英國政府發布《2022年國家網絡戰略》概述

    近日，英國政府發布《2022年國家網絡戰略》，以強化英國的網絡空間安全、保護和促進網絡空間利益。該戰略提出了英國未來五年的五項“優先行動”（支柱），一是加強英國網絡生態系統，投資人才和技能，深化政產研間的伙伴關系；二是建設有彈性和繁榮的數字英國，降低網絡風險，使企業最大限度利用數字技術的經濟利益；三是在重要網絡技術方面處于領先地位，開發框架確保未來技術安全；四是提升英國的全球領導地位和影響力，建立更安全、繁榮和開放的國際秩序；五是檢測、干擾和威懾英國的對手，加強英國網絡空間安全。

    過去的十年，英國，建立了尖端的網絡安全和運營能力以及領先的網絡安全部門。該戰略建立在《2016-2021年國家網絡安全戰略》取得的重大進展以及政府對安全、國防、發展和外交政策的綜合審查中提出的三個重要結論的基礎上。首先，在數字時代，英國的網絡力量將成為實現國家目標的一個越來越重要的杠桿。其次，考慮到全方位的網絡目標和能力，維持國家網絡力量需要更全面和綜合的戰略。第三，這必須是一個全社會的方法，合作伙伴關系對英國成功至關重要。

    英國的愿景是2030年，繼續成為負責任和民主的網絡強國，能夠保護和促進在網絡空間中和通過網絡空間的利益，以支持國家目標。為了實現這一愿景，制定了追求五個戰略目標。這五個優先活動（或支柱）構成了指導活動的戰略框架。

    五大支柱

    支柱1：網絡生態系統

    要使這一戰略取得成功，必須擁有多元化且技術熟練的勞動力、充滿活力的研究社區、具有國際競爭力的網絡部門和蓬勃發展的區域創新生態系統，使英國能夠在關鍵技術方面處于領先地位，所有這些都建立在政府、工業和學術界之間更牢固的伙伴關系之上。

    網絡生態系統的發展需要自我維持，而不是依賴于政府干預。在這一戰略過程中，將從資助一系列主要是定制和集中管理的技能和創新計劃，過渡到更可持續、更系統和區域性的方法。

    目標1：加強支持全社會網絡方法所必需的結構、伙伴關系和網絡。 

    網絡力量需要全社會努力。英國競爭優勢將來自于在英國培養和利用人才的能力，以及讓合適的人以合適的方式在整個公共部門、行業和學術界一起工作，將整個網絡社區團結在一起。到2025年，將實現以下成果：通過建立一個新的高級國家網絡咨詢委員會，并建立在已經強大的網絡增長和彈性伙伴關系網絡以及卓越的網絡安全研究和教育，整個英國更加整合和有效的區域網絡網絡，使政府、企業和學術界之間建立更牢固的伙伴關系，以支持部門增長和業務彈性。與區域網絡集群和最近成立的英國網絡集群協作(UKC3)、越來越多的區域網絡創新中心和網絡彈性中心合作，加強當地企業、卓越學術中心和執法部門之間的聯系。

    目標2：增強和擴展國家各個層面的網絡技能，包括通過世界一流的多元化網絡安全專業來激發和裝備未來的人才。 

    英國雄心的核心將是為網絡勞動力提供持續和多樣化的高技能人才，能夠確保數字經濟的核心要素，以及創新和開發新方法。到 2025 年將實現以下成果：在英國開展的工作的基礎上，網絡技術專家人數顯著增加，以確保教育和技能政策滿足需求的人和雇主。    

    目標3：促進可持續、創新和具有國際競爭力的網絡和信息安全部門的發展，提供滿足政府和更廣泛經濟需求的優質產品和服務。

    為了增強國家網絡力量并推動數字增長和出口，英國需要一個由優質、值得信賴的公司組成的充滿活力的網絡部門。英國公司為英國和全球的行業和政府提供世界領先的技術、培訓和建議。到 2025 年，將實現以下成果：網絡部門的同比增長超過全球平均水平，包括貿易和網絡出口。 

支柱2：提高網絡彈性

    網絡安全和彈性是網絡強國的更廣泛戰略目標的基礎，英國必須繼續建立強大的網絡防御，采取行動在國家、地方和個人層面保護英國的數字網絡、信息和資產，并確保它們在發生事件時具有彈性。促進網絡彈性的努力也必須成為國際參與的一部分。供應鏈、IT平臺、跨國企業和互聯網本身的日益全球化，意味著不能孤立地改善英國的網絡安全。為了應對這一挑戰，英國需要繼續更好地了解英國與全球網絡彈性之間的聯系，解決高風險領域，并與國際合作伙伴合作建立彈性，促進數字化轉型、安全和貿易，以實現互惠互利。

    目標1：提高對網絡風險的理解，以推動在網絡安全和彈性方面采取更有效的行動。

    英國將在政府、企業和組織之間建立更密切的伙伴關系，以促進對風險的集體理解，指導優先排序并建立行動依據。通過與為消費者提供服務的企業和組織合作來支持公民；進一步加強政府識別交叉風險的能力。到2025年，將實現以下成果：政府對國家網絡風險有最新的戰略理解，并利用這種理解來識別系統性風險、溝通優先事項并推動戰略和交付。政府在了解網絡風險方面以身作則。采用NCSC的網絡評估框架（CAF）作為所有政府部門的保障框架，并映射關鍵系統和公共供應商。建立新的政府網絡協調中心(GCCC) 和跨政府漏洞報告服務(VRS)，使政府在管理事件、漏洞和威脅時能夠“一體防御”。

    目標2：通過改進英國組織內部的網絡風險管理，并為公民提供更好的保護，更有效地預防和抵御網絡攻擊。

    預防和抵御網絡攻擊的方法假設：    

    (i)組織有責任采取行動管理其網絡風險，但在董事會層面需要更強大的問責制和良好治理框架，以使其成為優先事項；

    (ii)政府可以發揮作用與行業合作，在其獨特的情況下采取措施直接大規模降低風險；    

(iii)必須確保提供支持和指導，以幫助個人、個體經營者以及小企業和組織管理其網絡風險。

    到2025年，將取得以下成果：政府大規模減少了對英國的傷害，減輕了英國公民的負擔。政府將越來越多地代表英國的所有互聯網用戶采取行動，擴大主動網絡防御措施，以支持更廣泛的部門，包括慈善機構、學術界和中小型企業和公民。通過增加與行業的參與和信息共享來加強對在線服務的保護。這項工作是對旨在保護英國公民在線的其他政府優先事項的補充，這將意味著與包括在線服務提供商、電信、技術、銀行和零售在內的相關部門更緊密地合作，以更好地保護用戶。到2030 年，政府的關鍵職能已顯著加強了網絡攻擊，所有政府組織都將能夠抵御已知漏洞和攻擊方法。

    目標3：加強國家和組織層面的彈性，以準備、應對網絡攻擊并從中恢復。

    加強所有組織的事件管理和響應能力，以減輕影響并為受害者提供更好的支持。到2025年，將取得以下成果：英國在應對全國性重大網絡事件方面的戰略管理和協調更加有效。英國借鑒政府在應對重大網絡事件方面的經驗，確保將以往經驗教訓用于改進政策和流程。與國際合作伙伴和行業分享危機管理經驗，進而從其他地方確定最佳實踐，以加強準備和流程。確保NCSC和執法事件管理團隊擁有必要的專業知識和工具，以應對各種不斷變化的事件類型，并協調國家對優先威脅的響應。

支柱3：技術優勢

    隨著技術成為日益重要的地緣政治力量工具，技術領域的競爭將愈演愈烈。取得網絡力量至關重要的技術方面處于領先地位意義重大，下面列出了一些技術優先事項：

    5G 和 6G 技術，以及其他新興的數據傳輸形式人工智能 (AI)，包括需要確保安全 AI 系統以及使用 AI 來增強廣泛應用中網絡安全的潛力，例如網絡監控 ；

區塊鏈技術及其應用，例如加密貨幣和去中心化金融半導體、微處理器芯片、微處理器架構及其供應鏈、設計、 和制造過程；

    密碼認證，包括用于身份和訪問管理以及高可靠性密碼產品；

    物聯網和用于消費者、企業、工業和物理環境的技術，例如連接場所；

    量子技術，包括量子計算、量子傳感和后量子密碼學量子技術，包括量子計算、量子傳感和后量子密碼學。    

    目標1：提高預測、評估和應對網絡力量最重要的科學和技術發展的能力。    

    為了建立和維持網絡相關技術的競爭優勢，需要一種協調、嚴格和一致的方法來識別和分析關鍵科學和技術領域。要求在政府和學術界進一步發展研究和技術專長把這與新的政府科技架構和情報結合起來，同時借鑒行業專家的見解，并利用海外網絡了解國際合作伙伴和競爭對手的優先事項和系統。

    到2025年，將實現以下成果：政府能夠更好地分析新興科學技術，并了解對英國網絡政策和戰略的影響。擴大研究能力，包括NCSC在曼徹斯特的新應用研究中心，重點關注互聯場所和交通等領域的新興技術，與政府科學辦公室和其他地方的專家合作。利用外部政府的專業知識，支持四個網絡安全研究所和19 個網絡安全研究卓越學術中心，為優先學科的研究人員提供探路者獎，并更有效地利用海外足跡和國際合作伙伴關系。

    目標2：在對網絡空間至關重要的技術安全方面培養和維持主權和盟國優勢 

    如果英國有潛力在網絡技術的關鍵領域建立領先地位或獲得競爭優勢，或者依賴非盟國的供應來源會帶來不可接受的安全風險，英國將尋求發展國內工業基礎。在某些領域，需要保持真正的主權能力，在其他領域，英國將與國際合作伙伴合作或在市場的某一方面尋求領先地位。到2025年，將取得以下成果：在對網絡力量最重要的技術領域，英國更成功地將研究轉化為創新和新公司。與行業合作伙伴合作，采用更具挑戰性的方法，支持英國各地的學者將研究商業化和實施。在創新戰略中制定的方法的基礎上，支持圍繞關鍵技術發展更成熟的生態系統，確保英國的優勢更加強大且難以復制。

    目標2a：維持一個強大且有彈性的國家加密密鑰企業，滿足HMG 客戶、合作伙伴和盟友的需求，并適當降低風險。

    Crypt-Key是一個術語，用于描述英國使用密碼學來保護英國政府、軍隊和國家安全界所依賴的關鍵信息和服務，包括免受攻擊。它鞏固了選擇如何部署國家安全和國防能力的能力。要成為世界領先的 Crypt-Key國家，需要政府和私營部門的正確技能和技術。

    英國將繼續投資于政府方面的能力，并與國內的Crypt-Key 行業合作，以確保英國仍然是少數能夠在未來開發主權Crypt-Key 的國家之一。同時還將繼續在Crypt-Key 領域發揮全球領導作用，包括支持NATO 作為密鑰材料的供應商。到2025 年，將實現以下成果：擁有更具彈性和安全性的英國加密密鑰企業，擁有更可持續、世界領先的工業基礎，提供英國需要的全方位解決方案，并出口給選定的合作伙伴和盟友。更有效地結合政府和行業的能力和專業知識，并采取更嚴格的國家方式來管理企業。

    目標3：保護下一代互聯技術，降低依賴全球市場的網絡安全風險，并確保英國用戶能夠獲得可信賴的多樣化供應。

    在接下來的十年里，英國將更多的計算能力、互聯網連接和自動化嵌入到環境中，包括物理對象和基礎設施，這將擴大網絡空間的范圍，并大大增加產生的數據量。安全可靠地管理數據的能力對于經濟的安全運行將變得越來越重要。需要確保在設計、開發和部署下一代互聯技術時盡可能考慮到安全性和彈性，并作為共同努力采用“設計安全”方法的一部分。

    到2025 年將實現以下成果：在英國銷售的消費者可連接產品符合基本的網絡安全標準。引入并實施產品安全和電信基礎設施法案，以便在英國銷售的所有新的消費者可連接產品中執行最低安全標準。支持網絡安全過渡到智能靈活的能源系統，包括智能電動汽車充電點和能源智能電器。與標準機構、行業和國際合作伙伴合作，影響全球對技術標準的共識。幫助英國組織以更安全的方式采購、部署和管理連接設備，包括通過針對企業連接設備的新安全指南。

    目標4：與多利益相關方社區合作，在對維護民主價值觀、確保網絡安全和通過科學和技術推進英國戰略利益最重要的優先領域中制定全球數字技術標準。

    全球數字技術標準是一個互聯網、電信網絡和新興技術運作的核心部分。它們的開發和部署方式會影響網絡安全目標、經濟繁榮以及規范和價值觀。到2025 年，將實現以下成果：更多利益相關方參與全球數字技術標準生態系統。英國將加強多方利益相關者對關鍵標準制定組織的參與，并以國際電信聯盟代表團為榜樣。通過聯合國互聯網治理論壇和其他論壇促進政策制定者對關鍵趨勢和考慮因素的公開討論加強與國際合作伙伴的協調和信息共享，包括通過在英國擔任G7 主席期間設立的數字標準聯絡小組。

    英國優先領域的全球數字技術標準，由民主價值觀、網絡安全考慮以及英國在新興技術方面的研究和創新更有效地塑造。將在互聯網協議、未來網絡和人工智能 (AI)等領域與工業界、學術界、技術專家和公民社會合作，提高對技術標準制定中重要公共政策考慮因素的認識。英國將試行一個人工智能標準中心，以支持英國在全球人工智能標準化方面的參與。

支柱4：全球領導力

    提升英國的全球領導地位和影響力，以建立安全和繁榮的國際秩序自由、開放、和平和安全的網絡空間對集體安全和繁榮仍然至關重要，國際參與對于實現所有英國網絡戰略目標將繼續至關重要。英國將加強核心聯盟，同時與更廣泛的合作伙伴合作，包括作為一個解決問題、分擔負擔的國家，包括行業、全球技術標準機構、民間社會和學術界。將投資與非洲和印太地區的合作伙伴建立更深層次的關系，并抓住機會建立更靈活的新聯盟。英國還將繼續加強外交工具包，將海外影響力與國內優勢聯系起來，利用運營和戰略傳播專業知識、技能計劃和經濟合作伙伴關系，作為一股向善的全球力量。

    目標1：加強國際合作伙伴的網絡安全和彈性，并加強集體行動以破壞和威懾對手。

    集體行動和相互彈性對于應對上游威脅至關重要，同時也減少了網絡威脅參與者對英國和它的合作伙伴。到 2025年，英國將實現以下目標：英國的國際合作伙伴擁有更強大的能力、政治決心、治理和系統，以調查和破壞網絡威脅以及建立彈性。這將減少國外對英國公民的威脅。將優先在東歐、非洲和印太地區提供網絡能力建設援助，并繼續與中東和美洲的主要盟友合作。將開發一個更加綜合的、全政府的技術方案，加大對執法和國防專業知識的投資，更多地利用英國的工業和學術界。重點保護關鍵的國際供應鏈和基礎設施，推進數字技術的安全使用，并與行業合作伙伴合作大規模推行。英國還將做更多的工作來建設民間社會組織的能力，推動圍繞技術和社會開展以價值觀為導向的辯論，并建立地方問責機制。繼續與有效的多邊組織和伙伴關系合作，包括聯合國、五眼聯盟、北約、七國集團、歐盟、英聯邦、經合組織、全球網絡專業論壇（GFCE）、東盟論壇、非洲聯盟和世界銀行。

    目標2：塑造全球治理以促進自由、開放、和平和安全的網絡空間。

    英國將采取更積極主動的方式，與盟友和伙伴合作，確保國際規則和框架的發展符合的民主價值觀。到2025年，將實現以下成果：網絡空間和互聯網的全球治理正在保護英國的利益和價值觀，英國及其合作伙伴對國際治理和標準框架的制定和實施具有更大的影響力。將采取更積極主動的方法來塑造管理網絡空間的框架，以促進全球經濟增長和安全。將設計并采取切實可行的步驟，解除關于網絡空間規則、規范和原則應用的國際辯論，推動就有效限制破壞性和破壞穩定的活動達成共識。通過包括歐安組織、東盟和GFCE在內的主要區域和專業組織來做到這一點，并建設性地參與聯合國制定與布達佩斯公約并列的新國際網絡犯罪條約的進程，確保它加強國際合作并維護人權保護措施。英國還將繼續推動《關于網絡犯罪的布達佩斯公約》，與國際伙伴合作，為它繼續成為首要的國際合作協議提供令人信服的理由。繼續促進和加強互聯網治理的多利益相關方流程。

    目標3：利用和輸出英國的網絡能力和專業知識來提升戰略優勢并促進更廣泛的外交政策和繁榮利益。

    為了應對系統性競爭和快速的技術變革，英國的網絡活動和能力將與其他國家力量來源一起考慮，以加強我們的戰略優勢并促進外交政策和繁榮目標。英國的目標是建立開放的社會和經濟可以蓬勃發展國際秩序，使人權得到捍衛，同時推動國內的繁榮。到 2025 年，將取得以下成果：在網絡空間和與網絡空間相關的活動增強了全球穩定，并保護了以規則為基礎的國際體系、開放社會和民主制度。將開展基于價值觀的國際運動，以在網絡空間的設計、開發和使用中倡導人權、多樣性和性別平等。包括但不限于解決互聯網關閉、人工智能算法中的偏見和提高在線安全性。通過進一步投資六大洲的網絡官員網絡，更有效地保護民主價值觀、制度和程序，并加強基于規則的國際體系。加強對戰略交流的利用，以促進英國的研究合作和學術交流計劃，并幫助確保英國的想法轉化為實際應用。

    英國是全球三大網絡解決方案和網絡專業知識出口國之一，網絡行業被視為外國政府和主要商業客戶網絡安全解決方案的“首選”供應商。在英國網絡安全大使計劃和國際網絡的支持下，將通過更積極的國際政府間參與來展示英國最好的網絡安全。

支柱5：應對威脅

    檢測、干擾和威懾對手，以增強英國網絡防御能力。英國面臨的威脅的性質是復雜的。所有威脅都會影響人們依賴服務的可用性，或者通過這些系統傳遞的數據和信息的機密性或完整性。針對英國的網絡攻擊的動機是間諜、犯罪、商業、金融和政治利益、破壞和虛假信息。攻擊者開發了逃避緩解措施的能力；日益復雜的網絡工具和相關推動因素已在不斷發展的行業中商品化，降低了所有類型惡意行為者的進入壁壘。隨著攻擊者竊取和加密有價值的數據以及勒索軟件付款的能力不斷增長，破壞了企業和關鍵公共服務，獎勵也在增加。結果是攻擊者越來越多地從經濟上受益，利用隱私和言論自由，并試圖通過虛假信息操縱事件。

    因此，英國的方法現在將轉向更加綜合和持續的競選基礎，這將涉及常規、綜合和創造性地利用各種可用的杠桿和能力，向對手施加成本，這種方法的關鍵支持要素是：

    NCF 的持續發展，作為英國對其對手進行攻擊性網絡行動能力的下一步；

    利用我們的外交、軍事、情報、執法、經濟、法律和戰略溝通工具，量身定制的跨政府活動以應對對英國的威脅； 

    新投資，使執法部門能夠進行大規模和有節奏的調查，并保持對對手的技術優勢，以預防和發現嚴重的犯罪分子及其依賴的支持服務；促進政府間的數據共享。

    英國將繼續通過NCF 開發和投資進攻性網絡能力。NCF將改變英國在網絡空間和現實世界中與對手競爭的能力，以保護國家、人民的生活方式。

    目標1：檢測、調查和共享有關國家、犯罪和其他惡意攻擊者和活動的信息，以保護英國及其利益和公民。

    到2025 年將實現以下成果：政府全面了解國家、犯罪和其他惡意網絡行為者的能力及其對英國的戰略意圖。英國將維持和增加根據 2016年戰略對情報機構和執法部門進行的大量投資，以了解網絡威脅。特別是，提高執法部門了解和應對網絡犯罪威脅的能力，包括其與國家和其他國際和國內威脅的聯系及其技術推動因素，制定更有效的政策應對措施。通過跨情報機構和執法部門的聯合數據訪問和利用策略，改進跨政府協調威脅檢測的方式。更加專注于了解對手的意圖和決策標準以及活動對其產生的影響。

    目標2：阻止和破壞針對英國、其利益和公民的國家、犯罪和其他惡意網絡行為者和活動。

    到2025 年，英國將實現以下成果：以英國為目標的國家、犯罪和其他惡意攻擊者攻擊成本更高，風險更高。英國將實施持續和量身定制的威懾行動，利用英國的全方位能力來影響惡意和犯罪網絡行為者的行為。同時還將通過《反國家威脅法案》為執法部門和情報機構提供所需的工具和權力，更新現有立法并引入新的罪行，以說明國家威脅的演變方式。將修訂《2002年犯罪收益法》，以優化執法部門識別、扣押和追回網絡犯罪收益的能力。特別是，通過創建民事沒收權力來減輕無法被起訴的人所帶來的風險。還將通過商業和犯罪市場阻止高端網絡能力向國家和有組織犯罪集團擴散，處理支持、促進或美化網絡犯罪的論壇。

    目標3：在網絡空間內和通過網絡空間采取行動，支持國家安全以及預防和偵查嚴重犯罪。

    將在2025 年之前實現以下成果：英國的網絡能力在威懾和破壞非網絡威脅方面具有更大的影響。英國將擴大和發展NCF，實現對這一關鍵能力的長期愿景并與執法部門和更廣泛的政府密切合作。通過NCF提供合法且相稱的進攻性網絡行動，在網絡空間中負責任地行事并以身作則。進攻性網絡行動將繼續支持英國的國家安全，包括國防和外交政策，以及預防嚴重犯罪。英國還將擴大和開發針對基礎設施和加密貨幣的執法技術能力，這些能力可以針對其他威脅進行部署。

總結

    該戰略旨在作為行動指南，不僅適用于負責網絡和其他廣泛相關政策的政府人員，而且適用于社會中對國家網絡工作感興趣的個人和組織。這也是繼續進行的對話的開始，以確保目標和優先事項在未來五到十年內保持相關性。英國將利用該戰略的發布作為與英國公共、私營和第三部門進一步接觸的平臺。