本篇文章3929字,读完约10分钟
现代世界和技术的关系非常微妙。 另一方面,网络的兴起为公司、个人、公共部门提供了提高效率、改善信息表达的新机会。 另一方面,对电子信息表达渠道的依赖给国家基础设施带来了新的挑战:基础设施面临网络攻击的风险非常脆弱,网络攻击、国际恐怖主义、重大灾害是英国国家安全行业的三大风险。
为了充分利用21世纪的通信特性,降低风险,英国政府每年启动了5年的国家网络安全计划( ncsp )。 虽然这个计划难以实现,但8亿6千万英镑的资金预算投入反映了大臣对能实现这个项目成果的殷切期望。
由于网络威胁之多和之杂,皇家联合军种防卫研究院( rusi )的卡姆·杰弗里( calum jeffray )称之为“形态最多、变化速度最快的国家安全风险”。 因此,英国国家互联网安全计划的目标必然涉及范围很广。 这些目标包括打击网络犯罪,提高攻击恢复能力,支持建设有利于“开放社会”的网络。 为了实现这样的目标,英国的企业和个人需要具备更好的“网络技能、网络知识、网络能力”,这也将得到承认。
那么,国家网络安全计划进展如何?
幸运的是,负责重大项目独立保障的重大项目管理局( major projects authority )对该计划给予了绿色评价。 英国国家审计局( national audit office )就该计划表示:“互联网威胁是国家安全面临的最多、最复杂的威胁,国家互联网安全计划在对互联网威胁的理解上取得了良好的进展。”
但是,国家审计局的赞誉并不是没有保存,互联网威胁不断变化的本质提醒着英国政府“要实现目标,就必须加快一些行业的变革”。 国家审计署要点提出的具体改进措施包括让政府了解网络攻击可能以什么形式威胁主要公共服务,并加大力度帮助个人和公司减少攻击风险。
对国家互联网安全计划来说,最具挑战性的事业之一是向公众证明威胁的本质,不使其产生恐惧。 英国政府希望鼓励越来越多的人采用数字服务,但是为了向个人和公司传播数据泄露的风险是必要的,必须努力。 因为这是一个不太容易传播的新闻,国家互联网安全计划非常重视教育的推进。
最有价值的推进教育事业是英国政府面向公司发表的“网络安全十大步骤”的指导。 该指导文件最初于年发表,并于今年年初修订。 “10个步骤”的指导原则包括保护恶意软件、管理客户的特权和互联网安全等各行各业的新闻和建议。 网络安全行业出现了许多教育机会。 由于一些国家网络安全计划的原因,网络安全这门学科进入了英国学术教育体系,从中学计算机科学课程到博士学位研究都有相关内容。
英国国家审计局表示,尽管对培训的诉求“依然很大”,但英国国家网络安全计划已经“鼓励制定多项教育和培训计划,刺激了相关技能的快速发展”。 在非正式层面,有24000多人在开放大学申请网络安全入门课程。 英国政府预测,开展推广活动将使200多万人的网络行为更加安全。
英国内阁办公室网络安全办公室主任娜塔莉·布莱克( natalie black )说:“更好地保障网络安全的诉求越来越高 为此,我们在教育系统内外努力包括见习制度和学生实习。 我们赞助了学校的网络安全竞赛、技术学徒和博士生的学习,我们把网络安全融合到计算机科学和学位中。 现已认证互联网安全行业6个硕士学位,设立2个新的博士培训中心、3个研究机构和13个卓越学术中心( academic centres of excellence )。 ”。
显然,面向终端用户推进教育、传播新闻显然是国家互联网安全规划措施的重点,希望个人和公司为自己的互联网安全负责。 并且,也认识到为了达到这个目的,有必要为人们配备新的技能。 计划官员表示,指导比推行监管满意度高。 由于技术多、受众群体多样性新,推进监管成效不大。
在2007年公共会计委员会( public accounts committee )的重要会议上,内阁国家安全副顾问、现任公民服务改革主任奥利弗·罗宾斯( oliver robbins )认为,监管并不是改善网络安全的可行途径。 他对个人住宅的安全进行了类比评论,说保护个人财产的最好方法是由个人决定。
对议员们说:“给自己家的门窗上什么样的锁,还不是规定好的。 实际上,保护财产的方法是从保险企业的压力、警察的建议、他人的经验、自我保险的学习等多方面综合考虑的决策。 我们担心的是,对这个行业过于积极的监管可能意味着每隔几年就要把19世纪飞速发展的技术锁上。 ”。
官员本质上说,网络安全威胁发展迅速,任何监管措施一旦正式成文,都将过时。 因此,更好的方法是鼓励个人和公司及时获得最新的建议和技术动态并做出相应的响应。
cgi科技公司的网络安全总监安德鲁·罗格斯基这样说道。 “这是‘轻推’政治的最佳体现”。 他从2009年开始成为内阁办公室国家网络安全计划的高级顾问。 “该计划广泛影响人们的行为和决定,受影响的大多是商业机构或个人,而不是公共行业机构。 所以,这是一个影响远远超过政府的政府计划,需要众多利益相关公司的参与。 ”。
国家互联网安全计划的最大目标之一是互联网安全新闻共享伙伴关系( cisp )。 这是政府出资与产业合作的项目,许多商业机构分享互联网威胁的最新消息。 加入cisp后,公司有权登录安全平台,发布互联网安全和弱点新闻。 这样,cisp会员就可以更好地了解当前的危险,并传达应对威胁的最佳做法和观点。
合作关系的首要目标是提高英国产业整体的安全性。 目前,合作关系共有virgin media、bae systems、英国电信等500多个会员机构。 英国电信公司表示,cisp将鼓励会员建立多样化的社区,与以前在业外共享新闻、平时接触不到的任何机构进行交流。
正如内阁办公室布莱克所解释的,鼓励网络安全方面的创新符合公司对切实利益的追求。 她说:“网络安全为英国公司提供了巨大的机会。 英国网络安全行业产值超过60亿英镑,创造了约40000个就业岗位。 到明年年底,我们打算把互联网的安全出口增加一倍,达到20亿英镑。 我们的目标是增加到每年40亿英镑。 我们将促进越来越多的地区集群,支持越来越多的英国互联网公司。 ”
但是,对于大企业从国家网络安全计划中获得的利润,国家审计局表示,迄今为止在鼓励出口方面,这些利润对中小企业“效果有限”。 通过该计划促进出口的政策偏向于“成熟企业”,以中小企业为代价。
审计署还对扩大鼓励互联网出口范围方面的“缓慢”进展提出了质疑。 该业务的一部分由英国贸易投资局主导,英国内政部、英国海外交、联邦省和英国商业创新技能部也从预算中筹措资金进行支援。
正如英国国家审计局所解释的,计划也有些受挫。 投资总局表示:“根据内阁办公室的原计划,英国贸易投资总局必须在年3月制定网络安全营销战略,但在期限的14个月后,也就是年5月之前,投资总局没有公布这一计划。 投资局在这个战略上行动迟缓,从去年2月开始制定各用户市场的战略。 ”。
从会计检查局的调查中可以看出对出口方面的担忧。 调查范围包括专家、政府和产业界人士,请他们对第一互联网挑战的业绩进行评分,满分为5分,代表了“卓越”的进展。 贸易和出口的事业得分低于其他,产业界为25分,政府为30分,专家为29分。
尽管出口事业不尽如人意,但显然来自国家互联网安全计划其他事业的反馈非常可喜。 根据国家审计署的调查研究,其他领域的员工得分在2.5分以上,产业对政府网络威胁的理解呈现出4.0的高分。 政府缩小网络技能差距的努力也得到了产业界的正面反馈,得分为3.6分。
罗斯基把成功归结为“积极”和私营部门信息表达的“高质量”公共部门的人员。 他认为,这也是整个计划做法论的体现,“要利用商界的见解,商业对技术的投资量比公共部门大得多,并且要利用政府的见解,充分吸收双方的专业经验。”
内阁办公室对计划的监管作用非常重要。 国家互联网安全计划的融资模式看起来很容易理解,即公共部门、私营部门和第三方机构分别为特定项目寻找资金,内阁办公室监督这些机构的提供实现。 国家互联网安全计划下制定的标准在整个公共行业得到推广。 例如,国防部现在举例要求所有供应商满足政府的cyber essentials安全标准。
这并不意味着计划没有面临重大挑战。 受国家网络安全计划委托,普华永道新公布的一项研究显示,安全入侵时间扭转了去年的下跌趋势,在大规模组织和小规模组织中发生次数再次增加。
研究表明,90%的大企业反映了入侵,以前为81%。 受到入侵的中小企业的比例从去年的60%上升到了74%。 云计算的使用在更广的范围内给工业带来了新的互联网安全隐患。 在严格的“战术防卫与安全判断”报告下,计划能否继续还需要注意。
但是官员们可以从普华永道的另一个结论中得到信心,国家安全网计划框架下的项目被更多的人使用。 例如,32%的受访者表示,他们采用的是比去年上升6%的“10步”指导。 近一半的机构目前正在通过认证或申请“cyber基本”或“cyber基本”。 对通信和网络威胁的理解也比去年有所提高。
国家互联网安全计划存在于快速发展的高风险环境中。 这是因为该计划的成绩更加引人注目。 该计划有力地说明了如何鼓励各部门创新,与商业行业建立有价值的关系,并密切跟踪多个目标的进展情况。 该计划需要应对不断变化的威胁,但需要确保政府的支持覆盖中小企业。 国家互联网安全计划表明,与众多利益相关公司相关的许多复杂项目在政府主导下能够良好运营。
6月19日【英国】公共技术网站
编译:工业和新闻部国际经济技术合作中心刘佳源
参照“中国经济网-国际频道-国际it领域信息”的精彩文案正在增加。
标题:“英国国家互联网安全计划现状”
地址:http://www.man-on.com/masjj/13698.html