英国网络安全治理体系研究

◆王磊 杨锐 刘金琳

英国网络安全治理体系研究

◆王磊1杨锐2刘金琳2

（1.中国网络安全审查技术与认证中心 北京 100020；2.山东省标准化研究院 山东 250000）

全球网络安全事件频发，网络安全形势与挑战日益严峻和复杂，各国政府都在持续推进网络安全治理体系的完善。本文对英国网络安全形势、组织机构体系、政策体系进行研究梳理，并在此基础上对我国网络安全治理提出可参考的建议。

英国；网络安全；治理体系

面对日益严峻的网络安全威胁形势，英国政府不断提升对网络安全的重视程度，不断调整完善网络安全组织机构体系，不断推进网络安全战略、法律法规、制度和标准的制定。

1 英国网络安全形势

近年来，英国不断遭遇大规模网络攻击事件，严重威胁国家网络安全。2018年，英国航空公司British Airways数十万名乘客的个人信息被黑客窃取，2019年，该航空公司约50万名乘客的数据被黑客窃取。2020年5月，英国航空公司EasyJet宣布泄露了900万名乘客的个人信息，包括电子邮件地址、旅行信息，并有超过2000人的信用卡信息被泄露。2020年5月，英国一家电网公司Elexon披露其内部IT系统和笔记本电脑遭遇勒索软件攻击。2019年9月，英国宽带服务提供商TalkTalk网站遭受网络攻击，导致400多万客户的个人数据被盗，包括姓名、地址、生日、电话号码、电邮地址、账户详细情况、信用卡详细情况等数据。2020年10月，伦敦议会遭受网络攻击，其IT系统和多项服务受到影响。2021年1月，英国研究与创新（UKRI）披露了一场勒索软件攻击，该攻击破坏了服务，并可能导致数据被盗。2021年3月，英国Nova教育信托合作组织的中央网络基础设施受到网络攻击，其旗下15所学校无法提供在线学习。2021年4月，英国赫特福德郡大学遭受了一场毁灭性的网络攻击，其所有IT系统都遭到了破坏，导致接下来两天所有在线课程被取消。

2 英国网络安全组织机构体系

2.1 议会

议会是英国的最高立法机关，由上院、下院两院组成。英国议会设有情报和安全委员会、国防委员会、数字、文化、媒体和体育委员会等委员会，负责制定网络安全方面的法律，调查和审议网络安全相关问题，监督和审查网络安全相关政府机构。

2.2 内阁

（1）国家安全委员会

国家安全委员会是英国国家安全管理最高协调机构，承担国家总体安全责任。网络安全方面，主要负责指导和处理英国网络空间方面的安全问题，在最高层面上协调面对网络安全威胁时的跨政府部门行动[1]。

（2）内阁办公室

英国内阁的办事机构，支撑国家安全委员会，协调政府对危机的响应，管理英国的网络安全，并负责网络安全的跨政府部门协调和战略指导。

（3）数字、文化、媒体和体育部

数字、文化、媒体和体育部负责网络安全人才培养和物联网设备网络安全保护等工作。

（4）内政部

内政部负责网络行政管理，主要针对利用网络空间犯罪和恐怖主义相关问题，目标是减少和打击网络犯罪。内政部较为关注儿童网络保护工作。

（5）国防部

国防部负责军用网络防御，增强保护防御网络和系统免受网络威胁的能力。

（6）外交及联邦事务部

外交及联邦事务部负责网络空间外交政策、国际关系、国际法律和行为等。

（7）政府通信总部

政府通信总部是国家安全和情报工作的中心。网络安全方面主要工作包括：扩大其在保护性网络安全建议和信息保证方面的工作；改进对网络攻击的检测和分析；加强网络空间的情报行动；以及改善与国际盟国和伙伴的合作。

（8）国家网络安全中心

国家网络安全中心属于网络安全领域新型中央职能实体，主要负责管理国家网络安全事件，提供权威意见及网络安全专业知识，提供具有针对性的支持与建议[2]。

（9）国家安全局

国家安全局是负责英国国内反情报和安全的机构。网络安全方面，主要负责网络上的恐怖主义、极端暴力活动和仇恨言论的举报、接收和处理，保卫英国的安全，应对危及国家安全的秘密组织威胁。

（10）国家基础设施保护中心

国家基础设施保护中心主要任务是保护国家关键基础设施免受物理和网络攻击的侵犯，并为企业和组织在国家基础设施保护方面提供安全建议和指导，积极推行信息共享。

（11）国家犯罪局

国家犯罪局设有国家预防网络犯罪科，负责预防和打击网络领域犯罪活动。

2.3 民间机构

（1）英国标准协会

英国标准协会为英国国家标准机构，主要负责网络安全方面标准研发、标准技术信息提供、产品测试、体系认证和商检服务等工作。

（2）英国网络安全委员会

2021年2月，英国政府宣布成立英国网络安全委员会，负责民事网络安全领域的专业培训和职业发展，致力于推动英国网络安全专业建设，特别关注网络安全人才培养、职业发展引导、职业道德制定、思想领导力和影响力塑造。

（3）英国皇家国际事务研究所

英国皇家国际事务研究所是英国著名的智库，其国际安全部门主要聚焦于民用和军用核设施等关键基础设施网络安全、天基战略资产网络安全等问题，致力于提供高质量、有洞察力、和政策相关的分析，为公共和私营部门提供网络领域的智力支持。

3 英国网络安全政策体系

3.1 网络安全战略

早在2009年，英国便发布首个国家网络安全战略，明确了英国网络安全战略目标，对英国网络安全发展有着深远的影响。

2011年11月，英国发布了新的网络安全战略——《英国网络安全战略：在数字世界里保护英国并促进国家发展》，旨在加强英国对网络威胁的恢复能力，建立更加可信和适应性更强的数字环境，以实现经济繁荣，保护国家安全和公众生活。

2016年11月，英国内阁办公室、国家安全和情报委员会和财政部联合发布《国家网络安全战略2016-2021》，制定了确保英国在网络空间安全和弹性的政府计划。该战略阐述政府处理和管理英国网络威胁的方法，以及如何致力于成为世界上最安全的网络空间商业场所之一。该战略首次亮出“网络威慑”战略目标。该战略计划在未来五年投入19亿英镑的资金，用于提升网络防御技术水平、加强网络空间建设。该战略涵盖开展国际行动、加大干预力度、借助行业力量、改进武装部队网络技术、提升网络攻击应对能力、启动国家网络安全中心、成立两个网络创新中心、促进网络人才培养等八方面内容[3]。

3.2 网络安全法律

早在20世纪末21世纪初，英国就开始出台了有关网络安全的法律，包括《计算机滥用法》《数据保护法》《通信监控权法》《调查权管理法》等[4]。

2014年7月，英国出台《紧急通讯与互联网数据保留法案》，该法案规定网络服务提供商有保存客户通讯数据的义务，并允许警察及安全部门通过获得电信及互联网公司用户数据，旨在加强网络监控，进一步打击犯罪与恐怖主义活动。

2018年5月，英国正式通过新修订的数据保护法案——《2018年数据保护法》，取代了1998年颁布的《数据保护法》。该法案重新建立了英国数据保护框架，填补并扩充了《欧盟通用数据保护条例》（GDPR）在某些领域的立法空缺，确保英国在脱欧之后与欧盟在个人数据保护方面保持协调一致，以促进英国与欧盟国家的数据流动。该法案要求加强数据主体对其个人数据的控制权，加强数据控制者义务，以及刑事司法机构在执法过程对个人数据的保护[5]。

2020年1月，英国政府公布了一项加强消费者物联网设备安全性的法律提案。根据该法律提案，英国所有的消费者智能设备都必须遵守物联网三项安全要求。

2020年12月，英国政府宣布，将于2021年出台新法案《在线安全法案》（Online Safety Bill）。该法案要求社交媒体公司和网站迅速采取行动，删除非法内容，如仇恨犯罪、针对个人的骚扰和威胁等，该法案将有助于确保儿童安全并防止网络种族主义歧视和其他网络暴力虐待。

3.3 网络安全制度和标准

2014年9月，英国政府发布《网络要素计划认证》，旨在确保组织对网络威胁采取基本的防范措施，以降低网络安全风险水平。2016年6月，英国议会发布《网络安全：个人在线数据保护》，对各利益相关者所做的有关个人数据保护工作做了详细阐述，并提出建议，为个人数据保护生态系统的构建和优化提供指导。2018年6月，英国政府与英国国家网络安全中心合作，推出了《最低网络安全标准》，为所有政府机构和承包商提供了安全框架，英国所有政府机构和承包商均被要求强制执行该标准。该标准细分为身份、保护、检测、响应和恢复五个部分，共提出10条具体要求。2019年1月，英国国家网络安全中心发布《重大事件网络安全指南》，概述了如何将网络风险管理过程纳入重大活动规划。近年来，英国政府针对各具体领域出台相关的网络安全制度和标准，如：

（1）新兴技术应用安全

2017年11月，英国发布《中期网络安全科技战略》，确认了新兴技术趋势，并提出应针对新兴技术采取政策应对。该战略确定了最有可能影响国家网络安全及公众赖以生存的服务行业的技术发展趋势，包括：物联网与智慧城市、数据与信息、自动化、机器学习与人工智能、人机交互。

物联网安全方面，英国十分注重物联网安全，尤其是消费者物联网安全，先后发布了《消费者物联网安全实践守则》《消费者物联网安全设计工作守则》等指南，旨在改善消费者物联网安全。

联网和自动驾驶网络安全方面，2017年8月，英国国家基础设施保护中心和运输部联合发布《联网和自动驾驶汽车网络安全关键原则》，针对整个汽车行业、联网和自动驾驶车辆智能交通系统及其供应链，提出了8项网络安全基本原则[6]。2018年12月，英国标准协会发布《自动驾驶汽车网络安全基本原则》标准，规定了保障自动驾驶汽车网络安全的基本原则，旨在帮助汽车生命周期及生态系统内的各方更好地了解如何提升并保持车辆的安全性及智能交通系统的安全性。

智慧城市方面，2021年5月，英国网络安全中心发布智慧城市网络安全指南《互联场所网络安全原则》，旨在帮助相关人员考虑英国智慧城市所需的高级别安全要求[7]。

（2）网络安全人才培养

为了加强网络安全专业人员的技术能力，提升网络安全职业认证和教育培训体系，英国制定了完善的网络安全人才培养相关的政策机制，包括设立“国家网络安全中心”学位认证、“网络安全学徒”计划、“网络学校计划”等举措，发布《未成年人网络安全计划》《信息安全保障专业人员认证框架》《连接世界的教育框架》《网络安全知识体指南》等文件。此外，还开展网络安全挑战赛以及针对女性青少年群体的“Cyber First Girls”专项网络安全挑战赛[8]。

（3）网络军事防御

2020年11月，英国首相宣布组建国家网络部队，积极开展网络行动，打击威胁英国国家安全的恐怖分子和犯罪分子。国家网络部队与国家网络安全中心一起工作，将政府通信总部、国防部和国防科学技术实验室等部门聚集在统一指挥下。

（4）其他

英国相关政府部门还出台了包括《体育组织面临的网络威胁》《农民网络安全》《小型企业指南：响应和恢复》《网络安全技能：商业指南》等具体领域的网络安全制度和标准文件。

4 我国网络安全治理建议

结合英国网络安全治理体系特点，对我国网络安全治理提出建议如下：

（1）不断健全完善我国网络安全组织机构体系，建立有效的机构间信息共享与协作机制，推动政府部门与企事业单位、科研院所之间密切合作，以能够更好地服务于我国整体网络空间安全。

（2）不断优化网络安全战略，积极推进网络安全相关立法和制度制定工作，建立健全网络安全标准体系。并针对关键基础设施安全、个人数据保护、预防网络攻击等方面出台更细致的法律、制度和标准，保障我国网络空间安全。

（3）通过开展网络安全意识活动、网络安全宣传教育等，提升社会公众网络安全意识，提高网络安全防范能力。并建立完善的网络安全职业教育、培训、认证、发展体系，提升相关人员网络安全专业能力，确立网络安全专业人才职业发展通道。

5 结束语

为了有效应对网络安全问题，英国从组织机构、战略、法律法规、制度和标准等方面不断完善其网络安全治理体系，提升网络安全治理能力。我们可在借鉴英国构建网络安全治理体系先进经验的基础上，不断深化我国网络安全治理体系和治理能力，确保我国网络空间安全，从而为我国经济社会高质量发展提供重要的基础保障。

[1]许超.英国国家安全委员会的建立、运作及展望[J].江南社会学院学报，2018，20（1）：19-20.

[2]田素梅.英国国家网络安全中心运作效果解析[J].网信军民融合，2020，（1）：49.

[3]田素梅.英国《国家网络安全战略2016-2021》实施进展分析[J].网信军民融合，2019，（8）：45.

[4]李丹林，范丹丹.英国网络安全立法及重要举措[J].中国信息安全，2014（9）：85.

[5]韩家铭.欧盟及英国个人数据保护法的最新发展及对中国立法的启示[D].北京：北京外国语大学，2019.

[6]UK DfT，CPNI.The Key Principles of Cyber Securityfor Connected and Automated Vehicles[EB/OL].（2017-08-06）[2021-08-04].https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/661135/cyber-security-connected-automated-vehicles-key-principles.pdf.

[7]NCSC.Connected Places：Cyber Security Principles[EB/OL].（2021-05-10）[2021-08-04].https://www.ncsc.gov.uk/files/NCSC-Connected-Places-security-principles-May-2020.pdf.

[8]李艳，孙宝云，刘崇瑞.英国网络安全人才培养机制及其对我国的启示[J].电子政务，2019（5）：66-67.