今年早些时候,欧盟委员会发布首份网络安全战略文件,对当前面临的网络安全挑战进行了评估,确立了网络安全指导原则,明确了各利益相关方的权利和责任,确定了未来5大优先战略任务和行动方案。该战略的出台,是欧盟应对现实威胁之需、延续既往政策之举、跟进国际形势之策,充分体现了欧盟关于网络安全的政策立场,也给我国信息安全工作带来有益借鉴。
应对现实威胁之需
为了有效应对网络安全问题,提升公众对信息网络的信心,欧盟需要加强网络安全顶层设计。
本世纪以来,信息技术和网络极大促进了各国经济发展和社会进步,但也引发了一系列安全问题,比如,网络欺诈和身份盗用等网络犯罪活动日益猖獗,大规模用户信息泄露事件层出不穷,针对关键基础设施的网络攻击逐渐增多,给各国国家安全和公众生活带来了日益严峻的挑战。欧盟亦不例外。频发的信息安全事件正在改变欧盟公民对互联网的看法。据2012年欧洲民意调查显示,在受访者中,74%的人认为自己成为网络受害者的风险正在增加,15%的人表示不太可能再使用网上银行。要想有效应对、减少和防止网络安全问题,提升公众对信息网络的信心,欧盟需要从战略层面加强网络安全顶层设计。欧盟网络安全战略正是诞生于这样的大背景下。
全球首批国家网络安全战略诞生于21世纪初,其中不乏欧盟成员国。2007年,爱沙尼亚遭受网络攻击后,于2008年发布了欧盟成员国中第一份网络安全战略。随后,芬兰、捷克、法国、德国、英国等国也分别出台了战略文件。但是,由于各成员国国情不同,加之对网络安全及其他相关术语的理解有别,各国实施网络安全战略的方法也迥异,从而给整个欧盟层面的网络安全保障工作带来了难度。2012年5月8日,欧洲网络与信息安全局(ENISA)发布《国家网络安全战略——为加强网络空间安全的国家努力设定线路》的文件,表示将制定一个整体的欧盟网络安全战略,并提出了欧盟成员国国家网络安全战略应该包含的内容和要素。本战略的出台,正是对2012年ENISA发布战略的积极响应。
跟进国际形势之策
作为全球竞技场上最具影响力的欧盟,发布网络安全战略,正是顺应时代潮流和跟进国际形势而动。
近两年,随着网络安全形势的日益严峻,各国都加大加快了制定网络空间安全战略的力度和步伐。美国奥巴马政府上台后,白宫相继发布了《网络空间政策评估报告》、《网络空间可信身份国家战略》、《网络空间国际战略》。随后,美国国防部、国土安全部、商务部先后推出了本部门网络安全战略。英国分别于2009年和2011年发布两份网络安全战略。2011年,捷克、法国、德国、荷兰、印度也各自推出了相关的战略文件。这些关于网络安全的战略,既是各国为发展本国网络安全力量实行的顶层设计,又是各国为抢占网络空间制高点的行动部署。作为全球竞技场上最具影响力的一员,欧盟发布网络安全战略,正是顺应时代潮流和跟进国际形势而动。
确立维护网络安全原则
根据安全事件性质和影响程度的不同,该战略对发生重大网络事件时的快速响应机制也做了相应界定。
《欧盟网络安全战略》提出了指导欧盟和国际网络安全政策的5大原则:适用于传统物理空间的法律和规范同样适用于网络空间;保护基本权利、言论自由、个人数据和隐私;确保每个人均可访问互联网;承担维护网络安全的责任。
该战略明确了各利益相关方的权利和责任。从国家、欧盟和国际3个层面,明确了各利益相关方在维护网络安全过程中的角色。在国家层面,要求各成员国制定相关计划,同时促进国家机构与私营企业之间的信息共享;在欧盟层面,鼓励NIS主管部门、执法部门和国防部门开展合作,并重点推动政府部门间的信息共享;在国际层面,强调要加强与伙伴国及欧洲理事会、欧安组织等国际组织的合作。根据安全事件性质和影响程度的不同,该战略对发生重大网络事件时的快速响应机制也做了相应界定。
确定优先战略任务及行动方案
为有效应对网络安全挑战,该战略确定了5大优先战略任务及实现这些目标的行动路径。
为有效应对网络安全挑战,该战略确定了5大优先战略任务及实现这些目标的行动路径,主要包括:
一是提升网络恢复能力。要求各成员国从几个方面开始积极行动:在政策方面,批准国家NIS战略和国家NIS合作计划;在体制方面,指定国家NIS主管机构,建立应急响应队伍(CERT);在体制方面,建立预防、检测、处置和响应的协调机制,完善信息共享机制;在安全意识方面,通过发布报告、组织专家研讨会、开展“欧洲网络安全月”活动等,提高公众网络安全意识;在教育培训方面,分别对普通学生、计算机专业学生和政府职员开展不同内容的培训。
二是强力打击网络犯罪。在法律方面,敦促尚未批准《布达佩斯公约》的成员国尽快批准和执行该公约,确保打击网络犯罪相关指令的迅速转化与执行。在体制方面,各成员国应建立国家网络犯罪应对机构,明确欧洲网络犯罪中心、欧洲刑警组织和欧洲司法组织各自的工作任务。在能力建设方面,通过欧盟资助项目如建立“网络犯罪示范中心”等方式,支持学界、政府和企业之间的合作,确定最佳实践和可行技术。
三是制定网络防御政策。为有效应对网络威胁,要求各成员国制定欧盟网络防御政策框架,从领导、组织、教育、训练、后勤等方面增强欧盟网络防御能力;促进民间和军方在最佳实践、应急响应、风险评估等方面的交流,企业为军方提供更多网络防御演习机会;与北约等合作伙伴进行对话,明确需要合作和避免重复工作的领域。
四是发展行业技术资源。计划建立一个由各利益相关方共同参与的平台,确定供应链安全良好,为开发和采用安全的信息通信技术解决方案创造有利的市场条件。支持安全标准的制定,支持在云计算等领域使用欧盟范围内的自愿认证方案。加大研发投资和促进创新,落实“地平线2020研究和创新框架项目”。
五是推动双边多边合作。在双边层面,欧盟尤其强调在欧美网络安全和网络犯罪工作组的背景下,加强与美国合作的重要性;在多边层面,欧盟将寻求与欧洲理事会、经合组织、联合国、欧安组织、东盟等的合作。此外,欧盟还力推《布达佩斯公约》,并支持国际社会制定网络安全行为规范和制定信任措施。