英国国家网络安全计划现状
2015-07-20 中文网 编辑:佚名
现代世界与技术的关系十分微妙。一方面,互联网的兴起为企业、个人和公共部门都提供了提高效率和改善沟通的新机会。另一方面,对电子沟通渠道的依赖为国家基础设施带来了新的挑战———基础设施在面临网络攻击的风险时十分脆弱,而网络攻击、国际恐怖主义和重大灾害是英国国家安全领域的三大风险。
为确保能够在充分利用21世纪通讯优势的同时降低风险,英国政府于2011年启动了为期五年的“国家网络安全计划”(National Cyber Security Programme,NCSP)。虽然该计划不易实现,但8.6亿英镑的资金预算投入,反映了各位大臣对于这一项目能够取得成效的殷切期待。
由于网络威胁的复杂性,皇家联合军种国防研究院(RUSI)的卡勒姆-杰弗瑞(Calum Jeffray)称其为“形态最多、变化速度最快的国家安全风险”。因此,英国国家网络安全计划的目标涵盖范围必然很广。这些目标包括打击网络犯罪、提高攻击恢复能力、帮助建设有利于“开放社会”的网络。计划还承认,实现上述目标需要英国企业和个人具备更好的“网络技能、网络知识和网络能力”。
那么,国家网络安全计划的进展如何?
令人欣喜的是,负责为重大项目提供独立保障的重大项目管理局(Major Projects Authority)为这一计划给出了绿色评级。英国国家审计局(National Audit Office)2014年对该计划的评估认为,“网络威胁是国家安全面临的最为复杂的威胁,国家网络安全计划在对网络威胁的理解上取得良好进展”,“该计划财务管理严明,治理制度有力,预计到2016年3月,政府将用满8.6亿英镑的计划预算”。
不过,国家审计局的赞誉并非毫无保留,该机构警告称,网络威胁不断变化的本质意味着英国政府“为完成目标必须加快某些领域的变革步伐”。国家审计局重点提出的具体改进措施包括让政府更好地理解网络攻击可能以何种形式威胁主要公共服务,同时加大力度鼓励个人和企业减少攻击的风险。
对于国家网络安全计划来说,最具挑战性的工作之一就是向公众说明威胁的本质,同时避免产生恐惧。英国政府希望鼓励更多人使用数字服务,但必须同时努力向个人和企业宣传数据泄露的风险。这是一个很难传达的信息,所以国家网络安全计划对宣传教育非常重视。
最值得一提的宣传教育工作,是英国政府面向企业发布的“网络安全十步骤”指导。该指导文件最初于2012年发布,在今年年初进行了修订。“十步骤”的指导内容包括防护恶意软件、管理用户特权和网络安全等多个领域的信息和建议。网络安全领域正涌现大量教育机会。部分由于国家网络安全计划的原因,网络安全这一学科进入了英国的学术教育体系中,从初中计算机科学课程到博士学位研究均有相关内容。
根据英国国家审计局的说法,尽管对培训的需求“依然很大”,英国国家网络安全计划已经“鼓励了很多教育和培训计划的制定,刺激了相关技能的发展”。在非正式层面上,已有超过24000人在开放大学上报名网络安全入门课程。英国政府预计,由于开展宣传活动,超过两百万人的上网行为更加安全。
英国内阁办公室网络安全和信息保障办公室(Office of Cyber Security and Information Assurance)主任娜塔莉-布莱克(Natalie Black)解释道:“更好地保障网络安全的需求不断上涨,拥有足够多合适技能的人才来满足这样的需求至关重要。为此,我们已经在整个教育系统内外采取努力,包括学徒制度和学生实习。我们赞助了学校里的网络安全竞赛、技术学徒和博士生学习,我们正在把网络安全融入计算机科学和学位,目前已经认证了网络安全领域的6个硕士学位,创建了2个新的博士培训中心,3个研究机构和13个卓越学术中心(Academic Centres of Excellence)。”
很显然,面向终端用户宣传教育、发布信息显然是国家网络安全计划措施的重点,计划希望看到个人和企业能为自身的网上安全负起责任。同时,该计划也认识到,要达到这个目的就要为人们配备新技能。计划相关官员说,指导比推行监管满意度更高。由于技术的复杂性和用户群体的多样新,推行监管将很难达到效果。
在2013年公共账目委员会(Public Accounts Committee)的一次重要会议上,时任内阁国家安全副顾问、现任公民服务改革主任奥利弗-罗宾斯(Oliver Robbins)说,他认为监管不是改善网络安全的可行方式。他用个人住宅安全做类比评论说,究竟什么是保护个人财产的最好方式由个人来决定。
他对议员们说:“自家门窗用什么样的锁并不是由规定来决定的。事实上,保护财产的方式由来自保险公司的压力、警方的建议、他人的经验和学习如何自保等多方面综合考虑的决定。我们担心的是,对这一领域过分积极的监管可能意味着在每隔几年就大跨越式发展的技术上安一把十九世纪的锁。”
官员称,从本质上讲,网络安全威胁发展速度非常快,任何监管措施正式成文时都将过时。所以,更好的办法是鼓励个人和企业及时获得最新的建议和技术动态,从而做出相应的回应。
CGI技术公司网络安全总管安德鲁-罗格伊斯基(Andrew Rogoyski)这样说道:“这是‘轻推’政治的最佳体现。”他从2014年起成为内阁办公室国家网络安全计划高级顾问。“这个计划广泛影响人们的行为和决策,受影响的大多数是商业机构或个人而不是公共领域机构。所以,这是一个影响力范围远超政府的政府计划,需要大量利益相关方的参与。”
国家网络安全计划中最远大的目标之一是网络安全信息共享伙伴关系(Cyber-Security Informaiton Sharing Partnership,CiSP)。这是由政府出资与产业联合的项目,汇聚众多商业机构分享网络威胁的最新信息。加入CiSP后,企业有权限登录到安全平台,发布网络安全和弱点信息。这样,CiSP会员就更加了解当前危险,并能够传播应对威胁的最佳实践和观点。
伙伴关系的主要目标是提高英国产业总体安全性。目前伙伴关系有五百多名会员机构,包括Virgin Media、BAE Systems和英国电信等。英国电信说CiSP“打造了多元化社区,鼓励会员在传统领域之外分享信息,与平时接触不到的任何机构进行互动”。
正如内阁办公室的布莱克所解释的,鼓励网络安全方面的创新符合企业对切实利益的追求。她说:“网络安全为英国企业提供了重大机遇。英国网络安全领域产值已经超过60亿英镑,创造了约40000个就业岗位。到明年底,我们打算将网络安全出口翻番,到20亿英镑。我们的目标是到2020年增加到40亿英镑。我们会促进更多的区域集群,支持更多的英国网络企业。”
不过,对于大公司称从国家网络安全计划中获得的收益,国家审计局称,到目前为止从鼓励出口上看,这些收益对于中小企业“效果有限”。这项计划中促进出口的政策偏向“成熟公司”,牺牲了中小企业。
审计局还就扩大鼓励网络出口范围上的“缓慢”进展提出质疑。这一部分工作由英国贸易投资总署牵头,英国内政部、英国外交和联邦事务部和英国商业创新技能部也从预算中拨款支持。
正如英国国家审计局所解释,计划也遭遇了一些挫折。投资总署谈到:“根据内阁办公室原计划,英国贸易投资总署应于2012年3月制定出网络安全营销策略,但直到截止日期14个月之后,也就是2013年5月,投资总署才发布这一计划。投资总署在这一策略上行动较慢,从2014年2月起才开始为每个目标市场制定策略。”
对于出口方面的担心从审计局的调查中也可见一斑。调查范围包括专家、政府和产业界人士,让他们对应对主要网络挑战的工作进展进行打分,满分为5分,代表“卓越”进展。贸易和出口的工作得分少于其他项,产业界打出2.5分,政府打出3.0分,而专家打出了2.9分。
尽管出口工作不尽人意,显然国家网络安全计划其他工作的反馈十分喜人。国家审计署的调查研究显示,其他方面工作的得分都在2.5分以上,产业对于政府对网络威胁的理解上给出了4.0的高分。政府在缩小网络技能鸿沟上的努力也得到了产业界的正面反馈,得分为3.6分。
罗格伊斯基把成功归结为“积极”与私营部门沟通的“高素质”公共部门人员。他认为这也是整个计划方法论的体现,就是要“利用商界的见解,商业对于技术的投资量往往比公有部门大得多,同时也要利用政府的见解,充分吸取两边的专业经验。”
内阁办公室对于计划的监管作用十分重要。国家网络安全计划的融资模式看起来简明易懂,即由公共部门、私营部门和第三方机构各自为特定项目寻找资金,而内阁办公室监督这些机构交付实现。国家网络安全计划下制定的标准在整个公共领域推行——例如,国防部现在要求所有供应商按例满足政府“Cyber Essentials”安全标准。
这并不是说计划没有面临重大挑战。受国家网络安全计划委托,普华永道新发布的研究表明,安全入侵时间从前一年的下滑趋势发生扭转,在大型和小型机构中发生数量重新攀升。
研究还发现,90%的大公司反映遭受入侵,之前这一数字为81%。而遭受入侵的小企业比例从2014年的60%上升为74%。从更大的范围上看,采用云计算还会给产业带来新一轮网络安全隐患。在严格的《战略防务与安全评估》报告下,计划能否续期还有待观察。
但官员们可以从普华永道的另一些结论中获得信心,国家安全网络计划框架下的项目越来越多地为人所用。例如,32%的受访者说他们正使用“十步骤”指导,比去年上涨了6%。而近一半的机构现在要么已经获得认证或正在申请“Cyber Essential”或“Cyber Essential Plus”。对于通信和网络威胁的理解也比去年有所上升。
国家网络安全计划存在于一个快速发展的高风险环境中,因此计划取得的成绩更引人注目。该计划已经强有力地证明了中央协调职能(该计划中这一角色为内阁办公室)如何能够鼓励各个部门的创新,并与商业领域建立有价值的关系,同时紧密跟踪多个目标的进展情况。虽然这个计划需要应对不断变化的威胁,需要确保政府的支持覆盖到中小企业,国家网络安全计划表明,牵涉多个利益相关方的复杂项目可以在政府牵头的情况下良好运行。