这突显了网络弹性的重要地位,也传达一种未来应对网络安全风险更加务实的态度。
战略的前言中称,在接下来的十年里,互联网、数字技术和支撑它的基础设施对于英国及其的盟友和对手的利益将变得更加重要。随着英国在竞争更加激烈的时代需要为自己打造新的角色,加强其网络力量将使其能够引领工业和其他国家的道路,领先于未来的技术变革,减轻威胁并获得对其对手的战略优势。
战略描绘的愿景是,到2030 年,英国将继续成为负责任和民主的网络强国,能够保护和促进其在网络空间中和通过网络空间的利益,以支持国家目标:
一个更安全和更有弹性的国家,为不断变化的威胁和风险做好更充足的准备,并利用其网络能力保护公民免受犯罪、欺诈和国家威胁
一个创新、繁荣的数字经济,机会更均匀地分布在全国和多样化的人口中
科技超级大国,安全地利用变革性技术支持更绿色、更健康的社会
在全球舞台上成为更具影响力和价值的合作伙伴,塑造开放稳定的国际秩序,同时维护其在网络空间的行动自由
该战略制定了五项“优先行动”,也是该战略框架的支柱,指导和组织英国未来采取的具体行动以及到 2025 年打算实现的成果:
支柱1:加强英国网络生态系统,投资于人员和技能,并深化政府、学术界和工业界之间的伙伴关系
支柱2:建设一个有弹性和繁荣的数字英国,降低网络风险,使企业能够最大限度地利用数字技术的经济利益,让公民在线更安全,并确信他们的数据受到保护
支柱3:在对网络力量至关重要的技术方面处于领先地位,构建英国的工业能力并开发框架以确保未来技术的安全
支柱4:提升英国的全球领导地位和影响力,以建立更安全、繁荣和开放的国际秩序,与政府和行业合作伙伴合作并分享支撑英国网络力量的专业知识
支柱5:检测、干扰和威慑英国的对手,以加强英国在网络空间中和通过网络空间的安全,更加综合、创造性和常规地利用英国的全方位力量
支柱 2:网络弹性,建立一个有弹性和繁荣的数字英国
网络安全和弹性是英国作为网络强国的更广泛战略目标的基础:没有它们,英国就无法充分利用数字技术的转型潜力来重建更好、更公平、更强大,并保护英国在网络空间和通过网络空间获得的利益。英国必须继续建立强大的网络防御,采取行动在国家、地方和个人层面保护英国的数字网络、信息和资产,并确保它们在发生事件时具有弹性。
虽然这里强调关注网络弹性,但要使其完全有效,还将需要成为提高英国弹性的整体、全社会努力的一部分。即将出台的《国家复原力战略》是综合审查的一项重要承诺,将制定国家复原力的总体方法。
在过去十年中,随着国家网络安全中心 (NCSC) 的建立、建议、指导和其他工具的可用性增加以及包括网络和信息系统法规在内的立法的实施,在提高网络弹性方面取得了重大进展(NIS 法规)、《通用数据保护条例》和《2018 年数据保护法》。但仍然存在严重差距。网络漏洞影响政府、企业、组织和个人;许多组织仍然报告大量网络安全漏洞或攻击。
在该战略中,网络弹性的概念具有三个关键方面。首先,需要了解风险的性质。其次,需要采取行动保护系统以防止和抵御网络攻击。第三,认识到某些攻击仍会发生,需要为这些做好准备,以具有足够的弹性以最大限度地减少它们的影响并能够恢复。
英国的方法将针对每个受众量身定制,并由使英国能够应对系统性风险的国家能力提供支持。寻求保护和影响的受众是英国公民、企业和组织、政府和公共部门,以及运营国家关键基础设施的人(提供关键服务,如饮用水、电力、金融、运输和电信,我们都依靠)。
英国将首先专注于保护所有英国互联网用户的数字环境、防止攻击、建立产品和服务的基本安全性,并帮助个人和小型企业和组织采取基本行动来提高网络安全性。随着向那些具有更大责任和能力的人过渡,以根据风险建立额外的安全和弹性层,这将最终为英国的公民和经济所依赖的关键公共和基本服务提供最高水平的保护。
这必须是政府与经济和社会所有部门之间的共同努力。企业和组织的董事会有责任管理自己的网络风险。国家的目标是在正确的激励、支持和监管框架的支持下设定明确的期望,以实现改进并将网络安全风险的负担从最终用户转移到最有能力管理它的人身上。
政府部门、更广泛的公共部门和受监管的国家关键基础设施 (CNI) 运营商必须提高标准并更积极地管理风险。希望大型企业和组织,包括数字服务和平台的提供商,作为经营业务的核心部分,更有责任保护他们的系统、服务和客户。作为回报,政府将采取更多措施来保护数字环境和应对系统性风险,并通过建议、工具、市场认证和发展促进改进的技能提供支持。
英国促进网络弹性的努力也必须成为国际行动的一部分。供应链、IT平台、跨国企业和互联网本身的日益全球化,意味着英国不能孤立地改善自身的网络安全。为了应对这一挑战,需要继续更好地了解英国与全球网络弹性之间的联系,解决高风险领域,并与国际合作伙伴合作建立弹性,促进数字化转型、安全和贸易,以实现互惠互利。
网络弹性的三大目标和2025年预期达到的成果描述如下。
目标1:提高对网络风险的理解,以推动在网络安全和弹性方面采取更有效的行动
将在政府、企业和组织之间建立更密切的伙伴关系,以提高对风险的集体理解,指导优先排序并建立行动依据。将通过与为消费者提供服务的企业和组织合作来支持公民;进一步加强政府识别交叉风险的能力。
到2025年,将取得以下成果:政府对国家网络风险有最新的战略理解;政府在了解网络风险方面以身作则;通过英国的CNI,将对网络风险有更深入的了解;英国企业和组织对网络风险及其管理责任有了更好的了解。
目标 2:通过改进英国组织内部的网络风险管理,并为公民提供更好的保护,更有效地预防和抵御网络攻击
预防和抵御网络攻击的方法假设:(i) 组织有责任采取行动管理自己的网络风险,但需要在董事会层面建立更强有力的问责制和良好治理框架,以将其作为优先事项;(ii) 政府可以发挥作用与行业合作,在其独特的情况下采取措施直接大规模降低风险;(iii) 必须确保提供支持和指导,以帮助个人、个体经营者以及小企业和组织管理其网络风险。
到2025年,将取得以下成果:大规模减少对英国的伤害,减轻了英国公民的负担;到2030年,政府的关键职能已显着增强以抵御网络攻击,并且所有政府组织(包括整个公共部门)都将能够抵御已知漏洞和攻击方法;关键国家基础设施的网络风险得到更有效的管理;数据使用所依赖的基础设施是安全且有弹性的;越来越多的英国企业和组织正在积极管理他们的网络风险并采取行动来提高他们的网络弹性;技术建议、自助工具以及用于提高网络弹性的有保证的产品和服务很容易获得并不断改进,特别强调帮助公民、个体经营者和小型组织。
目标 3:加强国家和组织层面的弹性,以准备、应对网络攻击并从中恢中复中中中恢复
尽管努力了解风险并采取预防措施,但事件仍然会发生。需要加强所有组织的事件管理和响应能力,以尽量减少造成的伤害并为受害者提供更好的支持。
到2025年,将取得以下成果:英国对国家重大网络事件响应的战略管理和协调更加有效。报告网络事件更容易,网络犯罪的受害者得到更好的支持。政府和CNI 更有准备应对事件并从事件中恢复,包括通过更好的事件规划和定期演练。英国企业和组织更清楚地了解发生事故时该怎么做、向谁打电话、谁可以提供帮助以及如何恢复。
参考资源
https://www.gov.uk/government/publications/national-cyber-strategy-2022/national-cyber-security-strategy-2022
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
