欧盟信息安全保障架构概述.doc

doi ：10.3969/j.issn.1671-1122.2009.08.006 欧盟信息安全保障架构概述 刘迎 （工业和信息化部电子科学技术情报研究所，北京 100040） 摘 要 ：随着信息技术在社会各个领域的逐步渗透，信息安全领域的国际竞争与合作也日趋激烈，本文探析了欧盟在信息安 全技术、信息安全管理、信息安全政策等方面的措施和态势，对促进我国信息安全产业健康发展、构建更加完善规范的信息安全 保障架构具有一定借鉴意义。 关键词 ：欧盟 信息安全 保障架构 安全技术 安全管理 安全政策 中图分类号 ：TP393 文献标识码 ：A 欧洲信息技术起源于 20 世纪 60 年代中期，几乎和美国 互联网技术的发端是同步的。上世纪 90 年代以来，欧盟以 1993 年 12 月《德洛尔白皮书》和 1994 年 3 月《本杰曼报告》 的提出为标志，以发展欧盟诸国经济、解决社会突出问题、 重新树立欧盟在国际政治舞台的地位等为目标，把发展信息 技术提升到国家战略的高度并在欧盟各国广泛普及，在信息 战略落实过程中不断根据实际情况调整实施计划以适应国家 和社会需求。随着信息技术的飞速发展，社会运行对信息安 全规范管理的需求日益迫切，1992 年的《信息安全框架决议》 （92/242EE C）成为欧盟信息安全立法的起点，此后欧盟陆续 出台了“关于网络和信息安全领域通用方法和特殊行动的决 议”、“关于对信息系统攻击的委员会框架协议”、“欧洲信息社 会安全战略”等等政策举措，有效地保证了整个欧盟的信息 安全，欧盟逐渐成为一个在信息安全技术、管理、政策法律 等方面具有集合优势的新的联盟体，同时也为其他国家信息 安全保障框架的构建与完善提供了可供借鉴的经验和资源。 欧盟的信息安全架构主要分为以下三个层次，即 ：安全 技术层、安全管理层、安全政策层。在整个架构中，信息安 全技术的发展是推动，信息安全政策的完善是保障，信息安 全管理的健全是手段，三者相辅相成，互相作用，共同构筑 了欧盟的信息安全保障架构。 公路计划”，明确了欧盟信息社会建设的总体目标和重点行动 领域。其主要目标和行动领域主要集中在加快信息和通信技 术的基础设施建设与应用 ；形成适应欧盟统一市场格局的市 场环境 ；促进???准化和网络互联 ；加强协调和管理，提高公 民对信息社会的认识。在欧盟内部对信息和通信技术逐步形 成统一标准的同时，1994 年欧盟与美国、加拿大联合研制了 信息技术安全评测公共标准 0.9 版，1996 年，又颁布了 1.0 版 [1]。 1998 年，欧洲议会和欧盟理事会颁布了《关于制定技术 标准和规章领域内信息供应程序的第 98/34/E C 号指令》，要 求所有成员国都应将打算制定的技术规范告知其他成员国， 确保成员国技术标准或规范制定的透明度。 自 2008 年 9 月以来，为应对互联网域名系统中的安全漏 洞，提高网络的健壮性 , 推动先进、安全网络技术普及，欧 洲网络与信息安全局（E NISA）大力推广三种标准的技术—— IP v6、域名系统安全扩展（D NSSe c）和多协议标签交换协议 （MPLS）的推广应用 [2]。 上述安全标准的制定与技术标准的推动，为欧盟提高网络 安全性、推动有效信息安全技术发展提供了重要技术依据， 这对于保证安全设备的正常运行，并在此基础上保证欧盟经 济和社会管理等领域中网络信息系统的运行安全和信息安全 具有非常重要的意义。 1.2 重视信息安全技术的发展和更新 2000 年，欧盟资助的 N B SSIE 计划是欧盟委员会信息团 体技术纲领下的一个项目，它公开召集分组加密算法、流加 密算法、H ASH 函数、M AC 算法、数字签名方案、公钥加密 方案，此外还开发一种评估方法（包括安全和性能评估）。 超宽带技术逐渐从军用领域走进人们日常生活领域，开 辟了超宽带通信的新天地，在此基础上出现了通过使用超宽 1 安全技术层 信息安全技术是综合运用数学、物理、生物、通信和计算 机诸多学科的长期知识积累和必威体育精装版发展成果的一门新兴技术， 具体来说，包括的主要技术有：密码技术、高可信计算机技术、 网络隔离技术、身份认证技术、网络监管技术、容灾与应急处 理等技术。欧盟主要在以下两方面开发与完善信息安全技术。 1.1 制定安全技术标准，参与开发国际通用安全准则 1994 年欧盟理事会和欧洲议会正式通过“欧洲信息高速 带技术的设备来利用射频频谱。因此，在 2007 年 2 月 21 日， 欧盟委员会颁布了第 2007／131／ E C 号决定，允许在欧盟内 部使用超宽带技术设备来利用射频频谱，详细规定了使用条 件、术语的定义、具体参数 [3]。这一规定的颁布，有力地推 动了超宽带技术的商业化。 2005 年，为适应互联网技术发展与新型在线技术