英国政府信息化发展战略最新趋势与创新实践报告之五:高度重视信息安全管理

来源:综合管理部   作者:国际合作处   时间:2015-01-06

英国政府高度重视信息化的安全保障,着力建设国家层面的信息安全和保障体系。英国所提出的信息安全和保障(Information Security and AssuranceISA),是指构建一个安全(secure)和可靠(reliable)的ICT体系所需的过程和机制,让公民和公共服务部门能够安全的交换数据,塑造信息处理的文化,改进互联互通使授权用户能够更稳定地跨部门访问信息,促进进步增强公众对政府处理公民信息的信任度。

政府有完全的义务,使用信息通信技术(ICT)来提供创新的公共服务,公共服务跨越多个组织互联,以确保市民和商业机构能无缝地访问他们所需的信息。强调有效的共享和使用信息是这些服务的核心。并保护公众防范犯罪、改善健康,有效应对网络恐怖主义,安全的共享和传递数据。

一、英国政府保障信息安全的主要机构

为保护国家网络安全,网络安全和信息保障办公室在国家网络安全战略指导下,协调内政部、国防部、政府通信总部、国家基础设施保护中心、外交和联邦事务部、商务部等多个政府部门和机构,协同实施相应的网络安全计划。

(一)网络安全与信息保障办公室

网络安全与信息保障办公室The Office of Cyber Security & Information Assurance (OCSIA)为内阁部长(Rt Hon Francis Maude MP)和国家安全委员会提供有关网络安全方面的决策支持,提供战略方向并协调政府的网络安全计划,增强英国的网络安全与信息保障。

OCSIA在杰姆斯奎纳尔特James Quinault的带领下,与内政部、国防部(MOD)、政府通信总部(GCHQ)、电子通信安全部(CESG)、国家基础设施保护中心(CPNI)、外交联邦事务部(FCO)和商业、创新与技能部(BIS)协同工作,主要负责实施一系列跨部门的议程,主要包括:提供包括网络犯罪在内的英国网络安全和信息保障的战略方向;支持教育、宣传、培训(如获得在线安全和网络安全挑战);与私营部门合作伙伴开展信息交换和促进最佳实践;确保英国的信息与网络安全的技术能力和运行架构得到不断改进和维护;与政府资讯科技总监办公室(Office of the Government Chief Information Office OGCIO)协同工作确保政府公用网络和政务云等ICT基础设施的弹性和安全;与国际伙伴合作改进网络空间安全和信息安全等。

(二)国家安全委员会

国家安全委员会(The National Security CouncilNSC)是内阁政府讨论国家安全问题,以及如何以最好的方式实施财经政策的主要部门,旨在确保内阁大臣在战略层面集中考虑国家安全问题。委员会每周碰面一次,并由首相戴维﹒卡梅伦主持会议。

NSC目前下设三个部长委员会,一是考虑威胁、危害、弹性和突发事件,包括一个受限组负责考虑情报问题;二是考虑核威慑和安全;三是英国与新兴国际力量的关系。

(三)政府通信总部

政府通信总部(Government Communications Headquarters GCHQ)是英国最大的情报和安全机构,致力于运用专门知识和经验维护国家安全和通信安全,实现网络连接和基础设施的安全。

(四)通信与电子安全组

通信与电子安全组(The Communications-Electronics Security GroupCESG),是GCHQ的信息安全部门,是英国国家信息安全保障的技术权威,在政府信息安全方面有决定性的发言权。

GCHQ通过与工业界和学术界建立伙伴关系,并使用来自国家基础设施保护中心(CPNI),军情五处(MI5)和秘密情报局(军情六处,MI6)等同事对安全威胁的研判成果,一方面为政府的新建IT系统和现有IT系统的安全风险提供量身定制的建议,并提供防范这些安全风险的思路和方案,同时与工业界合作建立标准和指南,确保政府部门使用适当的放心产品、服务和人员,并建立世界级的信息保障和网络安全专业人员库,以便政府部门利用并形成风险防范能力。此外,还对现有系统运行提供支持,如对特定的威胁和漏洞进行警告、提供应急响应以及保护数据的技术解决方案,如使用加密密钥保护最敏感的信息等。

CESG为政府具体提供以下支持:保护政府的敏感信息和机密信息免受敌对威胁,以维护国家主权;作为政府ICT战略的一部分,确保公共部门内部使用IT的良好质量安全;作为政府数字化战略的一部分,确保政府与公民的在线互动;与工业界合作保护国家的关键基础设施。

(五)国家基础设施保护中心

国家基础设施保护中心(The Centre for the Protection of National InfrastructureCPNI),是保护国家基础设施的权威政府部门,为保护国家安全提供有关物理安全、人员安全、网络安全和信息安全保障等有关建议,如安全的放置、安全的建筑设计、安全措施或协议,以阻止和检测威胁或将攻击后果最小化。CPNI资助各种保护英国网络空间国家利益、防范来自国家层面、犯罪分子和恐怖主义袭击等安全威胁的广泛项目。

英国政府将国家基础设施定义为“国家功能所必需的以及为英国公民日常生活提供基本服务的设施、系统、场站和网络”,并划分为:通讯、应急服务、能源、金融服务、食品、政府、健康、运输和水九大类。

CPNI基于科学知识、对国家安全威胁的理解、经验和专门知识、与私营和公共部门的有效合作关系,以及政策层面的考虑等相关因素提出安全保护建议,解释如何将这些建议组合起来并相互加强,并说明其与相应威胁的对应关系。

此外,还有内政部(Home Office)和国防部(Ministry of DefenceMoD),以及网络安全运行(作战)中心等政府机构与国家网络安全工作相关。

二、实施保护网络空间安全的国家战略

(一)国家安全战略

201010月,英国政府发布国家安全战略报告《非确定性时代的强大英国:国家安全战略》(A Strong Britain in an Age of Uncertainty: The National Security Strategy),将其他国家针对英国网络空间的敌对攻击和大规模网络犯罪列为国家面对的主要威胁之一。基于安全风险发生的可能性和影响程度,将“恐怖主义、海外不稳定和冲突事件、网络安全、国内紧急事件、能源安全、有组织犯罪、边境安全、防扩散和军备控制”等八项列为重点,其中“网络安全”排在第三,并作为四个“高优先级风险”之一(其他三个是国际恐怖主义、国际军事危机,以及因自然灾难或事故导致的国内紧急事件)。

(二)网络空间的国家安全战略

201111月,英国发布了网络空间安全的国家战略《大不列颠联合王国的安全战略:保护和提升数字世界中的大不列颠联合王国》(The UK Cyber Security Strategy-Protecting and promoting the UK in a digital world),主要阐述英国如何通过构建更为可信、更加弹性的数字环境以促进经济繁荣和保护国家安全,并提出2015年实现四大目标的战略蓝图:一是有效应对网络犯罪,使英国成为全球网络空间开展业务最安全的地方;二是更为有效地抵御网络空间威胁,更好地保护网络空间的国家利益;三是致力于形成一个开放、稳定的网络空间,使公众能够安全使用并支撑一个开放的社会;四是具备支撑所有网络安全目标的跨领域知识、技巧和能力。

(三)网络空间的国际安全战略

20129月,英国贸易与投资署发布《网络安全,支撑英国出口的途径》(Cyber Security, the UK's approach to export )报告,提出英国将致力于构建一个安全、坚固、开放和可信的互联网,并与全球范围的伙伴合作,共同使其成为现实。

贸易与投资署的视角在于将英国工业界作为全球网络安全供应基地的前沿,帮助有关国家应对网络犯罪、网络恐怖主义和国家级的谍报行动,并与英国价值观和人权相一致。

报告阐述了网络安全作为英国出口拉动增长战略的基础部分的重要性,英国工业界的实力及其独特原因,发展机遇和市场分析,贸易与投资署的推进步骤,英国政府和工业界在出口战略中的各自角色,以及如何合作以实现出口增长,阐述了需要加以管理的相应风险。

报告对国际网络安全市场和供应商进行分解,提出以下框架:

三、典型实践

(一)制订实施安全政策指导性文件

2014年,内阁秘书长、官方安全委员会(Official Committee on SecuritySO)主席杰瑞米海伍德(SIR JEREMY HEYWOOD)签署了英国政府的《安全策略框架》(The Security Policy Framework,提出了各安全领域的共同准则:

1、应反映英国最广泛的安全目标并确保英国政府最敏感的资产得到有效保护;

2、安全必须支撑政府业务并支持英国政府透明和公开的工作,通过适当的数字方式有效和高效地提供服务;

3、风险管理是关键并应由决策层推进。通过评估,识别潜在的威胁、脆弱性和相应的措施,并将人员、信息和基础设施的风险降低到可接受的程度。这一过程将充分考虑相关的法定义务和保护,包括数据保护法案、信息自由法案、官方机密条例、平等法案,以及严重有组织犯罪和警察法案等。

4、人员和行为是安全的基础。正确的安全文化、适当的期望和有效的训练不可或缺。

5、汇报、管理和解决任何安全事件都要有策略和程序,对系统崩溃或个人操作不当,将需要进行适当的处置

(二)设置统一的政府网关

为便于公众更快找到自己想要的信息,英国建立了统一的政府信息门户网站,建立了统一的政府网关(Government Gateway),为个人、机构和代理等各种用户提供一站式登录和账号管理服务。

(三)提出网络防御的20项关键安全控制措施

国家基础设施保护中心CPNI积极参与国际政府-行业部门共同推进关键安全控制措施的努力,发布了提高组织网络安全防御能力的20项基线安全措施:

1、编目管理授权和未授权设备。主动管理(编目、跟踪和纠正)网络上的全部硬件设备,确保只有授权设备能够访问,并发现和阻止未授权和不受管理的设备获得访问。

2、编目管理授权和未授权软件。主动管理(编目、跟踪和纠正)网络上的全部软件,确保只有授权软件能够安装和运行,发现和阻止未授权和不受管理的软件被安装和运行。

3、移动设备、便携电脑、工作站和服务器的硬件和软件的安全配置。使用严格的配置管理和变更控制程序,建立、实现和主动管理(跟踪、报告和纠正)移动设备、便携电脑、工作站和服务器的安全配置,以防止攻击者利用脆弱的服务和设置。

4、持续的脆弱性评估和修补。持续的获取、评估新的信息并采取行动,以便识别和修补脆弱性,尽量减少攻击者利用脆弱性的时间窗口。

5、恶意软件防范。在企业多个位置控制恶意代码的安装、扩散和执行,同时优化部署自动化的快速更新防御、数据收集和纠正措施。

6、应用软件安全。管理所有自主开发和采购软件的安全生命期,以防止、检测和修正安全弱点。

7、无线访问控制。跟踪/控制/预防/纠正安全使用无线局域网络(LAN)、接入点和无线客户端系统的过程和工具。

8、数据恢复能力。正确备份关键信息并用行之有效的方法及时恢复数据的过程和工具。

9、安全技能评估和适当的培训以弥补差距。对组织的业务和安全至关重要的那些功能性角色,要确定其支持企业安全防御的专门知识、技能和能力;制定和执行综合评估计划,找出差距,并通过政策、组织规划、培训和宣传计划等进行修补。

10、防火墙、路由器和交换机等网络设备的安全配置。用严格的配置管理和变更控制流程来建立、实施和积极管理(跟踪、报告、纠正)网络基础设备的安全配置,防止攻击者利用网络基础设备脆弱的服务和设置。

11、网络端口、协议和设备的限制和控制。管理(跟踪/控制/纠正)网络设备正在使用的端口的协议和服务,以减少脆弱性暴露给攻击者的时间窗口。

12、超级管理权限的受控使用。对计算机、网络和应用程序的超级管理权限的配置、分配和使用进行跟踪/控制/预防/纠正的过程和工具。

13、边界防御。检测/预防/纠正不同信任级别的网络信息流,并集中关注安全破坏数据。

14、审计日志的维护、监视和分析。收集,管理和分析事件审计日志,以帮助检测和了解攻击并进行恢复。

15、基于最小权限(Need to Know)的控制访问。对人员、计算机和应用程序及其需要和有权访问的关键资产(信息、资源和系统等)进行正式分类和授权基础上,使用流程和工具来跟踪/控制/预防/纠正对关键资产的安全访问。

16、帐户监视和控制。主动管理系统帐户和应用程序帐户的整个生命周期,包括其创建、使用、休眠和删除,以减少攻击者的利用机会。

17、数据保护。使用流程和工具防止数据泄露,减轻泄露数据的影响,确保敏感信息的隐私和完整性。

18、事件响应和管理。通过开发和部署事件响应基础架构(如:计划、角色定义、培训、沟通、监督管理)快速发现攻击并有效遏制损害、消除攻击者的存在,并恢复网络和系统的完整性,以保护组织的信息及其声誉。

19、安全网络工程。通过规划、设计和构建只允许高可信系统运行的特征,使安全成为企业的内在属性,以拒绝攻击或尽量减少攻击机会。

20、渗透性测试和红队演练。通过模拟目标和攻击者行动测试组织的整体防御实力(技术、过程和人员)。

(四)建立信息保障联盟

建立英国信息保障联盟。通信与电子安全组CESG,作为国家信息安全保障的技术权威,是英国信息保障联盟的核心,其他主要成员包括:内阁办公室Cabinet Office、国家基础设施保护中心(CPNI)、信息委员会办公室Information Commissioner’s Office (ICO) 、国防部信息保障产品集成电路产品目录管理部门、网络安全与信息保障办公室(OCSIA)、政府采购服务(GPS)部门等。政府参与国际联盟,如欧洲安全与合作组织,欧盟和世界经济论坛等。

 

 



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919