今年10月，英國正式實施”最嚴“電信安全新法規，新法規是《2021電信（安全）法》的一部分，旨在更好地保護英國電信網絡免受網絡攻擊。監管機構英國通信管理局（Ofcom）將承擔監督和執行該法案和法規的新責任。

這次的電信安全框架是英國政府與國家網絡安全中心和通信管理局（Ofcom）合作制定，適用于英國的公共電子通信網絡和服務提供商。

根據新法規，如果提供商不遵守安全職責，Ofcom最高可對其處以營業額10%的罰款，如果持續違反此項法律，則提供商可能面臨每日10萬英鎊的罰款（最高不超過1000萬）。

英國數字、文化、媒體和體育部（DCMS）稱，“新的電信安全法規將成為世界上最嚴格的法規之一”，它將幫助英國識別和解決英國當前和未來面臨的風險，提高網絡韌性。

很顯然，新法規增加了英國電信運營商的責任和壓力。在過往的網絡擴張中，運營商經常背負著冗余的技術和債務負擔，許多運營商甚至沒有掌握其混合基礎設施中的安全漏洞。下文將詳述英國最新的電信安全框架的具體要求。

在英國出臺“最強”電信安全新法規的同時，中國的《網絡安全法》也迎來了首次修改。在《網絡安全法》實施五年多的過程中，互聯網信息基礎設施快速發展，某些現實情況已經發生變化，因此法規做出與時俱進的修改十分有必要。兩國的網絡安全法案修改，也表明未來網絡安全法規將不斷與時俱進并日趨嚴格。

最新網絡和服務保護框架

網絡架構

新安全框架要求，電信和網絡服務提供商了解網絡架構安全妥協的風險，記錄風險并采取行動降低風險。要求網絡提供商能夠識別安全風險，并在必要時在不依賴位于英國境外的人員、設備或存儲數據的情況下運營網絡，從而安全地維護為英國服務的網絡。

保護數據和網絡功能

新安全框架要求，保護網絡管理工作站監控和降低傳入網絡或服務的信號風險。這意味著提供商需管理好SIM 卡、路由器或防火墻等設備，同時還需做好靜態的數據加密。

保護監控或分析工具

新安全框架要求，保護實時監測或分析英國網絡服務或信號內容的分析工具，以防止敵對國家行為者的安全損害。

英國政府提到，將安全和網絡運營中心設在海外的風險很大，甚至某些地點的安全性無法保證，因此它建議網絡服務提供者避開風險地點。

新安全框架要求，監控和分析英國網絡和服務的安全能力提供者不得位于風險地點（法規中列出了高風險地點），這些風險地點也不得訪問上述安全功能。服務提供者需評估在英國境外執行安全分析的風險，以及在英國境外提供特權訪問而導致的未經授權行為的風險。

監測和分析

該項目的是確保供應商保持對網絡和服務訪問的監督，以減少安全漏洞風險。

新安全框架要求，使用監控和分析工具來識別和記錄對網絡或服務中最敏感部分（安全關鍵功能）的訪問。它要求保留至少13個月的與安全關鍵功能訪問有關的日志。

供應鏈

新安全框架要求公共電信供應商與下級供應商訂立安全合同，使用英國國家網絡安全中心（NCSC）的供應商安全評估，形成適當的安全責任劃分，以達到識別、披露和減少出現的安全漏洞風險的目的；它還要求供應商制定書面應急計劃，規定在第三方供應中斷的情況下將采取哪些措施。

防止未經授權的訪問或干擾

新安全框架要求對特權賬戶進行有效管理，包括應用多因素身份驗證和密碼保護等措施；保護特定類型的憑據、安全地構建和使用管理賬戶。

網絡修復

新安全框架要求，網絡服務提供商需持有網絡和服務信息副本，以便在發生安全漏洞時重建和維護運營。信息的副本必須保留在英國境內。它還建議供應商采取措施迅速恢復網絡，和NCSC網絡評估框架中現有的實踐指南的交叉引用，以確保業務實踐快速恢復。

安全治理

新安全框架提出，指定董事會一級的責任（或同等的責任）來監督安全部門。新安全框架還規定了如何建立一個組織框架，從業務流程的角度管理安全事件。

安全審查

新安全框架提出，每年對網絡和服務面臨的風險進行安全審查，通過書面形式評估未來12個月內的安全漏洞總體風險。

補丁和更新

新安全框架要求，供應商快速修補漏洞并及時更新補丁，并最好在補丁出現的14天內修復新漏洞。

除了上述具體項目的要求，還包括對網絡人員能力、滲透測試、網絡協助等方面的要求。

分級管理電信服務提供商

英國政府建議將電信服務提供商分為三層，每層對應不同的合規要求和Ofcom監督級別：

• 一級提供商為提供公共網絡和服務的超大型公司，其安全妥協將對網絡和服務可用性產生最廣泛的影響，同時它對經濟和社會帶來的影響最具破壞性。
• 二級提供商為提供網絡和服務的中型公司，其安全妥協將對關鍵的國家基礎設施（CNI）或區域可用性產生影響，并可能產生重大的安全、經濟或社會影響。
• 三級提供商為市場上最小的公司（非微型實體）。雖然對其網絡或服務的安全妥協可能會影響其客戶，但如果這些網絡和服務不涉及關鍵國家基礎設施，則此類妥協不會顯著影響國家或地區的可用性。

第一級和第二級供應商適用最新的安全框架，第三級供應商則可以選擇采取與其網絡和服務相關的措施。

考慮到實際操作中的復雜情況，如果A供應商是B供應商的第三方供應商，則A供應商的安全合規要求和監督要求與B供應商對應的層級保持一致。這一補充旨在防止較小的供應商導致不可挽回的安全事故，因為這些供應商本身可能不是一級供應商，但它向一級或二級供應商提供設備或服務。

對于供應商的分級依據，政府建議使用營業額（扣除銷售回扣、增值稅和其他與營業額直接相關的稅款）作為指標。

目前，該新法規實施尚不足兩個月，但行業專家指出，該法規將成為英國電信行業積極變革的催化劑。電信運營商將提高其對網絡基礎設施威脅的觀察、評估和補救能力，以避免巨額罰款。

中國《網絡安全法》迎來首次修改

無獨有偶，在英國出臺”最嚴“電信安全法規的同時，中國的《網絡安全法》也迎來了實施五年以后的首次修改。

此次修改，擬調整違反網絡安全法的行政處罰種類、幅度和從業禁止措施，大幅提高罰款金額；同時，擬完善關鍵信息基礎設施運營者有關違法行為的行政處罰規定，新增網絡信息安全其他違法行為的法律責任規定；還擬將原有關個人信息保護的法律責任修改為轉致性規定。

《網絡安全法》修改后改變了“一刀切”的處罰方式，按照網絡運營者的規模實施處罰，同時著重增加了對網絡信息安全責任人的處罰，規定了從業禁止措施。專家向媒體表示，“法律責任設定的多元化，有利于進一步夯實執法部門對于相關法律法規的實施能力。”

具體來說，修訂后的《網絡安全法》大幅提升處罰，與《個人信息保護法》的罰款力度看齊，對企業的罰款從最高100萬元，提高到5000萬元或上一年度營收的5%；對個人的罰款，從最高10萬元，提高到100萬元。

同時，將行政處罰的幅度，從兩個增加到三個。從“一般違法行為”和“情節嚴重”的基礎上，增加了“情節特別嚴重”處罰措施：罰款額度最高可達5千萬或上一年度營業額5%，還可能被責令停止相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

另外，修訂后的《網絡安全法》還增加行政處罰的責任形式。對企業，新增“通報批評”的行政處罰形式。對個人，在從業禁止措施上，在此前規定的“禁止一定期限內禁止從事網絡安全管理和網絡運營關鍵”之外，增加了“一定期限內禁止擔任相關企業的董事、監事、高級管理人員或從事網絡安全管理和網絡運營關鍵崗位的工作”。

這次修改也是幫助《網絡安全法》與相關法律的銜接，因為前述法律于2017年實施，后續又陸續出臺了相關《數據安全法》《個人信息保護法》等。對于這些法律中的一些重合地帶該按照哪部法規執法，此次修改做出了示范，在完善網絡安全法律體系上開創了新征程。

大趨勢：網絡安全監管收緊

在網絡安全法律層面，中國和英國都走向逐漸收緊監管的趨勢，其修改或增修背景也是當前越來越多元和復雜的網絡威脅、網絡攻擊。

日趨嚴格的法規將迫使公司和負責人認真對待網絡安全工作，保護網絡基礎設施，減少安全違規行為，規避安全威脅風險，保證網絡和服務的安全性和可用性。

上述法案的修改不會是網絡安全監管的終點，隨著安全的發展，網絡攻擊也會隨之發展。在進行中的5G時代，如何持續地保護網絡安全，是個人、組織和國家的共同課題。