英国本地关键基础设施：网络安全韧性建设的缺失环节

网络安全公司TrendAI的网络战略总监乔纳森·李（Jonathan Lee）指出，支撑英国地方政务服务、社会关怀服务及本地交通运营的关键本地基础设施，正在政府与企业的网络韧性规划中被忽视和遗漏。

在接受Computer Weekly专访时，李表示，伦敦、大曼彻斯特等城市地区，可能面临多起网络攻击同时发生的风险，一旦本地基础设施遭到破坏，将引发连锁反应，给居民带来严重的生活影响和公共服务中断。

"我们需要思考，如果城市区域内多处同时遭受攻击，会发生什么——无法正常工作、无法自由出行、无法正常交付公共服务，这些对人的影响是真实且严峻的。"他说道。

目前正在英国议会审议的《网络安全与韧性法案》（CSRB），旨在保护医疗、供水、交通和能源等关键国家服务免受网络攻击，此类攻击每年造成数十亿英镑的经济损失。然而，李认为，本地基础设施在这一框架中相对被忽视。

以英国国家网络安全中心（NCSC）的网络保障框架为例，该框架旨在帮助关键国家基础设施（CNI）的运营方证明其具备基本的网络安全准备水平，但这一框架并非强制执行，并非所有应当遵守的机构都真正落实了。

全社会风险视角

"我们需要更严格地确保各方认真对待这一问题，不仅关注自身组织的安全，还要着眼于整个社会的风险。"李表示。

他补充说，针对公共服务的网络攻击——例如地方政府主导的社会关怀服务——可能对英国国家医疗服务体系（NHS）及患者护理造成灾难性的连锁影响。

目前，地区性基础设施提供商迫切需要来自NCSC等机构更多"自上而下"的指导建议。而事实上，在众多提供本地基础设施的企业和公共部门机构中，NCSC的知名度尚有提升空间。

"这一信息必须向下传递到地方层面，确保一致的信息得到广泛传播，这也可以通过行业合作伙伴来实现。这是我非常重视的一点。"李说。

"网络安全基础"（Cyber Essentials）计划已进行更新，新增了组织使用多重身份验证（MFA）的要求，以及云服务提供商须在14天内修补漏洞的规定，这有助于提升安全韧性——但仅对那些选择遵守该计划的机构有效。

保持韧性评分的持续跟进

英国政府还计划在未来数月内发布《网络行动计划》，指导各机构做好基础安全工作，并随时间推移持续提升网络安全能力。

尽管相关举措和行动计划并不匮乏，但许多计划最终沦为一纸空文、束之高阁的风险依然存在。

一种可行的方案是，让各机构采用评分卡的形式对自身网络韧性进行评估，例如以1到100的分值衡量，并定期向董事会级别的管理层汇报进展。

"我们需要一种机制来衡量这些干预措施的实际效果，无论是网络评估框架、网络安全基础计划，还是相关法律法规。"李说道。

Q&A

Q1：英国《网络安全与韧性法案》覆盖了哪些领域？它是否包括本地基础设施？

A：《网络安全与韧性法案》目前主要聚焦于医疗、供水、交通和能源等关键国家服务，旨在保护这些领域免受网络攻击。然而，根据TrendAI网络战略总监乔纳森·李的说法，支撑地方政务、社会关怀和本地交通的本地基础设施，在当前的法案框架中相对被忽视，存在明显的保护空白。

Q2：英国国家网络安全中心的网络保障框架为何没能发挥预期效果？

A：NCSC的网络保障框架并非强制性要求，而是以自愿遵从为基础。这意味着并非所有本应实施该框架的机构都切实执行了相关措施。此外，该框架在众多本地基础设施提供商中的知名度也有待提升，导致其覆盖范围和实际影响力受到限制。

Q3：目前有哪些具体措施可以提升英国本地基础设施的网络韧性？

A：目前可用的措施包括：更新后的"网络安全基础"计划（新增MFA要求及云服务14天漏洞修补规定）、NCSC的网络保障框架，以及即将发布的《网络行动计划》。此外，业内还建议引入韧性评分卡机制，让各机构以量化方式自评安全状况，并向董事会定期汇报，从而确保这些措施真正落地执行，而非停留在纸面上。