数字经济观察网 - 软信官网

近期，美国对委内瑞拉实施军事打击期间，通过网络攻击切断委内瑞拉首都加拉加斯电力供应、瘫痪关键基础设施的事件，再次为全球国家关键信息基础设施的网络安全防护敲响警钟。

就在国际社会聚焦网络空间攻防博弈之际，英国政府于近日作出罕见坦率表态，承认其长期推行的网络安全政策存在根本性缺陷，既定安全目标已无法实现。为此，英国正式发布《政府网络行动计划》，宣布投入2.1亿英镑（约合近20亿人民币）启动国家网络安全战略“重置”，试图扭转公共部门网络安全防御的被动局面。

01 政策失败定调：既定安全目标落空，公共部门暴露高风险

在官方声明中，英国政府直言不讳地承认，长期以来在自身网络安全领域采取的举措存在显著缺陷，明确警告原本设定的“2030年确保所有政府机构免受已知网络漏洞和攻击手段威胁”的目标已不可能达成。这一表态打破了英国政府在网络安全领域的一贯乐观叙事，凸显其国内网络安全形势的严峻性。

伴随这一表态，英国科学、创新与技术部（DSIT）向议会提交了新的《政府网络行动计划》，将其定位为保护公共服务的重大政策重置方案。该文件详细列举了白厅（英国中央政府所在地）在数字系统防御中的诸多失败，指出当前的网络安全问责体系存在严重漏洞，导致英国政府大部分机构暴露在网络攻击风险中，风险责任划分在“政府各个层级均不清晰”，甚至延伸至供应链环节。

行动计划强调：“为了保护我们的关键国家基础设施、防御公共机构并维护公众对基本公共服务的信心，我们必须实现方法上的根本性转变，并在推进速度上实现质的跃升。”文件明确警示，尽管多年来持续投入资源提升抗攻击和抗中断能力，但英国公共部门仍面临“极高”的网络风险。这些风险并非理论上的假设，而是“反复发生的现实问题，会导致服务中断并对公众造成伤害”。其中，Synnovis勒索软件攻击事件被重点提及，该事件已造成至少一名患者死亡，被定义为英国政府系统性未能应对网络安全挑战的典型症状。

事实上，英国网络安全威胁的加剧早有预警。去年，英国网络与信号情报机构GCHQ负责人Anne Keast-Butler就曾发出警告，称英国正面临数十年来“最具对抗性、最复杂”的威胁环境，且当年遭受的攻击数量是前一年的四倍。而近期频发的安全事件更让这一问题雪上加霜：英国外交部确认，去年10月发生的一起入侵事件被广泛归因于国家支持的攻击者；司法部下属的法律援助署在今年4月也遭遇了严重数据泄露事件。

02 新战略核心：打造集中管控体系，强化供应链与人才建设

作为政策重置的核心举措，英国政府明确摒弃过去依赖非强制性指导意见的松散模式，转向更加集中和强制性的网络安全管理框架。根据行动计划，英国将在明年前设立新的“政府网络单元”，该单元隶属于科学、创新与技术部，由政府首席信息安全官直接领导，覆盖所有政府组织，承担政策制定、实施协调和单一问责主体的核心职能。

英国政府计划投入的2.1亿英镑预算，将主要用于该网络单元的建设运营，重点提升公共部门的风险识别、事件响应和恢复能力。同时，政府还将对现有事件响应机制进行全面改革，建立重大网络事件期间的集中协调机制，开展跨政府定期演练，并为大规模服务中断事件做好前置准备。针对供应链安全隐患，行动计划明确提出，政府战略供应商将面临更严格的网络安全合同要求，以此应对第三方漏洞对公共服务构成的日益严重的威胁。

人才短缺问题也被纳入改革范畴。在2023年英国政府网络安全岗位招聘因薪资过低遭普遍嘲讽后，此次行动计划正式宣布设立新的“政府网络职业体系”，将其从更广泛的“政府安全职业体系”中独立出来，试图通过专业化体系建设吸引并留住更高质量的网络安全人才。不过，英国皇家联合军种研究所（RUSI）网络研究员Joe Jarnecki对此持谨慎态度，他认为这一举措值得欢迎，“可能会提升政府网络安全岗位的吸引力”，但同时提醒“政府不可能在薪资上与私营部门竞争”，人才留存仍面临挑战。

英国政府还同步启动“软件安全大使计划”，以推动2025年推出的《软件安全行为准则》落地实施。该准则虽为自愿性项目，但旨在强化软件供应链安全，减少因软件漏洞导致的服务中断。首批加入该计划的大使包括思科（Cisco）、Palo Alto Networks、Sage、桑坦德银行（Santander）和NCC Group等机构代表。桑坦德英国首席信息安全官Thomas Harvey表示，参与该计划体现了机构对集体韧性的长期承诺，通过倡导安全标准，既能保护自身及客户利益，也能为构建更安全的数字经济奠定基础。值得注意的是，这一举措与美国网络安全与基础设施安全局（CISA）2024年推出的“安全即设计”承诺相呼应，后者已吸引340多家组织参与，聚焦多因素认证和强制补丁等关键措施的落地。

数字政府与数据事务国务大臣Ian Murray强调：“网络攻击可能在几分钟内让关键公共服务下线——扰乱我们的数字服务，甚至我们的生活方式。这项计划为强化公共部门防御设定了新的标准，向网络犯罪分子发出明确信号：我们正在以更快、更有力的方式保护英国的企业和公共服务。”英国政府还预计，这项2.1亿英镑的投资每年可为公共部门节省高达450亿英镑，但这一数字已遭到专家质疑，毕竟去年政府提出的“人工智能每年为公共部门节省450亿英镑”的说法就曾引发广泛争议。

03 立法协同与争议：回应NIS2差异质疑，问责机制落地成谜

《政府网络行动计划》发布的当天，英国政府旗舰立法《网络安全与韧性法案》（Cybersecurity and Resilience Bill，CSRB）在议会完成二读程序，这一时间安排被认为具有明确的协同意图。二读是议员首次就法案基本原则展开辩论，而该法案面临的核心批评之一，便是可能在私营部门与提供关键服务的公共部门之间建立“双轨制”的义务体系。

根据欧盟NIS2指令（网络安全指令），公共部门与私营关键基础设施运营方被纳入统一监管框架，要求建立同等严格的安全义务和问责机制。而英国《网络安全与韧性法案》当前草案中，私营部门实体面临更强的义务约束和可执行性要求，包括罚款和监管制裁等惩罚措施，但公共部门并未受到同等约束。RUSI网络研究员Jamie MacColl直言，《政府网络行动计划》的发布时机，部分是为了缓解外界对这一差异的批评，回应“英国法案未将大多数公共部门纳入适用范围”的质疑。为回应相关批评，行动计划明确提出“政府高级领导将对网络安全结果承担责任”，不再将安全问题视为纯粹的技术问题。”

从法案核心内容来看，《网络安全与韧性法案》旨在改革2018年出台的《网络和信息系统条例》，将托管服务提供商、数据中心和大型负载控制器等此前未覆盖的主体纳入监管范围，要求其落实风险管理制度并及时报告安全事件。英国政府表示，这一立法改革将填补当前监管漏洞，更好地保护公众依赖的核心服务，但如何平衡公共部门与私营部门的监管义务，仍需议会后续辩论明确。

04 深层困境：遗留技术债务与资金缺口，专家质疑可行性

英国政府在行动计划中坦言，公共部门网络安全防御的根本症结在于对遗留技术的高度依赖，而这一问题的根源是数十年的投资不足。文件明确承认了国家审计署（NAO）去年发布的一份严厉报告结论，该报告指出，在审查的72个中央政府关键IT系统中，有58个存在“多项处于低成熟度水平的基础性系统控制问题”，政府整体安全风险等级为“极高”。2024年3月的审计数据更显示，英国政府至少运行着228个遗留系统，其中28%被标记为具有较高的运行和安全风险。

值得注意的是，此次推出的行动计划并未提出大规模替换遗留系统的方案，而是试图通过提升关键数字资产的可见性和理解能力来管理风险，包括要求各部门建立老旧系统及其漏洞的清晰清单。但专家普遍认为，这一“治标不治本”的approach难以解决根本问题。Jamie MacColl直言：“最大但未被明说的问题是资金。回到去年国家审计署的报告，这既是IT问题，也是网络安全问题。事实是，没有足够的资金来更换遗留IT基础设施，而一份网络安全行动计划并不能从根本上解决这个问题。除非增加资金投入，否则我认为内阁办公室或DSIT在提升整个公共部门标准方面能力是有限的。”

2.1亿英镑的预算规模也成为争议焦点。Illumio关键基础设施平台主管Trevor Dearing表示：“看到政府和公共部门加大投入令人鼓舞，尤其是对韧性、可见性以及通过新网络单元降低风险的关注，但2.1亿英镑远远不足以解决问题的规模。”咨询顾问、《Clever Clogs AI》作者Colette Mason则给出了更直观的对比：“2.1亿英镑听起来很多，直到你想起捷豹路虎2025年黑客事件的损失占到了GDP的0.5%。真正的衡量标准不是我们是否有一份计划，而是这份计划是否真的能比攻击者发现漏洞的速度更快地修补漏洞。”

TechMarketView首席分析师Craig Wentworth进一步指出，英国网络安全改革面临的挑战是多重的：“不仅在于资金，还在于遗留基础设施、碎片化的技术环境，以及快速数字化转型本身所带来的攻击面扩张。那些能够展示‘安全即设计’架构并具备透明供应链实践的供应商，将更容易获得认可；而那些承诺快速转型却回避基础漏洞问题的厂商，将举步维艰。”

从美国对委内瑞拉的网络攻击事件来看，关键基础设施已成为网络战的核心打击目标，一旦失守将直接威胁国家主权和民生安全。在此背景下，英国政府主动承认政策失败并启动战略重置，体现了对网络安全威胁的清醒认知。但从实际举措来看，2.1亿英镑的预算投入、非强制性的软件安全准则、缺乏刚性约束的问责机制，以及对遗留技术债务的回避，都让这一“重置”计划的效果充满不确定性。

对于全球各国而言，英国的经验与困境具有重要参考价值：关键基础设施的网络安全防护需要顶层设计的系统性、资金投入的持续性、监管机制的刚性约束，以及技术与人才的协同支撑。未来，英国新网络单元的建设进度、立法争议的解决效果，以及预算投入的实际产出，将成为衡量其战略重置成败的关键指标，也将为全球网络安全治理提供新的实践样本。