從去年電信運營商TalkTalk網(wǎng)站遭黑客大規(guī)模攻擊事件到最近發(fā)生的烏克蘭電力系統(tǒng)遭黑客攻擊事件，我們可以清楚地看到網(wǎng)絡(luò)漏洞產(chǎn)生的現(xiàn)實影響。它不再僅僅關(guān)乎一家公司是否遭到黑客攻擊，而是什么時候會受到攻擊。

歐盟一直以其捍衛(wèi)用戶隱私而聞名，但在網(wǎng)絡(luò)安全問題上，歐盟的做法卻落后于美國。盡管我們生活在相互關(guān)聯(lián)的世界之中，但直至目前，歐盟尚未出臺任何法規(guī)以解決網(wǎng)絡(luò)安全問題。

作為歐盟網(wǎng)絡(luò)安全戰(zhàn)略的一部分，歐盟于2014年3月發(fā)布了《網(wǎng)絡(luò)與信息安全指令》（NIS）提案，旨在加強成員國的數(shù)據(jù)安全。指令旨在創(chuàng)建成員國之間的合作機制，同時確立了所有核心服務(wù)的安全要求。

Splunk公司安全專員馬提亞斯-邁爾（Matthias Maier）指出，“攻擊可以發(fā)生在任意時間。我們從過去的經(jīng)驗中可以得知，制定正確的策略可以明顯提高公司從攻擊中恢復(fù)的速度。”

歐洲議會與歐盟議會在2015年12月7日就歐盟委員會的提案達成協(xié)議，《網(wǎng)絡(luò)與信息安全指令》提案草案于11天后公布。歐盟內(nèi)部市場委員會于2016年1月14日舉行投票，支持這一政治協(xié)定。《網(wǎng)絡(luò)與信息安全指令》旨在為歐盟成員國提供高水平的網(wǎng)絡(luò)與信息安全，不僅用于應(yīng)對黑客的網(wǎng)絡(luò)攻擊，還用于應(yīng)對技術(shù)故障及自然災(zāi)害。

指令所要試圖解決的核心問題之一是網(wǎng)絡(luò)不受地域和國籍限制。英國政府科學(xué)技術(shù)委員會成員馬特-沃曼（Matt Warman）指出，在解決重要的網(wǎng)絡(luò)問題時，“更高水平的合作有利于緩解矛盾”。他認(rèn)為，“矛盾一方面源于源于缺乏溝通，另一方面源于不同立法采取的政策大相徑庭。”

《網(wǎng)絡(luò)與信息安全指令》大體可以分為四個部分：

1、各成員國采取國家NIS戰(zhàn)略——該框架包括國家層面信息安全的戰(zhàn)略目標(biāo)及優(yōu)先事項；

2、確定具體執(zhí)行主管部門以為成員間提供跨境支持及戰(zhàn)略合作；

3、建立計算機安全事故應(yīng)急小組 (CSIRTs) 以開展有效運行合作；

4、制定核心服務(wù)及數(shù)字服務(wù)提供商所需遵循的安全及通知要求。

由于指令大部分內(nèi)容最終將會在政府政策層面實施，因此將會對英國產(chǎn)業(yè)產(chǎn)生極大的影響。

提案草案第1章第14條規(guī)定，“成員國應(yīng)確保核心服務(wù)運營商采取合理及適度的技術(shù)和組織措施，以應(yīng)對其運營所使用的網(wǎng)絡(luò)與信息系統(tǒng)安全中存在的風(fēng)險。”受到該立法影響的公司是條文中被定義為“核心服務(wù)運營商”的公司。這一廣義定義中包括運營內(nèi)容重點為下列任意行業(yè)的公司：

能源（電力、石油及天然氣）；

運輸（陸運、鐵路、航空及水運）；

銀行；

金融市場基礎(chǔ)設(shè)施；

醫(yī)療衛(wèi)生領(lǐng)域（公共及私人）；

飲用水供應(yīng)及分配；

數(shù)字基礎(chǔ)設(shè)施（互聯(lián)網(wǎng)交換點，域名系統(tǒng)（DNS）服務(wù)提供商及頂級域名注冊）。

核心服務(wù)公司不僅需要管理其網(wǎng)絡(luò)中存在的風(fēng)險，還需要確保采取適當(dāng)措施以防止攻擊并將攻擊成功的潛在風(fēng)險最小化。

對于建議適用何種安全協(xié)議，指令提案只規(guī)定該協(xié)議應(yīng)符合當(dāng)前的技術(shù)發(fā)展水平。指令提案并未建議任何適當(dāng)措施，如雙重驗證或加密。由于技術(shù)處于飛速發(fā)展之中，明確特定措施會使得指令在幾年內(nèi)即被廢除。

指令同時強制要求公司報告具有“重大破壞性影響”的事故。“重大破壞性影響”需根據(jù)受該破壞性事故影響的用戶數(shù)量、事故持續(xù)時間、事故的地域傳播以及破壞性影響的范圍等因素確定。

相關(guān)信息

通知中須包括所有與事故相關(guān)的信息，以使得主管部門或CSIRT確定該事故的跨境影響。通知義務(wù)不會使公司承擔(dān)任何附加責(zé)任，但如果其后發(fā)現(xiàn)公司知而不報，則會受到處罰。一些公司可能不想暴露其安全已受到威脅，這是由于其品牌形象可能遭受損害。但是如果他們之后被發(fā)現(xiàn)未及時通報攻擊事件，其聲譽會受到更大損失，同時還需繳納罰款。

非提供核心服務(wù)的公司可以自愿報告對其所提供的服務(wù)持續(xù)性具有重大影響的事故。這一自愿通知行為不會使得公司承擔(dān)指令項下的任何其他義務(wù)。

英國工業(yè)聯(lián)合會代理會長湯姆-薩克雷（Tom Thackray）認(rèn)為，“采取有效的空間安全（措施）是數(shù)字經(jīng)濟成功的基礎(chǔ)，所有企業(yè)需要保證他們評估其網(wǎng)絡(luò)風(fēng)險，并采取強有力的保護措施以保障其資產(chǎn)、知識產(chǎn)權(quán)、客戶數(shù)據(jù)及品牌。但是，強制行動或報告可能還不夠成熟。在網(wǎng)絡(luò)安全問題上，應(yīng)當(dāng)允許企業(yè)自行管理其風(fēng)險及投資決策。目前，許多企業(yè)已采取此做法。”

數(shù)字服務(wù)提供商

指令還規(guī)定屬于“數(shù)字服務(wù)提供商”的公司——即提供在線市場、搜索引擎或計算機服務(wù)的公司——同樣需要確保其“明確并采取合理及適度的技術(shù)和組織措施，以應(yīng)對其運營所使用的網(wǎng)絡(luò)與信息系統(tǒng)安全中存在的風(fēng)險。”

指令還適用于提供核心數(shù)字服務(wù)的第三方公司，該類公司對核心服務(wù)供應(yīng)商服務(wù)持續(xù)性起到重要作用。任何對核心服務(wù)持續(xù)條款造成影響的事項都需公布。該責(zé)任由爭議事項的核心服務(wù)運營商承擔(dān)。

核心服務(wù)運營商及數(shù)字服務(wù)提供商將需接受主管部門審計以確保其網(wǎng)絡(luò)與信息系統(tǒng)符合最低安全要求。主管部門有權(quán)發(fā)布具有約束力的命令，要求核心服務(wù)運營商對其運營行為進行修正。

大型公司已具備大量《網(wǎng)絡(luò)與信息安全指令》提案所要求的系統(tǒng)。例如BT公司自信地認(rèn)為指令將對其運營活動造成極小影響，甚至不會造成任何影響。BT公司發(fā)言人稱，“我們已經(jīng)擁有全球計算機事故應(yīng)急小組（CERT），目前該小組一直在運作，其規(guī)模也在不斷擴大。”

安全協(xié)議

然而，小型公司目前無需廣泛的安全協(xié)議而采取行動，以符合指令規(guī)定。Skyscraper實驗室常務(wù)董事亞歷山大-莫伊謝耶夫（Alexander Moiseev）認(rèn)為，“根據(jù)各公司已采取的措施不同，其所承擔(dān)的費用也有所不同，如報告、職員以及空間安全戰(zhàn)略的制定等。”但是這些短期花費會帶來長期回報。他指出，“長遠(yuǎn)來看，這將會節(jié)省時間與金錢。這些預(yù)防措施將有助于緩解巨大的空間安全風(fēng)險，包括數(shù)字服務(wù)干擾，甚至對重要基礎(chǔ)設(shè)施的物理攻擊等。”而其最大的益處在于可以在事故發(fā)生之前就予以阻止。

接下來的兩個月將對指令的語言表述是否符合法言法語進行審查，但不會涉及對術(shù)語的修改。在此之后，歐洲議會將會通過最終文本，而后再由歐洲議會批準(zhǔn)，該指令才得以正式發(fā)布生效。

國內(nèi)立法

歐洲議會及歐洲理事會正式通過該指令后，指令的最終文本將由歐盟官方公報正式發(fā)布。成員國將在此后的21個月內(nèi)將該指令轉(zhuǎn)換為國內(nèi)法，并延長六個月的時間以確定其核心服務(wù)的供應(yīng)商。薩克雷指出，“指令中的許多要求已在英國法中有過規(guī)定。因此實施該指令將會相當(dāng)簡單。”該指令將于2018年年中正式生效。屆時，所有納入指令項下的公司都將全面遵循指令規(guī)定。

隨著惡意攻擊數(shù)量日益增加，《網(wǎng)絡(luò)與信息安全指令》旨在通過建立普遍高水平的網(wǎng)絡(luò)安全以強制公司加強其系統(tǒng)。來自卡巴斯基實驗室的莫伊謝耶夫（Moiseev）指出，“由于僅遵循相關(guān)規(guī)定已不足以應(yīng)對當(dāng)前網(wǎng)絡(luò)威脅所帶來的多樣性風(fēng)險，我們相信公司會自行制定并實施明確的網(wǎng)絡(luò)安全及恢復(fù)策略以加強信息安全。”

譯自：2016年1月 【英國】www.computerweekly.com

編譯：工業(yè)和信息化部國際經(jīng)濟技術(shù)合作中心 薩楚拉