近日,意大利和中国签署了关于共同推进“一带一路”建设的谅解备忘录,意大利由此成为第一个正式加入“一带一路”倡议的G7成员国,两个分处古丝绸之路两端的国家,随着“一带一路”的推进再次联系在一起。据分析,如果英国成功“脱欧”,意大利将成为欧盟的第三大经济体,加入“一带一路”倡议将成为意大利提升在欧盟乃至国际影响力的契机。在加速布局未来发展的同时,意大利政府历来高度重视网络空间安全建设,2013年发布了《国家网络空间安全战略框架》,是欧盟中较早发布网络安全战略的国家,对安全战略、机构设置、能力建设、国际合作等作出了框架性指导。"他山之石、可以攻玉",现对该战略框架的六大战略和十一项操作指南进行回顾,有助于增进彼此了解和相互借鉴。
意大利《国家网络空间安全战略框架》
六大战略
一、与网络威胁相关的机构不断提升技术、操作和分析能力,有利于国家分析、预防、缓解和有效应对多维网络威胁。
二、夯实能力,以保护关键基础设施和战略资产免受网络攻击,同时确保其业务连续性,并使之全面符合国际要求、安全标准和协议。
三、促进与所有旨在积极提升国家知识产权保护和技术创新的公私伙伴关系。
四、在民众和机构中推广安全文化,利用学术界的专业知识,不断提高用户对网络威胁的认识。
五、有效增强比对网上犯罪活动的能力,并遵守国家和国际规范。
六、全力支持网络安全领域的国际合作,特别关注意大利所属国际组织及其盟国正在开展的各项举措。
十一项操作指南
1.加强情报界、武装部队、警察和民防部门的专业知识,有效地预防、识别、应对、管理、缓解和压制针对国家信息通信技术网络的恶意活动,遏制其对公共服务系统可能产生的负面影响,并确保恢复其原有的功能。提高监测和分析能力,以便能够预见技术创新可能带来的潜在风险。发展军队规划和实施计算机网络作战的能力。
2.确定网络和信息安全(NIS)机构,该机构将与各成员国和欧盟委员会在欧洲层级开展合作,共享信息,应对影响ICT网络和系统的风险和事件。改善公私伙伴关系,以确保获得持续、安全和值得信赖的信息流,使私营部门能够共享其网络中发生的攻击和事件的信息,并轮流接受风险和脆弱性评估,做到有备无患。
公私伙伴关系将通过以下具体规定得到促进:
建立联合工作组,其中凡是提升信息和通信技术网络安全的目标和任务将在任何市场竞争中被优先考虑;
定期举行全国性演习,参与者包括公共部门利益相关方及相关的私营部门经营者;
向主管当局强制报告战略部门发生的计算机事故;
定义需要共享的程序和模板的信息。
预计在私人和公共利益相关者之间定期交流好的做法和经验教训,以期促进相互理解和人员的联合培训。
3.制定广泛共享的网络分类法,促进对网络安全术语和概念的共同理解,以增强国家和国际层级的互操作性和通信便利性。
使用调查问卷评估利益相关者的网络安全态势感知水平,以确定需要进一步培训和教育的工作目标。
发起培训和教育运动,包括旨在提高公共和私营部门人员以及普通民众的态势感知能力,传播有关网络空间威胁和风险的知识,提升网络卫生水平和促进信息通信技术负责任使用。
加强并持续评估教育和在职培训计划,以验证现有的网络安全管理和程序。尽可能集中地培训和教育,围绕现有的公共管理学习中心(如军队学习中心),以避免出现“不知情的内部人士”等现象,并缓解与新的组织模式(如“自带设备”(BYOD)等)产生相关的漏洞。
在各级学校开设网络安全课程,以提升网络卫生和安全文化水平。在学术界的支持下,确定改进和传播ICT系统和网络安全标准和要求的措施。
4.促进意大利参与旨在加强网络安全的国际倡议,包括通过努力加入国际组织,加强意大利与友好国家和盟国的联系。积极参加包括:
在全球层级,制定一套国际行为准则和行为规则,明确指出根据国际法哪些属于合法;
在欧洲层级,加强对支持单一市场的关键和战略性ICT通信的保护;实现共同的网络恢复能力;遏制网络犯罪;根据共同安全和防御政策的目标和手段,制定网络防御政策和相关作战能力;根据欧盟网络安全战略和欧洲理事会、欧安组织的承诺,将为信息通信技术和计算机产业建立坚实的技术支撑和工业基础。
在跨大西洋层级,确保致力于共同防御的资产的效率和互操作性,并支持在北约防御规划和军事条令中充分整合网络资源,以确保北约和意大利的关键和战略目标面临网络攻击时具有强大的反击能力。
在双边层面,与具有重要战略地位的国家保持接触,包括那些在技术援助和能力建设中倡议开展多边项目的潜在接受者。
参与由ENISA和北约组织的网络安全演习,目的是测试和改进国家防备能力,以及处理需要开展国际合作的网络安全事件。
意大利要参与有关网络安全的全球讨论,不能忽视国家信息通信技术和网络安全产业的利益。
5.获得国家计算机应急小组的全部运作能力(CERT,就如同第259/2003号法令第16条那样,设置在经济发展部的权限内),通过建立安全可靠的信息交换途径,增强国家对信息和通信技术国内基础设施面临潜在威胁和实际攻击的调查和反应能力。
国家计算机应急小组(CERT-N)的任务是确定与其他计算机应急小组的共享通信框架,并在国家层级指定角色、责任和联络点,以有效地确保危机管理能力和保持国家网络安全团体的一致性。
国家计算机应急小组作为一种合作的公私伙伴关系,通过态势感知和预防工作支持公民和企业,并作为应对大规模网络事件的协调点。
在国家和国际层级启动所有适当的合作机制,使国家计算机应急小组成为国内和国外运行的公共和私人证书的主要接口,包括欧洲计算机应急小组。
开发通信平台,以方便技术层面和职能层面的沟通认证,以确保所有利益相关者之间及时有效互动,参与预防和打击恶意网络活动。开发公共行政部门的计算机应急响应团队(CERT-PA),代表了CERT的演变,该团队是根据2008年4月1日总统令建立的公共连接系统(SPC)开发的。CERT-PA是所有公共管理部门指定的第一联络点,将根据具体的统一模式和程序向计算机应急小组报告。CERT-PA通过信息交流和协定的程序与其他欧洲公共管理部门的CERT协调工作。
武装部队的CERT遵循北约计算机事故反应中心(NCIRC)的技术、功能和程序发展和指导方针,并将完全纳入军事行动计划。
6.通过适应信息技术快速发展进程的组织和监管提议,确保网络安全对策的有效性。
7.为实施安全协议的产品和系统制定安全标准和要求。介绍并证明这些安全标准的程序的有效性,并在适当情况下实施在国境内采购ICT产品的新程序。这些标准和程序应始终确保国际互操作性,尤其是与符合北约和使用单位的国家的互操作性。
建立采用技术规范,引入确保ICT产品和系统安全设计的方法,实现信息安全(完整性、可用性和隐私)。
改善对信息和通信技术用户的支持,引入适当的市场激励,促进可用产品的安全性。
8.与工业部门合作,通过采用旨在保护ICT网络和产品以及创新技术的安全协议。规划公共服务援助和支持,特别针对中小企业。
确定和识别最佳实践和程序,以降低供应链风险,并建立审计机制,以验证ICT产品和供应商的可靠性。
在公共行政部门内,开发灵活、快速的信息和通信技术产品采购、评估、验证和认证流程,以跟上该行业快速创新的步伐。
鼓励国家信息和通信技术产业发展竞争力:将研发和国家卓越中心的活动重点放在被认为对武装部队具有战略意义或具有潜在作战影响的部门,如开发具有弹性和安全的ICT产品和软件。
9.由于网络同时是战略沟通的手段和对象,需要确保战略沟通与在网络领域活动之间的一致性,增强国家预防和应对网络攻击的效力,增强国家各级机构在网络空间劝阻和威慑能力方面的有效沟通,可以对潜在的敌人和罪犯起到抑制作用。
10.将充足的人力、财政、技术和后勤资源分配给公共行政的战略部门,最直接地参与实施战略框架中设想的短期和中期战略目标。
11.实施国家信息风险集成管理系统,该系统能够:
建立有效的国家风险预防和管理结构;
识别潜在风险;
制定风险管理政策和程序。
[图片数据来源]宋文龙. 欧盟网络安全治理研究[D].外交学院,2017.
声明:本文来自信息技术与网络安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。