透视《欧盟网络安全战略》

赛迪智库 张莉

今年早些时候，欧盟委员会发布首份网络安全战略文件，对当前面临的网络安全挑战进行了评估，确立了网络安全指导原则，明确了各利益相关方的权利和责任，确定了未来5大优先战略任务和行动方案。该战略的出台，是欧盟应对现实威胁之需、延续既往政策之举、跟进国际形势之策，充分体现了欧盟关于网络安全的政策立场，也给我国信息安全工作带来有益借鉴。

应对现实威胁之需

为了有效应对网络安全问题，提升公众对信息网络的信心，欧盟需要加强网络安全顶层设计。

本世纪以来，信息技术和网络极大促进了各国经济发展和社会进步，但也引发了一系列安全问题，比如，网络欺诈和身份盗用等网络犯罪活动日益猖獗，大规模用户信息泄露事件层出不穷，针对关键基础设施的网络攻击逐渐增多，给各国国家安全和公众生活带来了日益严峻的挑战。欧盟亦不例外。频发的信息安全事件正在改变欧盟公民对互联网的看法。据2012年欧洲民意调查显示，在受访者中，74%%的人认为自己成为网络受害者的风险正在增加，15%%的人表示不太可能再使用网上银行。要想有效应对、减少和防止网络安全问题，提升公众对信息网络的信心，欧盟需要从战略层面加强网络安全顶层设计。欧盟网络安全战略正是诞生于这样的大背景下。

全球首批国家网络安全战略诞生于21世纪初，其中不乏欧盟成员国。2007年，爱沙尼亚遭受网络攻击后，于2008年发布了欧盟成员国中第一份网络安全战略。随后，芬兰、捷克、法国、德国、英国等国也分别出台了战略文件。但是，由于各成员国国情不同，加之对网络安全及其他相关术语的理解有别，各国实施网络安全战略的方法也迥异，从而给整个欧盟层面的网络安全保障工作带来了难度。2012年5月8日，欧洲网络与信息安全局(ENISA)发布《国家网络安全战略——为加强网络空间安全的国家努力设定线路》的文件，表示将制定一个整体的欧盟网络安全战略，并提出了欧盟成员国国家网络安全战略应该包含的内容和要素。本战略的出台，正是对2012年ENISA发布战略的积极响应。

跟进国际形势之策

作为全球竞技场上最具影响力的欧盟，发布网络安全战略，正是顺应时代潮流和跟进国际形势而动。

近两年，随着网络安全形势的日益严峻，各国都加大加快了制定网络空间安全战略的力度和步伐。美国奥巴马政府上台后，白宫相继发布了《网络空间政策评估报告》、《网络空间可信身份国家战略》、《网络空间国际战略》。随后，美国国防部、国土安全部、商务部先后推出了本部门网络安全战略。英国分别于2009年和2011年发布两份网络安全战略。2011年，捷克、法国、德国、荷兰、印度也各自推出了相关的战略文件。这些关于网络安全的战略，既是各国为发展本国网络安全力量实行的顶层设计，又是各国为抢占网络空间制高点的行动部署。作为全球竞技场上最具影响力的一员，欧盟发布网络安全战略，正是顺应时代潮流和跟进国际形势而动。

确立维护网络安全原则

根据安全事件性质和影响程度的不同，该战略对发生重大网络事件时的快速响应机制也做了相应界定。

《欧盟网络安全战略》提出了指导欧盟和国际网络安全政策的5大原则：适用于传统物理空间的法律和规范同样适用于网络空间;保护基本权利、言论自由、个人数据和隐私;确保每个人均可访问互联网;承担维护网络安全的责任。

该战略明确了各利益相关方的权利和责任。从国家、欧盟和国际3个层面，明确了各利益相关方在维护网络安全过程中的角色。在国家层面，要求各成员国制定相关计划，同时促进国家机构与私营企业之间的信息共享;在欧盟层面，鼓励NIS主管部门、执法部门和国防部门开展合作，并重点推动政府部门间的信息共享;在国际层面，强调要加强与伙伴国及欧洲理事会、欧安组织等国际组织的合作。根据安全事件性质和影响程度的不同，该战略对发生重大网络事件时的快速响应机制也做了相应界定。

确定优先战略任务及行动方案

为有效应对网络安全挑战，该战略确定了5大优先战略任务及实现这些目标的行动路径。

为有效应对网络安全挑战，该战略确定了5大优先战略任务及实现这些目标的行动路径，主要包括：

一是提升网络恢复能力。要求各成员国从几个方面开始积极行动：在政策方面，批准国家NIS战略和国家NIS合作计划;在体制方面，指定国家NIS主管机构，建立应急响应队伍(CERT);在体制方面，建立预防、检测、处置和响应的协调机制，完善信息共享机制;在安全意识方面，通过发布报告、组织专家研讨会、开展“欧洲网络安全月”活动等，提高公众网络安全意识;在教育培训方面，分别对普通学生、计算机专业学生和政府职员开展不同内容的培训。

二是强力打击网络犯罪。在法律方面，敦促尚未批准《布达佩斯公约》的成员国尽快批准和执行该公约，确保打击网络犯罪相关指令的迅速转化与执行。在体制方面，各成员国应建立国家网络犯罪应对机构，明确欧洲网络犯罪中心、欧洲刑警组织和欧洲司法组织各自的工作任务。在能力建设方面，通过欧盟资助项目如建立“网络犯罪示范中心”等方式，支持学界、政府和企业之间的合作，确定最佳实践和可行技术。

三是制定网络防御政策。为有效应对网络威胁，要求各成员国制定欧盟网络防御政策框架，从领导、组织、教育、训练、后勤等方面增强欧盟网络防御能力;促进民间和军方在最佳实践、应急响应、风险评估等方面的交流，企业为军方提供更多网络防御演习机会;与北约等合作伙伴进行对话，明确需要合作和避免重复工作的领域。

四是发展行业技术资源。计划建立一个由各利益相关方共同参与的平台，确定供应链安全良好，为开发和采用安全的信息通信技术解决方案创造有利的市场条件。支持安全标准的制定，支持在云计算等领域使用欧盟范围内的自愿认证方案。加大研发投资和促进创新，落实“地平线2020研究和创新框架项目”。

五是推动双边多边合作。在双边层面，欧盟尤其强调在欧美网络安全和网络犯罪工作组的背景下，加强与美国合作的重要性;在多边层面，欧盟将寻求与欧洲理事会、经合组织、联合国、欧安组织、东盟等的合作。此外，欧盟还力推《布达佩斯公约》，并支持国际社会制定网络安全行为规范和制定信任措施。