论文部分内容阅读
2012年欧洲民意调查显示,74%的受访者认为成为网络受害者的风险正在增加,18%表示不太可能再从网上购物,15%表示不太可能再使用网上银行。要想重建公众对信息网络的信心,必须建立一套应对网络安全问题的成熟策略。因此,继法国、德国、英国等欧盟成员国近两年相继推出各自的网络安全战略之后,欧盟委员会近日也发布了一份整个欧盟层面的网络安全战略,旨在通过各成员国政府、私营企业和公民的共同努力,使欧盟拥有世界上最安全的网络环境。
这份战略总体评估了欧盟当前面临的网络安全形势,确立了网络安全保障工作的指导原则,明确了各利益相关方的权利和责任,确定了未来优先任务和行动方案。结合欧盟近些年在网络安全方面的政策举动,可以看出,欧盟维护网络安全的策略正日趋明晰和完善。
策略一:完善网络安全管理体制,
推动建立信息共享机制
由于欧盟的超国家性,其网络安全管理体制分为欧盟和成员国两个层面:在欧盟层面,2004年3月10日成立了“欧洲网络与信息安全局(ENISA)”,负责收集和分析网络安全威胁,向欧盟委员会和各成员国提供分析结果;促进欧盟委员会和各个成员国之间的合作,提供相关咨询和帮助;协助欧盟委员会开展国际合作等。在成员国层面,各国网络安全主管部门包括通信部、内政部、国防部、电子政务部、国家数据保护办公室等,它们负责制定网络安全战略政策,与其他公共机构和私人组织相互协作,监测信息安全威胁和攻击,积极采取应对措施等。此外,几乎所有成员国内都有1~2个公共部门计算机应急响应小组(CERT),与本国其他计算机应急响应小组一道应对危机和开展其他活动。
近些年,随着信息安全威胁行为体的日益复杂和信息安全事件的频繁发生,欧盟更深刻体会到各方共同参与信息安全保障活动的重要性和必要性。到目前为止,欧盟已形成了以“一个主题(网络安全)、两个层面(欧盟和成员国)、三个主体(政府部门、私营企业、学术界)”为特征的信息安全管理体制,并在不同层面的不同主体之间初步建立起一套信息共享机制(如下图),为有效应对信息安全威胁提供了良好的组织和机制保障。
策略二:重点提升网络恢复能力,
有效应对网络攻击
英国官方统计数据显示,2012年,英国各机构组织因网络攻击造成的损失翻了两番,87%的小型企业与93%的大型组织均表示曾遭遇过网络入侵,这比2011年的73%与41%有较大幅度的增长。事实上,不仅在英国,欧盟其他成员国内的网络攻击事件也呈逐年递增之势。为提升欧盟及成员国防范、检测和应对网络安全事件的水平,增强网络遭受攻击后的恢复能力,欧盟委员会分别为欧盟和各成员国设定了行动路线:在欧盟层面,计划扩大欧洲网络与信息局在应急响应方面的职能,建立紧急情况下的协调响应机制,增强网络攻击事件发生后的应对能力,并对电子通信供应商和数据服务商提出了有关数据保护的要求。在成员国层面,欧盟敦促尚未出台网络安全战略的国家尽快出台相关政策文件,对本国网络安全工作进行总体规划;各成员国指定本国网络安全主管机构,建立本国计算机应急响应队伍(CERT);通过发布报告、组织专家研讨会、开展“欧洲网络安全月”活动等方式,提高公众的网络安全意识;分别对普通学生、计算机专业学生和政府部门职员开展不同内容的培训,培养网络安全专业人才队伍。
此外,2011年11月欧盟与美国首次举行的名为“大西洋网络2011”的联合演练,以及2012年10月欧洲主要金融机构、电信公司、互联网服务提供商和政府部门的400名专家参与的“网络欧洲2012”演习,对于欧盟有效应对针对网络基础设施的持续攻击和数据采集与监视控制系统的分层攻击,都起到了十分积极的作用。
策略三:强力打击网络犯罪活动,
力推《布达佩斯公约》
据统计,89%的欧洲人每天都使用电脑,如此高的电脑普及率使得欧盟每年因网络犯罪遭受的损失高达数百亿欧元。为打击网络犯罪,欧盟计划在2009-2013这5年中出资5500万欧元,用于打击网上非法和有害行为,防范和清理网上非法内容。同时,欧盟各相关部门也将“各司其责、多管齐下”:新近成立的欧盟网络犯罪中心(EC3)主要负责情报分析和调查取证,为欧盟成员国主管机构与私营行业和其他利益相关方之间的信息共享创建渠道,以及提高公民的网络安全意识;欧洲刑警组织负责为各成员国的网络犯罪调查提供支持,定期出台有关新趋势和新威胁的战略及运行报告;欧洲司法组织负责查找网络犯罪调查司法合作、欧盟成员国与第三方国家间协调、为网络犯罪调查和起诉提供支持等方面存在的问题,提出对策建议。
作为全球第一个针对网络犯罪行为的国际公约,《布达佩斯网络犯罪公约》在为各成员国共同打击网络犯罪提供法理依据的同时,也成为欧盟谋求国际网络犯罪领域话语权的重要旗帜:一方面,欧盟极力敦促尚未批准的成员国尽快批准和执行该公约,同时贯彻和执行网络犯罪相关指令;另一方面,呼吁国际社会以该公约为基础,制定应对网络犯罪的国际框架和准则。
策略四:充分利用市场力量,
加强供应链安全管理
随着经济全球化的发展,IT产品的供应链安全问题越来越突出。据高德纳咨询公司最新报告,IT供应链的完整性正成为全球2000名IT领导者最关心的三大安全问题之一。但是,迄今为止各国都未形成一套行之有效的解决方案。欧盟对这一议题进行了有益探索和尝试。欧盟主张开发行业和技术资源,利用市场手段和企业力量来增强供应链安全,具体表现为:为欧洲使用的所有产品的设备制造商、软件开发者、服务提供者制定合适的供应链安全要求,增加ICT(信息通信业)产品安全的透明度;激励高等级安全产品市场的发展,给具有良好网络安全性能的企业授予标识并进行追踪记录,化企业的网络安全性能为其市场竞争力,推动企业在追求利润时自愿、自觉考虑安全因素;建立一个由各利益相关者共同参与的平台,确定供应链安全良好实践,为开发和采用安全的ICT解决方案创造有利市场条件;制定供应链安全标准,在云计算等需要数据保护的领域推动采用欧盟范围内的自愿认证方案。
策略五:推行自由、
人权等核心价值观,占领道义高地
网络空间是一个新兴领域,国际社会尚未形成一套成熟的国际规则和行为规范。近两年,多国战略接踵出炉, 一方面由于网络威胁正变得日益严峻,急需统筹谋划加以应对;另一方面,各国也希望趁此领域尚存空白而尽早建章立制,抢占网络空间制高点。欧盟在多个成员国已有自身战略的情形下仍着急推出这份整体战略,正是这一心态的真实写照。战略中,欧盟明确提出其国际网络安全政策的五大原则,即适用于传统物理空间的法律和规范同样适用于网络空间;保护基本权利、言论自由、个人数据和隐私;确保每个人均可访问互联网;民主、高效的多利益相关方管理方法;政府、企业和公民共担维护网络安全的责任。这些原则既为其推广《布达佩斯公约》埋下伏笔,又为其宣扬民主、自由、人权等普世价值奠定基础,成为欧盟获取网络空间道义制高点的重要抓手。
同时,欧盟也非常重视国际合作。多边层面,欧盟将进一步拓展与欧洲理事会、经合组织、联合国、欧安组织、东盟等的合作,支持国际社会制定网络安全行为规范和建立信任措施。双边层面,欧盟依然寻求与多国合作,但是对美的态度发生显著变化,此前在网络空间问题上,欧盟一面注重与美国合作,另一面又不希望美国在国际网络治理中“一揽独大”,对美既依赖又抵触,但从战略及日前欧盟官方的表态来看,加强与美国在网络安全和网络犯罪工作组背景下的合作力度,将成为欧盟未来国际合作的重中之重。
这份战略总体评估了欧盟当前面临的网络安全形势,确立了网络安全保障工作的指导原则,明确了各利益相关方的权利和责任,确定了未来优先任务和行动方案。结合欧盟近些年在网络安全方面的政策举动,可以看出,欧盟维护网络安全的策略正日趋明晰和完善。
策略一:完善网络安全管理体制,
推动建立信息共享机制
由于欧盟的超国家性,其网络安全管理体制分为欧盟和成员国两个层面:在欧盟层面,2004年3月10日成立了“欧洲网络与信息安全局(ENISA)”,负责收集和分析网络安全威胁,向欧盟委员会和各成员国提供分析结果;促进欧盟委员会和各个成员国之间的合作,提供相关咨询和帮助;协助欧盟委员会开展国际合作等。在成员国层面,各国网络安全主管部门包括通信部、内政部、国防部、电子政务部、国家数据保护办公室等,它们负责制定网络安全战略政策,与其他公共机构和私人组织相互协作,监测信息安全威胁和攻击,积极采取应对措施等。此外,几乎所有成员国内都有1~2个公共部门计算机应急响应小组(CERT),与本国其他计算机应急响应小组一道应对危机和开展其他活动。
近些年,随着信息安全威胁行为体的日益复杂和信息安全事件的频繁发生,欧盟更深刻体会到各方共同参与信息安全保障活动的重要性和必要性。到目前为止,欧盟已形成了以“一个主题(网络安全)、两个层面(欧盟和成员国)、三个主体(政府部门、私营企业、学术界)”为特征的信息安全管理体制,并在不同层面的不同主体之间初步建立起一套信息共享机制(如下图),为有效应对信息安全威胁提供了良好的组织和机制保障。
策略二:重点提升网络恢复能力,
有效应对网络攻击
英国官方统计数据显示,2012年,英国各机构组织因网络攻击造成的损失翻了两番,87%的小型企业与93%的大型组织均表示曾遭遇过网络入侵,这比2011年的73%与41%有较大幅度的增长。事实上,不仅在英国,欧盟其他成员国内的网络攻击事件也呈逐年递增之势。为提升欧盟及成员国防范、检测和应对网络安全事件的水平,增强网络遭受攻击后的恢复能力,欧盟委员会分别为欧盟和各成员国设定了行动路线:在欧盟层面,计划扩大欧洲网络与信息局在应急响应方面的职能,建立紧急情况下的协调响应机制,增强网络攻击事件发生后的应对能力,并对电子通信供应商和数据服务商提出了有关数据保护的要求。在成员国层面,欧盟敦促尚未出台网络安全战略的国家尽快出台相关政策文件,对本国网络安全工作进行总体规划;各成员国指定本国网络安全主管机构,建立本国计算机应急响应队伍(CERT);通过发布报告、组织专家研讨会、开展“欧洲网络安全月”活动等方式,提高公众的网络安全意识;分别对普通学生、计算机专业学生和政府部门职员开展不同内容的培训,培养网络安全专业人才队伍。
此外,2011年11月欧盟与美国首次举行的名为“大西洋网络2011”的联合演练,以及2012年10月欧洲主要金融机构、电信公司、互联网服务提供商和政府部门的400名专家参与的“网络欧洲2012”演习,对于欧盟有效应对针对网络基础设施的持续攻击和数据采集与监视控制系统的分层攻击,都起到了十分积极的作用。
策略三:强力打击网络犯罪活动,
力推《布达佩斯公约》
据统计,89%的欧洲人每天都使用电脑,如此高的电脑普及率使得欧盟每年因网络犯罪遭受的损失高达数百亿欧元。为打击网络犯罪,欧盟计划在2009-2013这5年中出资5500万欧元,用于打击网上非法和有害行为,防范和清理网上非法内容。同时,欧盟各相关部门也将“各司其责、多管齐下”:新近成立的欧盟网络犯罪中心(EC3)主要负责情报分析和调查取证,为欧盟成员国主管机构与私营行业和其他利益相关方之间的信息共享创建渠道,以及提高公民的网络安全意识;欧洲刑警组织负责为各成员国的网络犯罪调查提供支持,定期出台有关新趋势和新威胁的战略及运行报告;欧洲司法组织负责查找网络犯罪调查司法合作、欧盟成员国与第三方国家间协调、为网络犯罪调查和起诉提供支持等方面存在的问题,提出对策建议。
作为全球第一个针对网络犯罪行为的国际公约,《布达佩斯网络犯罪公约》在为各成员国共同打击网络犯罪提供法理依据的同时,也成为欧盟谋求国际网络犯罪领域话语权的重要旗帜:一方面,欧盟极力敦促尚未批准的成员国尽快批准和执行该公约,同时贯彻和执行网络犯罪相关指令;另一方面,呼吁国际社会以该公约为基础,制定应对网络犯罪的国际框架和准则。
策略四:充分利用市场力量,
加强供应链安全管理
随着经济全球化的发展,IT产品的供应链安全问题越来越突出。据高德纳咨询公司最新报告,IT供应链的完整性正成为全球2000名IT领导者最关心的三大安全问题之一。但是,迄今为止各国都未形成一套行之有效的解决方案。欧盟对这一议题进行了有益探索和尝试。欧盟主张开发行业和技术资源,利用市场手段和企业力量来增强供应链安全,具体表现为:为欧洲使用的所有产品的设备制造商、软件开发者、服务提供者制定合适的供应链安全要求,增加ICT(信息通信业)产品安全的透明度;激励高等级安全产品市场的发展,给具有良好网络安全性能的企业授予标识并进行追踪记录,化企业的网络安全性能为其市场竞争力,推动企业在追求利润时自愿、自觉考虑安全因素;建立一个由各利益相关者共同参与的平台,确定供应链安全良好实践,为开发和采用安全的ICT解决方案创造有利市场条件;制定供应链安全标准,在云计算等需要数据保护的领域推动采用欧盟范围内的自愿认证方案。
策略五:推行自由、
人权等核心价值观,占领道义高地
网络空间是一个新兴领域,国际社会尚未形成一套成熟的国际规则和行为规范。近两年,多国战略接踵出炉, 一方面由于网络威胁正变得日益严峻,急需统筹谋划加以应对;另一方面,各国也希望趁此领域尚存空白而尽早建章立制,抢占网络空间制高点。欧盟在多个成员国已有自身战略的情形下仍着急推出这份整体战略,正是这一心态的真实写照。战略中,欧盟明确提出其国际网络安全政策的五大原则,即适用于传统物理空间的法律和规范同样适用于网络空间;保护基本权利、言论自由、个人数据和隐私;确保每个人均可访问互联网;民主、高效的多利益相关方管理方法;政府、企业和公民共担维护网络安全的责任。这些原则既为其推广《布达佩斯公约》埋下伏笔,又为其宣扬民主、自由、人权等普世价值奠定基础,成为欧盟获取网络空间道义制高点的重要抓手。
同时,欧盟也非常重视国际合作。多边层面,欧盟将进一步拓展与欧洲理事会、经合组织、联合国、欧安组织、东盟等的合作,支持国际社会制定网络安全行为规范和建立信任措施。双边层面,欧盟依然寻求与多国合作,但是对美的态度发生显著变化,此前在网络空间问题上,欧盟一面注重与美国合作,另一面又不希望美国在国际网络治理中“一揽独大”,对美既依赖又抵触,但从战略及日前欧盟官方的表态来看,加强与美国在网络安全和网络犯罪工作组背景下的合作力度,将成为欧盟未来国际合作的重中之重。