近期受俄乌冲突影响,欧盟频繁发布网络安全防御政策,持续提高欧盟网络安全防御能力。如2022年11月发布《关于欧盟网络防御政策的联合公报》(以下简称《联合公报》),旨在增强欧盟网络安全能力、促进军民融合、减少欧盟对美西方国家的战略依赖;2023年1月发布《关于在欧盟全境实现高度统一网络安全措施的指令》(NIS2指令),旨在消除不同成员国在网络安全要求和网络安全措施实施方面的差异;3月提出《网络安全条例》提案,要求欧盟加强网络安全措施的执行、监督与评估;4月欧盟委员会发布《网络团结法案》提案,希望促进欧盟范围内网络安全合作,为重大网络攻击做好应对准备。可见,在新形势下加快网络安全防御政策更新调整,多路径加强防御布局值得我们关注与思考。

欧洲网络安全防御进一步加强

积极推进军民两用网络安全标准和认证开发工作。一方面,在《联合公报》中,欧盟首次公开强调“军地普适性”,要求提高军用关键通信基础设施的安全能力,同时加强各成员国军民两用技术在网络安全方面的合作。另一方面,欧盟通过渗透测试等多种形式评估关键基础设施的安全性,并在民用和军用网络终端设立统一的网络安全标准和认证体系,加大军用网络防护方面的投入。与此同时,数字欧洲贸易协会呼吁欧盟各国为欧洲中小企业创造更好条件,鼓励他们积极开发军民两用技术。

加强欧盟成员国间信息共享协调机制。一方面,新政策中欧盟将完善国家和网络防御参与者之间、军事和民用网络社区之间以及私营与公共部门之间的协调机制,加强军事和民用领域关于网络安全的信息交流与合作,筹备安全运营中心以建立“网络护盾”(Cyber Shield)。并在现有架构上建立“欧盟网络防御协调中心”,以支持防务社区增强态势感知与响应能力,为“军事计算机应急响应小组”建立相关运营网络,实时向各成员国通报威胁形势。另一方面,欧盟准备在网络防御领域强化与北约在网络防御能力培训、网络教育、网络态势感知等方面的合作,包括加强双方网络防御能力的互操作性、共建网络培训课程、促进人员交流沟通等。

进一步追求防务自主,共同提高欧盟成员国整体网络安全防御能力与政策执行效率。一方面,欧盟以加强欧洲网络安全防御为核心,拟设立超过13亿欧元的专项资金,用于提高“基于个体的欧盟整体”网络防御能力,同时充分借鉴“永久结构性合作”“欧洲地平线”“欧洲防务基金”“数字欧洲”等项目计划,以协作的方式大幅增加现代军事网络防御能力投资,提高政策执行效率。另一方面,欧盟理事会政治和安全委员会将定期对欧盟可能面临的关键网络安全漏洞进行战略评估,制定网络技术路线图。该委员会将在新政策框架下建立网络防御技术培训机构,向各成员国提供网络防御服务。

欧盟网络防御政策对我国的启示

从欧盟为军民两用技术产品制定统一的网络安全标准和认证以及鼓励欧洲中小企业积极开发军民两用技术等措施可以看出,欧洲旨在利用军民两用网络安全标准和认证进一步推进军民标准和认证体系融合发展,防止军民之间网络安全防御系统技术应用差距过大,以应对战时可能视情况征用民用网络安全系统的需要,降低欧盟内部网络安全防御“碎片化”风险。

欧盟对美主导的北约在网络空间政策进行策应,将进一步加大未来我国网络安全防御压力。欧盟网络防御新政策强调与北约在网络安全领域的合作,包括防御能力培训、网络教育、网络态势感知等方面,这与近期美军网络司令部发布的战略和新纲要目标一致,表明欧盟对美主导的北约在网络安全防御合作战略上进行策应的意图。特别在近期签署的《欧盟-北约合作联合宣言》中宣称中方愈发强硬的政策给欧盟和北约带来挑战,需加以应对。这背后也表明以美为首的西方国家将我国视为假想敌,在未来网络空间中联手对抗我国的意图明显,进一步加大未来我国网络空间整体安全压力。

欧盟加速自主防务执行和落地,持续加强网络安全智力储备和防御技术培养。从欧盟明确以协作方式大幅增加现代军事网络防御能力投资以及积极向各成员国提供网络防御服务可以看出,欧盟网络安全新政最突出的特点是加速欧盟各国对于网络安全防务能力的执行和落地,集中提升欧盟各国整体防务能力以应对俄乌战争后期网络空间冲突或对抗。预计后期欧盟投入更多资金,从网络安全人才及防御技术方面出发减少对美依赖,全方位增强自主网络安全防御能力。

多路径筑牢我国网络安全屏障

总的来看,研判欧盟等西方国家最新网络安全防御战略布局,建议我国从三方面强化网络安全能力。一是加快推进军民两用技术产品网络安全标准和认证,提升军民防御系统技术应用和防护应对水平。进一步加快推进军民两用技术产品网络安全标准和认证的融合,加强军民两用标准化人才培养,细化网络安全人才晋升机制、奖励机制以及信息技术交流机制等。在充分考虑军事和民用经济需求的基础上制定统一的网络安全标准和认证体系,提升军民网络安全防御系统技术应用整体水平,增强军民技术创新体系有效衔接能力,充分应对未来网络空间冲突与对抗。

二是进一步强化对外网络安全合作,有针对性地优化合作环境、广泛建立友好关系。增设包含政府、企业、社群、智库等在内的多行为体、多层级对话模式。一方面,对主要经济体坚持“以我为主”的态度,明确表达自身意愿和诉求,广泛增信释疑、获取支持。另一方面,对与我国较为友好的国家,以技术为契机,积极探寻我国与其网络合作的突破点与可能性,推动建立稳固友好关系,深化网络安全合作交流,拓展我国网络安全领域“朋友圈”,争取获得更多的支持力量。

三是强化网络安全自主可控和研发能力,全面提升网络安全领域综合防御能力。一方面,坚持独立自主创新发展关键核心技术,做好包括人工智能、量子计算等新一代信息技术的自主可控,确保软件设施和供应链安全,赢得主动权和制衡权;另一方面,加大可控利用国际先进技术和产品的力度与深度。以政府引导为主,市场化为辅,调动和利用国内各方资源与力量,打造完整的科技创新链。

(作者单位:中国信息通信研究院)

来源:人民邮电报