歐盟網(wǎng)絡(luò)安全戰(zhàn)略新動(dòng)向及其啟示

◆李舒沁

（中國(guó)科協(xié)科學(xué)技術(shù)傳播中心 北京 100012）

網(wǎng)絡(luò)安全一直是互聯(lián)網(wǎng)應(yīng)用中重要的關(guān)注點(diǎn)。在新冠疫情引起網(wǎng)絡(luò)使用爆發(fā)式增長(zhǎng)，并在后疫情時(shí)代延續(xù)增長(zhǎng)的慣性下，網(wǎng)絡(luò)安全對(duì)經(jīng)濟(jì)、社會(huì)安全與穩(wěn)定的重要性愈發(fā)強(qiáng)烈。歐盟持續(xù)關(guān)注網(wǎng)絡(luò)安全，并就制定影響未來(lái)10 年的新戰(zhàn)略展開討論。其所關(guān)注的問(wèn)題及內(nèi)容，也為我國(guó)未來(lái)網(wǎng)絡(luò)安全的發(fā)展提供借鑒與啟示。

1 網(wǎng)絡(luò)安全戰(zhàn)略新動(dòng)向的背景與緊迫性

當(dāng)前社會(huì)各部門都日益依賴互聯(lián)網(wǎng)和信息系統(tǒng)。在不久的將來(lái)，互聯(lián)設(shè)備將呈指數(shù)級(jí)增長(zhǎng)，預(yù)計(jì)到2025 年，全球互聯(lián)設(shè)備將超過(guò)250億，其中四分之一在歐洲。突發(fā)的新冠疫情促進(jìn)了各行各業(yè)的數(shù)字化進(jìn)程。據(jù)一項(xiàng)對(duì)公司經(jīng)理的調(diào)查，疫情之后，有40%以上的被調(diào)查者表示將給員工設(shè)置彈性工作日或彈性小時(shí)數(shù)用于遠(yuǎn)程辦公。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也隨之而來(lái)。從全球范圍看，在互聯(lián)網(wǎng)供應(yīng)鏈的技術(shù)控制上，地緣政治緊張形勢(shì)增加了各國(guó)的數(shù)字邊界，影響了互聯(lián)網(wǎng)的開放性；從技術(shù)角度看，對(duì)關(guān)鍵基礎(chǔ)設(shè)施的惡意攻擊將會(huì)帶來(lái)全球風(fēng)險(xiǎn)；從對(duì)象看，數(shù)字服務(wù)和金融行業(yè)、公共部門和制造業(yè)等，都是常見的網(wǎng)絡(luò)攻擊目標(biāo)，特別是中小企業(yè)更加缺乏抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)能力；從影響看，對(duì)安全的擔(dān)憂已成為阻礙人們使用在線服務(wù)的主要因素，每年由于數(shù)據(jù)泄露，數(shù)以億計(jì)的記錄丟失。

網(wǎng)絡(luò)安全是歐洲安全的重要組成部分，也是歐盟“構(gòu)建數(shù)字未來(lái)”計(jì)劃的重要環(huán)節(jié)，需要引起高度重視。因此，歐盟的網(wǎng)絡(luò)安全戰(zhàn)略也在進(jìn)一步發(fā)展，其試圖從多角度提高歐盟網(wǎng)絡(luò)安全管理及應(yīng)對(duì)水平，減少使用者為應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而付出的物質(zhì)及精神上的代價(jià)。

2 新戰(zhàn)略的構(gòu)成及目標(biāo)

該戰(zhàn)略在安全技術(shù)、能力建設(shè)、保持優(yōu)勢(shì)和國(guó)際合作等方面均提出了多項(xiàng)措施。

2.1 建設(shè)更有韌性的網(wǎng)絡(luò)體系

一是提高關(guān)鍵基礎(chǔ)設(shè)施及服務(wù)的網(wǎng)絡(luò)韌性水平。為此，歐盟首先對(duì)網(wǎng)絡(luò)和信息系統(tǒng)安全規(guī)則（NIS）進(jìn)行改革。NIS 是歐盟網(wǎng)絡(luò)安全單一市場(chǎng)的核心。基于更新的規(guī)則，可以減少歐盟單一市場(chǎng)中各國(guó)安全監(jiān)管、安全事件報(bào)告要求方面的不一致，增強(qiáng)各國(guó)各部門，特別是提高電力、金融、交通運(yùn)輸?shù)汝P(guān)鍵部門的網(wǎng)絡(luò)韌性[1]。在未來(lái)建設(shè)空間相關(guān)基礎(chǔ)設(shè)施，如衛(wèi)星導(dǎo)航系統(tǒng)時(shí)，也將基于NIS 對(duì)這些設(shè)施進(jìn)行歐盟內(nèi)部的協(xié)調(diào)。

二是保護(hù)通信基礎(chǔ)設(shè)施和5G 網(wǎng)絡(luò)安全。對(duì)于前者，各成員國(guó)在未來(lái)數(shù)年內(nèi)要與歐盟委員會(huì)共同努力，部署安全量子通訊基礎(chǔ)設(shè)施（QCI），從而以一種極安全的加密形式抵御網(wǎng)絡(luò)攻擊。在歐盟境內(nèi)，將使用現(xiàn)有的地面光纖通訊網(wǎng)絡(luò)；在歐盟全境和海外領(lǐng)土，使用衛(wèi)星通信覆蓋。對(duì)于后者，基于2019 年發(fā)布的《關(guān)于5G 網(wǎng)絡(luò)網(wǎng)絡(luò)安全的建議》[2]，對(duì)現(xiàn)有5G 網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估，然后逐漸去除高風(fēng)險(xiǎn)供應(yīng)商的設(shè)備，逐漸鞏固其自身在5G 領(lǐng)域相關(guān)方面的能力，降低對(duì)境外高風(fēng)險(xiǎn)供應(yīng)商的依賴，打造多元化供應(yīng)鏈。

三是建立歐洲網(wǎng)絡(luò)防御系統(tǒng)。歐盟的信息共享和分析中心（ISACs）、計(jì)算機(jī)安全事件響應(yīng)小組（CSIRTs）及安全操作中心（SOC）在當(dāng)前提升網(wǎng)絡(luò)韌性中發(fā)揮著重要作用。這些機(jī)構(gòu)利用模式識(shí)別從大量需要評(píng)估的數(shù)據(jù)中提取有威脅的行為，因此要進(jìn)一步加強(qiáng)人工智能、機(jī)器學(xué)習(xí)的能力[3]。這些中心的重要作用，使歐盟委員會(huì)計(jì)劃在歐盟建立安全行動(dòng)中心網(wǎng)絡(luò)，整合現(xiàn)有中心并成立新的中心，從而形成一個(gè)覆蓋各成員國(guó)不同行業(yè)部門，包括中小企業(yè)在內(nèi)的網(wǎng)絡(luò)安全屏障，在潛在威脅造成破壞之前發(fā)現(xiàn)并預(yù)警。

2.2 多方協(xié)調(diào)提高阻止網(wǎng)絡(luò)威脅的能力

除網(wǎng)絡(luò)安全技術(shù)開發(fā)外，歐盟也重視提高阻止網(wǎng)絡(luò)威脅的能力。

一是建立聯(lián)合網(wǎng)絡(luò)部門。這個(gè)部門將作為歐盟不同網(wǎng)絡(luò)安全機(jī)構(gòu)合作的虛擬及實(shí)體平臺(tái)，主要作用是針對(duì)重大跨境網(wǎng)絡(luò)事件及威脅的技術(shù)協(xié)調(diào)。這一部門的建立是歐洲網(wǎng)絡(luò)安全危機(jī)管理框架的重要基礎(chǔ)，從而避免當(dāng)前歐盟在處置類似風(fēng)險(xiǎn)時(shí)效率低下的問(wèn)題。這一機(jī)構(gòu)將為政府及網(wǎng)絡(luò)安全部門提供技術(shù)支持，通過(guò)信息共享，提供持續(xù)共享的風(fēng)險(xiǎn)態(tài)勢(shì)感知能力。

二是共同打擊網(wǎng)絡(luò)犯罪。對(duì)于犯罪行為不僅要有威懾力，更要能識(shí)別犯罪行為并進(jìn)行起訴。因此，需要網(wǎng)絡(luò)監(jiān)管與執(zhí)法部門合作，開展線上線下聯(lián)合執(zhí)法行動(dòng)。在這方面，已經(jīng)與歐洲刑警組織進(jìn)行合作，并對(duì)歐盟委員會(huì)、各成員國(guó)政府及相關(guān)各方聯(lián)合報(bào)告出現(xiàn)的風(fēng)險(xiǎn)及犯罪行為[4]。歐盟還將通過(guò)打擊網(wǎng)絡(luò)犯罪的立法，并支持各國(guó)執(zhí)法部門提高數(shù)字能力，更完整、準(zhǔn)確地掌握犯罪證據(jù)，從而更有力地打擊犯罪。

三是協(xié)調(diào)民用和國(guó)防力量，增強(qiáng)網(wǎng)絡(luò)防御能力。歐盟的網(wǎng)絡(luò)安全包含民用部分，將利用私營(yíng)部門的資金、人才和技術(shù)，而私營(yíng)機(jī)構(gòu)在這一過(guò)程中，與政府調(diào)和利益，形成合力，實(shí)現(xiàn)從“被監(jiān)管者”向“政策參與者”的角色轉(zhuǎn)變[5]。這一安全體系還與國(guó)防體系相聯(lián)系。歐盟軍事委員會(huì)即將發(fā)布“將網(wǎng)絡(luò)空間作為行動(dòng)領(lǐng)域的軍事愿景和戰(zhàn)略”，以說(shuō)明軍民聯(lián)合行動(dòng)的方式。除了制度層面合作，雙方還將在發(fā)展先進(jìn)的互聯(lián)網(wǎng)防御能力方面提供動(dòng)力，重視、支持人工智能、量子計(jì)算等關(guān)鍵技術(shù)的開發(fā)與應(yīng)用。

2.3 強(qiáng)化網(wǎng)絡(luò)安全治理的領(lǐng)先優(yōu)勢(shì)

歐盟希望憑借其自身發(fā)達(dá)的經(jīng)濟(jì)、科技水平和教育培訓(xùn)優(yōu)勢(shì)，提高網(wǎng)絡(luò)安全治理的領(lǐng)先優(yōu)勢(shì)。

一是整合內(nèi)部?jī)?yōu)勢(shì)，在數(shù)字供應(yīng)鏈及網(wǎng)絡(luò)安全方面占據(jù)國(guó)際領(lǐng)先地位。保證數(shù)字供應(yīng)鏈自主可控，是歐盟希望在硬件層面維護(hù)自身網(wǎng)絡(luò)安全的重要手段。其計(jì)劃利用全歐盟2021-2027 年金融規(guī)劃向網(wǎng)絡(luò)安全提供資金，努力實(shí)現(xiàn)在供應(yīng)鏈全鏈處于領(lǐng)先地位的目標(biāo)。同時(shí)，也將利用風(fēng)險(xiǎn)投資、公私合作方式支持中小企業(yè)提升數(shù)字能力，進(jìn)行數(shù)字化轉(zhuǎn)型[6]。加強(qiáng)產(chǎn)學(xué)研合作，逐漸形成保障5G 等敏感數(shù)字基礎(chǔ)設(shè)施建設(shè)的能力，減少對(duì)國(guó)際上其他地區(qū)相關(guān)技術(shù)的依賴。

二是加大力度留住人才，抬升全社會(huì)網(wǎng)絡(luò)安全意識(shí)和能力。人才的質(zhì)量和規(guī)模決定了未來(lái)歐盟數(shù)字化能力的潛力和能夠達(dá)到的高度。歐盟目前有較強(qiáng)的數(shù)字領(lǐng)域人才的培養(yǎng)能力，但仍面臨人才外流的情況。因此其將留住和吸引優(yōu)秀網(wǎng)絡(luò)安全人才作為防范網(wǎng)絡(luò)威脅的重要組成部門。除了人才，歐盟也致力于提高網(wǎng)絡(luò)使用者的數(shù)字技能、措施，包括向?qū)W生普及網(wǎng)絡(luò)安全知識(shí)、職業(yè)教育和培訓(xùn)、鼓勵(lì)女性參與STEM 教育。此外，還組織歐盟知識(shí)產(chǎn)權(quán)局等組織，為企業(yè)進(jìn)行法律宣傳，以提高企業(yè)抵御網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)犯罪的能力[7]。

2.4 促進(jìn)國(guó)際網(wǎng)絡(luò)安全治理合作

歐盟一直努力成為全球網(wǎng)絡(luò)安全治理方面的重要一極，在新戰(zhàn)略中也提出了其試圖發(fā)揮領(lǐng)導(dǎo)力的方面。

一是在網(wǎng)絡(luò)標(biāo)準(zhǔn)、規(guī)范等方面發(fā)揮領(lǐng)導(dǎo)作用。歐盟希望在國(guó)際網(wǎng)絡(luò)標(biāo)準(zhǔn)化方面起引領(lǐng)作用，特別是希望能主導(dǎo)在標(biāo)準(zhǔn)中補(bǔ)充人工智能、云計(jì)算、量子通訊等新技術(shù)的標(biāo)準(zhǔn)。其認(rèn)為這些標(biāo)準(zhǔn)應(yīng)該具有以隱私為中心，合法、安全、合乎道德，滿足歐盟的價(jià)值觀[8]。同時(shí)要在聯(lián)合國(guó)等國(guó)際論壇的討論中占據(jù)更積極的立場(chǎng)，就國(guó)際網(wǎng)絡(luò)安全確立歐盟立場(chǎng)，即全球互聯(lián)的增加不應(yīng)導(dǎo)致審查、大規(guī)模監(jiān)視、數(shù)據(jù)隱私泄露等。

二是加強(qiáng)與國(guó)際伙伴展開合作，推廣歐盟網(wǎng)絡(luò)安全理念。網(wǎng)絡(luò)安全戰(zhàn)略主張歐盟同包括非盟、東盟、世貿(mào)組織等區(qū)域及國(guó)際組織在內(nèi)的第三方開展對(duì)話，推廣其網(wǎng)絡(luò)價(jià)值觀，提高合作的效率和效果。在外交方面，歐盟委員會(huì)可以與歐盟代表團(tuán)及各成員國(guó)駐各國(guó)大使館合作，組建一個(gè)非正式的歐盟網(wǎng)絡(luò)外交網(wǎng)絡(luò)，促進(jìn)在各國(guó)更深入地推廣、闡明歐盟對(duì)網(wǎng)絡(luò)及安全的愿景，并協(xié)調(diào)網(wǎng)絡(luò)安全的進(jìn)展[9]。

三是協(xié)助開展網(wǎng)絡(luò)能力提升建設(shè)，提高合作伙伴國(guó)網(wǎng)絡(luò)安全韌性。除了發(fā)揮國(guó)際網(wǎng)絡(luò)標(biāo)準(zhǔn)領(lǐng)導(dǎo)作用及推廣網(wǎng)絡(luò)安全理念等軟性合作外，歐盟也將對(duì)其合作伙伴提供硬性支持，以便提升這些國(guó)家的網(wǎng)絡(luò)安全韌性、調(diào)查和起訴網(wǎng)絡(luò)犯罪的能力，以及應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)等能力。具體來(lái)看，歐盟更加關(guān)注其周邊及西巴爾干地區(qū)等密切相關(guān)的國(guó)家及地區(qū)，以便為歐盟創(chuàng)造一個(gè)較為穩(wěn)定安全的臨近網(wǎng)絡(luò)空間[10]。此外，對(duì)于一些具有較強(qiáng)影響力，且正在經(jīng)歷快速數(shù)字化轉(zhuǎn)型的國(guó)家，如非洲部分國(guó)家，歐盟也將加強(qiáng)合作，介入這些國(guó)家的網(wǎng)絡(luò)安全建設(shè)中。

3 啟示及建議

綜上可以看出，歐盟的網(wǎng)絡(luò)安全戰(zhàn)略從多層面、多角度出發(fā)，從空間上覆蓋各成員國(guó)及其關(guān)注的地區(qū)，從時(shí)間上涉及網(wǎng)絡(luò)安全預(yù)防、抵御沖擊及事后追查犯罪等全過(guò)程，在產(chǎn)業(yè)體系上試圖涵蓋數(shù)字供應(yīng)鏈全鏈，具有目標(biāo)大、站位高的特點(diǎn)。這也為我國(guó)更好地鞏固網(wǎng)絡(luò)安全、提高網(wǎng)絡(luò)抗風(fēng)險(xiǎn)能力提供借鑒。

一是提高網(wǎng)絡(luò)安全技術(shù)水平，打造網(wǎng)絡(luò)安全屏障。參考?xì)W盟提出的網(wǎng)絡(luò)安全戰(zhàn)略，宜加強(qiáng)對(duì)基礎(chǔ)設(shè)施聯(lián)網(wǎng)軟硬件的風(fēng)險(xiǎn)排查，減少或消除安全隱患。對(duì)關(guān)鍵基礎(chǔ)設(shè)施上的進(jìn)口零部件，有必要加緊國(guó)產(chǎn)替代步伐，提高安全系數(shù)。在進(jìn)行網(wǎng)絡(luò)犯罪識(shí)別及追蹤過(guò)程中，充分發(fā)揮人工智能等先進(jìn)技術(shù)優(yōu)勢(shì)，提高效率和準(zhǔn)確性。

二是健全安全協(xié)調(diào)機(jī)制，匯集各方力量共保網(wǎng)絡(luò)安全。相比于歐盟新網(wǎng)絡(luò)安全戰(zhàn)略中擬成立的各個(gè)部門及其開展合作的機(jī)制，我國(guó)也宜建立政府主導(dǎo)、多部門聯(lián)動(dòng)、協(xié)同發(fā)展的網(wǎng)絡(luò)安全治理體系。一方面是各部門之間建立協(xié)調(diào)聯(lián)動(dòng)機(jī)制，以平臺(tái)或聯(lián)席會(huì)議的方式及時(shí)通報(bào)共享安全風(fēng)險(xiǎn)信息并預(yù)警。加強(qiáng)網(wǎng)絡(luò)安全執(zhí)法隊(duì)伍規(guī)模及能力建設(shè)，并獲得其他部門支持。另一方面，開展官產(chǎn)學(xué)研合作，發(fā)揮企業(yè)和研究機(jī)構(gòu)的技術(shù)優(yōu)勢(shì)和主動(dòng)性，共同提升網(wǎng)絡(luò)安全維護(hù)和治理能力。

三是以“軟硬”兩種方式提升我國(guó)在網(wǎng)絡(luò)安全領(lǐng)域的國(guó)際話語(yǔ)權(quán)。在“硬”方式方面，需要繼續(xù)推進(jìn)數(shù)字技術(shù)、網(wǎng)絡(luò)安全技術(shù)的進(jìn)步。在優(yōu)勢(shì)領(lǐng)域保持領(lǐng)先，使其他國(guó)家在短時(shí)間內(nèi)難以找到替代方案，否則就要承擔(dān)技術(shù)落后的風(fēng)險(xiǎn)。在追趕領(lǐng)域持續(xù)發(fā)力，減少被“卡脖子”的領(lǐng)域。在“軟”方式方面，加大人才培養(yǎng)力度，一方面是重視數(shù)學(xué)、物理學(xué)等基礎(chǔ)學(xué)科人才培養(yǎng)，另一方面推動(dòng)網(wǎng)絡(luò)安全等實(shí)用技能人才的培養(yǎng)，并且向公眾及企業(yè)普及網(wǎng)絡(luò)安全知識(shí)，全面提高公民的數(shù)字素養(yǎng)，穩(wěn)步接近世界發(fā)達(dá)國(guó)家和地區(qū)水平。

四是加強(qiáng)國(guó)際合作，構(gòu)建互利共贏的網(wǎng)絡(luò)安全國(guó)際合作機(jī)制。一方面是積極參與國(guó)際不同層面的網(wǎng)絡(luò)安全治理機(jī)制，如聯(lián)合國(guó)框架下的信息安全政府專家組、國(guó)際電信聯(lián)盟等機(jī)制和平臺(tái)，構(gòu)成網(wǎng)絡(luò)安全對(duì)話和開展合作的基礎(chǔ)。另一方面通過(guò)“一帶一路”、“數(shù)字絲綢之路”等建設(shè)，強(qiáng)化對(duì)國(guó)際機(jī)制的塑造能力。以實(shí)際行動(dòng)幫助相關(guān)國(guó)家提升自身數(shù)字能力和網(wǎng)絡(luò)治理能力，以透明、開放、友好的姿態(tài)，使更多國(guó)家認(rèn)可并接受我國(guó)倡導(dǎo)的網(wǎng)絡(luò)空間治理理念和網(wǎng)絡(luò)安全觀，各國(guó)攜手共建“網(wǎng)絡(luò)空間命運(yùn)共同體”。

4 結(jié)束語(yǔ)

本文簡(jiǎn)析了歐盟網(wǎng)絡(luò)安全戰(zhàn)略的新進(jìn)展，并提出其對(duì)我國(guó)網(wǎng)絡(luò)安全治理可供參考借鑒之處。首先，網(wǎng)絡(luò)安全已成為歐洲安全的重要組成部分，影響歐盟能否在數(shù)字時(shí)代平穩(wěn)有序發(fā)展。其次，介紹網(wǎng)絡(luò)安全戰(zhàn)略在建設(shè)有韌性的網(wǎng)絡(luò)體系、提高阻止網(wǎng)絡(luò)威脅的能力、強(qiáng)化網(wǎng)絡(luò)安全治理的領(lǐng)先優(yōu)勢(shì)以及促進(jìn)國(guó)際網(wǎng)絡(luò)安全合作提出的新舉措及目標(biāo)。最后，提出我國(guó)在網(wǎng)絡(luò)安全治理領(lǐng)域可開展工作的建議。