意大利发布首个国家网络安全战略及战略实施计划

编者按

意大利政府5月25日发布《2022至2026年意大利国家网络安全战略》及《2022至2026年意大利国家网络安全战略实施计划》，公开了意大利未来几年的网络态势路线图。

该战略提出意大利面临三大方面网络安全威胁，包括：一是网络犯罪分子、黑客活动分子或协调国家活动所发动网络攻击；二是政府控制或影响公司所开发技术对供应链造成的干扰；三是虚假信息活动、假新闻、“深度造假”和通过网络领域传播错误信息来操纵和分化公众舆论。同时提出五大应对支柱：一是确保公共部门和行业数字化转型的网络弹性；二是实现国家和欧洲数字战略自主权；三是预测网络威胁的演变；四是建立有效的网络危机管理机制；五是处理与混合威胁有关的在线虚假信息。

战略确定了三大基本目标以更好地应对国家面临的挑战，包括：一是保护目标，即通过旨在管理和减轻风险的系统性方法保护国家战略资产，具体涉及技术筛选、法律框架、态势感知、公共行政网络弹性、国家基础设施、密码学、打击网上虚假信息；二是响应目标，即通过部署增强的国家监控、检测、分析和响应能力以及启动国家网络安全生态系统流程对国家网络威胁、事件和危机做出响应，具体涉及危机管理、国家网络服务、网络演习、归因、打击网络犯罪和威慑能力；三是发展目标，即有意识和安全地发展能够响应市场需求的数字技术、研究和产业竞争力，具体涉及国家协调中心、国家和欧洲技术发展、国家网络安全园区、网络作为竞争优势、国家安全数字化。

奇安网情局编译有关情况，供读者参考。

意大利国家网络安全局5月25日公布了2022至2026年意大利国家网络安全战略及战略实施计划。意大利总理马里奥·德拉吉在介绍文件的序言中写道，“意大利网络安全战略将安全与发展相结合，符合我们宪法的价值观。符合欧盟2020年12月网络安全战略、2022年3月欧盟安全与防务战略指南以及北约近期战略指导方针的规定。为此，持续分配足够的资金至关重要”。

01 风险挑战

该战略意识到网络威胁“旨在获取非法利益（网络犯罪），为地缘政治竞争产生信息优势（网络间谍），根据特定意识形态或政治动机传播分裂和分化的叙事，没有任何机构，即使技术装备良好和程序准备就绪的机构，会渴望完全消除来自网络空间的威胁”。

该战略提出，塑造社会的技术以及先进攻击技术的不断发展增加了新的风险，但社会的网络安全意识水平并未匹配。相关系统性风险包括三个方面：

● 由于网络犯罪分子、黑客活动分子或协调国家活动利用软件错误、错误配置或协议和/或人为弱点窃取数据或破坏IT系统的网络攻击。勒索软件活动直接影响一个国家的服务提供（包括基本服务）以及作为级联效应影响其GDP和声誉的勒索软件活动就是这种情况；

● 由大公司开发和生产的技术，有时受其所在的东道国政府控制或影响。这可能导致对供应链的干扰，包括相关组件在市场上的可用性及其自身的可靠性；

● 虚假信息活动、假新闻、“深度造假”和通过网络领域传播错误信息来操纵和分化公众舆论，使公众舆论发现自己被来自大量来源的快速移动的横向信息所淹没。

因此，为了应对上述威胁，该战略提出五大支柱：

● 确保公共部门和行业数字化转型的网络弹性

● 国家和欧洲数字战略自主权

● 预测网络威胁的演变

● 网络危机管理

● 处理与混合威胁有关的在线虚假信息

02 基本考虑

战略提出，最近的攻击趋势为企业经济和声誉受损、能源基础设施运营受阻、医院和医疗保健公司使用的信息系统出现故障、传播旨在诋毁公众人物、记者和政治活动家的个人数据提供了证据。这种情况产生了四个基本考虑：

● 国家的职责之一是制定适当的网络安全战略，旨在规划、协调和实施使国家即使在数字领域也具有安全性和弹性的措施，同时确保公民信任利用其竞争优势的可能性，充分保护基本权利和自由；

● 网络安全已成为具有战略意义的问题，必须成为国家数字化进程的基础，作为数字化转型的基本要素，同时也旨在实现该领域的战略性国家自主权；

● 网络安全不应被视为一种成本，而是一种投资和促进国民经济和工业发展的有利因素，以提高国家在全球层面的竞争力；

● 社会各个层面的文化进步，朝着“安全导向”的方向发展，必须与从技术角度确保基础设施、系统和信息的安全并行，作为保护价值观和民主制度不可或缺的要素。

03 愿景目标

战略提出，为了更好地应对国家面临的挑战，已确定了三大基本目标：

●保护目标。通过旨在管理和减轻风险的系统性方法保护国家战略资产，包括监管框架和措施、工具和控制，以实现国家弹性数字化转型。相关的重要性是制定战略和举措，以验证和评估ICT基础设施的安全性，包括具有国家影响的采购和供应链方面。具体涉及七个方面，包括技术筛选、法律框架、态势感知、公共行政网络弹性、国家基础设施、密码学、打击网上虚假信息。

●响应目标。通过部署增强的国家监控、检测、分析和响应能力以及启动涉及国家网络安全生态系统中所有利益相关者的流程，对国家网络威胁、事件和危机做出响应。具体涉及六个方面，包括危机管理、国家网络服务、网络演习、归因、打击网络犯罪和威慑能力。

●发展目标。有意识和安全地发展能够响应市场需求的数字技术、研究和产业竞争力。具体涉及六个方面，包括国家协调中心、国家和欧洲技术发展、国家网络安全园区、网络作为竞争优势、国家安全数字化。

04 具体措施

实施计划的82项措施为国家网络安全战略中定义的保护、响应和发展目标指明了为实现该目标而应采取的措施。

第1项措施提出加强国家技术筛选系统，以支持边界内特定类别资产的供应链安全，并通过对公私测试实验室的认可，采用欧洲网络安全认证计划；

第10项措施提出根据“零信任”方法发布公共行政网络安全指南，参考向云的过渡，以对网络风险进行持续和自动化的管理；

第16项措施提出促进公共管理服务和数据安全迁移到云的重要性，这符合意大利云战略；

第22项措施提出促进在非保密环境中使用密码学；

第32项措施提议创建一个专用于国家网络安全的高性能计算基础设施，以及开发基于人工智能和机器学习的模拟工具，以支持预防、发现、响应和预测系统性网络攻击影响的各个阶段；

第33项措施提出通过实施与意大利计算机安全事件响应小组相结合的部门CERT网络以及国家危机管理计划，提高网络危机后的响应和恢复能力。

第49项措施提出创建一个“国家网络安全园区”，为开展网络安全和数字技术的研发活动提供必要的基础设施，并将其组织为一个“广泛”的结构，在全国各地设有地方分支机构。

第54项措施提出通过鼓励纳入网络安全原则支持研究和开发（尤其是新技术），同时支持私营部门推出网络安全项目（通过专项资金、公共和私人投资或简化机制）,特别是在初创企业和创新型中小企业方面。

05 资金保障

实施计划首先通过以下措施筹集资金以促进网络创新和安全：

● 公司税收减免；

● 创建一个国家税收优惠区，以建立一个国家网络安全园区和意大利各地中心；

● 使意大利国家网络安全局成为网络“协调中心”，并将其连接到罗马尼亚的欧洲中心，这将使网络安全局能够从“地平线欧洲”计划和“数字欧洲”计划（总预算超过1000亿欧元）引导欧洲资源；

● 从国家恢复和弹性计划中拨款6.23亿欧元用于创新和网络安全。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。