欧盟信息安全保障架构概述

23

2009.08

欧洲信息技术起源于20世纪60年代中期，几乎和美国互联网技术的发端是同步的。上世纪90年代以来，欧盟以1993年12月《德洛尔白皮书》和1994年3月《本杰曼报告》的提出为标志，以发展欧盟诸国经济、解决社会突出问题、重新树立欧盟在国际政治舞台的地位等为目标，把发展信息技术提升到国家战略的高度并在欧盟各国广泛普及，在信息战略落实过程中不断根据实际情况调整实施计划以适应国家和社会需求。随着信息技术的飞速发展，社会运行对信息安全规范管理的需求日益迫切，1992年的《信息安全框架决议》（92/242E E C）成为欧盟信息安全立法的起点，此后欧盟陆续出台了“关于网络和信息安全领域通用方法和特殊行动的决议”、“关于对信息系统攻击的委员会框架协议”、“欧洲信息社会安全战略”等等政策举措，有效地保证了整个欧盟的信息安全，欧盟逐渐成为一个在信息安全技术、管理、政策法律等方面具有集合优势的新的联盟体，同时也为其他国家信息安全保障框架的构建与完善提供了可供借鉴的经验和资源。

欧盟的信息安全架构主要分为以下三个层次，即：安全技术层、安全管理层、安全政策层。在整个架构中，信息安全技术的发展是推动，信息安全政策的完善是保障，信息安全管理的健全是手段，三者相辅相成，互相作用，共同构筑了欧盟的信息安全保障架构。

1安全技术层

信息安全技术是综合运用数学、物理、生物、通信和计算机诸多学科的长期知识积累和最新发展成果的一门新兴技术，具体来说，包括的主要技术有：密码技术、高可信计算机技术、网络隔离技术、身份认证技术、网络监管技术、容灾与应急处理等技术。欧盟主要在以下两方面开发与完善信息安全技术。

1.1 制定安全技术标准，参与开发国际通用安全准则

1994年欧盟理事会和欧洲议会正式通过“欧洲信息高速

公路计划”，明确了欧盟信息社会建设的总体目标和重点行动领域。其主要目标和行动领域主要集中在加快信息和通信技术的基础设施建设与应用；形成适应欧盟统一市场格局的市场环境；促进标准化和网络互联；加强协调和管理，提高公民对信息社会的认识。在欧盟内部对信息和通信技术逐步形成统一标准的同时，1994年欧盟与美国、加拿大联合研制了信息技术安全评测公共标准0.9版，1996年，又颁布了1.0版[1]。

1998年，欧洲议会和欧盟理事会颁布了《关于制定技术标准和规章领域内信息供应程序的第98/34/E C 号指令》，要求所有成员国都应将打算制定的技术规范告知其他成员国，确保成员国技术标准或规范制定的透明度。

自2008年9月以来，为应对互联网域名系统中的安全漏洞，提高网络的健壮性, 推动先进、安全网络技术普及，欧洲网络与信息安全局（E NISA）大力推广三种标准的技术——IP v6、域名系统安全扩展（D N SSe c）和多协议标签交换协议（MPLS）的推广应用[2]。

上述安全标准的制定与技术标准的推动，为欧盟提高网络安全性、推动有效信息安全技术发展提供了重要技术依据，这对于保证安全设备的正常运行，并在此基础上保证欧盟经济和社会管理等领域中网络信息系统的运行安全和信息安全具有非常重要的意义。

1.2 重视信息安全技术的发展和更新

2000年，欧盟资助的N B SSIE 计划是欧盟委员会信息团体技术纲领下的一个项目，它公开召集分组加密算法、流加密算法、H A SH 函数、M AC 算法、数字签名方案、公钥加密方案，此外还开发一种评估方法（包括安全和性能评估）。

超宽带技术逐渐从军用领域走进人们日常生活领域，开辟了超宽带通信的新天地，在此基础上出现了通过使用超宽带技术的设备来利用射频频谱。因此，在2007年2月21日，欧盟委员会颁布了第2007／131／E C 号决定，允许在欧盟内

欧盟信息安全保障架构概述

刘迎

（工业和信息化部电子科学技术情报研究所，北京 100040）

摘　要：

随着信息技术在社会各个领域的逐步渗透，信息安全领域的国际竞争与合作也日趋激烈，本文探析了欧盟在信息安全技术、信息安全管理、信息安全政策等方面的措施和态势，对促进我国信息安全产业健康发展、构建更加完善规范的信息安全保障架构具有一定借鉴意义。

关键词：欧盟 信息安全 保障架构 安全技术 安全管理 安全政策中图分类号：TP393 文献标识码：A

24

2009.08

部使用超宽带技术设备来利用射频频谱，详细规定了使用条件、术语的定义、具体参数[3]。这一规定的颁布，有力地推动了超宽带技术的商业化。

2005年，为适应互联网技术发展与新型在线技术的使用，欧洲议会和欧盟理事会出台了《关于制定促进更安全使用互联网和新型在线技术的共同体多年度计划的第854/2005/E C号决定》。决定中明确提出执行计划的方法包括：对设计用于推广安全使用互联网和新在线的技术进行技术评估；对现有技术进行创新使用的方案；在可比基础上实施全欧研究。

此外，近年欧盟还加强了对可信计算、电子追踪、电子标签等技术和产品更新换代的研制与支持，如资助了可信计算项目O p e nT C，对基于开源软件开发可信安全的计算系统进行研究；资助了旨在促进R FID标准机构紧密合作的GRIF S 项目，提供了R FID标准领域的整体认识，挖掘出标准机构需要加强合作的领域[4]等。

2 安全管理层

信息安全管理层主要包括信息安全管理机构、体系及职能，安全基础研究和人才培养情况。

2.1 成立统一的信息安全机构

2004年3月，为提高欧共体范围内网络与信息安全的级别，提高欧共体、成员国以及业界团体对于网络与信息安全问题的防范、处理和响应能力，培养网络与信息安全文化，欧盟成立了“欧洲信息安全局（E NISA）”。该机构作为超越成员国和欧盟委员会之外的机构，对促进各利益主体间的协作具有基础性意义。其主要工作任务包括：

（1）收集相关的信息，分析当前和新出现的安全风险（主要针对欧洲范围），包括那些可能对电子通信网络的恢复性和可用性造成影响的风险，以及可能对通信网络所访问或传输信息的真实性、完整性和保密性造成影响的风险，并向各个成员国和欧盟委员会提供分析结果。

（2）应欧洲议会、欧盟委员会、欧洲团体或各个成员国指定团体的要求，提供相关咨询和帮助。

（3）增强网络与信息安全执行人员之间的合作交流，定期向工业界、大学和其他部门进行咨询，在欧共体组织、成员国制定的公共部门组织、私营部门以及消费者团体之间建立起联系网。

（4）促进欧盟委员会和各个成员国之间的合作，建立用于防范、处理和响应网络与信息安全问题的通用方法。

（5）致力于提高安全意识，向所有用户提供客观的、全面的网络与信息安全的相关信息，促进现有最佳实践的经验交流。

（6）协助欧盟委员会及各个成员国与工业界进行对话，以解决软硬件产品中存在的相关安全问题。

（7）跟踪网络与信息安全相关产品和服务标准的发展状况。

（8）向欧盟委员会提供有关网络与信息安全领域研究工作的建议，以及如何有效利用风险防范技术的建议。

（9）促进风险评估工作以及满足相互操作性的风险管理方案，并推动公共部门组织和私营部门组织对防御性管理解决方案的研究

（10）协助欧盟委员会与第三国和国际组织开展合作，建立通用的、全球化的、针对网络与信息安全问题的解决方案，并以此促进网络与信息安全文化的形成[5]。

2.2 各成员国信息安全相关机构情况

除统一的欧洲信息安全局外，欧盟各成员国均有各具特色的信息安全管理相关机构：

2.2.1 各国信息安全政策决定部门

一般来说，欧盟各国中确定解决网络与信息安全问题的战略政策最重要的政府部门包括：

（1）通信部：负责通信网络政策，以及有时参与信息基础设施保护。

（2）国家电子通信管理机构。

（3）国家数据保护办公室。

（4）内政部：负责国家安全、电子身份和网络犯罪的政策，有时参与关键信息基础设施保护。

（5）国防部：可能会与内政部合作制定网络反恐政策，通常是特定的网络与信息安全产品与服务的重要客户。

（6）公共行政/电子政务部：负责政府内部使用网络与信息安全的政策。

这些政府部门主要负责制定战略政策，并同其他国家公共机构以及私人组织协商，它们还在欧盟一级代表各自的国家。执行机构（有时是国内其他部委）具体落实这些安全政策，监测网络与信息安全威胁和攻击，组织协调对应措施，促进提高认识和发起教育活动。

2.2.2 各国公共网络与信息安全机构

公共网络与信息安全机构通常负有广泛的责任，特别是那些大型组织，如德国的信息安全联邦办公室和法国的中央信息系统安全司，其主要任务是收集重要的IT安全问题信息，提供咨询服务，为IT安全领域的重要政策制定提供建议。这些机构负责审批、保证和认证国家信息系统的安全，还在公共部门项目中参与开发IT安全应用系统和产品。

这些公共网络与信息安全机构通常活跃在国内和国际网络行动中，与对手或与国内其他非专业公共机构一起进行信息共享和风险管理。它们为信息技术产品的用户和制造商、国家、区域和地方级的其他主要公共机构提供服务，有时对私营部门提供认证服务。

其中重要的公共网络与信息安全机构有：奥地利：奥地利