随着网络信息技术成为经济和社会的发展基础,网络空间与陆海空天一样,日渐成为主要国家竞合的重要场所。2019年新一届欧盟委员会上台以来,将构建全球网络空间秩序作为其拓展全球战略的重要抓手,在网络安全方面频出新战略、新举措。全面分析研判欧盟网络安全技术和产业方面的规划、布局、现状和前景,有助于更好地把握网络空间国际科技竞争与合作趋势,为优化国家网络空间安全技术布局和促进网络空间全球治理提供政策支撑。
一 欧盟网络安全新战略新布局
一般意义上,网络安全威胁指采取嗅探、渗透、侵入、赋权、盗用、篡改等方面的技术手段,危害目标系统安全方面的属性。现阶段,网络空间威胁已经被一些行为体作为工具和手段,利用已掌握的技术优势,为其在政治、经济和外交等方面获取更大利益服务。随着网络基础设施与物理空间、社会空间融合程度不断加深,欧盟作为全球网络基础设施普及程度最高的地区之一,其社会整体上存在对网络威胁的广泛担忧。欧盟认为,当前其面临的主要网络安全威胁包括勒索软件、恶意软件、加密劫持、邮件威胁、数据威胁、可用性与完整性威胁、虚假/错误信息、供应链攻击和非主观恶意威胁等9类,实施主体包括国家支持的网络行为体、网络犯罪行为体、黑客以及雇用黑客开展网络威胁的群体等4种。为此,欧盟投入巨大资源应对各种网络威胁和挑战,并把强化网络空间安全治理作为推进数字转型、实现战略自主和提升欧盟全球治理影响力的重要抓手。
1.1 制定网络安全新战略,明确政策法规框架
早在2020年,欧盟就推出《欧盟数字十年网络安全战略》(EU CSS),明确其网络监管目标并把增强网络韧性、维护网络技术主权和引领能力、提升网络危机应对能力以及引领建设全球开放网络空间作为其主要行动方向。随着新冠疫情大流行和乌克兰危机的爆发,欧盟借势强化法规标准建设,进一步提高网络安全保护门槛,力求在网络技术和产业国际竞争中占据更加有利地位。2021年,欧盟理事会和欧洲议会先后发布《网络安全战略的结论》《欧盟网络防御能力状况报告》等文件,致力于强化各成员国的网络安全政策协调,推进网络安全战略落实落地。2022年3月,欧盟理事会通过关于加强欧盟网络安全的政治宣言,并于6月通过针对欧盟及其合作伙伴的网络威胁协调应对框架,通过构建政策工具箱,明确成员国和相关行为体职责,整合政策和工具,以更协调、有效的方式应对混合网络威胁。
1.2 更新网络安全措施指令,保障数字基础设施安全
在立法层面,欧盟在推进《网络安全法》实施的同时,不断加快新法规指令的推出进程。一方面强调成员国应在网络安全方面担负主体责任;另一方面也在不断扩充和提升欧盟机构的监督、协调和执法能力。在完成对《欧盟网络和信息系统安全指令》(NIS)实施情况全面审查的基础上,提出新的《欧盟高度通用网络安全措施指令》(NIS 2.0)提案,以扩大欧盟网络安全责任实体的覆盖范围,做到与网络安全战略框架相协调。根据新的提案,除了交通、医疗、能源等传统网络安全实体外,欧盟委员会还把公共管理和航天企业等纳入关键基础设施范围,将废物管理、化学品制造生产和流通、食品生产流通、邮政和快递服务、制造和数字服务提供企业等归入“重要”实体,赋予行政部门更为灵活的监管权限。新提案还提出基础网络安全风险管理措施清单,强化网络安全事件报告,并大幅度提高了对企业和个人的违规处罚标准。针对该提案,欧盟委员会、欧洲议会和成员国也以前所未有的姿态加强协调,并于2022年5月就此达成政治协议,准备刊文成法。此外,欧盟委员会还在5G网络安全部署、物联网、金融网络安全等方面推出了相关立法。
1.3 优化监管机构设置,提升网络威胁应对能力
欧盟网络安全局(European Union Agency for Cybersecurity,ENISA)是欧盟网络安全监管的最主要实施机构。针对网络安全现状,欧盟优化了网络安全局职责,增强行政部门对网络安全管理的权限。基于相关法规,先后赋予该机构在欧盟范围内实施网络和信息系统安全指令、推动欧盟机构及其成员国提升网络安全能力、监测和协调应对网络安全事件、开展网络安全认证等职责。同时,建立联合网络单元(Joint Cyber Unit),以提升应对大规模网络安全事件的响应水平。联合网络单元作为一个应急平台,能够共享信息,及时准确提供预警,并确保欧盟机构和成员国主管部门对欧盟面临的大规模网络安全事件和网络危机做出协调一致的响应。基于该平台,成员国可以构建起统一的网络安全应对方案,深化欧洲网络安全响应团队(CSIRTs)联系,提升欧盟整体的网络安全态势监测水平。
1.4 推进网络外交,强化全球网络安全治理话语权
欧盟认为,由于互联网的开放和对等属性,网络安全威胁不仅危及信息通信技术(ICT)产品及其相关服务安全运行,也对欧洲所倡导的人权、法治、自由与民主价值等构成威胁。因此欧盟始终将网络外交作为维护网络安全的重要方面。一是加强多边运筹。努力推进网络空间“负责任”的国家行为倡议,积极参与《开放互联网宣言》发起。积极开展网络安全对话,加强和扩大与第三国、国际组织以及第三方利益关联群体的关系。二是利用自身网络空间实力扩大域外影响。积极推动数据和数字市场等领域立法,以自身经济实力和规制能力强化对第三国数字市场行为体的管理,进而借助其力量维护网络安全。开展面向欧盟邻国和发展中国家的网络安全发展援助,在提升这些国家和地区自主发展能力的同时灌输欧盟的网络安全观。三是加强打击跨境网络犯罪。针对愈演愈烈的网络勒索事件等,提出《欧盟联合外交应对恶意网络活动框架实施指南》,丰富网络外交工具箱。
二 欧盟网络安全技术研发的支持工具和优先方向
欧盟高度重视研究和创新(R&I)对实现网络安全的重要意义,并将综合运用各种手段支持开发应用能够有效应对当前和未来网络威胁的技术解决方案与工具作为重要的研发目标。
2.1 欧盟支持网络安全技术和产业发展的政策工具
在网络技术和产业领域,欧盟以形成自主可控研发应用体系为目标,通过研发资助、投资引导和融资支持等方式推动网络安全技术和市场发展。一是利用欧盟研发框架和数字欧洲计划加强研究资助。“地平线欧洲”将网络安全纳入社会和公民安全项目集群中进行部署,并通过欧盟网络安全能力中心网络(ECCC)强化管理和支持。启动人工智能安全运营中心、量子通信基础设施(Euro QCI)和欧洲域名解析系统(EDNS)建设。在数字欧洲计划中,投资19亿欧元用于提升欧盟网络安全能力。二是加强产业领域投资。将网络安全作为应对新冠疫情的欧洲复苏计划、欧盟基础设施投资基金和连接欧洲基金的重要投融资方向进行支持。利用投资欧洲基金(Invest EU)框架下的多种金融工具,吸引私营部门对网络安全和应用领域的投资。欧盟预计在2021至2027年多年期财政框架中实现网络安全研发和产业化领域年均45亿欧元的公共和私人资金投入。
2.2 欧盟网络安全研发支持的重点领域和方向
在重点领域方面,欧盟委员会于2021年4月发布了《数字战略主权下的网络安全研发目标》报告,确立了包括数据安全、可信软件平台和硬件平台、网络威胁管理和应对、加密技术、以用户为中心的安全实践工具以及数字通信安全等主要研发方向。在优先任务方面,定期发布网络安全需求与优先领域年报,明确近期研发重点。根据2022年5月欧盟发布的相关报告,其近期研究重点将安排在以下4个方向。一是应对超连接世界(Hyperconnected World)安全挑战。在万物数据化和万物互联的大背景下,将重点关注人机交互边界的重新定义以及随之而来的安全风险和从5G到6G演进背景下新一代移动通信和数据收集或处理方法的网络安全问题。二是计算安全性(Computational Security)。重点关注对称密钥方案在更高安全级别上的高效实施,密码系统向后量子时代过渡的规划和准备,具备抗旁路攻击能力(Side Channel Attacks,也称侧信道攻击)的安全密码系统,面向未来密码学发展的新数理原理研究以及新的量子弹性安全算法和协议开发等。三是智能系统(Intelligent Systems)安全。研究重点包括人工智能研究的系统性整合,智能系统大规模互联的监测方法设计,仿生网络安全算法以及将上下文感知纳入机器学习(ML)以提高系统韧性等。四是生物网络安全问题(Cybersecurity inLife-sciences)。重点考虑生物技术和信息技术交叉条件下生物科研面临的风险和威胁,现代DNA测序等带来的公共卫生领域风险管理框架,网络环境下的生物安全漏洞分类,归纳生命科学研究流程和惯例中需要的网络接口和依赖的自动化装置,建立网络生物安全指南和标准等。
2.3 欧盟推进网络安全治理的其他辅助手段
欧盟认为,网络空间安全治理是一项社会工程,单纯依靠行政力量难以获得理想效果,必须促进多方参与机制。一是推动成立欧洲网络安全组织(ECSO),为欧洲网络安全领域专家、行业企业、学术机构、行政部门、服务需求方等构建交流合作平台,确定网络安全教育培训基准。二是加强网络安全知识和能力的公众普及,促进欧盟公民网络安全意识的提升。每年10月举办欧盟网络安全月,在公众中推广网络安全最佳实践。依托欧盟联合研究中心(JRC)提出欧洲网络安全分类法,丰富欧盟网络安全分类应对工具。三是加强网络安全人才培养,提升实战应对能力。推出《欧洲网络安全图集》开放知识平台,汇集750余个在欧盟从事网络安全问题研究的中心的最新工作进展。开发高等教育网络安全数据库(CYBER HEAD),支持欧洲高校加强网络安全人才培养的项目实施。定期组织欧洲网络安全挑战赛,开展网络安全实时环境模拟等。
三 欧盟网络安全技术和产业发展政策的主要特点
3.1 在产业发展方面,强调“战略自主”
一直以来,欧盟将数字主权和网络安全领导权作为其实现战略自主的重要基石。欧盟鉴于自身行业领军企业缺乏的现状,通过强化立法规制,以数据保护、保护公民隐私和反垄断等手段打击谷歌、亚马逊等美国网络巨头,力图为欧洲企业发展创造新空间。现阶段,在通信设备制造方面开通5G安全工具箱,防止“第三国”利用其信息技术及产品制造“恶意而带来的网络信息技术网络威胁”,规避过度依赖供应链风险。面向未来,欧盟还通过强化协议标准体系、开展安全认证等方式,推进网络技术的独立自主,实现网络基础设施的安全可控。
3.2 研发布局方面,瞄准下一代关键技术
尽管欧盟在网络信息技术基础研究方面表现活跃,但在数字市场发展方面不及主要竞争对手,在网络核心技术产品方面也存在广泛的对外依赖。新冠疫情期间的勒索攻击事件和乌克兰危机爆发后亲俄黑客组织的一些攻击威胁进一步增加了欧盟对缺乏网络核心技术的担忧。为了改变这一局面,欧盟大力“押注”面向未来的战略性网络安全技术研发,在6G、智能安全系统、量子安全体系方面投入大量资源;畅通投融资渠道,加大各类欧盟投资基金的引导力度,积极鼓励相关领域中小企业创新发展,以期在未来技术和产业竞争中占据有利位势。
3.3 在国际治理方面,突出意识形态属性
欧盟在网络空间尚未形成全球认可的行为规范和国际规则之时,力图从源头上影响其他国家行为,推广欧盟的开放网络空间定义和价值取向。欧盟一方面强调网络安全领域的美欧同盟关系,将所谓人权标准纳入网络安全整体框架,带动具有共同价值观的合作伙伴一起打造互联网的“共同规则”;另一方面制造网络空间假想敌,在对网络安全威胁的阐释中,欧盟针对特定国家机构和人员,多次发布所谓“限制性制裁清单”,特别强调国家行为特别是“威权政体”对“民主国家”的攻击威胁,为维护其网络空间安全逻辑制造证据。
四 启示与建议
增强网络安全治理能力,提升网络安全技术水平是更好地发挥基于互联网的数字经济活力、保障国家安全的重要结合点。维护网络空间安全对于促进经济社会健康发展具有特殊重要意义。现阶段,面对日益紧迫的国际形势,中国也应积极采取措施,综合运用法规标准、技术研发、产业发展、网络外交等各种手段,为网络安全产业发展创造良好内外部环境。
(1)不断完善网络安全法规标准体系,主动应对各类信息安全威胁挑战。
坚持总体国家安全观,落实好网络安全和数据安全方面的各项法规制度,促进数据依法有序自由流动。落实好关键信息基础设施保护方面的相关政策举措,有效应对入侵渗透、高持续性威胁组织(APT)和黑客组织数据窃取以及破坏攻击。发挥好技术标准对信息产业的带动作用,完善信息化基础设施安全、软件安全、网络安全、数据安全、运行安全、容灾和恢复等方面的国家标准和行业标准,加强同国际电联、国际标准化组织以及因特网工程任务组(IETF)、电气与电子工程师学会(IEEE)等具有强大行业影响的国际非政府间标准组织合作,积极参与国际标准制定。
(2)用好国家科技计划项目资助体系,优化网络安全研发布局。
在基础研究层面,优化网络安全基础理论研究布局,加大对加密算法、加密芯片、安全引擎等方面的支持力度。面向供应链安全,支持开展安全操作系统、数据库和行业通用安全软硬件设施的研究开发。针对数字产业发展需求,支持开展数据隐私保护技术、相关支撑技术研究。服务产业安全,关注保障工业互联网安全的研发需求,大力提升关键供应链网络安全保护能力。大力支持量子密码体系、强人工智能体系下的信息安全等方面的探索。
(3)支持网络安全产业做大做强,努力培育具有全球影响力的企业集群。
完善网络安全企业发展监管环境,汇聚各方资源,培育网络安全产业生态。进一步加大对网络安全企业技术创新的政策支持,促进具备高增长潜力和强创新能力的各类企业尤其是中小企业的成长发展,拓宽企业融资渠道。鼓励企业加大科技创新投入,培育具有自主知识产权的网络空间核心技术,推动具有国际比较优势的信息安全技术产品和服务优先发展。在信息安全硬件设备和软件产品、安全集成服务、防毒引擎、安全算法等基础服务和细分行业应用领域支持培育领军型企业。强化企业自律意识,注重信息安全保护,防止技术滥用。加强同包括欧盟在内主要数字市场主体的政策沟通,为中国企业全球发展创造公平环境。
(4)大力开展网络空间对外交往,全面参与网络空间全球治理。
加强双多边对话交流,在联合国框架下推动构建以规则为基础的网络空间秩序。旗帜鲜明地反对将网络安全政治化,反对肆意破坏网络安全国际秩序的行径,积极促进隐私权益保护、数字经济发展和数字红利共享,积极开展打击网络恐怖主义和网络犯罪等方面的政府间国际合作。落实《全球发展倡议》《全球安全倡议》,加强网络空间基础技术合作共享,推动网络通信、移动互联网、云计算、物联网、大数据和区块链等领域科技交流与合作,共同解决互联网发展方面科技和治理难题。推动同广大发展中国家在网络应急响应、技术创新、标准规范等方面的合作。加强信息领域科技人员交往,联合培养创新型、国际化网络科技人才。
作者:霍宏伟
(中国科学技术部,北京 100862)
来源:《全球科技经济瞭望》 2023年1月第38卷 第1期
文章观点不代表主办机构立场。
声明:本文来自科情智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。