國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心|張冰

國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心江蘇分中心|董宏偉

歐盟網(wǎng)絡(luò)和信息安全局（ENISA）作為歐盟的一個獨立政府機構(gòu)，其主要職能包括提供咨詢和建議、支持政策制定和實施，以及協(xié)調(diào)各成員國在相關(guān)產(chǎn)業(yè)方面的合作，在歐洲國家網(wǎng)絡(luò)空間戰(zhàn)略發(fā)展中提供了重要的技術(shù)和政策支撐。當(dāng)前，我國在網(wǎng)絡(luò)和信息安全立法、執(zhí)法等網(wǎng)絡(luò)空間戰(zhàn)略發(fā)展方面處于探索階段，ENISA在有關(guān)網(wǎng)絡(luò)和信息安全法律的制定和實施、人才培養(yǎng)及制度的形成等方面積累的經(jīng)驗，對我國網(wǎng)絡(luò)強國戰(zhàn)略的實施和完善有著重要的借鑒意義。

ENISA：加強產(chǎn)業(yè)合作，提高安全應(yīng)對能力

ENISA是一個獨立的政府機構(gòu)，成立于2004年，自2005年9月1日起全面投入運營，對歐盟委員會及其成員國負(fù)責(zé)，主要從事3方面的活動：提供建議、支持政策制定和實施、協(xié)調(diào)歐盟各成員國與網(wǎng)絡(luò)安全產(chǎn)業(yè)界相互合作。其首要目標(biāo)是強化歐盟各成員國和工商企業(yè)間的協(xié)調(diào)，以提高應(yīng)對網(wǎng)絡(luò)和信息安全問題的能力。其主要任務(wù)是：收集適當(dāng)?shù)男畔?，分析?dāng)前和潛在的網(wǎng)絡(luò)安全問題，并把分析結(jié)果提供給各成員國和歐洲理事會。ENISA協(xié)助歐盟委員會、成員國、行業(yè)企業(yè)滿足網(wǎng)絡(luò)和信息安全的要求，包括歐盟在該層面的立法。

ENISA位于希臘克里特島的伊拉克利翁市（2005年成立之總部），在雅典設(shè)有辦事處（2013年成立）。其機構(gòu)包括管理委員會、執(zhí)行委員會、執(zhí)行主任、永久的利益相關(guān)者集團(tuán)和特設(shè)工作組，其中執(zhí)行主任對該機構(gòu)負(fù)責(zé)并獨立履行其職責(zé)。ENISA還建立了國家聯(lián)絡(luò)官（NLOs）網(wǎng)絡(luò)，由各歐盟和歐洲經(jīng)濟(jì)區(qū)國家、歐洲委員會和歐盟理事會的代表組成，ENISA通過NLOs構(gòu)成了國家聯(lián)系網(wǎng)絡(luò)，加強了該組織在各成員國的活動。

歐盟委員會于2017年10月4日公布了關(guān)于“修改ENISA授權(quán)立法和建立信息通信技術(shù)產(chǎn)品及服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度”的立法草案。該法案自稱“網(wǎng)絡(luò)安全法”，根據(jù)法案，該機構(gòu)更名為“歐盟網(wǎng)絡(luò)安全局”，負(fù)責(zé)在歐盟層面制定和執(zhí)行網(wǎng)絡(luò)安全政策、提升網(wǎng)絡(luò)安全能力、搜集網(wǎng)絡(luò)安全信息、構(gòu)建統(tǒng)一的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)市場，也涉及研發(fā)和創(chuàng)新等工作。

ENISA推動國家網(wǎng)絡(luò)空間戰(zhàn)略的實踐

ENISA在推動國家網(wǎng)絡(luò)空間戰(zhàn)略發(fā)展中的主要實踐行動，大致可以分為以下幾點。

對成員國的網(wǎng)絡(luò)空間戰(zhàn)略提供建設(shè)性意見，有針對性地細(xì)化和完善法律等“硬性”規(guī)則。

歐盟通過法律法規(guī)監(jiān)管網(wǎng)絡(luò)安全，依據(jù)所制定規(guī)范的效力分為強制性的規(guī)定即“硬法”，以及具有指導(dǎo)性的“軟法”，主要包括條例、指令、決定、推薦意見與建議。

其中，條例具有最高法律效力，有普遍適用性和全面的效力，產(chǎn)生巨大影響力的有建立歐洲網(wǎng)絡(luò)與信息安全局(ENISA)的第460/2004號條例。指令的適用頻率最高，它通常針對個別成員國生效，是協(xié)調(diào)成員國的重要手段。決定、推薦意見與建議僅是歐盟就某一問題對成員國提出的建設(shè)性意見，對成員國不具有法律約束力，具有“軟法”性質(zhì)。比如，在建議層次方面，ENISA陸續(xù)發(fā)布了一系列信息化安全發(fā)展的“建議”“指南”，有針對性地細(xì)化和完善信息安全法律規(guī)定，從微觀上構(gòu)筑了歐洲內(nèi)部互聯(lián)網(wǎng)安全的又一道嚴(yán)密防線。此外，ENISA致力于建立公私合作伙伴（PPP）、信息共享與分析中心（ISAC），提供了許多有關(guān)設(shè)置和運行的實際建議，發(fā)布了《有效PPP的合作模式良好實踐指南》《信息共享與分析中心的合作模型(2017)》等多份相關(guān)報告。

支持歐盟各成員國網(wǎng)絡(luò)安全政策制定和實施，對各國國家網(wǎng)絡(luò)安全戰(zhàn)略進(jìn)行效果評估。

2012年5月8日，ENISA發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略——為加強網(wǎng)絡(luò)空間安全的國家努力設(shè)定路線圖》，簡要分析了美、加、日3國的網(wǎng)絡(luò)空間安全戰(zhàn)略，并提出了歐盟成員國國家網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)該包含的內(nèi)容和要素。2012年12月19日，發(fā)布了《國家網(wǎng)絡(luò)安全戰(zhàn)略：制定和實施的實踐指南》，形成了統(tǒng)一和全面的國家網(wǎng)絡(luò)安全戰(zhàn)略的制定與實施，評估與調(diào)整兩個階段的20項具體行動。2016年11月14日，ENISA發(fā)布新版《NCSS最佳實踐指南》，更新了原始指南的步驟、目標(biāo)和最佳實踐，分析了歐盟和歐洲自由貿(mào)易區(qū)的NCSS狀況，以支持歐盟成員國努力開發(fā)和更新其NCSS。

截至2014年底，越來越多的歐洲國家開始將網(wǎng)絡(luò)安全戰(zhàn)略視為事關(guān)經(jīng)濟(jì)民生的關(guān)鍵政策，有18個歐盟成員國發(fā)布了國家網(wǎng)絡(luò)安全戰(zhàn)略，其中不少國家已經(jīng)進(jìn)入重新評估優(yōu)化國家網(wǎng)絡(luò)安全戰(zhàn)略的第二階段。這18個國家包括愛爾蘭、芬蘭、瑞典、愛沙尼亞、拉脫維亞、立陶宛、波蘭、德國、丹麥、英國、法國、捷克共和國、葡萄牙、意大利、希臘、塞浦路斯、奧地利、克羅地亞、斯洛伐克、保加利亞、羅馬尼亞、西班牙、比利時、匈牙利、盧森堡、荷蘭、馬耳他和斯洛文尼亞。

對此，2 014年11月27日，ENISA發(fā)布了《國家網(wǎng)絡(luò)安全戰(zhàn)略評估框架》，主要包括安全戰(zhàn)略評估的概念邏輯模型及關(guān)鍵績效評估列表。ENISA執(zhí)行理事Udo Helmbrecht教授評價稱：“國家網(wǎng)絡(luò)安全戰(zhàn)略是歐盟成員國應(yīng)對網(wǎng)絡(luò)安全風(fēng)險和挑戰(zhàn)的重要環(huán)節(jié)，需要持續(xù)發(fā)展并正確評估，以適應(yīng)社會、技術(shù)和經(jīng)濟(jì)的發(fā)展。ENISA提供了一個系統(tǒng)性和指導(dǎo)性很強的評估框架，有助歐盟成員國提升其國家網(wǎng)絡(luò)安全戰(zhàn)略制定水平?！?/p>

推進(jìn)歐盟各成員國與網(wǎng)絡(luò)安全產(chǎn)業(yè)界合作。

引領(lǐng)執(zhí)行NIS指令。2016年7月6日，歐盟立法機構(gòu)正式通過首部網(wǎng)絡(luò)安全法《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》（簡稱NIS指令）。NIS指令要求建立一個合作組，以增進(jìn)歐盟成員國之間的戰(zhàn)略合作與信息共享，該合作組由歐盟成員國代表、歐盟委員會、ENISA構(gòu)成。ENISA在NIS指令的執(zhí)行中扮演重要的角色，任務(wù)包括支援歐盟機構(gòu)、成員國與產(chǎn)業(yè)界，對網(wǎng)絡(luò)威脅與信息安全問題快速作出反應(yīng)；通過開發(fā)閾值、模板和工具，支持歐盟范圍內(nèi)的網(wǎng)絡(luò)安全事件報告流程；在執(zhí)行任務(wù)中協(xié)助各國間成立合作小組；協(xié)助成員國與執(zhí)委會，提供專業(yè)意見和建議等。指令還要求各成員國指定一家或多家計算機安全事件響應(yīng)工作組（CSIRT）進(jìn)行安全風(fēng)險和事件處理，歐盟層面成立協(xié)作小組負(fù)責(zé)安全事件信息共享及安全協(xié)作事宜；還要求成員國CSIRT與CERTEU代表構(gòu)建CSIRT網(wǎng)絡(luò)，并將歐盟委員會作為觀察員；ENISA設(shè)立相應(yīng)的秘書處支撐機制運行。

致力于建立公私合作伙伴關(guān)系（PPP）。伙伴關(guān)系包括來自歐盟和各成員國、各地區(qū)以及當(dāng)?shù)氐墓补芾頇C構(gòu)、研究中心以及學(xué)術(shù)界的成員，旨在促進(jìn)研究和創(chuàng)新過程早期階段的合作，并為能源、衛(wèi)生、交通和金融等多個行業(yè)制定網(wǎng)絡(luò)安全解決方案。2013年4月，歐洲部分私人網(wǎng)絡(luò)安全公司聯(lián)合成立了“歐洲網(wǎng)絡(luò)安全小組”，通過聯(lián)合600多名網(wǎng)絡(luò)安全專家針對問題作出快速有效的反應(yīng)，建立伙伴關(guān)系。同時利用“一線經(jīng)驗”優(yōu)勢，在網(wǎng)絡(luò)防御政策、風(fēng)險預(yù)防等問題上向政府、企業(yè)和監(jiān)管機構(gòu)提供更有效和實用的建議。2016年8月，歐盟委員會與業(yè)界建立第一個歐洲網(wǎng)絡(luò)安全公私合作伙伴關(guān)系，預(yù)計至2020年將投入18億歐元，以更好地應(yīng)對網(wǎng)絡(luò)攻擊，并加強其網(wǎng)絡(luò)安全部門的競爭力。為給設(shè)置和運作PPP關(guān)系提供具體的激勵措施和實際建議，ENISA自2014年起組織召開了6屆研討會。

致力于發(fā)展信息共享與分析中心（ISAC）。ISAC是非營利組織，為收集有關(guān)網(wǎng)絡(luò)威脅的信息中心提供資源，允許私人和公共部門之間雙向共享信息，分享經(jīng)驗、知識和分析。在許多歐盟成員國中，都有類似ISAC的組織，歐盟NIS指令和網(wǎng)絡(luò)安全法等法律體系，促進(jìn)了在歐盟內(nèi)部建立ISAC和PPP這樣的部門。

推進(jìn)全社會信息、安全文化的建設(shè)。

ENISA負(fù)責(zé)組織、協(xié)調(diào)歐盟各成員國的網(wǎng)絡(luò)信息安全的戰(zhàn)略規(guī)劃、實踐、基礎(chǔ)設(shè)施保護(hù)和應(yīng)急響應(yīng)等工作，包括各成員國為了提升國民信息安全素養(yǎng)應(yīng)當(dāng)采取的各項措施。在歐洲，ENISA及歐盟成員國在不遺余力地推進(jìn)全社會信息、安全文化的建設(shè)。并且針對社會各類人群的特征，劃分了不同的目標(biāo)群體：從個人用戶到中小企業(yè)用戶以及傳媒，都納入了信息安全文化建設(shè)的范疇，并且對各目標(biāo)群體提出了有針對性的安全意識提升計劃。此外，ENISA還通過網(wǎng)絡(luò)戰(zhàn)演練等方式提高歐洲各國的網(wǎng)絡(luò)安全防御能力，如2018年11月4日，由ENISA和歐盟聯(lián)合研究中心主辦的首次全歐范圍內(nèi)的網(wǎng)絡(luò)演練，目的是演練各國對付網(wǎng)絡(luò)黑客攻擊的能力。歐盟22個成員國和冰島、挪威、瑞士等非歐盟成員國的代表參加演練，其他成員國則派觀察員參加。

對我國的啟示和建議

健全監(jiān)管組織，注重對私營部門權(quán)益的保障，推動行業(yè)自治與共治發(fā)揮效用。歐盟在實踐中正逐漸建立的監(jiān)管模式，體現(xiàn)出由政府、行業(yè)組織和社會共同監(jiān)管，并通過法律的形式予以明確的特征。這個模式的特點是由歐盟層面和成員國層面的官方機構(gòu)發(fā)揮主導(dǎo)作用，鼓勵行業(yè)組織和企業(yè)進(jìn)行自律。我國非常重視政府在安全監(jiān)管中的作用，但政府的監(jiān)管能力是有限的，在具體的信息安全監(jiān)管過程中，行業(yè)組織、技術(shù)聯(lián)盟、私營部門等具有極強的影響力。它們通過制定行業(yè)規(guī)則、技術(shù)標(biāo)準(zhǔn)等手段，加強對信息安全的監(jiān)管。這就要求我國在完善政府主導(dǎo)的治理模式的同時，邀請自律性監(jiān)管主體參與其中，分明職權(quán)，共同監(jiān)管。同時，建立一個類似歐盟ENISA—樣的信息交流平臺，負(fù)責(zé)“協(xié)調(diào)”和“咨詢”工作，組織實施網(wǎng)絡(luò)監(jiān)管實踐。通過開展公私合作創(chuàng)新項目、簽署合作協(xié)議等多種方式暢通合作渠道，增強私營部門合作的積極性和互動性。

推動建立信息共享機制。歐盟非常注重信息共享，在戰(zhàn)略中屢次強調(diào)要推動建立ENISA主管政府部門與執(zhí)法部門之間、政府部門與企業(yè)之間的信息共享渠道。美國等其他國家也曾在多個法案中確立信息共享方式和程序。由于網(wǎng)絡(luò)安全事件具有涉及范圍廣、傳播速度快、出現(xiàn)頻率高的特點，在其預(yù)警、防范、恢復(fù)過程中，信息共享確實非常必要。目前，我國網(wǎng)絡(luò)信息安全信息共享機制仍處于初步階段，其機制和效率都有很大的提升空間，建議參考美歐等國做法，設(shè)立專門的網(wǎng)絡(luò)安全信息共享分析中心，負(fù)責(zé)政府部門之間及政府部門與企業(yè)之間的信息共享工作。同時，應(yīng)通過法律或規(guī)章制度，最大程度地確保共享信息的保密性，讓共享各方能自愿、放心地交換信息。

配套制度建設(shè)全面鋪開，落地實施進(jìn)一步強化。無論基于何種體例，網(wǎng)絡(luò)安全立法的任何一個領(lǐng)域都需逐層展開，構(gòu)筑法律、監(jiān)管框架、部門制度、指引標(biāo)準(zhǔn)的配套系統(tǒng)。這一方面是立法技術(shù)本身的要求，另一方面則是技術(shù)立法的顯著特點。目前我國已發(fā)布并實施《網(wǎng)絡(luò)安全法》，配套相關(guān)法律法規(guī)、國家標(biāo)準(zhǔn)已同步發(fā)布實施或仍處于制定、征求意見階段。一方面，部分重點領(lǐng)域仍存在法律空白，如個人信息保護(hù)等尚未頒布相關(guān)管理規(guī)范，已發(fā)布的國家標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)，缺乏有效的約束性與規(guī)范性。建議加快相關(guān)立法進(jìn)程，為行業(yè)組織、企業(yè)與個人行為提供操作指引，為行政執(zhí)法提供法律依據(jù)。另一方面，逐步改變現(xiàn)階段被動立法的局面，積極預(yù)測新技術(shù)、新業(yè)務(wù)發(fā)展可能引發(fā)的網(wǎng)絡(luò)與信息安全風(fēng)險，在風(fēng)險發(fā)生前構(gòu)建管理側(cè)的安全防護(hù)屏障，最大程度上隔離并防范可能發(fā)生的風(fēng)險。此外，立法和配套制定后的有效實施問題普遍存在，強化落地實施的評估方式、執(zhí)法檢查等也應(yīng)成為下一步的重點。

加強專業(yè)人員教育培訓(xùn)，提升全民安全意識重點加強領(lǐng)域?qū)I(yè)人才的高校培養(yǎng)與職業(yè)培訓(xùn)，全面普及全民網(wǎng)絡(luò)安全意識。一方面，夯實高校網(wǎng)絡(luò)與信息安全相關(guān)專業(yè)的教育培養(yǎng)，提升專業(yè)人才的理論知識儲備與專業(yè)技能，構(gòu)建專業(yè)人才梯隊，為政府、企業(yè)輸送專業(yè)人才，提升安全防御能力；另一方面，加強全民網(wǎng)絡(luò)與信息安全意識的培養(yǎng)與提升，通過宣傳日、主題日、主題展覽等多種形式的活動，提升網(wǎng)絡(luò)普通網(wǎng)民的安全意識，防范各類安全事件的發(fā)生。