欧洲网络信息安全管理的做法及启示

栏目编辑：梁丽雯 E-mail:liven_01@163.com

Research|信息化论坛欧洲网络信息安全管理的做法及启示

■ 中国人民银行青岛市中心支行　王国强

摘随着信息化向纵深方向发展，网络信息安全已成为社会普遍关注的重要领域之一。研究国外在网络信要：

息安全领域好的做法，对促进我国网络信息安全行业发展具有较强的参考意义。本文首先介绍了欧洲在网络信息安全管理方面的主要做法，然后在此基础上进行分析，并探讨了其对我国加强网络信息安全管理的几点启示：完善网络安全法律法规体系、广泛开展宣传教育、健全网络信息安全防御机制。

欧洲；信息安全；防御机制关键词：

随着信息技术在各领域的广泛应用，及其作用的日益凸显，网络信息安全领域越来越得到世界各国的重视，欧洲（欧盟）在此领域的诸多做法，对其他国家推动网络信息安全建设具有较强的借鉴意义（注：本文在探讨过程中，对“网络安全”和“信息安全”不作区分）。

决议》发布，该决议提出了在网络环境中使用公权力与保护人权两者制衡的问题。1999年，“第276/1999/EC号决定”发布，这为欧盟杜绝网络非法和有害信息、介入互联网管制提供了法律依据。

2001年，欧盟成员国签署了1999年起草的《关于打击计算机犯罪协议的共同宣言》（1999/364/JHA），此宣言规定了各成员国必须承担包括支持建立预防

一、主要做法

（一）制定信息安全发展战略，不断完善法律法规体系

欧洲信息安全法律法规体系的发展可以追溯到20世纪90年代初。1992年，欧洲方面发布了《信息安全框架决议》，该决议期望对电子信息的存储进行有效的安全保护。1995年，《关于合法拦截电子通讯的

犯罪的合作（包括相互援助）等若干义务。2003年，《关于建立欧洲网络信息安全文化的决议》通过，该决议实施目的在于阐明相关者的网络信息安全责任，提高整个社会的网络信息安全意识。2005年，欧盟推出“i2010战略”，该战略以信息通信技术为核心，鼓励信息化领域的研究和创新，为欧盟发展网络经济指明了方向。2007年，《关于建立欧洲信息安全社会战

作者简介： 王国强（1982-），男，山东潍坊人，工学硕士，工程师，供职于中国人民银行青岛市中心支行，主任科员，研究方向：信　　　　　息安全。收稿日期： 2018-09-11

19

Research|信息化论坛略的决议》通过，其要求在整个社会进行网络规制，将区域信息安全提升到社会形态的高度。

2016年7月，《欧盟网络与信息系统安全指令》通过，该指令旨在促进欧盟成员国的合作，提高其应对网络信息安全问题的能力。2017年11月，欧洲网络与信息安全局（ENISA）发布了《关键信息基础设施领域的物联网安全基线指南》，该指南是基于ENISA此前发布的智能家居、智慧城市与智能公共交通、智能电网、智能汽车、智慧空港、电子医疗与智能医院6个物联网垂直应用领域的专项报告综合而成的，旨在指导欧洲在关键信息技术设施领域如何应用物联网。2018年5月，《欧盟通用数据保护条例》(General Data Protection Regulation）生效，该条例对企业收集、利用个人数据方面进行了严格规定。

通过以上梳理可以看出，欧洲网络信息安全领域的法律法规体系建设是一个不断发展、不断完善的过程，从20世纪90年代至今，欧洲逐步制定、颁布了网络信息安全领域的若干决议、指令、条例，不断完善网络信息安全保障框架、丰富网络信息安全法律法规内容。

（二）建立信息安全专门机构，加强管理、提供服务和建议

2004年3月，欧洲网络与信息安全局成立，这是一个超脱于成员国和欧盟委员会之外的机构，其成立有助于提高欧盟国家信息安全级别，提升信息安全问题应对能力，促进各方协作。除了欧洲网络与信息安全局以外，欧盟各成员国还建立了各具特色的信息安全管理机构，用于收集安全信息、提供咨询服务，如法国的中央信息系统安全司、德国的信息安全联邦办公室、奥地利的安全政策部联邦办事处、丹麦的国家信息技术和电信局等。

2009年，ENISA发布了《通信网络弹性：成员国政策和法规及政策建议》报告，要求欧盟每个成员国建立全国性的计算机应急小组。2017年9月，《网络安全

20

2018年·第11期

栏目编辑：梁丽雯 E-mail:liven_01@163.com

法案》发布，该法案对ENISA在网络信息安全领域的职能进行了明确。

通过以上内容可以看出，欧洲在不断丰富完善网络信息安全法律法规体系的同时，还建立了专门的网络信息安全机构，其具有明确的网络信息安全方面相关的职能，这有利于欧洲网络信息安全法律法规的落地实施以及网络信息安全问题应对能力的提升。

（三）开展演练和教育宣传，提升防范能力2010年，欧洲30个国家参加了“网络欧洲2010”演习，该演习以关键信息基础设施防护为主要内容，以沟通为主题，通过组织与合作建立起各方协同机制和信任。

欧盟根据其网络安全战略和“安全网络计划”（EU Safer Internet Program）（2014—2018），每年10月举行“欧洲网络安全月（European Cyber Security Month）”安全意识教育活动，旨在提高社会公众的网络安全意识，保护欧洲数字经济繁荣发展。此外，非欧盟国家也开展相关活动，如挪威于2011年10月开始举办国家安全月，之后每年举行。国家安全月活动期间，挪威通过网站、报刊、电台、电视台等多种形式开展网络信息安全内容宣传，在各地组织召开面向企业、公共机构、非政府组织、学术界和普通民众的主题大会、研讨会、展览和参观等活动，邀请相关专家进行专题演讲，宣传网络安全知识，展示网络安全设施，并发放相关知识手册和宣传品。以此达到教育公众的目的。

通过以上介绍可以看出，欧洲比较重视提升网络信息安全防范能力和加强社会公众的网络信息安全教育，其通过演习加强协作提高应对能力，通过网络安全宣传教育提高社会公众网络安全防范意识，效果显著。

二、分析

网络空间具有法制化、安全化的发展趋势，而网络空间的法制化是网络安全的重要保证。法律法规体系的制定和完善是一个循序渐进发展的过程，网络空

2018年·第11期

栏目编辑：梁丽雯 E-mail:liven_01@163.com

间安全法律法规体系的建立也同样如此。通过上文可以看出，欧洲网络安全法律法规体系的建立并非一蹴而就，而是从20世纪90年代持续至今，是一个从无到有、逐步丰富和完善的过程，是随着网络信息技术和应用的发展以及网络信息安全新形势新情况的出现而不断发展的过程。欧洲通过通过不断对网络安全法律法规体系进行完善，使其网络信息安全法律法规内容不断丰富，并引导着其网络信息安全行业的发展。

网络安全专门组织机构的成立，有助于网络安全事业的发展。欧洲国家通过建立专门的网络信息安全机构，加强对网络信息安全的管理，提升网络信息安全保障能力。网络信息安全的专门机构负责收集重要的网络安全信息，提供网络信息安全咨询服务，这有利于网络信息安全法律法规的落地实施，也有利于提升其网络信息安全保障能力。

通过“网络欧洲”高级别网络安全演习可以看出，欧洲十分重视网络信息安全领域的交流协作。网络安全影响社会公众的工作、生活，甚至影响政治、经济、文化、社会、军事等各领域的安全，尤其是当前病毒攻击无差别化，网络事件影响范围涉及多方面，其预警、防范更需要多方面的合作。协同合作、警报共享、共同防御，有利于抑制病毒的大规模传播，有利于提高网络安全的保障能力。加强全社会的网络安全宣传教育，有利于营造人人关心网络安全、人人重视网络安全、人人遵守网络安全法律法规的氛围。而当全民的网络安全意识提升、网络安全防护技能提高后，网络犯罪成本就会大幅提高。欧洲通过开展网络安全宣传教育活动，提高了社会公众的网络安全意识，进一步促进其网络信息安全事业的发展。

三、启示

（一）不断完善网络安全法律法规体系，推进宣传贯彻实施

2015年，《中华人民共和国网络安全法（草案）》

Research|信息化论坛全文公布并向社会公开征求意见，该草案包括“网络安全战略、规划与促进”“网络运行安全”“网络信息安全”“监测预警与应急处置”“法律责任”等内容。经过广泛征求、听取意见，并进行深入研究和多次审议，《中华人民共和国网络安全法》（以下简称《网络安全法》）于2016年11月正式发布，自2017年6月1日起施行。作为我国网络安全领域的首部基础性和综合性保障法，《网络安全法》预留了诸多配套制度的接口，自颁布以来，相关配套法律法规及标准相继出台或列入规划。未来，我国还应继续推进《网络安全法》配套法律法规的制定、完善，同时进一步加强网络安全相关法律法规、标准的宣传，积极推动各项要求的落地实施。

（二）更广泛地开展宣传教育，提升公众网络安全意识

2014年2月，中央网络安全和信息化领导小组成立，这是我国网络和信息安全战略规划和互联网管理体制改革的重要一步。2014年11月，中央网络安全和信息化领导小组办公室（中央网信办）会同多个部门共同举办了首届国家网络安全宣传周，2015年6月，中央网信办等十部门共同主办了第二届国家网络安全宣传周，此后，国家网络安全宣传周于每年9月的第三周举行。为不断提高公共的网络安全防范意识，要继续深入开展网络安全宣传教育，扩大网络安全宣传周的影响力，让更多的社会公众了解网络安全宣传周并积极参与到活动中来，从而增强网络安全防护意识，提高防护技能，共同维护国家网络安全。

（三）健全网络信息安全防御机制，提升风险综合应对能力

应加强网络信息安全领域的交流合作，建立完

善共享的技术平台，完善威胁信息共享和通报预警机制，在监测、预警、应急处置等多方面加强安全企业及不同行业间的交流合作。可借鉴国外网络攻防演习的成功做法，研究探索多行业尤其是重要行业高级

21

Research|信息化论坛2018年·第11期栏目编辑：梁丽雯 E-mail:liven_01@163.com别、大范围网络空间攻防演练，增强重大网络病毒/攻击的发现、分析和协同处置能力。优先建立完善重要行业、关键信息基础设施网络安全风险协同处置平台，健全快速协同联动处置机制，以提高重大网络安全威胁综合联动应对能力。FTT参考文献：[1]郭春涛. 欧盟信息网络安全法律规制及其借鉴意义[J]. 信息网络安全，2009(8):27-30.[2]顾华详，安娜. 国外依法保障网络信息安全措施比较与启示[J]. 法治论丛，2011(2):112.[3]马民虎，赵婵. 欧盟信息安全法律框架之解读[J]. 河北法学，2008(11):152-156.

[4]张永民. 如何建设智慧中国—— 分析、路径、对策

和建议[J]. 中国信息界，2012(4):14-20.[5]石建兵. 欧洲网络与信息安全局《关键信息基础设施领域的物联网安全基线指南》[J]. 信息安全与通信保密，2018(1):80-95.[6]刘迎. 欧盟信息安全保障架构概述[J]. 信息网络安全，2009(8):23-26.[7]杨延超.《欧盟通用数据保护条例》解读与启示[N]. 经济参考报，2018-06-13.[8]新华网. 欧盟出台首个网络与信息安全指导性法律[EB/OL].http://www.xinhuanet.com/video/2016-07/08/c_129129036.html.[9]中国人大网. 网络安全法（草案）全文[EB/OL].http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.html.

《金融科技时代》版权声明

本刊被《中国核心期刊（遴选数据库）》、中国学术期刊（光盘版）、《中文科技期刊数据库》（维普网）、中国知网（CNKI）系列数据库、万方数据数字化期刊群等相关数据库和媒体收录，并许可其以数字化方式复制、汇编、发行、信息网络传播本刊全文。如作者不同意文章被收录，请在来稿时向本刊声明，本刊将作适当处理。

作者向本刊投稿，应保证所投稿为原创，未侵犯他人著作权或其他权利，所引用的图表等受著作权保护的材料均已获得权利人许可；保证所投稿件的整体或主要部分未被其他期刊采用，并且从未正式出版；保证所投稿件一经本刊刊发，其版权将不再转让或许可给第三方使用。作者向本刊投稿的行为，即视为同意本刊编辑部上述声明。

《金融科技时代》编辑部

22