英国发布首部针对政府机构的网络安全战略

据外媒报道，2022年1月25日，英国政府内阁办公室正式发布专门针对公共政府部门的首部网络安全战略——《2022年-2030年英国政府网络安全战略》，战略涉及多项具体安全保障措施，并设立两大关键性战略目标：一是致力于为英国政府部门的网络安全弹性夯下坚实基础，并辅以采用国家网络安全中心的《网络评估框架》（CAF）；二是批准并推动英国各政府部门通过共享数据、专长和能力，实现“一体化防御”。

英国是全球最早将网络安全提升至国家战略高度的国家之一，早在2009年6月就发布了首份国家网络安全战略文件，用以指导和加强国家网络安全建设。随着网络安全威胁的发展变化及其对国家安全威胁的不断增长，英国政府在2021年12月，发布更新了最新版《国家网络安全战略》，在总结以往经验教训的基础上，不断适应新形势进行优化调整，为公共部门、私营部门和第三部门之间的“全社会”努力设定安全目标。

此次发布《政府网络安全战略》，首次明确强调了政府机构等公共部门战略涉及的安全保障措施和要求，实现政府机构间一体化的安全防护，包括：

• 设立新的政府网络协调中心，以协调英国全国公共部门的网络安全整体协同工作，该中心将直接隶属英国内阁办公室；

• 推出新的、更详细的保证机制，包括评估各部门计划和漏洞，旨在提供更详细的网络健康状况；

• 迅速识别和调查对公共部门系统发动的攻击，并协调响应工作，确保相关数据得到共享；

• 采用分层模式（tiered profile）负责响应政府职能部门面临的各种威胁；

• 加强支持地方政府的安全工作，包括拨款3780万英镑以确保议会服务的网络安全等。

英国内阁办公室部长Steve Barclay表示：《政府网络安全战略》的发布，旨在进一步加强政府机构的网络安全防御能力，从提供公共服务到运作国家安全机构，我们的核心政府职能必须比以往任何时候都更有弹性，积极应对网络攻击。我们正在制定明确的目标，即到2025年，政府关键职能的安全防护能力将显著得到加强。这个目标适用于所有公共服务组织——包括地方政府、卫生和教育部门。只有确保网络攻击既不会破坏英国政府机构的核心职能，也不会削弱政府至关重要的公信力，我们才能充分利用网络技术的潜力，保护和促进英国的国家整体利益。

据了解，此次发布的《政府网络安全战略》共分九章，从背景、方法、网络安全风险管理、网络攻击防御、网络安全事件检测、网络安全事件影响控制、网络安全知识技能及文化培养、成果评估、战略执行等方面，确定了五个安全防护目标，以提供一致性的安全框架和通用原则，包括：管理网络安全和风险、防范网络攻击、检测网络安全事件、尽量减小事件的影响，以及培养合适的网络安全技能、知识和文化。但上述目标的实现还需要依赖一系列关键绩效指标的支撑，这些指标仍有待开发。