歐盟網路安全法案：建通用網路安全認證系統

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全7月29日訊 2018年5月29日，歐盟委員會發起了一項歐洲未來網路安全章程（《歐盟網路安全法案》）的提議。

《歐盟網路安全法案》是一種更廣泛的「網路安全數據包」（Cybersecurity Package）的表現形式，「網路安全數據包」的概念最初於2017年提出，後經過了一段時間的影響評估，並接受了各界評論。在網路風險不斷增加的形勢下，《歐盟網路安全法案》：

• 將把歐盟網路和信息安全署（ENISA）定位成歐盟永久性機構，從而加強 ENISA 的力量。

• 還將為信息和通訊技術（ICT）等產品創建一個歐洲網路安全認證框架，旨在歐盟內部提供網路彈性和響應能力，協調各種標準以提升效率也是歐盟「數字單一市場」（Digital Singl Market）戰略的核心主題。

一項提議要成為正式法案，還需得到歐洲議會的批准。

歐盟網路安全署：ENISA將發揮重要作用

《歐盟網路安全法案》的首個主要政策就是指定 ENISA 為永久性的歐盟網路安全機構。

ENISA 最初創立於2004年，當時是一個臨時性的歐盟機構，負責歐盟的網路和信息安全。那之後，由於網路安全問題不斷，所以該機構得到拓展。

現在的 ENISA 可以組織歐盟網路威脅演習，以測試歐盟面對威脅的恢復能力，該機構為國家性的「網路安全緊急事件響應團隊」（CSIRT）提供支持，且提供了一個分享信息和最佳實例的論壇。

在《歐盟網路安全法案》之下，ENISA 會繼續專註政策發展和部署。該機構將持續為網路安全政策提供參考，並將於歐盟各國的 CSIRT 團隊一同應對網路安全事件，並且 ENISA 的許可權還將被擴大。

歐盟委員會推薦對大規模網路安全事件和威脅採取協同響應，協助進行國際性標準的開發，並監控歐盟範圍內 ICT 設備的網路安全認證框架，而 ENISA 將在這一過程中起到更大的推動作用。

推行通用網路安全認證系統

《歐盟網路安全法案》的第二個主要任務就是網路安全認證框架的概念。這項提議的目的是防止採用不同標準的成員國之間出現不必要的分歧。可以通過在不同司法管轄區降低產品認證費用來實現。擬議的認證框架還涉及讓不同成員國的認證產品得到相互認可。這會讓產品快速走向市場，因為產品免去了多國認證的麻煩。

一個通用的網路安全認證框架有幾點潛在好處：

• 使得成員國更容易開發具有互操作性的產品。

• 在具有高度分化節點的網路之間，可縮小安全差距。

• 可以增強歐盟範圍內消費者對相關認證產品的信任度，因此可鼓勵智能設備的消費和使用。或許還將為認證產品打上標記或標籤以實現這一目標。

《歐盟網路安全法案》列出了最終確定網路安全認證框架所需要的一些要素：

第一，一個認證框架需要國家級的評估機構，以確保他們具備評估產品的技術能力。

第二，一個認證框架需要明確定義的評估標準和準則，以監控產品是否符合要求，再授予和更新網路安全認證。一個網路認證框架還要能夠報告和處理以前未檢測出的漏洞。

《歐盟網路安全法案》考慮到了實施一個認證系統的不同方法。例如，私企針對預先發布的標準，對產品一致性進行自評，然後再由私企執行認證。這一該概念並不完善，因為自認證過程中可能會不夠客觀。另一種方式是，ENISA 和國家級監管機構執行一個端到端的認證過程，包括認證檢查和差評測試。雖然這樣比較客觀，但是耗時費力，成本也更高。最終，或許是根據產品類型，將兩種方法以不同方式組合在一起使用。

對於擬議網路安全認證框架一事，還有許多問題。還不清楚歐盟委員會是否要出台通用的或專用的網路安全指南。由於不同產品和服務的網路安全需求不同，所以很難出台「一刀切」的標準。從國際角度講，也不清楚擬定的歐盟網路安全認證框架怎樣和其他國家的標準共存。要創建一個有效的網路安全認證框架，就需要解決這些問題。

《歐盟網路安全法案》突出了兩大趨勢。

第一，不斷增加的數字化和聯網設備帶來越來越多的網路安全風險，網路安全已經成為政府的一項重要事務。因此，與網路安全準備相關的機構都擴大了其投資。澳大利亞最近擴大「澳大利亞網路安全中心」，美國目前正在重新評估自己的網路戰略。加拿大政府目前正考慮對其《個人信息保護和電子文件法》進行實質性修訂，而且加拿大金融機構和投資行業監管機構辦公室發布了網路安全指南。

第二個趨勢是國際合作的需要。跨邊界的網路安全事件越來越常見，而且這類事件都需要綜合性的全球響應。擬議的歐盟網路安全認證框架就是這種協作的成果之一。由於ICT產品有著複雜的全球供應鏈，歐盟必須同其他國家合作，以實現認證體系的相互認可。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！