歐盟網絡安全戰略新動向及其啟示

◆李舒沁

（中國科協科學技術傳播中心 北京 100012）

網絡安全一直是互聯網應用中重要的關注點。在新冠疫情引起網絡使用爆發式增長，并在后疫情時代延續增長的慣性下，網絡安全對經濟、社會安全與穩定的重要性愈發強烈。歐盟持續關注網絡安全，并就制定影響未來10 年的新戰略展開討論。其所關注的問題及內容，也為我國未來網絡安全的發展提供借鑒與啟示。

1 網絡安全戰略新動向的背景與緊迫性

當前社會各部門都日益依賴互聯網和信息系統。在不久的將來，互聯設備將呈指數級增長，預計到2025 年，全球互聯設備將超過250億，其中四分之一在歐洲。突發的新冠疫情促進了各行各業的數字化進程。據一項對公司經理的調查，疫情之后，有40%以上的被調查者表示將給員工設置彈性工作日或彈性小時數用于遠程辦公。

網絡安全風險也隨之而來。從全球范圍看，在互聯網供應鏈的技術控制上，地緣政治緊張形勢增加了各國的數字邊界，影響了互聯網的開放性；從技術角度看，對關鍵基礎設施的惡意攻擊將會帶來全球風險；從對象看，數字服務和金融行業、公共部門和制造業等，都是常見的網絡攻擊目標，特別是中小企業更加缺乏抵御網絡安全風險能力；從影響看，對安全的擔憂已成為阻礙人們使用在線服務的主要因素，每年由于數據泄露，數以億計的記錄丟失。

網絡安全是歐洲安全的重要組成部分，也是歐盟“構建數字未來”計劃的重要環節，需要引起高度重視。因此，歐盟的網絡安全戰略也在進一步發展，其試圖從多角度提高歐盟網絡安全管理及應對水平，減少使用者為應對網絡安全風險而付出的物質及精神上的代價。

2 新戰略的構成及目標

該戰略在安全技術、能力建設、保持優勢和國際合作等方面均提出了多項措施。

2.1 建設更有韌性的網絡體系

一是提高關鍵基礎設施及服務的網絡韌性水平。為此，歐盟首先對網絡和信息系統安全規則（NIS）進行改革。NIS 是歐盟網絡安全單一市場的核心。基于更新的規則，可以減少歐盟單一市場中各國安全監管、安全事件報告要求方面的不一致，增強各國各部門，特別是提高電力、金融、交通運輸等關鍵部門的網絡韌性[1]。在未來建設空間相關基礎設施，如衛星導航系統時，也將基于NIS 對這些設施進行歐盟內部的協調。

二是保護通信基礎設施和5G 網絡安全。對于前者，各成員國在未來數年內要與歐盟委員會共同努力，部署安全量子通訊基礎設施（QCI），從而以一種極安全的加密形式抵御網絡攻擊。在歐盟境內，將使用現有的地面光纖通訊網絡；在歐盟全境和海外領土，使用衛星通信覆蓋。對于后者，基于2019 年發布的《關于5G 網絡網絡安全的建議》[2]，對現有5G 網絡安全狀況進行評估，然后逐漸去除高風險供應商的設備，逐漸鞏固其自身在5G 領域相關方面的能力，降低對境外高風險供應商的依賴，打造多元化供應鏈。

三是建立歐洲網絡防御系統。歐盟的信息共享和分析中心（ISACs）、計算機安全事件響應小組（CSIRTs）及安全操作中心（SOC）在當前提升網絡韌性中發揮著重要作用。這些機構利用模式識別從大量需要評估的數據中提取有威脅的行為，因此要進一步加強人工智能、機器學習的能力[3]。這些中心的重要作用，使歐盟委員會計劃在歐盟建立安全行動中心網絡，整合現有中心并成立新的中心，從而形成一個覆蓋各成員國不同行業部門，包括中小企業在內的網絡安全屏障，在潛在威脅造成破壞之前發現并預警。

2.2 多方協調提高阻止網絡威脅的能力

除網絡安全技術開發外，歐盟也重視提高阻止網絡威脅的能力。

一是建立聯合網絡部門。這個部門將作為歐盟不同網絡安全機構合作的虛擬及實體平臺，主要作用是針對重大跨境網絡事件及威脅的技術協調。這一部門的建立是歐洲網絡安全危機管理框架的重要基礎，從而避免當前歐盟在處置類似風險時效率低下的問題。這一機構將為政府及網絡安全部門提供技術支持，通過信息共享，提供持續共享的風險態勢感知能力。

二是共同打擊網絡犯罪。對于犯罪行為不僅要有威懾力，更要能識別犯罪行為并進行起訴。因此，需要網絡監管與執法部門合作，開展線上線下聯合執法行動。在這方面，已經與歐洲刑警組織進行合作，并對歐盟委員會、各成員國政府及相關各方聯合報告出現的風險及犯罪行為[4]。歐盟還將通過打擊網絡犯罪的立法，并支持各國執法部門提高數字能力，更完整、準確地掌握犯罪證據，從而更有力地打擊犯罪。

三是協調民用和國防力量，增強網絡防御能力。歐盟的網絡安全包含民用部分，將利用私營部門的資金、人才和技術，而私營機構在這一過程中，與政府調和利益，形成合力，實現從“被監管者”向“政策參與者”的角色轉變[5]。這一安全體系還與國防體系相聯系。歐盟軍事委員會即將發布“將網絡空間作為行動領域的軍事愿景和戰略”，以說明軍民聯合行動的方式。除了制度層面合作，雙方還將在發展先進的互聯網防御能力方面提供動力，重視、支持人工智能、量子計算等關鍵技術的開發與應用。

2.3 強化網絡安全治理的領先優勢

歐盟希望憑借其自身發達的經濟、科技水平和教育培訓優勢，提高網絡安全治理的領先優勢。

一是整合內部優勢，在數字供應鏈及網絡安全方面占據國際領先地位。保證數字供應鏈自主可控，是歐盟希望在硬件層面維護自身網絡安全的重要手段。其計劃利用全歐盟2021-2027 年金融規劃向網絡安全提供資金，努力實現在供應鏈全鏈處于領先地位的目標。同時，也將利用風險投資、公私合作方式支持中小企業提升數字能力，進行數字化轉型[6]。加強產學研合作，逐漸形成保障5G 等敏感數字基礎設施建設的能力，減少對國際上其他地區相關技術的依賴。

二是加大力度留住人才，抬升全社會網絡安全意識和能力。人才的質量和規模決定了未來歐盟數字化能力的潛力和能夠達到的高度。歐盟目前有較強的數字領域人才的培養能力，但仍面臨人才外流的情況。因此其將留住和吸引優秀網絡安全人才作為防范網絡威脅的重要組成部門。除了人才，歐盟也致力于提高網絡使用者的數字技能、措施，包括向學生普及網絡安全知識、職業教育和培訓、鼓勵女性參與STEM 教育。此外，還組織歐盟知識產權局等組織，為企業進行法律宣傳，以提高企業抵御網絡知識產權犯罪的能力[7]。

2.4 促進國際網絡安全治理合作

歐盟一直努力成為全球網絡安全治理方面的重要一極，在新戰略中也提出了其試圖發揮領導力的方面。

一是在網絡標準、規范等方面發揮領導作用。歐盟希望在國際網絡標準化方面起引領作用，特別是希望能主導在標準中補充人工智能、云計算、量子通訊等新技術的標準。其認為這些標準應該具有以隱私為中心，合法、安全、合乎道德，滿足歐盟的價值觀[8]。同時要在聯合國等國際論壇的討論中占據更積極的立場，就國際網絡安全確立歐盟立場，即全球互聯的增加不應導致審查、大規模監視、數據隱私泄露等。

二是加強與國際伙伴展開合作，推廣歐盟網絡安全理念。網絡安全戰略主張歐盟同包括非盟、東盟、世貿組織等區域及國際組織在內的第三方開展對話，推廣其網絡價值觀，提高合作的效率和效果。在外交方面，歐盟委員會可以與歐盟代表團及各成員國駐各國大使館合作，組建一個非正式的歐盟網絡外交網絡，促進在各國更深入地推廣、闡明歐盟對網絡及安全的愿景，并協調網絡安全的進展[9]。

三是協助開展網絡能力提升建設，提高合作伙伴國網絡安全韌性。除了發揮國際網絡標準領導作用及推廣網絡安全理念等軟性合作外，歐盟也將對其合作伙伴提供硬性支持，以便提升這些國家的網絡安全韌性、調查和起訴網絡犯罪的能力，以及應對網絡風險等能力。具體來看，歐盟更加關注其周邊及西巴爾干地區等密切相關的國家及地區，以便為歐盟創造一個較為穩定安全的臨近網絡空間[10]。此外，對于一些具有較強影響力，且正在經歷快速數字化轉型的國家，如非洲部分國家，歐盟也將加強合作，介入這些國家的網絡安全建設中。

3 啟示及建議

綜上可以看出，歐盟的網絡安全戰略從多層面、多角度出發，從空間上覆蓋各成員國及其關注的地區，從時間上涉及網絡安全預防、抵御沖擊及事后追查犯罪等全過程，在產業體系上試圖涵蓋數字供應鏈全鏈，具有目標大、站位高的特點。這也為我國更好地鞏固網絡安全、提高網絡抗風險能力提供借鑒。

一是提高網絡安全技術水平，打造網絡安全屏障。參考歐盟提出的網絡安全戰略，宜加強對基礎設施聯網軟硬件的風險排查，減少或消除安全隱患。對關鍵基礎設施上的進口零部件，有必要加緊國產替代步伐，提高安全系數。在進行網絡犯罪識別及追蹤過程中，充分發揮人工智能等先進技術優勢，提高效率和準確性。

二是健全安全協調機制，匯集各方力量共保網絡安全。相比于歐盟新網絡安全戰略中擬成立的各個部門及其開展合作的機制，我國也宜建立政府主導、多部門聯動、協同發展的網絡安全治理體系。一方面是各部門之間建立協調聯動機制，以平臺或聯席會議的方式及時通報共享安全風險信息并預警。加強網絡安全執法隊伍規模及能力建設，并獲得其他部門支持。另一方面，開展官產學研合作，發揮企業和研究機構的技術優勢和主動性，共同提升網絡安全維護和治理能力。

三是以“軟硬”兩種方式提升我國在網絡安全領域的國際話語權。在“硬”方式方面，需要繼續推進數字技術、網絡安全技術的進步。在優勢領域保持領先，使其他國家在短時間內難以找到替代方案，否則就要承擔技術落后的風險。在追趕領域持續發力，減少被“卡脖子”的領域。在“軟”方式方面，加大人才培養力度，一方面是重視數學、物理學等基礎學科人才培養，另一方面推動網絡安全等實用技能人才的培養，并且向公眾及企業普及網絡安全知識，全面提高公民的數字素養，穩步接近世界發達國家和地區水平。

四是加強國際合作，構建互利共贏的網絡安全國際合作機制。一方面是積極參與國際不同層面的網絡安全治理機制，如聯合國框架下的信息安全政府專家組、國際電信聯盟等機制和平臺，構成網絡安全對話和開展合作的基礎。另一方面通過“一帶一路”、“數字絲綢之路”等建設，強化對國際機制的塑造能力。以實際行動幫助相關國家提升自身數字能力和網絡治理能力，以透明、開放、友好的姿態，使更多國家認可并接受我國倡導的網絡空間治理理念和網絡安全觀，各國攜手共建“網絡空間命運共同體”。

4 結束語

本文簡析了歐盟網絡安全戰略的新進展，并提出其對我國網絡安全治理可供參考借鑒之處。首先，網絡安全已成為歐洲安全的重要組成部分，影響歐盟能否在數字時代平穩有序發展。其次，介紹網絡安全戰略在建設有韌性的網絡體系、提高阻止網絡威脅的能力、強化網絡安全治理的領先優勢以及促進國際網絡安全合作提出的新舉措及目標。最后，提出我國在網絡安全治理領域可開展工作的建議。