他山之石：歐盟網絡和信息安全局力推網絡空間戰略

國家計算機網絡應急技術處理協調中心|張冰

國家計算機網絡應急技術處理協調中心江蘇分中心|董宏偉

歐盟網絡和信息安全局（ENISA）作為歐盟的一個獨立政府機構，其主要職能包括提供咨詢和建議、支持政策制定和實施，以及協調各成員國在相關產業方面的合作，在歐洲國家網絡空間戰略發展中提供了重要的技術和政策支撐。當前，我國在網絡和信息安全立法、執法等網絡空間戰略發展方面處于探索階段，ENISA在有關網絡和信息安全法律的制定和實施、人才培養及制度的形成等方面積累的經驗，對我國網絡強國戰略的實施和完善有著重要的借鑒意義。

ENISA：加強產業合作，提高安全應對能力

ENISA是一個獨立的政府機構，成立于2004年，自2005年9月1日起全面投入運營，對歐盟委員會及其成員國負責，主要從事3方面的活動：提供建議、支持政策制定和實施、協調歐盟各成員國與網絡安全產業界相互合作。其首要目標是強化歐盟各成員國和工商企業間的協調，以提高應對網絡和信息安全問題的能力。其主要任務是：收集適當的信息，分析當前和潛在的網絡安全問題，并把分析結果提供給各成員國和歐洲理事會。ENISA協助歐盟委員會、成員國、行業企業滿足網絡和信息安全的要求，包括歐盟在該層面的立法。

ENISA位于希臘克里特島的伊拉克利翁市（2005年成立之總部），在雅典設有辦事處（2013年成立）。其機構包括管理委員會、執行委員會、執行主任、永久的利益相關者集團和特設工作組，其中執行主任對該機構負責并獨立履行其職責。ENISA還建立了國家聯絡官（NLOs）網絡，由各歐盟和歐洲經濟區國家、歐洲委員會和歐盟理事會的代表組成，ENISA通過NLOs構成了國家聯系網絡，加強了該組織在各成員國的活動。

歐盟委員會于2017年10月4日公布了關于“修改ENISA授權立法和建立信息通信技術產品及服務網絡安全認證制度”的立法草案。該法案自稱“網絡安全法”，根據法案，該機構更名為“歐盟網絡安全局”，負責在歐盟層面制定和執行網絡安全政策、提升網絡安全能力、搜集網絡安全信息、構建統一的網絡安全產品和服務市場，也涉及研發和創新等工作。

ENISA推動國家網絡空間戰略的實踐

ENISA在推動國家網絡空間戰略發展中的主要實踐行動，大致可以分為以下幾點。

對成員國的網絡空間戰略提供建設性意見，有針對性地細化和完善法律等“硬性”規則。

歐盟通過法律法規監管網絡安全，依據所制定規范的效力分為強制性的規定即“硬法”，以及具有指導性的“軟法”，主要包括條例、指令、決定、推薦意見與建議。

其中，條例具有最高法律效力，有普遍適用性和全面的效力，產生巨大影響力的有建立歐洲網絡與信息安全局(ENISA)的第460/2004號條例。指令的適用頻率最高，它通常針對個別成員國生效，是協調成員國的重要手段。決定、推薦意見與建議僅是歐盟就某一問題對成員國提出的建設性意見，對成員國不具有法律約束力，具有“軟法”性質。比如，在建議層次方面，ENISA陸續發布了一系列信息化安全發展的“建議”“指南”，有針對性地細化和完善信息安全法律規定，從微觀上構筑了歐洲內部互聯網安全的又一道嚴密防線。此外，ENISA致力于建立公私合作伙伴（PPP）、信息共享與分析中心（ISAC），提供了許多有關設置和運行的實際建議，發布了《有效PPP的合作模式良好實踐指南》《信息共享與分析中心的合作模型(2017)》等多份相關報告。

支持歐盟各成員國網絡安全政策制定和實施，對各國國家網絡安全戰略進行效果評估。

2012年5月8日，ENISA發布《國家網絡安全戰略——為加強網絡空間安全的國家努力設定路線圖》，簡要分析了美、加、日3國的網絡空間安全戰略，并提出了歐盟成員國國家網絡安全戰略應該包含的內容和要素。2012年12月19日，發布了《國家網絡安全戰略：制定和實施的實踐指南》，形成了統一和全面的國家網絡安全戰略的制定與實施，評估與調整兩個階段的20項具體行動。2016年11月14日，ENISA發布新版《NCSS最佳實踐指南》，更新了原始指南的步驟、目標和最佳實踐，分析了歐盟和歐洲自由貿易區的NCSS狀況，以支持歐盟成員國努力開發和更新其NCSS。

截至2014年底，越來越多的歐洲國家開始將網絡安全戰略視為事關經濟民生的關鍵政策，有18個歐盟成員國發布了國家網絡安全戰略，其中不少國家已經進入重新評估優化國家網絡安全戰略的第二階段。這18個國家包括愛爾蘭、芬蘭、瑞典、愛沙尼亞、拉脫維亞、立陶宛、波蘭、德國、丹麥、英國、法國、捷克共和國、葡萄牙、意大利、希臘、塞浦路斯、奧地利、克羅地亞、斯洛伐克、保加利亞、羅馬尼亞、西班牙、比利時、匈牙利、盧森堡、荷蘭、馬耳他和斯洛文尼亞。

對此，2 014年11月27日，ENISA發布了《國家網絡安全戰略評估框架》，主要包括安全戰略評估的概念邏輯模型及關鍵績效評估列表。ENISA執行理事Udo Helmbrecht教授評價稱：“國家網絡安全戰略是歐盟成員國應對網絡安全風險和挑戰的重要環節，需要持續發展并正確評估，以適應社會、技術和經濟的發展。ENISA提供了一個系統性和指導性很強的評估框架，有助歐盟成員國提升其國家網絡安全戰略制定水平。”

推進歐盟各成員國與網絡安全產業界合作。

引領執行NIS指令。2016年7月6日，歐盟立法機構正式通過首部網絡安全法《網絡與信息系統安全指令》（簡稱NIS指令）。NIS指令要求建立一個合作組，以增進歐盟成員國之間的戰略合作與信息共享，該合作組由歐盟成員國代表、歐盟委員會、ENISA構成。ENISA在NIS指令的執行中扮演重要的角色，任務包括支援歐盟機構、成員國與產業界，對網絡威脅與信息安全問題快速作出反應；通過開發閾值、模板和工具，支持歐盟范圍內的網絡安全事件報告流程；在執行任務中協助各國間成立合作小組；協助成員國與執委會，提供專業意見和建議等。指令還要求各成員國指定一家或多家計算機安全事件響應工作組（CSIRT）進行安全風險和事件處理，歐盟層面成立協作小組負責安全事件信息共享及安全協作事宜；還要求成員國CSIRT與CERTEU代表構建CSIRT網絡，并將歐盟委員會作為觀察員；ENISA設立相應的秘書處支撐機制運行。

致力于建立公私合作伙伴關系（PPP）。伙伴關系包括來自歐盟和各成員國、各地區以及當地的公共管理機構、研究中心以及學術界的成員，旨在促進研究和創新過程早期階段的合作，并為能源、衛生、交通和金融等多個行業制定網絡安全解決方案。2013年4月，歐洲部分私人網絡安全公司聯合成立了“歐洲網絡安全小組”，通過聯合600多名網絡安全專家針對問題作出快速有效的反應，建立伙伴關系。同時利用“一線經驗”優勢，在網絡防御政策、風險預防等問題上向政府、企業和監管機構提供更有效和實用的建議。2016年8月，歐盟委員會與業界建立第一個歐洲網絡安全公私合作伙伴關系，預計至2020年將投入18億歐元，以更好地應對網絡攻擊，并加強其網絡安全部門的競爭力。為給設置和運作PPP關系提供具體的激勵措施和實際建議，ENISA自2014年起組織召開了6屆研討會。

致力于發展信息共享與分析中心（ISAC）。ISAC是非營利組織，為收集有關網絡威脅的信息中心提供資源，允許私人和公共部門之間雙向共享信息，分享經驗、知識和分析。在許多歐盟成員國中，都有類似ISAC的組織，歐盟NIS指令和網絡安全法等法律體系，促進了在歐盟內部建立ISAC和PPP這樣的部門。

推進全社會信息、安全文化的建設。

ENISA負責組織、協調歐盟各成員國的網絡信息安全的戰略規劃、實踐、基礎設施保護和應急響應等工作，包括各成員國為了提升國民信息安全素養應當采取的各項措施。在歐洲，ENISA及歐盟成員國在不遺余力地推進全社會信息、安全文化的建設。并且針對社會各類人群的特征，劃分了不同的目標群體：從個人用戶到中小企業用戶以及傳媒，都納入了信息安全文化建設的范疇，并且對各目標群體提出了有針對性的安全意識提升計劃。此外，ENISA還通過網絡戰演練等方式提高歐洲各國的網絡安全防御能力，如2018年11月4日，由ENISA和歐盟聯合研究中心主辦的首次全歐范圍內的網絡演練，目的是演練各國對付網絡黑客攻擊的能力。歐盟22個成員國和冰島、挪威、瑞士等非歐盟成員國的代表參加演練，其他成員國則派觀察員參加。

對我國的啟示和建議

健全監管組織，注重對私營部門權益的保障，推動行業自治與共治發揮效用。歐盟在實踐中正逐漸建立的監管模式，體現出由政府、行業組織和社會共同監管，并通過法律的形式予以明確的特征。這個模式的特點是由歐盟層面和成員國層面的官方機構發揮主導作用，鼓勵行業組織和企業進行自律。我國非常重視政府在安全監管中的作用，但政府的監管能力是有限的，在具體的信息安全監管過程中，行業組織、技術聯盟、私營部門等具有極強的影響力。它們通過制定行業規則、技術標準等手段，加強對信息安全的監管。這就要求我國在完善政府主導的治理模式的同時，邀請自律性監管主體參與其中，分明職權，共同監管。同時，建立一個類似歐盟ENISA—樣的信息交流平臺，負責“協調”和“咨詢”工作，組織實施網絡監管實踐。通過開展公私合作創新項目、簽署合作協議等多種方式暢通合作渠道，增強私營部門合作的積極性和互動性。

推動建立信息共享機制。歐盟非常注重信息共享，在戰略中屢次強調要推動建立ENISA主管政府部門與執法部門之間、政府部門與企業之間的信息共享渠道。美國等其他國家也曾在多個法案中確立信息共享方式和程序。由于網絡安全事件具有涉及范圍廣、傳播速度快、出現頻率高的特點，在其預警、防范、恢復過程中，信息共享確實非常必要。目前，我國網絡信息安全信息共享機制仍處于初步階段，其機制和效率都有很大的提升空間，建議參考美歐等國做法，設立專門的網絡安全信息共享分析中心，負責政府部門之間及政府部門與企業之間的信息共享工作。同時，應通過法律或規章制度，最大程度地確保共享信息的保密性，讓共享各方能自愿、放心地交換信息。

配套制度建設全面鋪開，落地實施進一步強化。無論基于何種體例，網絡安全立法的任何一個領域都需逐層展開，構筑法律、監管框架、部門制度、指引標準的配套系統。這一方面是立法技術本身的要求，另一方面則是技術立法的顯著特點。目前我國已發布并實施《網絡安全法》，配套相關法律法規、國家標準已同步發布實施或仍處于制定、征求意見階段。一方面，部分重點領域仍存在法律空白，如個人信息保護等尚未頒布相關管理規范，已發布的國家標準為推薦性標準，缺乏有效的約束性與規范性。建議加快相關立法進程，為行業組織、企業與個人行為提供操作指引，為行政執法提供法律依據。另一方面，逐步改變現階段被動立法的局面，積極預測新技術、新業務發展可能引發的網絡與信息安全風險，在風險發生前構建管理側的安全防護屏障，最大程度上隔離并防范可能發生的風險。此外，立法和配套制定后的有效實施問題普遍存在，強化落地實施的評估方式、執法檢查等也應成為下一步的重點。

加強專業人員教育培訓，提升全民安全意識重點加強領域專業人才的高校培養與職業培訓，全面普及全民網絡安全意識。一方面，夯實高校網絡與信息安全相關專業的教育培養，提升專業人才的理論知識儲備與專業技能，構建專業人才梯隊，為政府、企業輸送專業人才，提升安全防御能力；另一方面，加強全民網絡與信息安全意識的培養與提升，通過宣傳日、主題日、主題展覽等多種形式的活動，提升網絡普通網民的安全意識，防范各類安全事件的發生。