航空工业协会呼吁建立安全的欧洲云基础设施

ASD 发布了一份全面的立场文件，解决了欧洲数字基础设施中的关键漏洞。该文件回应了欧盟委员会即将出台的《云和人工智能发展法案》，并概述了建立真正主权的欧洲云生态系统所需的紧急措施，以保护行业和公民利益。

欧洲面临的现实

欧洲的数字依赖不仅仅是一项技术挑战，它还对欧洲大陆的自主和安全构成了根本性风险。目前，总部位于美国的三大云提供商控制着欧洲云服务市场 65% 的份额，造成了结构性漏洞，影响了从政府运营到公民日常依赖的关键基础设施的方方面面。

这种依赖性意味着欧洲数据（包括有关公民、企业和政府运营的敏感信息）经常流经非欧洲实体控制的系统。其影响超出了技术问题，还包括数据隐私、服务可靠性以及欧洲在日益互联的世界中保持数字独立的能力。马里奥·德拉吉（Mario Draghi）最近的竞争力报告强调了这一脆弱性，并指出欧洲在数据中心容量方面明显落后于美国和中国。

风险是有形的、直接的。由于欧洲以外的规则发生变化，可能会发生服务中断，而非欧盟国家/地区可能会不当访问敏感数据。对于普通欧洲人来说，这意味着医疗保健系统、金融服务和支撑现代生活的数字基础设施存在潜在漏洞。

国防和安全：风险最高的地方

在这个分散的数字环境中，国防和安全部门面临着特别严峻的挑战。这些行业需要满足严格的安全性、可用性和保密性标准的云基础设施，这些标准通常超过商业产品。然而，有几个关键障碍阻碍了进展。

成员国之间的安全碎片化带来了重大的运营挑战。不同的国家采用不同的分类系统——法国的“Diffusion Restreinte”、德国的“VS-NfD”、西班牙的“Difusión Limitada”和意大利的“Riservato”——没有相互认可机制或云合规性的统一标准。这种拼凑的方法使安全的跨境协作变得异常困难。

缺乏统一认证使这些问题更加复杂。目前，还没有单一的欧盟范围内的认证计划来验证云服务是否符合欧洲主权保障。每个成员国都有自己的国家网络安全机构，但不存在泛欧机制来联合评估或认证处理受限国防数据的云服务。这种监管碎片化减缓了部署速度，并为需要跨境无缝协作的国防计划带来了法律不确定性。

现代国防计划涉及复杂的利益相关者网络，包括多个成员国的国防部、工业合作伙伴、中小企业和技术提供商。当前的云解决方案无法实现这种规模的有效协作所需的互作性水平，从而阻碍了欧洲有效开发下一代国防能力的能力。

尽管存在监管漏洞，但行业创新

欧洲航空航天和国防公司并非只是在等待改变。几项重大举措表明，欧洲安全和国防行业致力于建设主权数字基础设施，每一项举措都解决了云主权挑战的特定方面。

AEROSEC 项目代表了一项重要的协作努力。ASD 成员、空中客车公司、达索航空、达索系统、Indra、Leonardo 和 Outscale 正在开发一个专门用于国防应用的主权、安全和联合云平台。该项目的重点是实现安全数据共享、联合身份和访问管理以及跨国界和跨行业边界的多云功能。

达索航空和达索系统于 2023 年 6 月宣布建立 3DEXPERIENCE 合作伙伴关系，为包括未来作战空中系统在内的下一代国防计划开发安全的主权云环境。该计划利用了 OUTSCALE 获得法国国家网络安全机构颁发的 SecNumCloud 3.2 资格——法国可用的最高安全认证。

莱昂纳多于 2024 年 2 月启动了意大利国防部委托的 MILSCA 项目。这一雄心勃勃的举措旨在定义基于天基的云架构，直接在太空中为国防应用提供高性能计算和存储。

与此同时，空中客车公司领导了未来作战空中系统计划 [Airbus.com/en/products-services/defence/future-combat-air-system-fcas" rel="nofollow">https://www.Airbus.com/en/products-services/defence/future-combat-air-system-fcas] 的战斗云支柱，开发了一个跨越空中、陆地、海洋、太空和网络领域的去中心化、网络弹性网络。

海军部门也通过 2021 年启动的 EDINAF 项目进行了动员。由 Damen、Fincantier、Naval Group、Navantia、Saab 和 TKMS 等欧洲主要造船商组成的财团为军舰开发了参考数字架构。从 2027 年开始的后续阶段将定义海军作战云，建立在网络安全、面向云的舰艇数字架构之上。

ASD 对主权云基础设施的建议

ASD 的立场文件概述了创建强大的欧洲云生态系统所必需的具体技术和政策建议。这些建议既满足了数字主权所需的即时监管需求，也满足了长期战略能力。

监管框架需要几个紧迫的优先事项。ASD 呼吁所有欧盟成员国制定统一的安全标准来处理机密和敏感数据，建立明确的协议，以实现无缝协作，同时保持安全完整性。欧盟范围内的主权云服务认证计划将提供目前市场上不存在的法律确定性，可能基于 EUCS High+ 标准，确保提供商在欧盟境内保持总部和决策权，同时不受非欧盟控制。

公共采购的主权标准是另一个关键需求。当前的采购规则缺乏确保政府系统利用欧洲控制的基础设施的规范，使公共管理部门面临重大风险，同时阻碍真正欧洲云服务的开发。一个能够评估云技术以应对受限国防数据的统一认证机构将简化合规流程，并减少当前减缓跨境部署的碎片化。

欧洲主权云生态系统所需的技术能力包括多个复杂的系统。可信身份和访问管理系统必须跨多云和混合环境运行，确保跨分布式基础设施的强大可追溯性、强大的身份验证和基于角色的访问控制。在跨司法管辖区和分布式系统处理敏感或机密信息时，通过完全可信的加密（包括同态加密等先进技术）进行端到端保护变得至关重要。

国防计划需要透明和模块化的成本模型，允许根据使用情况、服务类型和特定任务要求进行精细的成本归因。这些模型支持预算灵活性和业务问责制，这对于复杂的长期国防项目至关重要。具有保证服务级别的多云服务目录将提供一个通用的、由欧盟管理的主权云服务市场，列出满足认证要求的欧洲提供商，并提供明确定义的服务级别协议。

为什么这很重要

欧洲云主权的成功发展远远超出了国防应用，创造的好处触及欧洲社会的方方面面。强大的“Cloud BY Europe”生态系统将加强对所有公民的数据隐私保护，确保个人和敏感信息保持在欧洲法律框架下，而不是受制于外国司法管辖区。

提高服务可靠性将减少由远程提供商的政策变化或地缘政治紧张局势造成的中断。欧洲企业将获得安全、可靠的数字基础设施，支持创新，同时保持对欧洲价值观和法规的遵守。从医疗保健系统到教育机构和应急响应网络的公共服务将在主权基础设施上运作，增强复原力并降低依赖风险。

经济影响是巨大的。国内云基础设施的发展将为成员国的高科技行业创造新的就业机会，同时减少欧洲资本向外国云提供商的外流。初创企业和中小企业将从一开始就获得欧洲控制的平台，从而培育本土创新生态系统。

也许最重要的是，主权云基础设施将为欧洲人工智能发展奠定基础。随着人工智能系统越来越依赖大量的计算资源和数据处理能力，欧洲对云基础设施的控制对于保持技术领先地位并确保人工智能发展符合欧洲价值观和监管框架至关重要。

《云和人工智能发展法案》代表了欧洲数字未来的关键时刻。通过应对 ASD 立场文件中概述的挑战，欧洲政策制定者可以将欧洲大陆从数字租户转变为数字主权国家，确保技术独立，同时促进为欧洲公民服务并加强欧盟战略自主权的创新。已经在进行的行业举措证明了这种转型的可行性和紧迫性——剩下的是实施监管框架的政治意愿，这将使欧洲的数字主权蓬勃发展。