欧盟网络威胁情报共享进展及启示研究

　　摘要:[目的/意义]网络威胁情报是欧盟遏制网络攻击、网络犯罪及建设安全智慧欧洲的重要工具。对欧盟网络威胁情报共享进展情况进行分析,能够为我国网络安全建设和开展国际安全合作提供重要借鉴,推动我国网络安全风险理念和应对能力的升级。[方法/过程]运用文献分析、比较分析等方法,围绕欧盟网络威胁情报共享地位、共享机制、共享能力和5G网络威胁进行了研究和分析。[结果/结论]欧盟基于多层安全治理模式,形成了欧盟主导、成员国主建、民间参与及执行机构统筹协调的网络威胁情报共享发展模式,提升了欧盟网络威胁情报的治理能力,值得我国借鉴。

　　关键词:欧盟;威胁情报;共享机制;共享能力;5G威胁

　　随着智慧欧洲建设和欧洲数字化转型的深入,恶劣的威胁环境、复杂的网络政治生态、频繁的大规模跨境网络攻击、居高不下的网络犯罪、日趋频发的恐怖主义攻击等网络威胁,严重阻碍着欧盟网络空间安全发展。为确保欧盟在网络空间的优势,消除成员国间的猜疑和威胁情报共享的障碍,提升应对网络威胁的能力,欧盟基于多层安全治理模式[1],通过制定网络安全战略政策及法规标准,建立网络威胁情报共享与合作机制,研发共享平台,开展实战演习,建设5G网络威胁图谱,以提升网络空间治理能力。

　　1多角度确立网络威胁情报共享的战略地位

　　经过几十年的发展,欧盟构建了以网络安全组织体系、网络安全战略文件与法律法规体系、信息技术保障、网络安全共享合作实践、网络安全文化五大保障机制为核心的战略框架体系[2]。

　　尤其是2003年以来,欧盟发布的针对不同安全领域的系列战略和法规标准,均明确指出了网络安全信息共享的重要性,欧盟成员国也在本国的网络安全战略中强调建立信息共享机制,逐步形成多层次的网络威胁情报共享规划,确立了网络威胁情报共享的战略地位。信息基础设施是欧盟网络安全的重点,于2009年发布《关键信息基础设施保护》[3],建议欧盟和成员国建立信息共享平台,鼓励非政府机构与政府建立合作,自愿开展信息共享。

　　同年发布《信息共享最佳实践指南》,以指导欧盟成员国及其他利益方建立网络安全信息交换机制,设立高级别安全专家例行会议制度等,开启了信息共享与分析中心(ISAC)、公私合作伙伴(PPP)、关键信息基础设施安全信息共享机制的建设热潮。为应对内部威胁,欧盟出台了两部内部安全战略,强调信息共享与合作。2010年3月出台《欧盟内部安全战略》,认为欧盟面临恐怖主义、网络犯罪、灾害及文化侵害等威胁,需要协调不同领域及层面的机构合作执法,利用信息技术维护欧盟的网络安全与内部的整体安全[4-5]。

　　2020年7月发布内部安全新战略《欧盟安全联盟战略2020-2025》,认为面对复杂剧增的跨境跨部门威胁,欧盟的重点是:一是打击恐怖主义和有组织犯罪,促进公共部门与私营部门间的合作和信息共享;二是推动跨境执法和国际合作,弥补各国法律分歧及协调不畅。战略的重要任务之一是建设强大的欧洲安全生态系统,重点加强信息交换与合作,加强欧洲刑警组织协调与国际合作;制定与他国进行信息共享谈判的框架,加强与外部伙伴的合作,培训民众应对网络犯罪的基本技能。为指导欧盟网络安全全面建设,2013年2月欧盟委员会出台了网络安全领域的首份战略文件-《欧盟网络安全战略:开放、安全和可靠的网络空间》(简称《战略》),建议欧盟加强与国际伙伴合作,增强欧盟成员国之间、军民之间、公私部门之间的共享与合作,制定欧盟网络防御框架及统一的政策,以增强应对网络威胁的集体防御能力和复原能力,提高欧盟网络安全的稳定性,并探索与北约合作的可能性[6]。根据《战略》要求,目前,成员国相继发布了各自的国家网络安全战略(NCSS),并利用《国家网络安全战略评估框架》评估调整以应对新威胁;制定配套制度,成立专门机构应对网络威胁。

　　为实现欧盟网络韧性,基于2013版《战略》基本框架,欧盟委员会于2020年12月16日发布《欧盟数字十年的网络安全战略》,作为欧盟“数字十年冶计划的基本路线和行动纲领。新战略强调三点:一是重点建立基于AI的安全运营中心网络,为欧盟构建网络安全盾牌;二是加强欧盟各机构与成员国政府的合作,运用网络外交工具箱应对网络恶意活动;三是加强国际合作和对话,建立欧盟网络外交网络,扩大欧盟GD鄄PR、标准、价值观等的国际影响力,打造安全、开放、稳定的网络空间防护体。

　　为实现NCSS信息互通,欧洲网络与信息安全局(ENISA)构建了NCSS互动地图,列出了欧盟成员国NCSS的所有文件、战略目标和实施实例,形成一个战略信息中心,展现成员国保护国家网络安全的信息等,从而实现战略安全威胁信息共享。为进一步提升威胁情报共享和利用水平,2019年11月欧盟委员会发布《增强欧盟未来网络安全战略价值链分析》的报告,强调实现军用及民用关键领域网络安全的融合,建立网络安全威胁、风险及事件信息等的共享利用体系[7]。

　　2020年7月ENISA发布《可信且网络安全的欧洲》战略文件,强调要加强欧盟内部信息共享、态势感知和危机沟通;建设欧盟网络安全信息共享和知识管理体系。表明欧盟未来将把网络威胁信息共享能力和威胁知识体系建设作为主要支撑。同时,欧盟陆续出台更新了一系列法律法规[8],奠定网络威胁情报共享的法律基础。其中较为重要的是2011年5月9日出台的《关键信息基础设施保护法案:面向全球网络安全的成就和下一步行动》、2016年7月6日通过的2016/118指令-《网络与信息系统安全指令》(NIS指令)、2016/6法规《一般数据保护条例》(GDPR)和《欧盟网络安全法》(2019/881号条例)。 《关键信息基础设施保护法案》首次提出全球化网络安全目标,部署了欧盟关键信息基础设施保护计划,推动各成员国共同加强关键信息基础设施的防护[2]。NIS指令是欧盟层面的第一个综合性网络安全法规,构建了欧盟统一的网络安全框架[9]。

　　NIS指令要求建立计算机安全事件响应团队、信息共享与分析中心、确立安全事件报告义务,构建网络安全信息共享机制,促进成员国内部和成员国之间的安全战略协作和威胁情报共享,以及成员国、公共和私营部门之间的合作。2020年12月16日欧盟委员会提交了《网络和信息系统安全指令》修订稿(NIS2指令),要求建立欧洲网络危机联络组织网络,支持欧盟层面对大规模网络安全事件和危机的协调管理;加强成员国之间的威胁信息共享与合作,发挥合作小组的作用;建立欧盟各地新发现漏洞威胁处理与披露机制。欧盟通过2018年5月25日施行的《一般数据保护条例》(GDPR)[10],构建了统一完备的数据安全治理体系,为保护包含隐私的数据共享提供了全球标准,也促使共享组织谨慎共享包含个人敏感信息或商业敏感机密信息的网络威胁情报。为实现欧盟内部市场正常运作,提高网络弹性和信任,2019年6月27日《欧盟网络安全法案》正式实施生效。

　　法案明确了ENSIA作为永久性欧盟机构的地位和框架,建议成立欧盟级别的统一的ICT产品、流程和服务的欧盟网络安全认证框架。证书由欧盟网络安全认证中心颁发,以建立数字单一市场,实现一次认证、全域通过[11];法案促进了欧盟单一市场经济的深度发展。欧盟的战略规划和法律文件相互关联补充,充分展现了欧盟网络威胁情报共享理念,确定了欧盟网络威胁情报多层次共享思想和战略地位。2摇构建网络威胁情报共享机制为应对激增的新型网络威胁,欧盟成立专门的网络信息安全机构,并积极与情报部门协作,形成了欧盟、成员国、民间组织与情报机构协作的多层次网络威胁共享机制。

　　2.1健全网络安全机构,形成网络威胁情报共享机制欧盟作为一个超国家集合体,发展不均衡引发众多网络安全隐患。为此欧盟成立了多种机构负责网络信息安全工作,实现不同国家和机构的协调互联。在欧盟层面,欧盟委员会、欧盟理事会、欧洲议会和对外行动署负责宏观政策策略制定及立法工作,并成立多种网络信息安全专职机构负责具体的协调互联和治理合作。如ENISA主要协调欧盟层面的网络安全调研、协调、落实等;欧洲刑警组织(Europol)负责监控打击网络犯罪;欧盟委员会下属的通讯网络、内容和技术总司(CNECT)负责商业和政府部门的网络安全。

　　欧洲防务局(EDA)和欧盟军事参谋部负责网络攻击和网络情报,管辖欧盟网络部队,开发防御技术,提升防御能力;欧盟对外行动署(EEAS)负责网络外交事务、军事领域的跨国网络安全和防御事务;欧盟计算机应急响应小组(EU-CERT)负责欧盟委员会、欧盟议会等主要机构网络安全,欧洲成员国论坛(EFMS)负责政府部门的网络安全,欧洲网络弹性公私伙伴关系(EP3R)负责私营部门的网络安全[12]。

　　同时,ENSIA、EDA和欧洲网络犯罪中心(EC3),均设有各国派驻代表组建的管理委员会,确保欧盟各成员国网络安全信息的共享与战略协作,共同协同预警、处理各类网络威胁及攻击[1]。成立于2004年的ENISA作为欧盟永久性机构,通过知识共享、能力建设和合作,提高欧盟信息基础设施的复原力和韧性。

　　其信息共享方面的主要职能是:协助各成员国建立计算机应急响应团队(CSIRT)、公私合作伙伴关系(PPP)、信息共享与分析中心(ISAC),促进欧盟国家之间的合作和信息共享,推动欧盟成员国与安全产业界的业务合作共享;协调应对欧盟范围内大规模跨境网络安全事件;提供独立的网络威胁分析报告,报告欧盟重大的网络事故;推进网络安全和信息文化建设,增强公民网络安全意识,向欧盟委员会提供安全建议和专业知识咨询,定期向欧洲议会通报其活动;组织网络行动,为欧盟成员国提供培训教育和交流;支持欧盟开展网络安全国际合作,组织参与网络演练、以观察员身份参与国际演习等[6][13]。ENSIA积极主动,出色地保护了关键信息基础设施的安全,推动了GDPR的国际扩张,评估和沟通漏洞信息及网络威胁信息等,尤其是自2012年起,ENSIA的《威胁前景展望(ThreatLandscape)》年度报告,具有很强的指导性和影响力。

　　为配合“关键信息基础设施保护计划冶(CIIP),欧盟于2004年创建关键基础设施预警信息网络委员会(CIWIN),2005年设立安全联络官和保护关键基础设施联络点,定期做出风险评估报告。为提升欧盟安全事件的应急响应能力,2011年6月,欧盟成立由10名网络技术专家组成的计算机应急反应小组(EU-CERT)。根据NIS指令,目前已有25个国家建立了网络安全事件应急团队(CSRIT),与EU-CERT共同组建成欧盟计算机安全事件应急团队网络(CSIRTs网络),编织成一张网络安全预警网。CS鄄RIT主要监测应对区域内的网络安全事件,向相关利益方提供网络安全风险的分析、预警和态势感知,同时参与跨境安全事件处置的支持、信息交换、业务合作等[3]。

　　CSIRTs网络主要负责网络安全事件信息交换、为成员国跨境安全事务提供支持等。目前,大多数国家和政府的CSIRT都部署了安全信息和事件管理(SIEM)系统,以收集预警信息,处理威胁情报;各CSIRT之间也积极共享网络威胁信息和事件响应信息,将有助于提升欧盟整体响应时效和能力。同时,欧盟也积极加入国际事件响应与安全组织(FIRST)和欧盟事件响应组织工作组(TF-CSRIT),推动欧盟内部和国际层面的沟通协调工作,尤其是网络安全威胁和事件的自主监测发现、网络威胁的预警通报、网络安全威胁和事件的共享。网络犯罪由欧洲刑警组织(Europol)和欧盟对内事务总司(DGHOME)协助统管,并建立统一协调机制,参与国际打击网络犯罪合作。

　　2013年1月启用EC3,以提高打击网络犯罪集团的能力。2016年1月,启用欧洲欧洲反恐中心(ECTC),成为了欧盟反恐斗争的中央信息枢纽,促进了成员国在打击圣战分子、恐怖组织融资、互联网煽动行动、“伊斯兰国冶等恐怖主义等方面的情报共享与协调[2]。EEAS统筹负责欧盟的对外活动,以保护欧盟核心价值以及政治、战略和经济利益。

　　EEAS通过开展网络信息安全及网络外交工作,防御外部势力的网络攻击;通过twitter、facebook社交媒体共享信息,同时积极参与各项国际网络安全论坛、全球网络安全峰会和网络空间国际会议等。在国家层面,欧盟28个成员国在执行欧盟政策决议和本国的网络安全网络战略规划外,还设立专门的网络安全机构,如德国联邦信息技术安全和国家网络安全委员会、法国国家信息系统安全局等,加强与电信、司法、情报部门的分工协作,以及与私营部门的合作。由于欧盟成员国之间网络信息基础设施发展不均衡,标准不统一,立法不一致,信息共享意愿不均等,网络安全行动难以协调一致,导致网络安全威胁情报难以跨国共享,网络应急响应分队时常遇到无法决定哪些情报数据可以分享的难题[1]。

　　2.2发展其他组织机构,扩展网络威胁情报共享机制根据战略规划和职能要求,ENISA积极推动着民间信息共享组织的建设,先后发布《教育中的网络信息安全合作方式》、《网络和信息安全教育中的公私合作关系》、《2010-2013增强欧盟恢复力的公私合作关系》、《信息分享和分析中心》(ISACs)和《公私合作关系》(PPP)等专题报告,促进了欧盟网络威胁情报共享组织的发展[14]。

　　3多渠道推动网络威胁情报共享能力建设为应对未来信息安全问题,欧盟依据多层合作机制,通过网络安全月活动和能力试点提升共享意识与技能,通过网络实战演习检验共享机制、梳理共享合作流程,通过创新计划开展技术创新,研发威胁情报共享系统与平台等,以提升网络威胁情报的治理能力。

　　3.1培育欧盟网民安全意识和技能欧盟很注重提高公民的网络安全意识和技能。2006年出台《确保信息安全社会的战略》,提出建立网络信息安全多方磋商对话机制,营造人人参与的网络安全文化氛围。为落实好战略实施,自2011年起,ENSIA于每年10月举行不同主题的“欧洲网络安全月(ECSM)冶活动,通过上万场次的专题报告、战略峰会等加大网络意识和技能,并及时总结完善活动的原则与导向,如2019年2月ENSIA发布了《2018年欧洲网络安全月部署报告》。

　　2014年起,欧盟网络安全月与美国国家网络安全意识月搭建合作平台,采取共同行动,通过推特互动等交流经验。网络安全月活动吸引了更多企业和私人部门参与网络安全治理,提升了网络威胁共享范围。总之,经过多年的努力,欧盟的威胁情报能力得到显著提升。但是,欧盟作为庞大的经济体,已成为全球网络诈骗重灾区、网络恐怖主义攻击的首要目标,网络安全治理难度加大。

　　受网络主权、相互信任和集体安全矛盾的制约,欧盟网络威胁情报在信源质量、范围、共享效果受到很大影响。由于网络威胁情报的识别、补救与预防需要人工干预,而且网络威胁中的隐私信息和隐性知识约束了成员国和组织共享的积极性,利益攸关者之间的信任问题导致网络威胁情报共享过程自动化有限。由于美国在全源情报获取能力方面的优势,尤其是2017年爆发的WannaCry和NotPetya勒索软件事件[23],使得欧盟将继续扩展与盟国的威胁情报共享范围,以保持其在网络空间议题上的影响力和竞争优势。

　　4加强5G网络安全风险评估及威胁图谱建设

　　5G是欧盟数字化转型的关键动能。2016年9月欧盟委员会启动“5G行动计划冶,制定了欧盟5G技术基础设施路线图,目前所有成员国均在积极部署5G商用业务。5G网络安全是欧盟维护技术主权的重要领域。为合理规避5G面临的潜在安全风险,2019年3月26日欧盟委员会通过了《5G网络安全建议书》,强调各成员国在欧盟网络和信息安全合作小组(简称NIS合作小组)的协调下,各成员国应采取统一风险评估应对5G安全,重视成员国安全信息共享,突出5G网络和设备认证规定[24]。欧盟十分重视5G网络的安全风险评估。2019年10月9日,欧盟NIS合作小组根据各成员国提交的国家5G网络安全风险评估结果,发布《欧盟5G网络安全风险评估报告》。

　　报告采用了ISO/IEC:27005风险评估方法,分析了5G网络的主要威胁、威胁实施者、受威胁的资产、各种脆弱点、战略风险,确定全面实施5G网络安全风险缓解措施[25],表达了对国家网络攻击、非欧盟供应商、设备漏洞和5G运维管理问题的担忧[26],确定了可在欧盟层面和各成员国实施的5G网络安全风险缓解措施。为支持网络安全生态系统建设,欧盟定期提供5G威胁评估。

　　2019年11月,ENISA发布《5G网络威胁态势》报告,并于2020年12月4日发布更新版本。报告评估了与5G相关的威胁,概述了5G资产和5G资产面临的网络安全威胁图谱和挑战;认为5G网络威胁分为核心网络威胁、接入网威胁、多接入边缘计算威胁、虚拟化威胁、物理基础结构威胁和通用威胁。

　　5G面临的网络威胁主体包括网络战人员、网络恐怖分子、网络犯罪分子、国家、公司、黑客、内部员工等。报告建议各成员国及时向相关机构通报本国5G网络运营建设情况,共享5G网络基础设施风险评估信息,对5G网络安全风险形成共识[27];强调ISAC负责收集和共享5G相关信息与情报。建议各成员国、欧洲委员会、ENISA等应与5G利益相关方建立联系,共享知识,建立完善的5G威胁情报与评估。

　　ENISA应加强统筹协调,向利益相关方传播5G资产信息和威胁状况,跟进5G发展,修改完善威胁评估和共享。2020年1月29日,NIS合作小组发布《5G网络安全工具箱》指导文件,全面分析了欧盟5G网络面临的5类安全风险,建议欧盟成员国采取协调一致的8项战略措施、11项技术措施和10项支持行动缓解风险[28]。2020年7月24日,NIS合作小组在欧盟委员会和ENSIA的支持下,发布了截至2020年6月,成员国进行“欧盟5G网络安全工具箱冶实施进程报告,并要求成员国根据国际贸易的影响评估供应商的风险状况。

　　电力论文投稿刊物：《保密科学技术》(月刊)创刊于2010年，是由国家保密科学技术研究所主办、国家保密局主管。设置栏目：专家之声、技术天地、法规标准、管理之窗、学科建设、国外资讯、科普园地、时讯浏览、权威发布。

　　总之,欧盟委员会将统筹协调制定欧盟层面的与5G网络安全相关的政策、认证标准及各成员国规则执行情况,强化安全风险评估与监测手段,依托欧盟计划和项目提高5G技术研发和商用推广投入等,各成员国负责制定落实本国5G发展规划和网络安全管理。5摇启示网络威胁情报共享已融入欧盟及成员国网络安全建设的诸多方面。针对网络威胁情报收集融合、网络应急响应协同机制等方面的难题,欧盟通过发布战略规划和多项法律法规明确了网络威胁情报共享的地位和模式,并通过加强欧盟网络威胁情报共享机制建设、开展共享实践和能力意识培育,合理发挥了网络威胁情报的治理能力。欧盟的经验对推进我国网络空间科学合理[29]建设、自主可控发展、共享体系构建和开展5G网络国际合作具有借鉴指导意义。

　　参考文献：

　　[1]摇宋文龙.欧盟网络安全治理研究[M].北京:世界知识出版社,2019.

　　[2]摇周秋君.欧盟网络安全战略解析[J].欧洲研究,2015(3):60-80.

　　[3]摇王融.欧盟关键信息基础设施保护制度研究[J].保密科学技术,2016(7):21-24.

　　[4]摇刘金瑞.欧盟网络安全立法最新进展及其意义[J].网络空间研究,2018(1):118-125.

　　[5]摇龙凤钊.2019主要国家网络信息安全保密法规和政策概览[J].保密科学技术,2019(12):14-19.

　　[6]摇王婧.欧盟网络安全战略研究[D].北京:外交学院,2018:28-50.

　　[7]摇胡万里.欧盟未来网络安全战略价值链分析及对我国启示建议[J].保密科学技术,2020(1):50-53.

　　[8]摇刘崇瑞,孙宝云,张臻,等.《欧盟网络安全法案》解读与述评.[J].保密科学技术,2019(12):51-56.

　　作者：李留英

转载请注明来自发表学术论文网：http://www.fbxslw.com/jjlw/26479.html