英国《政府网络安全战略2022-2030》五大目标与详细计划清单

2022年1月25日，英国政府发布了《政府网络安全战略2022-2030》，该战略旨在树立英国作为网络大国的权威，具体规定了政府在面对不断变化的网络风险时将如何建立和保持其弹性。其核心目标是：到2025年，政府的关键职能在网络攻击面前得到显着加强，2030年前，整个公共部门的所有政府机构都能抵御已知的漏洞和攻击方法。

本文主要阐述了英国政府如何确保所有机构和部门共同抵御网络威胁，建立强大的网络弹性，成为一个民主和负责任的网络大国。全文主要围绕5个目标，详细描述具体做法和衡量标准，并给出了各阶段的实施计划。

2.网络安全战略

2.1 战略愿景：确保核心政府职能

从提供公共服务到国家安全机构的运作，能够抵御网络攻击，加强英国作为一个主权国家的地位，并巩固其作为民主和负责任的网络大国的权威。

2.2 战略中心目标：增强网络弹性

到2025年，政府的关键职能将大大加强对网络攻击的强化，整个公共部门的所有政府机构都不迟于2030年对已知的漏洞和攻击方法具有弹性。

2.3 两个战略支柱和转型建议

政府实现这一目标的方法围绕着两个互补的战略支柱，每个支柱都以转型提案为基础，该提案将解锁并推动整个政府的改进。

【支柱一：为政府网络安全弹性奠定坚实基础】

具体内容：确保政府组织拥有正确的机构、机制、工具和支持来管理其网络安全风险。

转型提案：增强网络安全保障（试点将于2022年底进行，随后逐步推出）

通过采用国家网络安全中心（NCSC）的网络评估框架（CAF）作为政府的保证框架来支持，政府特定的CAF配置文件阐明了政府组织所需的结果，以便按比例应对其最重要职能的各种威胁。

独立审计师客观核查将是中央政府部门的一项要求，尽管领导政府部门应以最适合其范围内公共部门组织的方式调整和应用这种方法。

除了提高网络安全风险的可见性外，采用CAF还为政府更有效地理解和管理它们提供了一个通用框架

【支柱二：“团结一致”】

具体内容：认识到威胁的规模和速度需要更全面和联合的应对措施，政府将利用其组织共享网络安全数据，专业知识和能力的价值，以呈现一支比其各部分之和更强大的防御力量。

转型提案：建立政府网络协调中心（2022年的初始运营能力）

建立政府网络协调中心（GCCC）为基础。作为政府安全集团、中央数字和数据办公室以及NCSC的合资企业，GCCC将致力于更好地协调网络安全工作，改变网络安全数据和威胁情报在政府范围内共享、使用和行动的方式。

政府将优先实施其两项转型提案，提供必要的机制，以促进整个政府网络弹性的显着和不成比例的改善。

2.4 五个目标方针

该战略的支柱由五个目标支撑。设定了在网络弹性方面需要考虑的维度，提供了一个可以应用于整个政府的一致框架和共同语言。

管理网络安全风险：有效的网络安全风险管理流程、治理和问责制能够在组织和跨政府层面识别、评估和管理网络安全风险。

防范网络攻击：了解网络安全风险有助于采用具有集中开发功能的相称安全措施，从而实现大规模保护。

检测网络安全事件：对系统、网络和服务的全面监控使网络安全事件能够在它们成为事件之前得到管理。

将网络安全事件的影响降至最低：网络安全事件得到迅速控制和评估，从而实现大规模的快速响应。

培养正确的网络安全技能、知识和文化：经验丰富、学识渊博的专业人员满足所有必需的网络安全需求，从网络安全技术专家到必须将网络安全纳入其提供的服务的专业职能的广度，所有这些都以促进可持续变革的网络安全文化为基础。

3.1 管理网络安全风险

政府组织将制定风险管理流程、治理和问责制，以便有效地识别、评估和管理其网络安全风险，并具有足够的总体可见性，以有效管理系统性风险。

治理和问责制：政府建立具有明确问责制的治理方案，从而能够有效管理各级政府的网络风险

资产和漏洞：政府对其数字资产具有全面的可见性和理解，使其能够识别和管理漏洞及其带来的网络安全风险

数据资产：政府全面了解其处理和共享的数据，以便能够适当地评估和应对其带来的风险

供应链风险：政府了解并管理商业供应商带来的风险

威胁信息：政府了解其相对于其职能所面临的威胁，以便在组织和跨政府层面规划适当的缓解措施

网络安全数据：政府组织能够及时访问相关且可操作的网络安全数据，从而提高其做出有效风险管理决策的能力

政府网络安全保障：政府网络安全保障为政府提供了做出有效决策所需的可见性，并使其有信心采取适当的网络安全措施来管理其职能的风险

私营部门和国际伙伴关系：进一步巩固与私营部门和国际伙伴的战略伙伴关系，以加强全球范围的积极防御

3.2 防范网络攻击

政府对网络安全风险的理解将为整个政府组织采取相称的安全措施提供信息，集中开发功能实现大规模保护。

安全技术和数字服务：政府采取共同的"安全设计"方法，确保在政府使用的技术中嵌入适当和相称的网络安全措施，并确保数字服务在其整个生命周期中不断得到保证

网络安全控制：政府组织部署与其风险状况相称的网络安全控制措施，以确保按比例管理其职能的风险

安全配置：政府技术得到适当配置，正在制定和不断更新通用技术和体系结构的标准配置文件

共享功能：共享能力、工具和服务大规模解决"常见"网络安全问题

信息和数据安全：对政府数据进行适当分类，并以与其所构成的风险相称的方式处理和分享

3.3 检测网络安全事件

政府有能力监控其系统、网络和服务，以便在网络安全事件成为事件之前对其进行检测。加强协调将使政府能够灵活地使用这些数据输入以速度和规模进行检测，从而促进一致的响应，并提供检测更复杂攻击的能力。

政府机构内部的检测：对政府网络、系统、应用程序和端点进行监测，以提供相称的内部检测能力

大规模检测：共享检测功能提供跨政府的大规模检测

3.4 将网络安全事件的影响降至最低

网络安全事件将得到迅速控制、评估和管理，从而在整个政府范围内实现快速的缓解响应。

应对准备：政府做好充分准备应对网络事件

事件响应：政府在组织和整个政府范围内对网络事件做出快速反应

事件恢复：政府恢复受网络安全事件影响的系统和资产，并在中断最少的情况下恢复其职能的运作

经验教训：从网络事件中吸取的经验教训推动政府网络安全的改善

3.5 培养正确的网络安全技能、知识和文化

政府拥有足够，熟练和知识渊博的专业人员来满足所有必需的网络安全需求。这超越了技术网络安全专家，扩展到专业职能的广度，这些职能必须将网络安全纳入他们提供的服务中，以促进可持续变革的网络安全文化为基础。

技能要求：了解所有政府网络安全技能要求

吸引和留住人才：政府吸引并留住了具有弹性所需的多元化网络安全劳动力

培养人才：政府不断发展其网络安全人员，以确保其拥有并保留所需的技能

其他政府职能部门的网络安全知识：政府专业职能部门具备足够的网络安全知识和意识，确保积极考虑网络安全

网络安全文化：政府拥有网络安全文化，使人民能够学习、质疑和挑战，从而持续改进行为，并实现可持续变革

4.1 阶段目标

当所有政府组织在以下时间框架内满足政府网络安全保障框架下相应CAF配置文件中规定的结果时，该战略的目标将得以实现：

到2025年，被确定负责关键职能的政府机构将"增强"达到CAF简介中规定的成果

到2026年，所有中央政府部门都将达到其指定的CAF简介中规定的成果

到2030年，所有其他政府机构将"基本"达到CAF简介中列出的成果

4.2 保持适当的复原力措施

随着网络威胁和风险环境的不断发展，必须确保政府组织所要求的结果保持适当。

将定期审查所有CAF配置文件以及支持它们的政府特定威胁配置文件，以确保所需的结果足以在面对不断变化的风险时保持网络弹性。这样做将保持该战略目标的完整性，并确保实现所需成果仍然是政府复原力的有力指标。

4.3 支持关键绩效指标（KPI）

将应用一些关键原则来指导KPI的使用，以便全面了解政府的网络弹性。绩效衡量原则包括：

KPI将给政府组织带来最小的负担

数据生成将尽可能自动化或基于预先计划和商定的时间表

KPI将是可以实现的

追求KPI不会以牺牲真正的网络安全结果为代价

KPI将展示真正的影响和好处（认识到直接展示网络安全结果的有限可量化数据）