一、 前言
一直以来,我们网络安全的聚焦点都集中在美国、俄罗斯、以色列等国家,似乎对欧洲各国了解不多、报道较少,欧洲网络安全产业发展状况到底如何呢?尽管不够显山露水,但欧洲一直在韬光养晦、暗自发力、扎扎实实地推进,无论是战略、政策、组织机构还是产业、技术均是有目的、有重点地选择方向不断发展着,值得我们学习借鉴,让我们揭开其神秘面纱,探其究竟吧。
二、顶层战略
随着网络技术的深入发展,网络空间成为海陆空天之外的“第五域”,其战略重要性日益凸显。欧盟也意识到不仅要有技术层面的规范和管理体系的建设,更应该有一个宏观的网络发展战略来统领全局。
早在1994年欧盟就致力于推进数字化,通过了《欧洲信息高速公路计划》,旨在加强欧盟内部协调,促进欧盟各国网络基础设施建设,成为早期的宏观战略雏形。2003年美国就颁布了《国家网络安全战略》,将网络安全提升到国家安全的战略层面,并制定了一系列的预防和保障措施,在此影响下,2007年欧盟委员会通过了《关于建立欧洲信息社会安全战略的决议》,将网络安全上升到全社会安全的高度,开始着手制定欧盟层面的网络安全战略。随后,英国和德国分别于2009年和2011年颁布了本国的网络安全战略。
2012年3月28日,欧盟委员会发布欧洲网络安全策略报告,旨在为全体欧洲公民、企业和公共机构营造一个安全的、有保障的和弹性的网络环境。
2012年5月,欧洲网络与信息安全局(ENISA)发布《国家网络安全策略--为加强网络空间安全的国家努力设定线路》的文件,表示将制定一个整体的欧盟网络安全战略,并提出了欧盟成员国国家网络安全战略应该包含的内容和要素。在此策略文件中,介绍了欧盟各成员国网络安全战略的历程,阐述了当前非欧盟国家的网络安全战略,并分析了各个国家网络安全战略的主题。文件指出,在欧盟与国际层面来看,网络安全没有一个明确的定义,对于网络安全以及其他重要问题各国之间差别很大,这影响了各国应对网络安全的不同策略,从而影响国际合作。《国家网络安全策略》表明,在一个网络威胁不断涌现和发展的环境下,欧盟成员国将会大大受益于灵活且动态的网络安全策略。在泛欧层面上看,合作是对于网络攻击的有效准备和应对方式,综合性的国家网络安全战略是朝这个方向迈出的第一步。
2013年,欧盟在网络安全战略层面上进一步明确了信息网络安全的任务和目标。2013年2月7日,欧盟委员会和欧盟外交安全事务高级代表宣布欧盟的网络安全战略,同时为确保欧盟整体的网络安全水平提出补充性建议措施。此战略的出台,正是对2012年ENISA发布策略的积极响应。欧盟网络安全战略对当前面临的网络安全挑战进行了评估,确立了网络安全指导原则,明确了各利益相关方的权利和责任,确定了未来优先战略任务和行动方案。
2013年,欧盟层面《欧盟网络空间安全战略》正式发布,成为欧盟网络安全方面首份综合性的政策文件。该文件首先回顾了欧盟网络发展过程中存在的安全威胁,确立了欧盟网络安全治理的指导原则,确立了在欧盟建立一个“公开、自由和安全”的网络空间的战略目标,明确了各部门各国的权利和责任,制定了共同防务框架下的网络防御政策,优先加强网络抗打击能力,发展网络安全领域的工业和技术,打击网络犯罪,制定跨国网络空间策略,加强跨境网络安全合作和信息交流。此外,欧盟网络安全战略还鼓励私营部门参与网络安全治理,促进网络安全产业和技术的相关投资,保障信息通讯技术产品的供应和创新,加强网民宣传教育和素质提升,以增强欧盟网络透明度和竞争力,促进经济增长和扩大就业。
在2010年《数字欧洲计划》实施的基础上,2015年欧盟委员会通过了《数字单一市场战略》(DSM),旨在宏观层面打造欧盟统一的数字商品、服务和资本市场,加强欧盟互联网的整合,打破境内数字市场的壁垒,激活市场竞争活力,加速境内人员、资金、数字产品和服务的自由流动;制定新的《电信业规则框架》,优化电信和音频视频产业结构,挖掘数字经济的市场潜力,以创造更多的就业机会和经济效益;推动云技术、大数据和物联网科技的创新,修改《欧盟互通性框架》,实现欧盟各国数据跨境共享,抢占网络技术变革带来的经济增长模式转型的制高点。
2016年4月,欧盟通过了《电子政府行动计划2016-2020》,目标是在五年时间内建立一个包容、高效、开放的电子政务系统,为欧洲公民提供个性化的P2P的数字公共服务。该计划虽然没有特定的资金支持,但强调成员国之间相互协调合作,政府信息系统实现强制互联,消除公民在跨境活动中的行政壁垒,对欧盟现有电子身份、电子税务、电子采购、电子司法、社会安全等方面进行补充,促进数字一体化的深入。2016年7月,欧盟通过了首部网络安全指导性法律--《网络与信息系统安全指令》,旨在加强各国网络安全治理配合以提高网络防御能力并打击网络犯罪和恶意攻击行为,该法律的出台标志着欧盟网络安全法律体系的进一步完善。
三、政策法规
初步统计表明,欧盟自1992年以来推出的30多项网络空间安全政策法规如下:
1992 《信息安全框架决议》
1995 《关于合法拦截电子通讯的决议》
1995 《数据保护指令》
1998 《关于制定技术标准和规章领域内信息供应程序的第98/34/EC号指令》
1999 《关于打击计算机犯罪协议的共同宣言》
1999 《关于采取通过打击全球网络非法内容和有害内容以推广更安全地使用互联网的多年度共同体行动计划的决定》
1999 《欧洲电子签名指令》
2000 《电子商务指令》
2001 《网络犯罪公约》
2001 《关于向在第三国的处理者传输个人数据的标准合同条款的委员会决定》
2002 《关于网络和信息安全领域通用方法和特别行动的决议》
2002 《关于电子通信网络及其相关设施接入和互联的指令》
2002 《关于电子通信网络和服务授权的指令》
2002 《关于电子通信网络和服务的公共监管框架指令》
2002 《关于电子通信网络和服务的普遍服务和用户权利指令》
2002 《关于电子通信行业个人数据处理与个人隐私保护的指令》
2002 《远程金融服务指令》
2002 《关于对信息系统攻击的委员会框架协议》
2003 《修订关于采纳通过打击全球网络非法内容和有害内容以推广更安全地使用互联网的多年度共同体行动计划的决定》
2003 《关于建立欧洲网络信息安全文化的决议》
2003 《关于执行电子欧洲2005行动计划的理事会决议》
2003 《关于为监管电子欧洲2005行动计划传播实践范例和改善网络和信息安全而采纳多年度计划的决定》
2004 《关于建立欧洲网络信息安全局的第460/2004号条例》
2005 《关于打击信息系统犯罪的欧盟委员会框架决议》
2005 《关于制定促进更安全使用互联网和新型在线技术的共同体多年度计划的第854/2005/EC号决定》
2006 《数据储存指令》
2006 《关于欧盟理事会确认、标明欧洲关键基础设施,并评估改善保护的必要性的指令的建议》
2007 《关于建立作为安全和自由防卫总战略一部分的“对恐怖主义和其他相关安全风险的防范,预备和后果管理”的特殊计划的决定》
2007 《关于同意在共同体内通过协调方式对使用超宽带技术的设备使用射频频谱的决定》
2007 《关于建立欧洲信息社会安全战略的决议》
2009 《关键信息基础设施保护指令》
2010 《数字欧洲计划》
2011 《保护RFID个人信息安全协议》
2012 《欧盟数据保护框架条例》
2013 《2013年网络空间安全战略》、《确保欧盟高水平的网络与信息安全相关措施的指令》、《欧盟关于针对信息系统攻击的指令》
2015 《数字单一市场战略》、《一般数据保护条例》、《欧盟网络中立法令》
2016 《欧盟网络与信息系统安全指令》
2017 《隐私与电子通信条例》
2018 《通用数据保护条例》
……
这些政策法规最重要的主要有技术规范和标准、互联网管理制度两大类:
(一)技术规范和标准
在互联网发展初期,技术发展不完善,网络安全威胁的类型较为单一,通过对网络进行技术规范和标准化即可对互联网进行有效的调控,确保其安全有序地运行,所以欧盟初期的网络安全法规多以技术规范为主。
1992年的《信息安全框架协议》是欧盟网络安全的首部法律文件,奠定了欧盟网络安全法律规范体系的基石。在此基础上,欧盟陆续推出了《关于合法拦截电子通讯的决议》、《委员会关于对信息系统攻击的框架协议》、《关于制定技术标准和规章领域内信息供应程序的指令》、《关于网络信息安全领域通用方法和特殊行动的决议》等文件。
随着网络技术的创新和发展,出现了密码技术、通讯隔离技术、网络监管技术、身份认证技术等新型的技术手段和创新成果,而欧盟为避免新技术失去规范而造成安全隐患,逐渐将这些新的网络技术加以规范,变成欧盟网络安全法律大厦的重要的“砖瓦”。
《信息安全框架协议》颁布后几年,欧盟就加快了网络互联和数字标准化的进程,同时加强国际合作,与美国和加拿大一同制定了信息技术安全评测国际标准,并不断更新。1998年,欧盟委员会和欧洲议会通过了《关于制定技术标准和规章领域内信息供应程序的指令》,规定各个成员国的网络技术标准应加以统一,保证欧盟内技术规范制定的透明度,加快了欧盟网络系统的整合。2002年欧盟通过了《关于网络和信息安全领域通用方法和特别行动的决议》,2007年颁布了《关于同意在共同体内通过协调方式对使用超宽带技术的设备使用射频频谱的决定》,详细规定了超宽带技术的定义术语、使用条件和具体参数,推进了欧盟统一的安全技术标准和通用的安全准则的完善,2008年以来,ENISA开始在全欧洲推广IPv6、域名安全扩展系统和多协议标签交换协议(MPLS),提高网络技术等级,以防范网络安全漏洞和隐患。
(二)互联网管理制度
随着网络的发展,互联网已经越来越深入到政治经济社会体系,与传统的行政管理体系相互交融,仅通过技术规范已经不能完全规避安全隐患,需要通过建立一套专门的网络管理制度来对互联网进行有效的治理。于是欧盟通过立法,成立互联网管理机构,完善网络安全管理体系,同时制定了互联网创新计划和人才培育机制,建立“公私伙伴关系”(PPP),鼓励多方利益攸关者参与网络治理。
首先,成立专门的网络安全管理机构。2004年,欧盟委员会和欧洲议会通过了《关于建立欧洲网络信息安全局条例》,宣布成立相对独立于欧盟管理体系的ENISA,专门负责欧盟网络安全,制定网络安全预案,引导各成员国的互联网治理体系建设,并引导各成员国在统一的框架下进行网络安全治理合作,鼓励私营企业为技术创新和网络安全治理贡献力量。该机构的成立,使欧盟网络安全治理有了一个统一的章程,提高了治理的效率,推进了欧盟互联网领域的一体化进程。
其次,帮助成员国建立网络安全治理体系。欧盟通过颁布《关于建立欧洲信息社会安全战略的决议》,制定欧盟层面的信息安全战略,鼓励各国建立自己的网络安全治理体系。2009年ENISA提出《通信网络弹性:成员国政策和法规及政策建议》,提议各国的通信部或国家电子通讯管理部门建立网络安全应急响应小组(CERT),作为与欧盟网络安全相连通的联络点,共同编织一张网络安全预警网。
同时,欧盟通过立法鼓励网络技术创新和人才培养。为了配合欧洲数字议程,欧盟逐渐建立了一套网络技术科研体系,使数学系、计算机系、工程系、媒体学科相互结合,既能保持技术创新,又能适应欧盟特殊实践,形成了一个应用性高的多学科研究体系。在人才培养方面,加强学科建设,鼓励政府机构出资与大学科研所进行合作,鼓励科研机构将研究成果转化应用到具体的私营部门和电信产业中,刺激创新活力。
四、 组织机构
欧盟层面网络安全机构分为宏观、中观和微观三个层次。宏观层面,欧盟委员会(EC)、欧盟理事会、欧洲议会和对外行动署负责宏观整体的政策策略制定,其中,三大机构中还有专门负责网络安全治理的部门,欧盟委员会中的通信网络、内容和技术总司(CNECT)、部长理事会中的交通、电信和能源理事会(TTE)、欧洲议会中的工业、研究和能源委员会等专门负责电信和网络领域的形势研判和政策制定。对内事务总司也管辖欧盟网络数据安全,信息情报总司负责网络间谍的监控,它们虽然不是主管网络安全的部门,但涉及到网络空间的事务也要与其他部门进行协调合作。对外行动署作为欧盟共同外交部门,负责欧盟网络外交。
中观层面,欧盟设立了多个职能不同的网络安全管理局,如ENISA负责欧盟互联网的调研和知识普及,欧洲警察组织(Europol)负责监控和打击网络犯罪,欧洲网络犯罪中心(SC3)偏向政策调研和黑客攻击的应对,欧盟计算机应急响应小组(EU-CERT)则实时监控网络动态并作出应急对策,欧洲数据保护专员负责数据完整性和可用性的维护,欧洲防务局和欧盟军事参谋部专门对网络攻击和网络情报负责,并管辖“欧盟网络部队”。这些部门具有相对独立的决策和行动权,它们分工明确,负责具体的政策协调和治理合作。
微观层面,欧盟各个成员国的电信部门、司法部门、情报部门相互分工协调,执行欧盟和本国的网络安全治理政策,与本国的私营部门进行协调合作。同时,各国均设立了网络安全专门机构,如国家网络应急响应小组、数据局和网络安全机构负责监控网络安全动态以便调整策略。
五、产业格局
2010年欧洲互联网+信息安全市场规模为105.80亿美元,2015年增长至168.85亿美元。
英国、德国、芬兰等16个西欧国家2017产业规模合计267.29亿美元,同比增长6.5%,全球占比为27%。
2017年全球网络安全细分市场规模及增长率
Gartner预测,2016年-2021年全球信息安全市场预计将以8.1%的复合年增长率增长,到2021年将达到1330.2亿美元。信息安全领域中大多数细分市场的复合增长率保持在7%-12%之间,其中:安全检测工具增长率最高,接近15%;入侵防御系统设备增长率则为负(-12%);得益于与欧盟“一般数据保护条例”(GDPR)相关的补救活动和实施服务,安全服务方面的支出将继续保持强劲。
2016-2021年全球网络安全细分市场复合增长率
此外,Cybersecurity Ventures的市场研究表明,全球网络安全市场规模在2019年会达到1500亿美元,公司并购、投资和IPO的机会将持续大增。其发布的全球最热和最具创造力网络安全公司500强清单中,将近20%来自欧洲,而总部设在荷兰的公司上榜有四家。
而在此名单之外,活跃在其他非网络安全相关的信息安全领域的公司还有:专注于设备安全的Fox-IT,生产测信道测试工具为主的Riscure,以及主导全球支付行业安全检测的Brightsight。这些公司的总部都设在荷兰一个非常具有历史气息而且科技发达的小镇–Delft。
有多个世界著名的信息安全大会在荷兰举行,它们是:
Infosecurity the Netherlands,它算是欧洲信息安全技术展览会(Infosecurity Europe)的荷兰版,主要提供和信息安全行业的厂商交流的机会。
欧洲特色的黑客大会(Hack in the box) HITB,如果你是一个对最尖端最深奥的安全技术感兴趣的话,这个会议将是你的首选,都在阿姆斯特丹举办。
BlackHat Europe世界黑帽大会,即使对信息安全不了解的人也多少有所耳闻的顶级黑客大会的欧洲版,多次在阿姆斯特丹举行。
声明:本文来自网络安全新视野,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。