• 收藏
  • 設為首頁
  • 工作郵箱
微信公眾號
分享
[字體: ]
分享到:
分享
2016-2017年度歐盟網絡空間安全綜述
來源:信息與網絡安全部 ??作者:國信安全研究院 ??時間:2017-11-28

2016-2017年度,歐盟的關鍵基礎設施遭受嚴峻的網絡安全威脅。在歐盟委員會發布的2017年安全事務進展報告中,將網絡犯罪、網絡攻擊列為歐盟面臨的主要安全挑戰之一。為應對復雜的局勢,歐盟及各成員國在頂層設計上,加強戰略指引、完善法規體系,在網絡治理中,注重聯合協作,加大懲治力度,在保護個人信息與隱私、凈化網絡空間等諸多方面做出了有力的改善。

一、 加強戰略部署,推動網絡空間安全發展

1.歐盟出臺首部網絡與信息安全指導性法律

2016年7月6日,歐洲議會全體會議通過《歐盟網絡與信息系統安全指令》,這是歐盟出臺的第一個關于網絡與信息安全的指導性法規,主要內容包括:要求歐盟各成員國加強跨境管理與合作;制定本國的網絡信息安全戰略;建立事故應急機制,對能源、金融、交通和飲水、醫療等公共服務重點領域的基礎服務運營者進行梳理,強制這些企業加強其網絡信息系統的安全,增強防范風險和處理事故的能力。在線市場、搜索引擎和云計算服務等數字服務提供商必須采取確保其設施安全的必要措施,在發現和發生重大事故后,及時向本國相關管理機構匯報。

這項法令將加強歐盟各成員國之間在網絡與信息安全方面的合作,提高歐盟應對處理網絡信息技術故障的能力,提升歐盟打擊黑客惡意攻擊特別是跨國網絡犯罪的力度。根據歐盟有關方面的統計,網絡信息故障和網絡犯罪每年給歐盟企業及個人造成的損失高達2600億至3400億歐元。

2.發布國家戰略,加強頂層設計

2016年11月,英國發布新版《國家網絡安全戰略(2016-2021)》,重新勾勒英國未來網絡安全發展路線圖,意在打造一個繁榮、可靠、安全和具有彈性的網絡空間,確保在網絡空間的優勢地位。2016年12月,英國發布《國家安全戰略實施2016年度報告》,提出加強網絡安全建設,并將網絡安全、國家威脅及恐怖主義一起列為重中之重的威脅問題。該報告指出:英國面臨的網絡威脅已顯著增長,既有來自國家支持的網絡攻擊、也有非國家支持的網絡犯罪活動。2017年3月,英國正式出臺《2017英國數字化戰略》,提出七大戰略任務:(1)連接性:為英國建立世界一流的數字基礎設施;(2)技能與包容性:讓每個人都能獲取所需的數字化技能;(3)數字領域:讓英國成為建立并發展數字化業務的最佳場所;(4)宏觀經濟:幫助每一家英國企業成為數字化企業;(5)網絡空間:使英國成為提供在線生活與工作環境的全球最安全場所;(6)數字政府:確保英國政府在線民眾服務處于全球領先地位;(7)數據經濟:釋放數據在英國經濟中的重要力量,并提高公眾對使用數據的信心。

德國也相繼出臺系列規劃。2016年8月,德國聯邦參議院通過一項新信息安全法案,要求關鍵基礎設施機構和服務商必須執行新的信息安全規定,否則將被處以最高10萬歐元的罰款。同時,還要執行一個最低的網絡安全標準,并及時向德國聯邦信息安全局報告所有針對其系統的網絡攻擊情況。2016年9月,德國聯邦經濟部發布了《數字化行動綱要》,制定了12項針對未來數字化發展的措施,以吸引更多風投資金并促進中型企業數字化轉型,最終目的是在德國建設“大型數字化樞紐網絡”。2016年11月,德國發布一項新的網絡安全戰略計劃,以應對越來越多針對政府機構、關鍵基礎設施、企業以及公民的網絡威脅。新戰略要求在聯邦信息安全辦公室建立一支快速反應部隊,類似于聯邦警署、國內情報機構以及政府部門內設的快速反應小組。

二、 加強一體化的網絡治理舉措

1.各國求同存異,推進個人信息與隱私保護

歐盟及各成員國在保護個人信息與隱私方面,采取了多方面的舉措。2016年9月,歐洲法院要求公共Wi-Fi提供者采取措施保護用戶個人隱私和確認其身份信息。2016年10月,瑞典最高法院通過全面禁止無人機搭載攝像頭的裁決,明示所有無人機攝像頭都被視為監視設備,只能用于預防犯罪或事故。2017年1月,歐盟委員會提議制定一項新法案《隱私與電子通信條例》,該條例是《一般數據保護條例》的補充,將取代現有的《電子隱私指令》。新法案首次將即時通訊、VoIP 等OTT 服務商納入與傳統電信服務商一樣的隱私監管范圍,對通信內容及標記通信內容的元數據一并納入電子通信數據的保護范疇。2017年4月,歐盟通過全球數據保護法規(GDPR),于2018年5月25日正式生效。新法規將直接或間接識別個人身份的數據全部納入管理范疇,對數據收集、存儲、處理、跨境傳輸等各環節進行了規范,任何違反GDPR的行為都將面臨1000萬到2000萬歐元或企業全球年營業額的2%到4%的行政處罰。

在個人信息與隱私保護的法規建設上,歐盟各成員國的意見并不總是一致。2016年11月,英國通過《2016調查權力法案》,剛過一個月就被歐盟法院裁定為違反歐盟法律。該法案要求電信和網絡運營商要存儲上網者12個月的瀏覽記錄;允許安全機構和警察攻擊電腦和手機,大量收集通信數據;要求法官同意警察提出的查看記者通話和網絡記錄的請求。歐盟法院認為,通訊數據只能在打擊重大犯罪時才可以進行儲存。歐洲議會隨后支持對所有通信進行端對端加密,以保護歐盟公民的基本隱私權。

在相關法律法規指引下,歐盟及各成員國針對商業企業采取了規范措施。歐盟要求美國澄清有關雅虎通過掃描大量電子郵件尋找恐怖活動線索的秘密法定裁定,要求微軟就操作系統收集個人數據的目的進行解釋。2016年9月,德國數據保護及信息自由委員會責令Facebook停止收集和儲存旗下WhatsApp獲得的用戶信息,并刪除其此前獲得的用戶所有相關記錄。2017年5月,法國數據保護監督機構因Facebook不能保護用戶個人信息而對其處以15萬歐元罰款。

2.聯合懲治惡意言論、網絡暴力和虛假新聞

網絡充斥虛假信息和言語暴力越來越得到西方各國的重視,打擊惡意言論、網絡暴力和虛假新聞成為歐盟及各成員國的統一認識。2016年12月,歐盟委員會表示,Facebook、Twitter、YouTube以及微軟等科技巨頭必須加快打擊網絡仇恨言論,否則將借助法律強制其執行。2017年4月,歐盟委員會發布一份政策文件草案,擬提出措施解決“網絡平臺就刪除非法內容的法律不一致和不確定性”,旨在加強社交媒體網站的監控和治理。

歐盟成員國也加強了懲治措施。德國要求社交媒體平臺及時清除假新聞和惡意言論,警告Facebook如果不履行義務將面臨高額罰款。德國司法部在2017年3月提出一項法律草案,提出沒有及時履行義務的社交媒體公司將面臨5000萬歐元罰款。德國警方突擊搜查了36名被指控在社交媒體發布仇恨言論的用戶住所,以打擊網絡恐怖主義意識的傳播。英國于2016年10月出臺新法規,規定網絡暴力、人肉搜索屬于違法行為。2017年6月,英國首相進一步呼吁國際社會達成調控網絡空間的國際協議,以阻止極端主義、恐怖主義信息通過互聯網擴散和傳播。奧利地政府加強對即時通訊應用程序的監控力度,打擊恐怖分子襲擊活動,計劃于2017年10月國會選舉結束后取消匿名移動設備SIM卡的使用。

3.制定安全規范,應對安全威脅

歐盟在應對網絡安全威脅中,積極通過制定標準性文件,規范網絡防護工作。2016年10月,歐盟委員會宣布將制定新的物聯網設備安全規范。新規是歐盟電信法改革計劃的一部分,計劃通過更嚴厲的監管規范解決安全問題。歐盟立法機構希望通過制定法規,強制企業遵守安全標準,通過多管齊下的認證流程確保物聯網隱私安全,消除安全威脅。2017年2月,歐盟網絡和信息安全機構發布數字服務安全措施指南報告,該報告是關于數字服務提供商實施最低安全措施的技術指南,以幫助成員國和數字服務提供商制定切實可靠的信息安全措施。2017年6月,歐盟理事會推出“網絡外交工具箱”聯合框架,以指導成員國統一應對惡意網絡活動,并對惡意攻擊者采取懲罰措施。

4.加強多種協作,打擊網絡犯罪

歐盟現有28個成員國,在網絡治理和打擊網絡犯罪中,比較注重內部成員之間及與外部各國際組織、國家的協作。2016年7月,歐洲刑警組織聯合荷蘭警方、反病毒機構卡巴斯基實驗室和英特爾計算機安全公司創建一家門戶網站,打擊數量激增的勒索軟件。12月,該組織還與法國、英國、澳大利亞和美國等13個國家的執法部門合作,聯合開展了一項打擊網絡黑客攻擊的國際行動,34名涉嫌發起惡意網絡攻擊的嫌疑人在行動中被捕。2016年8月,歐盟委員會與業界建立第一個歐洲網絡安全公私合作伙伴關系,預計至2020年將投入18億歐元,以更好地應對網絡攻擊,并加強其網絡安全部門的競爭力。伙伴關系包括來自歐盟和各成員國、各地區以及當地的公共管理機構、研究中心以及學術界的成員,旨在促進研究和創新過程早期階段的合作,并為能源、衛生、交通和金融等多個行業制定網絡安全解決方案。2016年10月,歐盟網絡和信息安全局組織了一場大規模網絡戰演習,來自30個國家和地區的超過700名網絡安全人員參加。演習內容包括模擬入侵聯網基礎設施、遭遇全國斷網等一系列網絡攻擊場景,以此演練歐洲國家網絡防御和應對黑客攻擊的能力。2017年4月,部分歐盟成員國和北約成員國簽署了《諒解備忘錄》,將在赫爾辛基建立一個應對網絡攻擊、政治宣傳和虛假信息等問題的安全研究中心。

三、 一體框架之外各自強化網絡安全舉措

1.建立專門機構應對網絡安全威脅

歐盟部分成員國在應對網絡安全威脅中,不斷調整組織機構,加強組織領導。2016年8月,德國政府宣布成立名為安全領域信息中央辦公室(ZITiS)的新網絡安全部門,以在線應對網絡恐怖分子。ZITiS由約400名公務員組成,不僅通過開發方法、產品和戰略以協助德國安全機構應對網絡犯罪和恐怖主義,還將監控暗網中的非法活動。2017年2月,英國國家網絡安全中心(NCSC)正式啟動,以應對越來越頻繁和復雜的網絡攻擊。該中心將邀請各界專家參與合作,研究網絡安全威脅和漏洞,并對如何應對網絡攻擊提出建議。

2.積極防備網絡攻擊影響選舉

2017年是歐盟一些重要成員國的選舉年,英國大選、法國立法選舉、德國總理大選都在2017年舉行。由于美國總統大選遭受網絡攻擊影響的原因,歐盟各國加強防范在選舉中遭受網絡攻擊。法國與德國為2017年的選舉建立了網絡防御系統,以便應對假新聞和潛在的網絡攻擊威脅。2017年3月,英國情報機構政府通信總部專門召集各政黨舉行了一場緊急首腦會議,會議的主題是俄羅斯很可能通過網絡攻擊干擾下屆英國大選,要求各政黨加強信息安全防范。歐盟和北約也設立了專門的“新聞”鑒別中心,同時強化基礎設施抵御可能發生的網絡襲擊。

3.加強網絡防恐反恐措施力度

近年來,歐洲遭受恐怖襲擊的次數增多,恐怖分子越來越多的利用互聯網進行信息傳遞和發布,威脅社會安全,歐盟各國加強了網絡防恐反恐的舉措。2016年8月,法國和德國內政部長發布聯合提案,呼吁歐盟委員會立法,迫使WhatsApp、Telegram等加密即時通訊APP應用程序運營商刪除違法內容,并在恐怖調查過程中解密嫌疑人之間的對話內容,以打擊網絡恐怖主義。2017年3月,英國內政大臣表示,科技公司必須配合執法部門的工作,不能向恐怖分子提供互聯網“秘密地點”,避免他們通過加密信息進行溝通。2017年6月,英法兩國發布聯合反恐聲明稱,兩國正對不配合移除恐怖宣傳信息的社交網站進行罰款強制措施,旨在保證互聯網不會成為恐怖分子和罪犯逍遙法外之地。

4.英國加強關鍵基礎設施保護和國家整體防控體系建設

2016年9月,英國著手建立基于DNS的國家防火墻,目的是對抗網絡犯罪,更高效地屏蔽已知惡意程序,阻止釣魚郵件使用惡意域名進行網絡犯罪。2016年10月,英國禁止部長級官員在政府會議期間佩戴Apple“智能手表”,原因是黑客能將Apple Watch用作竊聽設備。2016年11月,英國交通系統技術發展中心稱,隨著信息技術的快速發展,英國交通運輸業面臨越來越大的網絡安全威脅,將投入更多資源加強網絡安全防范。2016年12月,英國議會督促情報機構政府通信總部,加大力度幫助金融業加強網絡安全,應對不斷升級的網絡犯罪。英國議會表示,政府通信總部更側重于恐怖主義和相關國家發起的網絡攻擊,而忽視了針對金融業的網絡攻擊。系列舉措表明,英國希望在關鍵基礎設施領域和國家整體構建一個安全防控網。

5.德國成立歐盟首支網絡作戰獨立部隊

2017年4月1日,德國軍方宣布正式成立網絡與信息空間司令部,將與陸軍、海軍、空軍并列,共同構成德國聯邦國防軍體系,主要任務為運營并保護軍方自有的各類IT基礎設施和計算機輔助武器系統,同時亦負責網絡威脅監測活動,國家與政府IT系統的安全保障工作仍然由負責監督國內各反間諜活動安全機構的內政部進行管理。網絡與信息空間司令部設在德國波恩,起步由260名信息技術專家組成,將著力發展網絡攻擊能力。預計到2021年,人員規模將擴充至14500人,具備全面作戰能力。

德國網絡與信息空間司令部是歐盟成員國中第一個網絡司令部,其總司令希望憑借著這支全新數字化部隊,在北約聯盟中發揮主導作用。德國網絡與信息空間司令部的成立可能觸發其他成員國加快組建獨立網絡部隊的進程,以加強網絡作戰能力和區域主導力量。

新年到在线客服 imoney软件能赚钱吗 建社区食堂赚钱吗 2010股票分析师排名 挖机跟后八轮哪个赚钱 挖地洞赚钱吗 我的世界模拟城市怎样赚钱 今日股票推荐哪个好 女人四十做点什么生意赚钱 沙琅开个粉皮店赚钱吗 走淘宝直播拿翡翠卖赚钱吗 剑三点卡赚钱吗 亚泰坊 吗l链我投资了 能赚钱 三本院校学生想赚钱 通过微信给别人赚钱吗 钻石拍卖都能赚钱吗 二级股票分析师