◆王磊 楊銳 劉金琳

英國網(wǎng)絡(luò)安全治理體系研究

◆王磊1楊銳2劉金琳2

（1.中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 北京 100020；2.山東省標(biāo)準(zhǔn)化研究院 山東 250000）

全球網(wǎng)絡(luò)安全事件頻發(fā)，網(wǎng)絡(luò)安全形勢與挑戰(zhàn)日益嚴(yán)峻和復(fù)雜，各國政府都在持續(xù)推進(jìn)網(wǎng)絡(luò)安全治理體系的完善。本文對英國網(wǎng)絡(luò)安全形勢、組織機(jī)構(gòu)體系、政策體系進(jìn)行研究梳理，并在此基礎(chǔ)上對我國網(wǎng)絡(luò)安全治理提出可參考的建議。

英國；網(wǎng)絡(luò)安全；治理體系

面對日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅形勢，英國政府不斷提升對網(wǎng)絡(luò)安全的重視程度，不斷調(diào)整完善網(wǎng)絡(luò)安全組織機(jī)構(gòu)體系，不斷推進(jìn)網(wǎng)絡(luò)安全戰(zhàn)略、法律法規(guī)、制度和標(biāo)準(zhǔn)的制定。

1 英國網(wǎng)絡(luò)安全形勢

近年來，英國不斷遭遇大規(guī)模網(wǎng)絡(luò)攻擊事件，嚴(yán)重威脅國家網(wǎng)絡(luò)安全。2018年，英國航空公司British Airways數(shù)十萬名乘客的個人信息被黑客竊取，2019年，該航空公司約50萬名乘客的數(shù)據(jù)被黑客竊取。2020年5月，英國航空公司EasyJet宣布泄露了900萬名乘客的個人信息，包括電子郵件地址、旅行信息，并有超過2000人的信用卡信息被泄露。2020年5月，英國一家電網(wǎng)公司Elexon披露其內(nèi)部IT系統(tǒng)和筆記本電腦遭遇勒索軟件攻擊。2019年9月，英國寬帶服務(wù)提供商TalkTalk網(wǎng)站遭受網(wǎng)絡(luò)攻擊，導(dǎo)致400多萬客戶的個人數(shù)據(jù)被盜，包括姓名、地址、生日、電話號碼、電郵地址、賬戶詳細(xì)情況、信用卡詳細(xì)情況等數(shù)據(jù)。2020年10月，倫敦議會遭受網(wǎng)絡(luò)攻擊，其IT系統(tǒng)和多項服務(wù)受到影響。2021年1月，英國研究與創(chuàng)新（UKRI）披露了一場勒索軟件攻擊，該攻擊破壞了服務(wù)，并可能導(dǎo)致數(shù)據(jù)被盜。2021年3月，英國Nova教育信托合作組織的中央網(wǎng)絡(luò)基礎(chǔ)設(shè)施受到網(wǎng)絡(luò)攻擊，其旗下15所學(xué)校無法提供在線學(xué)習(xí)。2021年4月，英國赫特福德郡大學(xué)遭受了一場毀滅性的網(wǎng)絡(luò)攻擊，其所有IT系統(tǒng)都遭到了破壞，導(dǎo)致接下來兩天所有在線課程被取消。

2 英國網(wǎng)絡(luò)安全組織機(jī)構(gòu)體系

2.1 議會

議會是英國的最高立法機(jī)關(guān)，由上院、下院兩院組成。英國議會設(shè)有情報和安全委員會、國防委員會、數(shù)字、文化、媒體和體育委員會等委員會，負(fù)責(zé)制定網(wǎng)絡(luò)安全方面的法律，調(diào)查和審議網(wǎng)絡(luò)安全相關(guān)問題，監(jiān)督和審查網(wǎng)絡(luò)安全相關(guān)政府機(jī)構(gòu)。

2.2 內(nèi)閣

（1）國家安全委員會

國家安全委員會是英國國家安全管理最高協(xié)調(diào)機(jī)構(gòu)，承擔(dān)國家總體安全責(zé)任。網(wǎng)絡(luò)安全方面，主要負(fù)責(zé)指導(dǎo)和處理英國網(wǎng)絡(luò)空間方面的安全問題，在最高層面上協(xié)調(diào)面對網(wǎng)絡(luò)安全威脅時的跨政府部門行動[1]。

（2）內(nèi)閣辦公室

英國內(nèi)閣的辦事機(jī)構(gòu)，支撐國家安全委員會，協(xié)調(diào)政府對危機(jī)的響應(yīng)，管理英國的網(wǎng)絡(luò)安全，并負(fù)責(zé)網(wǎng)絡(luò)安全的跨政府部門協(xié)調(diào)和戰(zhàn)略指導(dǎo)。

（3）數(shù)字、文化、媒體和體育部

數(shù)字、文化、媒體和體育部負(fù)責(zé)網(wǎng)絡(luò)安全人才培養(yǎng)和物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全保護(hù)等工作。

（4）內(nèi)政部

內(nèi)政部負(fù)責(zé)網(wǎng)絡(luò)行政管理，主要針對利用網(wǎng)絡(luò)空間犯罪和恐怖主義相關(guān)問題，目標(biāo)是減少和打擊網(wǎng)絡(luò)犯罪。內(nèi)政部較為關(guān)注兒童網(wǎng)絡(luò)保護(hù)工作。

（5）國防部

國防部負(fù)責(zé)軍用網(wǎng)絡(luò)防御，增強(qiáng)保護(hù)防御網(wǎng)絡(luò)和系統(tǒng)免受網(wǎng)絡(luò)威脅的能力。

（6）外交及聯(lián)邦事務(wù)部

外交及聯(lián)邦事務(wù)部負(fù)責(zé)網(wǎng)絡(luò)空間外交政策、國際關(guān)系、國際法律和行為等。

（7）政府通信總部

政府通信總部是國家安全和情報工作的中心。網(wǎng)絡(luò)安全方面主要工作包括：擴(kuò)大其在保護(hù)性網(wǎng)絡(luò)安全建議和信息保證方面的工作；改進(jìn)對網(wǎng)絡(luò)攻擊的檢測和分析；加強(qiáng)網(wǎng)絡(luò)空間的情報行動；以及改善與國際盟國和伙伴的合作。

（8）國家網(wǎng)絡(luò)安全中心

國家網(wǎng)絡(luò)安全中心屬于網(wǎng)絡(luò)安全領(lǐng)域新型中央職能實體，主要負(fù)責(zé)管理國家網(wǎng)絡(luò)安全事件，提供權(quán)威意見及網(wǎng)絡(luò)安全專業(yè)知識，提供具有針對性的支持與建議[2]。

（9）國家安全局

國家安全局是負(fù)責(zé)英國國內(nèi)反情報和安全的機(jī)構(gòu)。網(wǎng)絡(luò)安全方面，主要負(fù)責(zé)網(wǎng)絡(luò)上的恐怖主義、極端暴力活動和仇恨言論的舉報、接收和處理，保衛(wèi)英國的安全，應(yīng)對危及國家安全的秘密組織威脅。

（10）國家基礎(chǔ)設(shè)施保護(hù)中心

國家基礎(chǔ)設(shè)施保護(hù)中心主要任務(wù)是保護(hù)國家關(guān)鍵基礎(chǔ)設(shè)施免受物理和網(wǎng)絡(luò)攻擊的侵犯，并為企業(yè)和組織在國家基礎(chǔ)設(shè)施保護(hù)方面提供安全建議和指導(dǎo)，積極推行信息共享。

（11）國家犯罪局

國家犯罪局設(shè)有國家預(yù)防網(wǎng)絡(luò)犯罪科，負(fù)責(zé)預(yù)防和打擊網(wǎng)絡(luò)領(lǐng)域犯罪活動。

2.3 民間機(jī)構(gòu)

（1）英國標(biāo)準(zhǔn)協(xié)會

英國標(biāo)準(zhǔn)協(xié)會為英國國家標(biāo)準(zhǔn)機(jī)構(gòu)，主要負(fù)責(zé)網(wǎng)絡(luò)安全方面標(biāo)準(zhǔn)研發(fā)、標(biāo)準(zhǔn)技術(shù)信息提供、產(chǎn)品測試、體系認(rèn)證和商檢服務(wù)等工作。

（2）英國網(wǎng)絡(luò)安全委員會

2021年2月，英國政府宣布成立英國網(wǎng)絡(luò)安全委員會，負(fù)責(zé)民事網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)培訓(xùn)和職業(yè)發(fā)展，致力于推動英國網(wǎng)絡(luò)安全專業(yè)建設(shè)，特別關(guān)注網(wǎng)絡(luò)安全人才培養(yǎng)、職業(yè)發(fā)展引導(dǎo)、職業(yè)道德制定、思想領(lǐng)導(dǎo)力和影響力塑造。

（3）英國皇家國際事務(wù)研究所

英國皇家國際事務(wù)研究所是英國著名的智庫，其國際安全部門主要聚焦于民用和軍用核設(shè)施等關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全、天基戰(zhàn)略資產(chǎn)網(wǎng)絡(luò)安全等問題，致力于提供高質(zhì)量、有洞察力、和政策相關(guān)的分析，為公共和私營部門提供網(wǎng)絡(luò)領(lǐng)域的智力支持。

3 英國網(wǎng)絡(luò)安全政策體系

3.1 網(wǎng)絡(luò)安全戰(zhàn)略

早在2009年，英國便發(fā)布首個國家網(wǎng)絡(luò)安全戰(zhàn)略，明確了英國網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)，對英國網(wǎng)絡(luò)安全發(fā)展有著深遠(yuǎn)的影響。

2011年11月，英國發(fā)布了新的網(wǎng)絡(luò)安全戰(zhàn)略——《英國網(wǎng)絡(luò)安全戰(zhàn)略：在數(shù)字世界里保護(hù)英國并促進(jìn)國家發(fā)展》，旨在加強(qiáng)英國對網(wǎng)絡(luò)威脅的恢復(fù)能力，建立更加可信和適應(yīng)性更強(qiáng)的數(shù)字環(huán)境，以實現(xiàn)經(jīng)濟(jì)繁榮，保護(hù)國家安全和公眾生活。

2016年11月，英國內(nèi)閣辦公室、國家安全和情報委員會和財政部聯(lián)合發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略2016-2021》，制定了確保英國在網(wǎng)絡(luò)空間安全和彈性的政府計劃。該戰(zhàn)略闡述政府處理和管理英國網(wǎng)絡(luò)威脅的方法，以及如何致力于成為世界上最安全的網(wǎng)絡(luò)空間商業(yè)場所之一。該戰(zhàn)略首次亮出“網(wǎng)絡(luò)威懾”戰(zhàn)略目標(biāo)。該戰(zhàn)略計劃在未來五年投入19億英鎊的資金，用于提升網(wǎng)絡(luò)防御技術(shù)水平、加強(qiáng)網(wǎng)絡(luò)空間建設(shè)。該戰(zhàn)略涵蓋開展國際行動、加大干預(yù)力度、借助行業(yè)力量、改進(jìn)武裝部隊網(wǎng)絡(luò)技術(shù)、提升網(wǎng)絡(luò)攻擊應(yīng)對能力、啟動國家網(wǎng)絡(luò)安全中心、成立兩個網(wǎng)絡(luò)創(chuàng)新中心、促進(jìn)網(wǎng)絡(luò)人才培養(yǎng)等八方面內(nèi)容[3]。

3.2 網(wǎng)絡(luò)安全法律

早在20世紀(jì)末21世紀(jì)初，英國就開始出臺了有關(guān)網(wǎng)絡(luò)安全的法律，包括《計算機(jī)濫用法》《數(shù)據(jù)保護(hù)法》《通信監(jiān)控權(quán)法》《調(diào)查權(quán)管理法》等[4]。

2014年7月，英國出臺《緊急通訊與互聯(lián)網(wǎng)數(shù)據(jù)保留法案》，該法案規(guī)定網(wǎng)絡(luò)服務(wù)提供商有保存客戶通訊數(shù)據(jù)的義務(wù)，并允許警察及安全部門通過獲得電信及互聯(lián)網(wǎng)公司用戶數(shù)據(jù)，旨在加強(qiáng)網(wǎng)絡(luò)監(jiān)控，進(jìn)一步打擊犯罪與恐怖主義活動。

2018年5月，英國正式通過新修訂的數(shù)據(jù)保護(hù)法案——《2018年數(shù)據(jù)保護(hù)法》，取代了1998年頒布的《數(shù)據(jù)保護(hù)法》。該法案重新建立了英國數(shù)據(jù)保護(hù)框架，填補(bǔ)并擴(kuò)充了《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）在某些領(lǐng)域的立法空缺，確保英國在脫歐之后與歐盟在個人數(shù)據(jù)保護(hù)方面保持協(xié)調(diào)一致，以促進(jìn)英國與歐盟國家的數(shù)據(jù)流動。該法案要求加強(qiáng)數(shù)據(jù)主體對其個人數(shù)據(jù)的控制權(quán)，加強(qiáng)數(shù)據(jù)控制者義務(wù)，以及刑事司法機(jī)構(gòu)在執(zhí)法過程對個人數(shù)據(jù)的保護(hù)[5]。

2020年1月，英國政府公布了一項加強(qiáng)消費(fèi)者物聯(lián)網(wǎng)設(shè)備安全性的法律提案。根據(jù)該法律提案，英國所有的消費(fèi)者智能設(shè)備都必須遵守物聯(lián)網(wǎng)三項安全要求。

2020年12月，英國政府宣布，將于2021年出臺新法案《在線安全法案》（Online Safety Bill）。該法案要求社交媒體公司和網(wǎng)站迅速采取行動，刪除非法內(nèi)容，如仇恨犯罪、針對個人的騷擾和威脅等，該法案將有助于確保兒童安全并防止網(wǎng)絡(luò)種族主義歧視和其他網(wǎng)絡(luò)暴力虐待。

3.3 網(wǎng)絡(luò)安全制度和標(biāo)準(zhǔn)

2014年9月，英國政府發(fā)布《網(wǎng)絡(luò)要素計劃認(rèn)證》，旨在確保組織對網(wǎng)絡(luò)威脅采取基本的防范措施，以降低網(wǎng)絡(luò)安全風(fēng)險水平。2016年6月，英國議會發(fā)布《網(wǎng)絡(luò)安全：個人在線數(shù)據(jù)保護(hù)》，對各利益相關(guān)者所做的有關(guān)個人數(shù)據(jù)保護(hù)工作做了詳細(xì)闡述，并提出建議，為個人數(shù)據(jù)保護(hù)生態(tài)系統(tǒng)的構(gòu)建和優(yōu)化提供指導(dǎo)。2018年6月，英國政府與英國國家網(wǎng)絡(luò)安全中心合作，推出了《最低網(wǎng)絡(luò)安全標(biāo)準(zhǔn)》，為所有政府機(jī)構(gòu)和承包商提供了安全框架，英國所有政府機(jī)構(gòu)和承包商均被要求強(qiáng)制執(zhí)行該標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)細(xì)分為身份、保護(hù)、檢測、響應(yīng)和恢復(fù)五個部分，共提出10條具體要求。2019年1月，英國國家網(wǎng)絡(luò)安全中心發(fā)布《重大事件網(wǎng)絡(luò)安全指南》，概述了如何將網(wǎng)絡(luò)風(fēng)險管理過程納入重大活動規(guī)劃。近年來，英國政府針對各具體領(lǐng)域出臺相關(guān)的網(wǎng)絡(luò)安全制度和標(biāo)準(zhǔn)，如：

（1）新興技術(shù)應(yīng)用安全

2017年11月，英國發(fā)布《中期網(wǎng)絡(luò)安全科技戰(zhàn)略》，確認(rèn)了新興技術(shù)趨勢，并提出應(yīng)針對新興技術(shù)采取政策應(yīng)對。該戰(zhàn)略確定了最有可能影響國家網(wǎng)絡(luò)安全及公眾賴以生存的服務(wù)行業(yè)的技術(shù)發(fā)展趨勢，包括：物聯(lián)網(wǎng)與智慧城市、數(shù)據(jù)與信息、自動化、機(jī)器學(xué)習(xí)與人工智能、人機(jī)交互。

物聯(lián)網(wǎng)安全方面，英國十分注重物聯(lián)網(wǎng)安全，尤其是消費(fèi)者物聯(lián)網(wǎng)安全，先后發(fā)布了《消費(fèi)者物聯(lián)網(wǎng)安全實踐守則》《消費(fèi)者物聯(lián)網(wǎng)安全設(shè)計工作守則》等指南，旨在改善消費(fèi)者物聯(lián)網(wǎng)安全。

聯(lián)網(wǎng)和自動駕駛網(wǎng)絡(luò)安全方面，2017年8月，英國國家基礎(chǔ)設(shè)施保護(hù)中心和運(yùn)輸部聯(lián)合發(fā)布《聯(lián)網(wǎng)和自動駕駛汽車網(wǎng)絡(luò)安全關(guān)鍵原則》，針對整個汽車行業(yè)、聯(lián)網(wǎng)和自動駕駛車輛智能交通系統(tǒng)及其供應(yīng)鏈，提出了8項網(wǎng)絡(luò)安全基本原則[6]。2018年12月，英國標(biāo)準(zhǔn)協(xié)會發(fā)布《自動駕駛汽車網(wǎng)絡(luò)安全基本原則》標(biāo)準(zhǔn)，規(guī)定了保障自動駕駛汽車網(wǎng)絡(luò)安全的基本原則，旨在幫助汽車生命周期及生態(tài)系統(tǒng)內(nèi)的各方更好地了解如何提升并保持車輛的安全性及智能交通系統(tǒng)的安全性。

智慧城市方面，2021年5月，英國網(wǎng)絡(luò)安全中心發(fā)布智慧城市網(wǎng)絡(luò)安全指南《互聯(lián)場所網(wǎng)絡(luò)安全原則》，旨在幫助相關(guān)人員考慮英國智慧城市所需的高級別安全要求[7]。

（2）網(wǎng)絡(luò)安全人才培養(yǎng)

為了加強(qiáng)網(wǎng)絡(luò)安全專業(yè)人員的技術(shù)能力，提升網(wǎng)絡(luò)安全職業(yè)認(rèn)證和教育培訓(xùn)體系，英國制定了完善的網(wǎng)絡(luò)安全人才培養(yǎng)相關(guān)的政策機(jī)制，包括設(shè)立“國家網(wǎng)絡(luò)安全中心”學(xué)位認(rèn)證、“網(wǎng)絡(luò)安全學(xué)徒”計劃、“網(wǎng)絡(luò)學(xué)校計劃”等舉措，發(fā)布《未成年人網(wǎng)絡(luò)安全計劃》《信息安全保障專業(yè)人員認(rèn)證框架》《連接世界的教育框架》《網(wǎng)絡(luò)安全知識體指南》等文件。此外，還開展網(wǎng)絡(luò)安全挑戰(zhàn)賽以及針對女性青少年群體的“Cyber First Girls”專項網(wǎng)絡(luò)安全挑戰(zhàn)賽[8]。

（3）網(wǎng)絡(luò)軍事防御

2020年11月，英國首相宣布組建國家網(wǎng)絡(luò)部隊，積極開展網(wǎng)絡(luò)行動，打擊威脅英國國家安全的恐怖分子和犯罪分子。國家網(wǎng)絡(luò)部隊與國家網(wǎng)絡(luò)安全中心一起工作，將政府通信總部、國防部和國防科學(xué)技術(shù)實驗室等部門聚集在統(tǒng)一指揮下。

（4）其他

英國相關(guān)政府部門還出臺了包括《體育組織面臨的網(wǎng)絡(luò)威脅》《農(nóng)民網(wǎng)絡(luò)安全》《小型企業(yè)指南：響應(yīng)和恢復(fù)》《網(wǎng)絡(luò)安全技能：商業(yè)指南》等具體領(lǐng)域的網(wǎng)絡(luò)安全制度和標(biāo)準(zhǔn)文件。

4 我國網(wǎng)絡(luò)安全治理建議

結(jié)合英國網(wǎng)絡(luò)安全治理體系特點(diǎn)，對我國網(wǎng)絡(luò)安全治理提出建議如下：

（1）不斷健全完善我國網(wǎng)絡(luò)安全組織機(jī)構(gòu)體系，建立有效的機(jī)構(gòu)間信息共享與協(xié)作機(jī)制，推動政府部門與企事業(yè)單位、科研院所之間密切合作，以能夠更好地服務(wù)于我國整體網(wǎng)絡(luò)空間安全。

（2）不斷優(yōu)化網(wǎng)絡(luò)安全戰(zhàn)略，積極推進(jìn)網(wǎng)絡(luò)安全相關(guān)立法和制度制定工作，建立健全網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系。并針對關(guān)鍵基礎(chǔ)設(shè)施安全、個人數(shù)據(jù)保護(hù)、預(yù)防網(wǎng)絡(luò)攻擊等方面出臺更細(xì)致的法律、制度和標(biāo)準(zhǔn)，保障我國網(wǎng)絡(luò)空間安全。

（3）通過開展網(wǎng)絡(luò)安全意識活動、網(wǎng)絡(luò)安全宣傳教育等，提升社會公眾網(wǎng)絡(luò)安全意識，提高網(wǎng)絡(luò)安全防范能力。并建立完善的網(wǎng)絡(luò)安全職業(yè)教育、培訓(xùn)、認(rèn)證、發(fā)展體系，提升相關(guān)人員網(wǎng)絡(luò)安全專業(yè)能力，確立網(wǎng)絡(luò)安全專業(yè)人才職業(yè)發(fā)展通道。

5 結(jié)束語

為了有效應(yīng)對網(wǎng)絡(luò)安全問題，英國從組織機(jī)構(gòu)、戰(zhàn)略、法律法規(guī)、制度和標(biāo)準(zhǔn)等方面不斷完善其網(wǎng)絡(luò)安全治理體系，提升網(wǎng)絡(luò)安全治理能力。我們可在借鑒英國構(gòu)建網(wǎng)絡(luò)安全治理體系先進(jìn)經(jīng)驗的基礎(chǔ)上，不斷深化我國網(wǎng)絡(luò)安全治理體系和治理能力，確保我國網(wǎng)絡(luò)空間安全，從而為我國經(jīng)濟(jì)社會高質(zhì)量發(fā)展提供重要的基礎(chǔ)保障。

[1]許超.英國國家安全委員會的建立、運(yùn)作及展望[J].江南社會學(xué)院學(xué)報，2018，20（1）：19-20.

[2]田素梅.英國國家網(wǎng)絡(luò)安全中心運(yùn)作效果解析[J].網(wǎng)信軍民融合，2020，（1）：49.

[3]田素梅.英國《國家網(wǎng)絡(luò)安全戰(zhàn)略2016-2021》實施進(jìn)展分析[J].網(wǎng)信軍民融合，2019，（8）：45.

[4]李丹林，范丹丹.英國網(wǎng)絡(luò)安全立法及重要舉措[J].中國信息安全，2014（9）：85.

[5]韓家銘.歐盟及英國個人數(shù)據(jù)保護(hù)法的最新發(fā)展及對中國立法的啟示[D].北京：北京外國語大學(xué)，2019.

[6]UK DfT，CPNI.The Key Principles of Cyber Securityfor Connected and Automated Vehicles[EB/OL].（2017-08-06）[2021-08-04].https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/661135/cyber-security-connected-automated-vehicles-key-principles.pdf.

[7]NCSC.Connected Places：Cyber Security Principles[EB/OL].（2021-05-10）[2021-08-04].https://www.ncsc.gov.uk/files/NCSC-Connected-Places-security-principles-May-2020.pdf.

[8]李艷，孫寶云，劉崇瑞.英國網(wǎng)絡(luò)安全人才培養(yǎng)機(jī)制及其對我國的啟示[J].電子政務(wù)，2019（5）：66-67.