英國國防部 張運(yùn)雄，賀彥平，安子棟 譯

（1.中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041；2.國防科技大學(xué)圖書館，湖南 長沙 410007）

0 引 言

國防目標(biāo)的實(shí)現(xiàn)在一定程度上取決于國家對(duì)網(wǎng)絡(luò)攻擊的適應(yīng)能力，而一系列由惡意行為者發(fā)起的網(wǎng)絡(luò)攻擊，以及由于國家在網(wǎng)絡(luò)空間的競爭發(fā)展導(dǎo)致能力和技術(shù)已經(jīng)對(duì)國防安全造成嚴(yán)重風(fēng)險(xiǎn)，使得網(wǎng)絡(luò)攻擊威脅逐漸成為英國國防部面臨的最高風(fēng)險(xiǎn)之一。建設(shè)具有彈性的網(wǎng)絡(luò)空間已成為英國國防部的當(dāng)務(wù)之急。

1 執(zhí)行摘要

1.1 背景介紹

國防系統(tǒng)需要成為網(wǎng)絡(luò)空間的堅(jiān)強(qiáng)后盾，要能夠抵御各種網(wǎng)絡(luò)威脅，能夠在所有作戰(zhàn)領(lǐng)域自由行動(dòng)，在沖突閾值上下均能夠參與競爭。如果國防系統(tǒng)實(shí)現(xiàn)這一目標(biāo)，將能夠提升國際影響力，增強(qiáng)可信的威懾力，并支撐英國實(shí)現(xiàn)“成為一個(gè)負(fù)責(zé)任的網(wǎng)絡(luò)大國”這一愿景。這一挑戰(zhàn)既是國防部的任務(wù)，也是產(chǎn)業(yè)界、政府及盟友與合作伙伴的共同任務(wù)。實(shí)現(xiàn)這一目標(biāo)對(duì)于實(shí)現(xiàn)政府愿景至關(guān)重要，將為英國在“網(wǎng)絡(luò)空間‘未來前沿’實(shí)現(xiàn)安全的數(shù)字未來”這一全球行動(dòng)中占據(jù)重要位置打下基礎(chǔ)。

《國防數(shù)字戰(zhàn)略》概述了國防所需的變革步驟，以數(shù)字能力和數(shù)據(jù)作為基本推動(dòng)力，促進(jìn)國防部更快、更好地決策和改善國防成果。國防部對(duì)數(shù)字、信息與通信技術(shù)（Information and Communication Technology，ICT）和數(shù)據(jù)的依賴程度不斷加深，這是轉(zhuǎn)型規(guī)劃和未來國防作戰(zhàn)能力的核心所在。然而，這種依賴性也給國防帶來了風(fēng)險(xiǎn)，因?yàn)槿绻煌瑫r(shí)發(fā)展數(shù)字安全和業(yè)務(wù)彈性兩方面技術(shù)，將為競爭對(duì)手提供更多機(jī)會(huì)。

在過去的5 年內(nèi)，全球網(wǎng)絡(luò)攻擊數(shù)量呈指數(shù)級(jí)增長，網(wǎng)絡(luò)攻擊導(dǎo)致很多機(jī)構(gòu)陷入癱瘓，這進(jìn)一步凸顯了網(wǎng)絡(luò)安全和對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)明確認(rèn)知的必要性。對(duì)于國防來說，這意味著勢(shì)必會(huì)對(duì)防御能力、職能和業(yè)務(wù)成果造成威脅。對(duì)于國防部的業(yè)務(wù)交付至關(guān)重要的是，要確保整個(gè)生命周期內(nèi)的安全設(shè)計(jì)，否則將有可能丟失在自動(dòng)化、人工智能、自動(dòng)駕駛汽車、混合現(xiàn)實(shí)、合成環(huán)境以及量子計(jì)算等領(lǐng)域帶來的改變游戲規(guī)則的機(jī)會(huì)。

1.2 愿景和目標(biāo)

《國防網(wǎng)絡(luò)彈性戰(zhàn)略》的愿景是建立國防彈性網(wǎng)絡(luò)體系，確保實(shí)現(xiàn)國防目標(biāo)并支撐英國在網(wǎng)絡(luò)領(lǐng)域做出貢獻(xiàn)，以鞏固其民主和負(fù)責(zé)任的網(wǎng)絡(luò)大國形象。為實(shí)現(xiàn)愿景，該戰(zhàn)略設(shè)定了一個(gè)核心目標(biāo)——到2026 年，國防核心部門抵御網(wǎng)絡(luò)攻擊的能力將顯著增強(qiáng)；2030 年前，所有國防組織能夠游刃有余地應(yīng)對(duì)各種已知漏洞和網(wǎng)絡(luò)攻擊。

該戰(zhàn)略詳細(xì)闡述了嵌入高端網(wǎng)絡(luò)防御能力的必要變化，并彰顯了《國防數(shù)字戰(zhàn)略》和《國防網(wǎng)絡(luò)戰(zhàn)略》的雄心。戰(zhàn)略的重點(diǎn)優(yōu)先事項(xiàng)由國防信息部指導(dǎo)協(xié)調(diào)，并將通過與產(chǎn)業(yè)界、學(xué)術(shù)界、政府、盟國和合作伙伴的合作來實(shí)現(xiàn)。

2 戰(zhàn)略要素

2.1 亟須變革和克服的因素

當(dāng)今世界正處于一個(gè)試圖獲得更多優(yōu)勢(shì)的國防系統(tǒng)競爭時(shí)代，這意味著國防必須適應(yīng)數(shù)字化的發(fā)展步伐，迅速采用改變游戲規(guī)則的方式，以確保國防成果的安全交付。

2.1.1 需要推動(dòng)變革的因素

（1）持續(xù)發(fā)展的威脅。網(wǎng)絡(luò)競爭對(duì)手持續(xù)激增，以前只有部分先進(jìn)國家擁有的網(wǎng)絡(luò)工具和能力，現(xiàn)在已經(jīng)公開化了。代理人提供破壞性網(wǎng)絡(luò)攻擊或間諜活動(dòng)也將作為一種服務(wù)變得愈加常見。國家行為體更愿意通過網(wǎng)絡(luò)空間從事復(fù)雜的惡意活動(dòng)，因?yàn)樗麄兦宄W(wǎng)絡(luò)溯源具有挑戰(zhàn)性，并進(jìn)一步推動(dòng)網(wǎng)絡(luò)技術(shù)向自動(dòng)化方向發(fā)展。

（2）持續(xù)變化的環(huán)境。國防正在向與數(shù)字技術(shù)相關(guān)的工作方式改變，并隨著對(duì)產(chǎn)業(yè)數(shù)據(jù)依賴性不斷增強(qiáng)而向戰(zhàn)術(shù)邊緣推進(jìn)。當(dāng)前，數(shù)字威脅攻擊面正在不斷擴(kuò)大，跨越了傳統(tǒng)的安全環(huán)境，從而增加了對(duì)保護(hù)數(shù)字環(huán)境的新型解決方案的需求。同時(shí)，確保數(shù)字安全的傳統(tǒng)方法終將過時(shí)。

（3）持續(xù)進(jìn)步的技術(shù)。技術(shù)的飛速發(fā)展使世界比以往任何時(shí)候都更加緊密地聯(lián)系在一起，增加了機(jī)會(huì)，促進(jìn)了創(chuàng)新和進(jìn)步。這種變化的規(guī)模和速度往往超過了理論、政策和組織的演變，同時(shí)釋放出前所未有的復(fù)雜性、不穩(wěn)定性和風(fēng)險(xiǎn)。

2.1.2 必須克服的因素

（1）文化失調(diào)。從個(gè)人意識(shí)行為到指導(dǎo)決策能力的框架中，國防工作者必須有能力做出明智的選擇，并在數(shù)字環(huán)境的第一線安全地運(yùn)作。所有國防人員都在為實(shí)現(xiàn)這一愿景發(fā)揮作用，他們必須具備網(wǎng)絡(luò)意識(shí)，并有能力做出恰當(dāng)且安全的決定。

（2）技術(shù)過時(shí)。國防部現(xiàn)有數(shù)字環(huán)境已經(jīng)發(fā)展了很多年，技術(shù)債務(wù)和安全漏洞持續(xù)存在，陳舊的技術(shù)仍在沿用，這已經(jīng)對(duì)其實(shí)現(xiàn)國防成果造成不利影響。國防組織需要加快消除整個(gè)數(shù)字環(huán)境中的過時(shí)技術(shù)，并對(duì)過時(shí)技術(shù)進(jìn)行積極的風(fēng)險(xiǎn)管理和資助。

（3）網(wǎng)絡(luò)彈性不足。國防成果的交付與支撐活動(dòng)促成的數(shù)字環(huán)境之間存在著不可分割的依賴關(guān)系，而且這種依賴性可延伸到產(chǎn)業(yè)數(shù)字生態(tài)體系。對(duì)數(shù)字服務(wù)的依賴具有一定的風(fēng)險(xiǎn)，因此必須清楚地了解失去這些服務(wù)可能造成的影響。這種風(fēng)險(xiǎn)可以通過重視和應(yīng)對(duì)網(wǎng)絡(luò)威脅的彈性和恢復(fù)措施來減輕和避免。

2.2 成功要素

2.2.1 參與者

（1）決策發(fā)起者、高級(jí)責(zé)任人（Senior Responsible Owners，SROs）、采購組織和運(yùn)營機(jī)構(gòu)（Operating Authorities，OAs）。負(fù)責(zé)開發(fā)、采購和運(yùn)營的國防力量和數(shù)字企業(yè)，為網(wǎng)絡(luò)恢復(fù)措施提供資金，以確保國防力量得到保障。

（2）職能部門和國防組織的領(lǐng)導(dǎo)人。負(fù)責(zé)交付國防成果，并致力于從組織中獲得資源以提供彈性。

（3）國防組織的首席信息官和安全專家。負(fù)責(zé)確保數(shù)字資產(chǎn)的安全性和彈性，并為國防組織的決策者和領(lǐng)導(dǎo)人提供建議和指導(dǎo)。

（4）行動(dòng)指揮官。負(fù)責(zé)全球數(shù)字資產(chǎn)的安全和彈性運(yùn)作，并發(fā)展業(yè)務(wù)彈性以盡量減少網(wǎng)絡(luò)攻擊帶來的影響。

（5）產(chǎn)業(yè)。負(fù)責(zé)提供國防集成方案與安全保障方案，并積極保護(hù)整個(gè)供應(yīng)鏈中的數(shù)據(jù)。

2.2.2 數(shù)字環(huán)境

（1）防御能力。包括數(shù)字資產(chǎn)在內(nèi)的所有功能、平臺(tái)和其他功能，通常包含國防裝備及支持和其他。

（2）數(shù)字化企業(yè)。數(shù)字資產(chǎn)、網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)構(gòu)成了大多數(shù)國防力量、功能和產(chǎn)出所依賴的數(shù)字主干網(wǎng)。這通常包括傳統(tǒng)的信息生態(tài)系統(tǒng)，由國防數(shù)字公司或直接由前線指揮部、最高等級(jí)預(yù)算和地方機(jī)構(gòu)購買。

（3）整體力量。操作國防力量或與數(shù)字廠商交互的人，包括他們的數(shù)字身份。這通常包括所有政府官員、國防承包商、產(chǎn)業(yè)界和政府。

2.2.3 指導(dǎo)原則

（1）方法適應(yīng)性。適應(yīng)不斷變化的威脅和風(fēng)險(xiǎn)，并利用技術(shù)來充分發(fā)揮優(yōu)勢(shì)，使用靈活的程序來保證國防成果。

（2）安全和彈性。數(shù)字環(huán)境的每一部分都將納入對(duì)網(wǎng)絡(luò)攻擊的固有保護(hù)和抵御能力之中，定期更新以維護(hù)網(wǎng)絡(luò)安全，并設(shè)計(jì)為終生可與網(wǎng)絡(luò)防御能力互操作。

（3）共同努力。每個(gè)與數(shù)字環(huán)境交互的人，無論使用什么系統(tǒng)，都有責(zé)任保護(hù)國防部免受對(duì)手的攻擊。每個(gè)參與者都是網(wǎng)絡(luò)防御的一部分，都可以在防范惡意活動(dòng)中發(fā)揮作用。

（4）協(xié)作、整合和凝聚。國防部必須與國家網(wǎng)絡(luò)安全中心、政府、盟友和合作伙伴以及產(chǎn)業(yè)界密切合作，共同應(yīng)對(duì)新興的網(wǎng)絡(luò)威脅。

4.管理信息化先進(jìn)性。管理信息化先進(jìn)性包括核心業(yè)務(wù)能力和綜合業(yè)務(wù)能力，特別是風(fēng)險(xiǎn)控制能力，對(duì)于國家電網(wǎng)公司來講，具體包含：公司信息化建設(shè)需滿足全面支撐公司戰(zhàn)略發(fā)展需要，提高企業(yè)核心業(yè)務(wù)管理能力、綜合管理能力和決策管理能力；公司財(cái)務(wù)、營銷、安全生產(chǎn)、協(xié)同辦公、人力資源、物資、項(xiàng)目及綜合管理等業(yè)務(wù)應(yīng)用功能得到充分應(yīng)用，實(shí)現(xiàn)管理與信息化互相促進(jìn)、持續(xù)提升。

3 戰(zhàn)略優(yōu)先事項(xiàng)

3.1 安全設(shè)計(jì)

安全防御需要貫穿其整個(gè)網(wǎng)絡(luò)安全生命周期，并通過預(yù)先計(jì)劃好的應(yīng)對(duì)措施來抵御網(wǎng)絡(luò)攻擊。安全設(shè)計(jì)是指通過將網(wǎng)絡(luò)安全原則、角色、過程、工具和技術(shù)等結(jié)合起來，科學(xué)構(gòu)建安全系統(tǒng)，從而在整個(gè)功能生命周期中建立一種積極主動(dòng)的風(fēng)險(xiǎn)管理文化和適當(dāng)?shù)陌踩紤]方法。

（1）國防數(shù)字環(huán)境措施。根據(jù)國際標(biāo)準(zhǔn)和英國國家網(wǎng)絡(luò)安全中心（National Cyber Security Centre，NCSC）指導(dǎo)，定義并宣傳安全設(shè)計(jì)的關(guān)鍵原則；基于現(xiàn)代化、簡單的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)更新政策；支持項(xiàng)目組采用新的安全設(shè)計(jì)的工作方式；更新認(rèn)證方法并使之現(xiàn)代化；修訂違規(guī)升級(jí)機(jī)制和后續(xù)風(fēng)險(xiǎn)管理。

（2）對(duì)抗數(shù)字環(huán)境威脅措施。確定、實(shí)施可在短期內(nèi)應(yīng)用的風(fēng)險(xiǎn)降低措施，以提高業(yè)務(wù)的網(wǎng)絡(luò)彈性；重新設(shè)定數(shù)字業(yè)務(wù)連續(xù)性和事后恢復(fù)的標(biāo)準(zhǔn)；參與政府、盟國和合作伙伴的業(yè)務(wù)連續(xù)性和事后恢復(fù)工作。

（3）國防組織措施。確保新功能采用設(shè)計(jì)安全策略和原則；將資源安全技能引入計(jì)劃和項(xiàng)目組，以正確識(shí)別安全需求；建立評(píng)估機(jī)制，支持SROs 和交付小組在考慮安全交易之前明確評(píng)估安全風(fēng)險(xiǎn)；被動(dòng)、積極地執(zhí)行業(yè)務(wù)連續(xù)性和事后恢復(fù)計(jì)劃，以顯示業(yè)務(wù)彈性。

3.2 治理、風(fēng)險(xiǎn)和合規(guī)

（1）國防成果風(fēng)險(xiǎn)應(yīng)對(duì)措施。分析包括網(wǎng)絡(luò)威脅在內(nèi)的國防成果風(fēng)險(xiǎn)；界定關(guān)鍵系統(tǒng)及每個(gè)系統(tǒng)所需要的彈性水平；與重要供應(yīng)商合作，以提高供應(yīng)鏈的安全性。

（2）實(shí)施治理機(jī)制措施。推出新的國防網(wǎng)絡(luò)安全政策；持續(xù)改進(jìn)風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃，使用關(guān)鍵風(fēng)險(xiǎn)指標(biāo)來衡量國防機(jī)構(gòu)的進(jìn)展；在整個(gè)國防組織和行業(yè)中進(jìn)行合規(guī)性檢查，以確定和彌補(bǔ)網(wǎng)絡(luò)彈性方面的不足；通過支持國防組織的內(nèi)部分析，形成一致的泛防御風(fēng)險(xiǎn)觀。

（3）網(wǎng)絡(luò)大國愿景實(shí)現(xiàn)措施。通過支持國防組織的內(nèi)部分析，形成一致的泛防御風(fēng)險(xiǎn)觀；與NCSC 和其他政府部門緊密合作，以加快防御性安全成熟度的提高；采取默認(rèn)“共享”姿態(tài)，在政策允許的情況下積極與政府、盟友和伙伴合作；評(píng)估國防部作為一個(gè)部門的網(wǎng)絡(luò)成熟度，以展示國防部對(duì)提高整個(gè)政府網(wǎng)絡(luò)彈性的貢獻(xiàn)。

（4）國防組織措施。制訂網(wǎng)絡(luò)風(fēng)險(xiǎn)治理方案，并確定負(fù)責(zé)降低網(wǎng)絡(luò)風(fēng)險(xiǎn)的人員；了解信息資產(chǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)偏好，為制訂降低風(fēng)險(xiǎn)計(jì)劃提供信息參考；積極參與合規(guī)系列評(píng)估和降低風(fēng)險(xiǎn)方面的行動(dòng)。

3.3 快速檢測(cè)和響應(yīng)

（1）為網(wǎng)絡(luò)防御團(tuán)隊(duì)提供檢測(cè)響應(yīng)功能。生成態(tài)勢(shì)感知，為決策過程提供信息參考；根據(jù)威脅用戶行為生成并實(shí)施檢測(cè)用例；積極實(shí)施質(zhì)量更高的檢測(cè)方法；改進(jìn)流程和權(quán)限，以協(xié)調(diào)響應(yīng)檢測(cè)；流程自動(dòng)化，以減少網(wǎng)絡(luò)防御者的工作量并提高響應(yīng)速度；吸取經(jīng)驗(yàn)教訓(xùn)，以快速優(yōu)化檢測(cè)和響應(yīng)功能。

（3）向政府、盟友及合作伙伴宣傳網(wǎng)絡(luò)防御方法。進(jìn)一步整合、提高作戰(zhàn)效率；參加網(wǎng)絡(luò)演習(xí)，測(cè)試集體網(wǎng)絡(luò)反應(yīng)。

（4）國防組織措施。明確其對(duì)有機(jī)網(wǎng)絡(luò)防御組織的要求，這些組織將作為聯(lián)邦的一部分進(jìn)行運(yùn)作，對(duì)生成和提供資源的組織的數(shù)字環(huán)境進(jìn)行網(wǎng)絡(luò)防御部署；在數(shù)字環(huán)境中實(shí)施檢測(cè)；采用常見的網(wǎng)絡(luò)防御策略進(jìn)行定期演習(xí)，以測(cè)試協(xié)調(diào)網(wǎng)絡(luò)事件響應(yīng)；定期進(jìn)行事后分析，并采取相應(yīng)措施提高網(wǎng)絡(luò)彈性。

3.4 人員和文化

（1）提高個(gè)人對(duì)網(wǎng)絡(luò)威脅和良好數(shù)字安全做法的認(rèn)識(shí)。要求將整個(gè)部隊(duì)的強(qiáng)制性培訓(xùn)納入最新的網(wǎng)絡(luò)安全和彈性內(nèi)容范疇；通過參與相關(guān)話題塑造內(nèi)容，在適當(dāng)?shù)那闆r下針對(duì)特定任務(wù)定制、識(shí)別并應(yīng)對(duì)最嚴(yán)重的不良行為。

（2）改善集體行為的措施。通過識(shí)別和應(yīng)對(duì)最高風(fēng)險(xiǎn)行為逐步影響文化；培訓(xùn)和教育相關(guān)人員如何作為一名維護(hù)網(wǎng)絡(luò)彈性的參與者；采用現(xiàn)有的信息管理和數(shù)據(jù)保護(hù)工具，幫助整個(gè)部隊(duì)做出正確決策；整合“良好的建議方案”用于大力推進(jìn)網(wǎng)絡(luò)彈性提案；組織適當(dāng)?shù)呐嘤?xùn)，以實(shí)現(xiàn)集體網(wǎng)絡(luò)防御。

（3）培養(yǎng)國防網(wǎng)絡(luò)專家骨干。支持在更廣泛的安全行業(yè)內(nèi)發(fā)展網(wǎng)絡(luò)專業(yè)；最大限度地實(shí)施軍事網(wǎng)絡(luò)專家的統(tǒng)一職業(yè)管理；提供能夠支持戰(zhàn)略的貢獻(xiàn)者咨詢服務(wù)。

（4）國防組織措施。培養(yǎng)相關(guān)人員的基本網(wǎng)絡(luò)安全技能，并不斷保持和提高專業(yè)人員的熟練程度；培養(yǎng)積極、整體的力量和文化，鼓勵(lì)相關(guān)人員主動(dòng)學(xué)習(xí)、質(zhì)疑和挑戰(zhàn)，從而不斷改進(jìn)網(wǎng)絡(luò)安全實(shí)踐和設(shè)計(jì)；了解網(wǎng)絡(luò)技能需求，并為組織提供適當(dāng)?shù)膶I(yè)知識(shí)，以交付其防御成果。

3.5 行業(yè)

（1）重置與產(chǎn)業(yè)界的關(guān)系。創(chuàng)建超越合同的安全關(guān)系，在明確的戰(zhàn)略和政策的基礎(chǔ)上建立相互支持的網(wǎng)絡(luò)彈性；與NCSC 一起使用網(wǎng)絡(luò)安全論壇，闡述國防部對(duì)網(wǎng)絡(luò)安全的重要依賴，并合作解決供應(yīng)鏈安全問題；提高供應(yīng)商對(duì)關(guān)鍵能力的認(rèn)識(shí)和了解。

（2）保護(hù)產(chǎn)業(yè)中的國防數(shù)據(jù)。通過更新國防網(wǎng)絡(luò)保護(hù)伙伴關(guān)系流程，加強(qiáng)對(duì)產(chǎn)業(yè)和供應(yīng)鏈中高價(jià)值國防數(shù)據(jù)的保護(hù)；實(shí)施解決方案，允許對(duì)產(chǎn)業(yè)或國防網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行受控和可審計(jì)的訪問；使用公認(rèn)的國際標(biāo)準(zhǔn)審核供應(yīng)商網(wǎng)絡(luò)彈性，并共同進(jìn)行改進(jìn)和優(yōu)化。

（3）與產(chǎn)業(yè)界聯(lián)合實(shí)施“設(shè)計(jì)安全”原則和政策。通過使用與供應(yīng)商合作開發(fā)的新合同機(jī)制，確保行業(yè)產(chǎn)生設(shè)計(jì)安全的未來能力；與行業(yè)合作，通過確保現(xiàn)有能力符合最佳實(shí)踐和政策，以提高網(wǎng)絡(luò)彈性。

（4）加強(qiáng)供應(yīng)鏈中的網(wǎng)絡(luò)彈性。激勵(lì)逐步提高網(wǎng)絡(luò)彈性的供應(yīng)商；進(jìn)行獨(dú)立或聯(lián)合的網(wǎng)絡(luò)安全演習(xí)，持續(xù)改善集體網(wǎng)絡(luò)彈性。

（5）產(chǎn)業(yè)界采取的措施。以開放的心態(tài)重新建立安全關(guān)系；積極支持網(wǎng)絡(luò)彈性審計(jì)，推動(dòng)整治行動(dòng)；改善國防數(shù)據(jù)保護(hù)，并在軍事能力的整個(gè)生命周期中采用“設(shè)計(jì)安全”原則；主動(dòng)制訂業(yè)務(wù)連續(xù)性和事后恢復(fù)計(jì)劃，積極參與、創(chuàng)造鍛煉機(jī)會(huì)，并展示作戰(zhàn)彈性。

3.6 安全基礎(chǔ)

（1）為國防數(shù)字骨干建立安全基礎(chǔ)。將現(xiàn)代安全控制和要求嵌入支持?jǐn)?shù)字國防戰(zhàn)略的數(shù)字骨干計(jì)劃；實(shí)施零信任架構(gòu)，在以數(shù)據(jù)為中心的安全模型基礎(chǔ)上應(yīng)用適當(dāng)?shù)陌踩刂疲晦D(zhuǎn)換密鑰能力，保護(hù)密碼；提供現(xiàn)代、集中的身份和訪問管理服務(wù)，確保正確的個(gè)人在正確的時(shí)間以正確的理由訪問正確的資源；創(chuàng)建一個(gè)在國防領(lǐng)域可采用的可信安全控制解決方案的服務(wù)目錄；盡早試用和測(cè)試新的安全解決方案，以便處于領(lǐng)先地位。

（2）將網(wǎng)絡(luò)彈性的基礎(chǔ)擴(kuò)展至更廣泛的數(shù)字環(huán)境。創(chuàng)建并嵌入網(wǎng)絡(luò)通用技術(shù)模式以供廣泛采用；推動(dòng)實(shí)施強(qiáng)有力的信息管理和數(shù)據(jù)保護(hù)解決方案和工作方式；制訂計(jì)劃將網(wǎng)絡(luò)彈性基金與行業(yè)聯(lián)系起來。

（3）國防組織措施。采用標(biāo)準(zhǔn)技術(shù)，并在開發(fā)和啟動(dòng)時(shí)集中實(shí)施網(wǎng)絡(luò)彈性解決方案；通過更新過時(shí)的IT 基礎(chǔ)知識(shí)來驅(qū)動(dòng)安全改進(jìn)。

3.7 實(shí)驗(yàn)、研究和創(chuàng)新

（1）將實(shí)驗(yàn)、研究和創(chuàng)新（Experimentation,Research and Innovation，ERI）的方法付諸實(shí)踐。與國防ERI工作保持一致，與國防部發(fā)布的《2020年科技戰(zhàn)略》和數(shù)字工廠相一致；創(chuàng)新模式，倡導(dǎo)國防人員積極參與以不斷提高網(wǎng)絡(luò)彈性；與數(shù)字工廠合作，確保所有國防參與者能夠最大限度地利用數(shù)據(jù)并在應(yīng)用程序的快速開發(fā)中維護(hù)安全；與國防科技界合作，推動(dòng)未來防御性網(wǎng)絡(luò)能力概念的開發(fā)、分析和測(cè)試；與各地的科學(xué)、技術(shù)、研究和創(chuàng)新中心合作，抓住機(jī)遇將其整合至網(wǎng)絡(luò)彈性工作中；堅(jiān)持不懈地進(jìn)行創(chuàng)新，以提高跨越國防的網(wǎng)絡(luò)作戰(zhàn)能力。

（2）通過學(xué)習(xí)發(fā)展洞察力。所有網(wǎng)絡(luò)安全和彈性活動(dòng)都將嵌入一個(gè)經(jīng)驗(yàn)教訓(xùn)過程；分析經(jīng)驗(yàn)教訓(xùn)，為優(yōu)先排序和降低風(fēng)險(xiǎn)行動(dòng)生成經(jīng)驗(yàn)和見解。

（3）地平線網(wǎng)絡(luò)防御技術(shù)和國防應(yīng)用研究。委托產(chǎn)業(yè)界和學(xué)術(shù)界研究；審查研究包括學(xué)術(shù)界在內(nèi)的一系列來源，以保持對(duì)網(wǎng)絡(luò)安全和彈性思維的認(rèn)識(shí)；跟蹤未來的網(wǎng)絡(luò)威脅和技術(shù)緩解機(jī)會(huì)。

（4）國防組織措施。參與實(shí)驗(yàn)、研究和創(chuàng)新，作為整體力量改進(jìn)網(wǎng)絡(luò)彈性的一部分；實(shí)施一種分享見解和地平線掃描的方法。

4 實(shí)現(xiàn)愿景

4.1 治理

戰(zhàn)略闡述的所有活動(dòng)將通過防御性網(wǎng)絡(luò)治理結(jié)構(gòu)加以管理，該結(jié)構(gòu)支持安全功能、數(shù)字化轉(zhuǎn)型和領(lǐng)域合作的結(jié)合工作。

明確的網(wǎng)絡(luò)安全政策將指導(dǎo)整個(gè)部隊(duì)的網(wǎng)絡(luò)變得更加安全和富有彈性。架構(gòu)將被定義為數(shù)字環(huán)境和網(wǎng)絡(luò)安全組織的安全設(shè)計(jì)，并配備了網(wǎng)絡(luò)防御技術(shù)。更新后的創(chuàng)新引擎將迅速傳播創(chuàng)意的焦點(diǎn)，這將使所有國防組織能夠?yàn)檫@一愿景做出貢獻(xiàn)。優(yōu)先事項(xiàng)將繼續(xù)以風(fēng)險(xiǎn)為導(dǎo)向，以威脅為依據(jù)，投資集中在正確的領(lǐng)域。

防御網(wǎng)絡(luò)計(jì)劃將成為集中運(yùn)行和專業(yè)網(wǎng)絡(luò)能力的交付機(jī)制，這將有效地完善和優(yōu)化現(xiàn)有整個(gè)國防組織的網(wǎng)絡(luò)轉(zhuǎn)型計(jì)劃。網(wǎng)絡(luò)防御和風(fēng)險(xiǎn)將因?yàn)閷?shí)施核心網(wǎng)絡(luò)保護(hù)、監(jiān)督國防組織安全設(shè)計(jì)能力提供，而成為更廣泛的國防裝備能力計(jì)劃的權(quán)威。同時(shí)，供高層使用的聯(lián)合加密密鑰計(jì)劃將改變加密密鑰解決方案的交付方式。

4.2 關(guān)鍵促進(jìn)因素

實(shí)現(xiàn)這一愿景需要以下推動(dòng)因素：建設(shè)安全的數(shù)字骨干網(wǎng)；成功實(shí)施防御性網(wǎng)絡(luò)方案；裝備能力從設(shè)計(jì)之初就注重網(wǎng)絡(luò)安全，確保國防能力的設(shè)計(jì)安全；嵌入現(xiàn)代化的安全工作方式，樹立具有建設(shè)性的安全觀念；與產(chǎn)業(yè)界建立新的安全關(guān)系；加入具有采購網(wǎng)絡(luò)能力的敏捷的商業(yè)機(jī)構(gòu)；在國防部門發(fā)展、雇傭具有專業(yè)網(wǎng)絡(luò)技能的工作人員；在參與戰(zhàn)略的組織內(nèi)建立網(wǎng)絡(luò)防御組織；由參與者制訂、測(cè)試業(yè)務(wù)彈性計(jì)劃；為網(wǎng)絡(luò)彈性的各個(gè)方面制定明確且長效的問責(zé)制度。

4.3 運(yùn)營模式

國防作戰(zhàn)模型中的高級(jí)作戰(zhàn)模型如圖1 所示，關(guān)鍵網(wǎng)絡(luò)功能以藍(lán)色顯示，戰(zhàn)略貢獻(xiàn)者以深灰色顯示。

圖1 國防高級(jí)作戰(zhàn)模型

基于政府領(lǐng)導(dǎo)的國家努力，網(wǎng)絡(luò)防御和風(fēng)險(xiǎn)評(píng)估將指導(dǎo)必須完成的活動(dòng)以實(shí)現(xiàn)愿景。贊助商、SRO 和運(yùn)營部門將實(shí)施核心網(wǎng)絡(luò)保護(hù)，并監(jiān)督由裝備能力計(jì)劃、行業(yè)和交付團(tuán)隊(duì)提供的安全設(shè)計(jì)能力。對(duì)于防御性網(wǎng)絡(luò)計(jì)劃而言，防御性網(wǎng)絡(luò)聯(lián)合用戶將執(zhí)行此角色。

軍事實(shí)力將繼續(xù)取決于前線指揮和廣泛的國防組織，他們負(fù)責(zé)管理軍事力量并支撐起數(shù)字環(huán)境。

使所有這些活動(dòng)能夠發(fā)生的是國防組織內(nèi)的首席信息官和安全專家，他們要求網(wǎng)絡(luò)咨詢服務(wù)部門根據(jù)安全評(píng)估提供專業(yè)的建議和指導(dǎo)。實(shí)驗(yàn)、研究和創(chuàng)新工作將為新問題提供解決方案，只有克服了這些問題才能具有網(wǎng)絡(luò)彈性。

后續(xù)，本戰(zhàn)略將定義和凝聚實(shí)現(xiàn)愿景所需的措施，計(jì)劃每18 個(gè)月審查一次，以保持與政府及國防概念、政策和更廣泛的戰(zhàn)略相一致。

5 結(jié) 語

《國防網(wǎng)絡(luò)彈性戰(zhàn)略》作為英國《國防數(shù)字戰(zhàn)略》的核心部分，適用于整個(gè)英國國防部的網(wǎng)絡(luò)建設(shè)，旨在未來5 年內(nèi)解決網(wǎng)絡(luò)防御的關(guān)鍵問題，并實(shí)現(xiàn)網(wǎng)絡(luò)彈性建設(shè)的重點(diǎn)任務(wù)和目標(biāo)。該戰(zhàn)略將從根本上轉(zhuǎn)變國防部與產(chǎn)業(yè)界的關(guān)系，促進(jìn)兩者在國防安全和網(wǎng)絡(luò)防御等方面更加密切地合作。