网络安全政策法规月月谈（第6期-国外篇）

1.欧盟委员会发布《网络团结法案》，强化欧盟网络安全基本主张

【内容概述】2023年4月18日，欧盟委员会提出了《欧盟网络团结法案》（EU Cyber Solidarity Act）（以下简称《团结法案》）提案，《团结法案》旨在加强欧盟对重大网络安全威胁和攻击的准备、检测和响应能力，同时加强现有的合作机制。

《团结法案》的核心内容包括以下三方面。第一，建立欧洲网络盾牌（European Cyber Shield）（以下简称“网络盾”），网络盾由欧盟多个跨境安全运营中心（SOC）组成，旨在利用先进工具（如人工智能、高级数据分析）来加强预警和处理网络威胁的能力。第二，建立网络应急机制（Cyber Emergency Mechanism），具体行动包括：一是开展准备行动，如根据常见的风险情景和方法对关键部门实体进行潜在漏洞测试；二是创建新的欧盟网络安全后备军，主要由可信私营部门组成，以帮助政府机构应对大规模网络攻击事件；三是建立互助机制以支持欧盟国家间相互提供网络安全援助。第三，建立网络安全事件审查机制（Cybersecurity Incident Review Mechanism），要求欧盟网络安全局（ENISA）与有关机构合作审查重大网络安全事件，并提交一份审查报告。此外，《团结法案》提出的上述行动还将获得11亿欧元（约合人民币84亿元）的资金支持。

【导读分析】近年来，欧盟高度重视网络安全体系建设，持续发布一系列网络安全相关政策文件，如《网络安全战略》（The Cybersecurity Strategy）、《关于在欧盟全境实现高度统一网络安全措施的指令》（Directive on measures for a high common level of cybersecurity across the Union）、《网络弹性法案》（Cyber Resilience Act）、《网络安全法案》（Cybersecurity Act）等。本次发布的《团结法案》进一步完善了欧盟网络安全法律体系，对提升欧盟网络弹性具有重要意义。

从本提案可以看出欧盟在对待网络安全方面的几个基本主张和态度。一是注重技术防御，从“网络盾”的设置和运营模式不难发现，欧盟在网络安全防护体系建设中，较强调先进技术在网络安全中的融合应用，如人工智能等。二是重视强调监管，尽管欧美一贯宣扬网络自由观念，但实际上也在持续部署各种监管和审查手段，如本次法案所提出的网络安全事件审查制度等。三是看重公私合作，这一点在创建欧盟网络安全后备军、强化网络安全应急机制等方面体现的淋漓尽致。四是开展集体防御，这可以视为欧洲集体防御政策在网络安全领域的延伸，以夯实成员国之间的协同，促进欧洲的区域网络安全防护体系不断走向健全。

2.美国CISA发布《零信任成熟度模型》（第二版），完善国土安全领域零信任实施规范

【内容概述】2023年4月11日，美国网络安全与基础设施安全局（CISA）发布了《零信任成熟度模型》（第二版）（Zero Trust Maturity Model Version 2.0）（以下简称《零信任模型2.0》）。《零信任模型2.0》是支持美国联邦政府机构向零信任架构过渡的方式之一，旨在帮助美国联邦机构评估和改进其零信任安全策略和实践的水平，提高其安全防护能力和减轻可能面临的风险。

《零信任模型2.0》将零信任成熟度历程分为传统、初始、高级和最佳四个阶段，并从五个支柱维度分别列出实现不同零信任成熟度阶段的具体功能。其中，可见性和分析能力（Visibility and Analytics）、自动化和编排能力（Automation and Orchestration）、治理能力（Governance）是五个支柱的通用功能，其他功能还包括：身份（Identity）功能——身份验证、身份存储、风险评估、访问管理（新增功能）等；设备（Devices）功能——资源访问、策略执行与合规监测（新增功能）、资产与供应链风险管理（新增功能）、设备威胁防护（新增功能）等；网络（Networks）功能——网络市场细分、通讯加密、网络流量管理（新增功能）、网络弹性（新增功能）；应用程序（Applications and Workloads）功能——应用程序访问、应用威胁防护、无障碍应用程序、应用程序安全测试、安全应用程序开发和部署流程（新增功能）；数据（Data）功能——数据库存管理、数据访问、数据加密、数据分类（新增功能）、数据可用性（新增功能）等。

【导读分析】近年来，美国政府高度重视对“零信任”的战略部署，相关部门先后发布了一系列零信任相关政策和规范，如：《推动美国政府向网络安全零信任原则迈进备忘录》（白宫）、《拥抱零信任安全模型指南》（国家安全局）、《国防部零信任战略》（国防部）、《零信任架构》（商务部 NIST）、《基于零信任架构的企业移动安全计划》（国土安全部 CISA）等。

本次发布的《零信任模型》进一步完善了美国国土安全领域零信任的实施规范，并在《零信任成熟度模型1.0》基础上，对零信任成熟度阶段、关键支柱的功能、评估指标与描述等方面作出更新。

目前，我国正在积极推进零信任相关政策及标准制定，此前发布《网络安全产业高质量发展三年行动计划（2021-2023年）》，对零信任相关技术研发和产业化提出推进措施；目前还正在推进零信任专项标准的研发，如《信息安全技术 零信任参考体系架构》（征求意见稿）等。

美国国土安全部发布的零信任相关政策战略和标准规范，在具体内容和实施方式上均有值得我们借鉴之处。如美国对零信任划分不同发展阶段，并以“功能支柱”的形式，对各阶段零信任发展目标水平做出明确分解，这种标准架构方式可以为我国零信任标准体系的构建提供参考。此外，该标准所提到的一些关键技术点，也可以成为我们开展零信任技术攻关、产品方案研发等工作可供参考的发展方向，如可见性分析、自动化和编排、网络弹性等。