現(xiàn)代世界與技術(shù)的關(guān)系十分微妙。一方面,互聯(lián)網(wǎng)的興起為企業(yè)、個(gè)人和公共部門都提供了提高效率和改善溝通的新機(jī)會(huì)。另一方面,對(duì)電子溝通渠道的依賴為國(guó)家基礎(chǔ)設(shè)施帶來(lái)了新的挑戰(zhàn)———基礎(chǔ)設(shè)施在面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)時(shí)十分脆弱,而網(wǎng)絡(luò)攻擊、國(guó)際恐怖主義和重大災(zāi)害是英國(guó)國(guó)家安全領(lǐng)域的三大風(fēng)險(xiǎn)。
為確保能夠在充分利用21世紀(jì)通訊優(yōu)勢(shì)的同時(shí)降低風(fēng)險(xiǎn),英國(guó)政府于2011年啟動(dòng)了為期五年的“國(guó)家網(wǎng)絡(luò)安全計(jì)劃”(National Cyber Security Programme,NCSP)。雖然該計(jì)劃不易實(shí)現(xiàn),但8.6億英鎊的資金預(yù)算投入,反映了各位大臣對(duì)于這一項(xiàng)目能夠取得成效的殷切期待。
由于網(wǎng)絡(luò)威脅的復(fù)雜性,皇家聯(lián)合軍種國(guó)防研究院(RUSI)的卡勒姆-杰弗瑞(Calum Jeffray)稱其為“形態(tài)最多、變化速度最快的國(guó)家安全風(fēng)險(xiǎn)”。因此,英國(guó)國(guó)家網(wǎng)絡(luò)安全計(jì)劃的目標(biāo)涵蓋范圍必然很廣。這些目標(biāo)包括打擊網(wǎng)絡(luò)犯罪、提高攻擊恢復(fù)能力、幫助建設(shè)有利于“開放社會(huì)”的網(wǎng)絡(luò)。計(jì)劃還承認(rèn),實(shí)現(xiàn)上述目標(biāo)需要英國(guó)企業(yè)和個(gè)人具備更好的“網(wǎng)絡(luò)技能、網(wǎng)絡(luò)知識(shí)和網(wǎng)絡(luò)能力”。
那么,國(guó)家網(wǎng)絡(luò)安全計(jì)劃的進(jìn)展如何?
令人欣喜的是,負(fù)責(zé)為重大項(xiàng)目提供獨(dú)立保障的重大項(xiàng)目管理局(Major Projects Authority)為這一計(jì)劃給出了綠色評(píng)級(jí)。英國(guó)國(guó)家審計(jì)局(National Audit Office)2014年對(duì)該計(jì)劃的評(píng)估認(rèn)為,“網(wǎng)絡(luò)威脅是國(guó)家安全面臨的最為復(fù)雜的威脅,國(guó)家網(wǎng)絡(luò)安全計(jì)劃在對(duì)網(wǎng)絡(luò)威脅的理解上取得良好進(jìn)展”,“該計(jì)劃財(cái)務(wù)管理嚴(yán)明,治理制度有力,預(yù)計(jì)到2016年3月,政府將用滿8.6億英鎊的計(jì)劃預(yù)算”。
不過,國(guó)家審計(jì)局的贊譽(yù)并非毫無(wú)保留,該機(jī)構(gòu)警告稱,網(wǎng)絡(luò)威脅不斷變化的本質(zhì)意味著英國(guó)政府“為完成目標(biāo)必須加快某些領(lǐng)域的變革步伐”。國(guó)家審計(jì)局重點(diǎn)提出的具體改進(jìn)措施包括讓政府更好地理解網(wǎng)絡(luò)攻擊可能以何種形式威脅主要公共服務(wù),同時(shí)加大力度鼓勵(lì)個(gè)人和企業(yè)減少攻擊的風(fēng)險(xiǎn)。
對(duì)于國(guó)家網(wǎng)絡(luò)安全計(jì)劃來(lái)說(shuō),最具挑戰(zhàn)性的工作之一就是向公眾說(shuō)明威脅的本質(zhì),同時(shí)避免產(chǎn)生恐懼。英國(guó)政府希望鼓勵(lì)更多人使用數(shù)字服務(wù),但必須同時(shí)努力向個(gè)人和企業(yè)宣傳數(shù)據(jù)泄露的風(fēng)險(xiǎn)。這是一個(gè)很難傳達(dá)的信息,所以國(guó)家網(wǎng)絡(luò)安全計(jì)劃對(duì)宣傳教育非常重視。
最值得一提的宣傳教育工作,是英國(guó)政府面向企業(yè)發(fā)布的“網(wǎng)絡(luò)安全十步驟”指導(dǎo)。該指導(dǎo)文件最初于2012年發(fā)布,在今年年初進(jìn)行了修訂。“十步驟”的指導(dǎo)內(nèi)容包括防護(hù)惡意軟件、管理用戶特權(quán)和網(wǎng)絡(luò)安全等多個(gè)領(lǐng)域的信息和建議。網(wǎng)絡(luò)安全領(lǐng)域正涌現(xiàn)大量教育機(jī)會(huì)。部分由于國(guó)家網(wǎng)絡(luò)安全計(jì)劃的原因,網(wǎng)絡(luò)安全這一學(xué)科進(jìn)入了英國(guó)的學(xué)術(shù)教育體系中,從初中計(jì)算機(jī)科學(xué)課程到博士學(xué)位研究均有相關(guān)內(nèi)容。
根據(jù)英國(guó)國(guó)家審計(jì)局的說(shuō)法,盡管對(duì)培訓(xùn)的需求“依然很大”,英國(guó)國(guó)家網(wǎng)絡(luò)安全計(jì)劃已經(jīng)“鼓勵(lì)了很多教育和培訓(xùn)計(jì)劃的制定,刺激了相關(guān)技能的發(fā)展”。在非正式層面上,已有超過24000人在開放大學(xué)上報(bào)名網(wǎng)絡(luò)安全入門課程。英國(guó)政府預(yù)計(jì),由于開展宣傳活動(dòng),超過兩百萬(wàn)人的上網(wǎng)行為更加安全。
英國(guó)內(nèi)閣辦公室網(wǎng)絡(luò)安全和信息保障辦公室(Office of Cyber Security and Information Assurance)主任娜塔莉-布萊克(Natalie Black)解釋道:“更好地保障網(wǎng)絡(luò)安全的需求不斷上漲,擁有足夠多合適技能的人才來(lái)滿足這樣的需求至關(guān)重要。為此,我們已經(jīng)在整個(gè)教育系統(tǒng)內(nèi)外采取努力,包括學(xué)徒制度和學(xué)生實(shí)習(xí)。我們贊助了學(xué)校里的網(wǎng)絡(luò)安全競(jìng)賽、技術(shù)學(xué)徒和博士生學(xué)習(xí),我們正在把網(wǎng)絡(luò)安全融入計(jì)算機(jī)科學(xué)和學(xué)位,目前已經(jīng)認(rèn)證了網(wǎng)絡(luò)安全領(lǐng)域的6個(gè)碩士學(xué)位,創(chuàng)建了2個(gè)新的博士培訓(xùn)中心,3個(gè)研究機(jī)構(gòu)和13個(gè)卓越學(xué)術(shù)中心(Academic Centres of Excellence)。”
很顯然,面向終端用戶宣傳教育、發(fā)布信息顯然是國(guó)家網(wǎng)絡(luò)安全計(jì)劃措施的重點(diǎn),計(jì)劃希望看到個(gè)人和企業(yè)能為自身的網(wǎng)上安全負(fù)起責(zé)任。同時(shí),該計(jì)劃也認(rèn)識(shí)到,要達(dá)到這個(gè)目的就要為人們配備新技能。計(jì)劃相關(guān)官員說(shuō),指導(dǎo)比推行監(jiān)管滿意度更高。由于技術(shù)的復(fù)雜性和用戶群體的多樣新,推行監(jiān)管將很難達(dá)到效果。
在2013年公共賬目委員會(huì)(Public Accounts Committee)的一次重要會(huì)議上,時(shí)任內(nèi)閣國(guó)家安全副顧問、現(xiàn)任公民服務(wù)改革主任奧利弗-羅賓斯(Oliver Robbins)說(shuō),他認(rèn)為監(jiān)管不是改善網(wǎng)絡(luò)安全的可行方式。他用個(gè)人住宅安全做類比評(píng)論說(shuō),究竟什么是保護(hù)個(gè)人財(cái)產(chǎn)的最好方式由個(gè)人來(lái)決定。
他對(duì)議員們說(shuō):“自家門窗用什么樣的鎖并不是由規(guī)定來(lái)決定的。事實(shí)上,保護(hù)財(cái)產(chǎn)的方式由來(lái)自保險(xiǎn)公司的壓力、警方的建議、他人的經(jīng)驗(yàn)和學(xué)習(xí)如何自保等多方面綜合考慮的決定。我們擔(dān)心的是,對(duì)這一領(lǐng)域過分積極的監(jiān)管可能意味著在每隔幾年就大跨越式發(fā)展的技術(shù)上安一把十九世紀(jì)的鎖。”
官員稱,從本質(zhì)上講,網(wǎng)絡(luò)安全威脅發(fā)展速度非常快,任何監(jiān)管措施正式成文時(shí)都將過時(shí)。所以,更好的辦法是鼓勵(lì)個(gè)人和企業(yè)及時(shí)獲得最新的建議和技術(shù)動(dòng)態(tài),從而做出相應(yīng)的回應(yīng)。
CGI技術(shù)公司網(wǎng)絡(luò)安全總管安德魯-羅格伊斯基(Andrew Rogoyski)這樣說(shuō)道:“這是‘輕推’政治的最佳體現(xiàn)。”他從2014年起成為內(nèi)閣辦公室國(guó)家網(wǎng)絡(luò)安全計(jì)劃高級(jí)顧問。“這個(gè)計(jì)劃廣泛影響人們的行為和決策,受影響的大多數(shù)是商業(yè)機(jī)構(gòu)或個(gè)人而不是公共領(lǐng)域機(jī)構(gòu)。所以,這是一個(gè)影響力范圍遠(yuǎn)超政府的政府計(jì)劃,需要大量利益相關(guān)方的參與。”
國(guó)家網(wǎng)絡(luò)安全計(jì)劃中最遠(yuǎn)大的目標(biāo)之一是網(wǎng)絡(luò)安全信息共享伙伴關(guān)系(Cyber-Security Informaiton Sharing Partnership,CiSP)。這是由政府出資與產(chǎn)業(yè)聯(lián)合的項(xiàng)目,匯聚眾多商業(yè)機(jī)構(gòu)分享網(wǎng)絡(luò)威脅的最新信息。加入CiSP后,企業(yè)有權(quán)限登錄到安全平臺(tái),發(fā)布網(wǎng)絡(luò)安全和弱點(diǎn)信息。這樣,CiSP會(huì)員就更加了解當(dāng)前危險(xiǎn),并能夠傳播應(yīng)對(duì)威脅的最佳實(shí)踐和觀點(diǎn)。
伙伴關(guān)系的主要目標(biāo)是提高英國(guó)產(chǎn)業(yè)總體安全性。目前伙伴關(guān)系有五百多名會(huì)員機(jī)構(gòu),包括Virgin Media、BAE Systems和英國(guó)電信等。英國(guó)電信說(shuō)CiSP“打造了多元化社區(qū),鼓勵(lì)會(huì)員在傳統(tǒng)領(lǐng)域之外分享信息,與平時(shí)接觸不到的任何機(jī)構(gòu)進(jìn)行互動(dòng)”。
正如內(nèi)閣辦公室的布萊克所解釋的,鼓勵(lì)網(wǎng)絡(luò)安全方面的創(chuàng)新符合企業(yè)對(duì)切實(shí)利益的追求。她說(shuō):“網(wǎng)絡(luò)安全為英國(guó)企業(yè)提供了重大機(jī)遇。英國(guó)網(wǎng)絡(luò)安全領(lǐng)域產(chǎn)值已經(jīng)超過60億英鎊,創(chuàng)造了約40000個(gè)就業(yè)崗位。到明年底,我們打算將網(wǎng)絡(luò)安全出口翻番,到20億英鎊。我們的目標(biāo)是到2020年增加到40億英鎊。我們會(huì)促進(jìn)更多的區(qū)域集群,支持更多的英國(guó)網(wǎng)絡(luò)企業(yè)。”
不過,對(duì)于大公司稱從國(guó)家網(wǎng)絡(luò)安全計(jì)劃中獲得的收益,國(guó)家審計(jì)局稱,到目前為止從鼓勵(lì)出口上看,這些收益對(duì)于中小企業(yè)“效果有限”。這項(xiàng)計(jì)劃中促進(jìn)出口的政策偏向“成熟公司”,犧牲了中小企業(yè)。
審計(jì)局還就擴(kuò)大鼓勵(lì)網(wǎng)絡(luò)出口范圍上的“緩慢”進(jìn)展提出質(zhì)疑。這一部分工作由英國(guó)貿(mào)易投資總署牽頭,英國(guó)內(nèi)政部、英國(guó)外交和聯(lián)邦事務(wù)部和英國(guó)商業(yè)創(chuàng)新技能部也從預(yù)算中撥款支持。
正如英國(guó)國(guó)家審計(jì)局所解釋,計(jì)劃也遭遇了一些挫折。投資總署談到:“根據(jù)內(nèi)閣辦公室原計(jì)劃,英國(guó)貿(mào)易投資總署應(yīng)于2012年3月制定出網(wǎng)絡(luò)安全營(yíng)銷策略,但直到截止日期14個(gè)月之后,也就是2013年5月,投資總署才發(fā)布這一計(jì)劃。投資總署在這一策略上行動(dòng)較慢,從2014年2月起才開始為每個(gè)目標(biāo)市場(chǎng)制定策略。”
對(duì)于出口方面的擔(dān)心從審計(jì)局的調(diào)查中也可見一斑。調(diào)查范圍包括專家、政府和產(chǎn)業(yè)界人士,讓他們對(duì)應(yīng)對(duì)主要網(wǎng)絡(luò)挑戰(zhàn)的工作進(jìn)展進(jìn)行打分,滿分為5分,代表“卓越”進(jìn)展。貿(mào)易和出口的工作得分少于其他項(xiàng),產(chǎn)業(yè)界打出2.5分,政府打出3.0分,而專家打出了2.9分。
盡管出口工作不盡人意,顯然國(guó)家網(wǎng)絡(luò)安全計(jì)劃其他工作的反饋十分喜人。國(guó)家審計(jì)署的調(diào)查研究顯示,其他方面工作的得分都在2.5分以上,產(chǎn)業(yè)對(duì)于政府對(duì)網(wǎng)絡(luò)威脅的理解上給出了4.0的高分。政府在縮小網(wǎng)絡(luò)技能鴻溝上的努力也得到了產(chǎn)業(yè)界的正面反饋,得分為3.6分。
羅格伊斯基把成功歸結(jié)為“積極”與私營(yíng)部門溝通的“高素質(zhì)”公共部門人員。他認(rèn)為這也是整個(gè)計(jì)劃方法論的體現(xiàn),就是要“利用商界的見解,商業(yè)對(duì)于技術(shù)的投資量往往比公有部門大得多,同時(shí)也要利用政府的見解,充分吸取兩邊的專業(yè)經(jīng)驗(yàn)。”
內(nèi)閣辦公室對(duì)于計(jì)劃的監(jiān)管作用十分重要。國(guó)家網(wǎng)絡(luò)安全計(jì)劃的融資模式看起來(lái)簡(jiǎn)明易懂,即由公共部門、私營(yíng)部門和第三方機(jī)構(gòu)各自為特定項(xiàng)目尋找資金,而內(nèi)閣辦公室監(jiān)督這些機(jī)構(gòu)交付實(shí)現(xiàn)。國(guó)家網(wǎng)絡(luò)安全計(jì)劃下制定的標(biāo)準(zhǔn)在整個(gè)公共領(lǐng)域推行——例如,國(guó)防部現(xiàn)在要求所有供應(yīng)商按例滿足政府“Cyber Essentials”安全標(biāo)準(zhǔn)。
這并不是說(shuō)計(jì)劃沒有面臨重大挑戰(zhàn)。受國(guó)家網(wǎng)絡(luò)安全計(jì)劃委托,普華永道新發(fā)布的研究表明,安全入侵時(shí)間從前一年的下滑趨勢(shì)發(fā)生扭轉(zhuǎn),在大型和小型機(jī)構(gòu)中發(fā)生數(shù)量重新攀升。
研究還發(fā)現(xiàn),90%的大公司反映遭受入侵,之前這一數(shù)字為81%。而遭受入侵的小企業(yè)比例從2014年的60%上升為74%。從更大的范圍上看,采用云計(jì)算還會(huì)給產(chǎn)業(yè)帶來(lái)新一輪網(wǎng)絡(luò)安全隱患。在嚴(yán)格的《戰(zhàn)略防務(wù)與安全評(píng)估》報(bào)告下,計(jì)劃能否續(xù)期還有待觀察。
但官員們可以從普華永道的另一些結(jié)論中獲得信心,國(guó)家安全網(wǎng)絡(luò)計(jì)劃框架下的項(xiàng)目越來(lái)越多地為人所用。例如,32%的受訪者說(shuō)他們正使用“十步驟”指導(dǎo),比去年上漲了6%。而近一半的機(jī)構(gòu)現(xiàn)在要么已經(jīng)獲得認(rèn)證或正在申請(qǐng)“Cyber Essential”或“Cyber Essential Plus”。對(duì)于通信和網(wǎng)絡(luò)威脅的理解也比去年有所上升。
國(guó)家網(wǎng)絡(luò)安全計(jì)劃存在于一個(gè)快速發(fā)展的高風(fēng)險(xiǎn)環(huán)境中,因此計(jì)劃取得的成績(jī)更引人注目。該計(jì)劃已經(jīng)強(qiáng)有力地證明了中央?yún)f(xié)調(diào)職能(該計(jì)劃中這一角色為內(nèi)閣辦公室)如何能夠鼓勵(lì)各個(gè)部門的創(chuàng)新,并與商業(yè)領(lǐng)域建立有價(jià)值的關(guān)系,同時(shí)緊密跟蹤多個(gè)目標(biāo)的進(jìn)展情況。雖然這個(gè)計(jì)劃需要應(yīng)對(duì)不斷變化的威脅,需要確保政府的支持覆蓋到中小企業(yè),國(guó)家網(wǎng)絡(luò)安全計(jì)劃表明,牽涉多個(gè)利益相關(guān)方的復(fù)雜項(xiàng)目可以在政府牽頭的情況下良好運(yùn)行。
京公網(wǎng)安備 11010502049343號(hào)