歐盟網絡威脅情報共享進展及啟示研究

　　摘要:[目的/意義]網絡威脅情報是歐盟遏制網絡攻擊、網絡犯罪及建設安全智慧歐洲的重要工具。對歐盟網絡威脅情報共享進展情況進行分析,能夠為我國網絡安全建設和開展國際安全合作提供重要借鑒,推動我國網絡安全風險理念和應對能力的升級。[方法/過程]運用文獻分析、比較分析等方法,圍繞歐盟網絡威脅情報共享地位、共享機制、共享能力和5G網絡威脅進行了研究和分析。[結果/結論]歐盟基于多層安全治理模式,形成了歐盟主導、成員國主建、民間參與及執行機構統籌協調的網絡威脅情報共享發展模式,提升了歐盟網絡威脅情報的治理能力,值得我國借鑒。

　　關鍵詞:歐盟;威脅情報;共享機制;共享能力;5G威脅

　　隨著智慧歐洲建設和歐洲數字化轉型的深入,惡劣的威脅環境、復雜的網絡政治生態、頻繁的大規模跨境網絡攻擊、居高不下的網絡犯罪、日趨頻發的恐怖主義攻擊等網絡威脅,嚴重阻礙著歐盟網絡空間安全發展。為確保歐盟在網絡空間的優勢,消除成員國間的猜疑和威脅情報共享的障礙,提升應對網絡威脅的能力,歐盟基于多層安全治理模式[1],通過制定網絡安全戰略政策及法規標準,建立網絡威脅情報共享與合作機制,研發共享平臺,開展實戰演習,建設5G網絡威脅圖譜,以提升網絡空間治理能力。

　　1多角度確立網絡威脅情報共享的戰略地位

　　經過幾十年的發展,歐盟構建了以網絡安全組織體系、網絡安全戰略文件與法律法規體系、信息技術保障、網絡安全共享合作實踐、網絡安全文化五大保障機制為核心的戰略框架體系[2]。

　　尤其是2003年以來,歐盟發布的針對不同安全領域的系列戰略和法規標準,均明確指出了網絡安全信息共享的重要性,歐盟成員國也在本國的網絡安全戰略中強調建立信息共享機制,逐步形成多層次的網絡威脅情報共享規劃,確立了網絡威脅情報共享的戰略地位。信息基礎設施是歐盟網絡安全的重點,于2009年發布《關鍵信息基礎設施保護》[3],建議歐盟和成員國建立信息共享平臺,鼓勵非政府機構與政府建立合作,自愿開展信息共享。

　　同年發布《信息共享最佳實踐指南》,以指導歐盟成員國及其他利益方建立網絡安全信息交換機制,設立高級別安全專家例行會議制度等,開啟了信息共享與分析中心(ISAC)、公私合作伙伴(PPP)、關鍵信息基礎設施安全信息共享機制的建設熱潮。為應對內部威脅,歐盟出臺了兩部內部安全戰略,強調信息共享與合作。2010年3月出臺《歐盟內部安全戰略》,認為歐盟面臨恐怖主義、網絡犯罪、災害及文化侵害等威脅,需要協調不同領域及層面的機構合作執法,利用信息技術維護歐盟的網絡安全與內部的整體安全[4-5]。

　　2020年7月發布內部安全新戰略《歐盟安全聯盟戰略2020-2025》,認為面對復雜劇增的跨境跨部門威脅,歐盟的重點是:一是打擊恐怖主義和有組織犯罪,促進公共部門與私營部門間的合作和信息共享;二是推動跨境執法和國際合作,彌補各國法律分歧及協調不暢。戰略的重要任務之一是建設強大的歐洲安全生態系統,重點加強信息交換與合作,加強歐洲刑警組織協調與國際合作;制定與他國進行信息共享談判的框架,加強與外部伙伴的合作,培訓民眾應對網絡犯罪的基本技能。為指導歐盟網絡安全全面建設,2013年2月歐盟委員會出臺了網絡安全領域的首份戰略文件-《歐盟網絡安全戰略:開放、安全和可靠的網絡空間》(簡稱《戰略》),建議歐盟加強與國際伙伴合作,增強歐盟成員國之間、軍民之間、公私部門之間的共享與合作,制定歐盟網絡防御框架及統一的政策,以增強應對網絡威脅的集體防御能力和復原能力,提高歐盟網絡安全的穩定性,并探索與北約合作的可能性[6]。根據《戰略》要求,目前,成員國相繼發布了各自的國家網絡安全戰略(NCSS),并利用《國家網絡安全戰略評估框架》評估調整以應對新威脅;制定配套制度,成立專門機構應對網絡威脅。

　　為實現歐盟網絡韌性,基于2013版《戰略》基本框架,歐盟委員會于2020年12月16日發布《歐盟數字十年的網絡安全戰略》,作為歐盟“數字十年冶計劃的基本路線和行動綱領。新戰略強調三點:一是重點建立基于AI的安全運營中心網絡,為歐盟構建網絡安全盾牌;二是加強歐盟各機構與成員國政府的合作,運用網絡外交工具箱應對網絡惡意活動;三是加強國際合作和對話,建立歐盟網絡外交網絡,擴大歐盟GD鄄PR、標準、價值觀等的國際影響力,打造安全、開放、穩定的網絡空間防護體。

　　為實現NCSS信息互通,歐洲網絡與信息安全局(ENISA)構建了NCSS互動地圖,列出了歐盟成員國NCSS的所有文件、戰略目標和實施實例,形成一個戰略信息中心,展現成員國保護國家網絡安全的信息等,從而實現戰略安全威脅信息共享。為進一步提升威脅情報共享和利用水平,2019年11月歐盟委員會發布《增強歐盟未來網絡安全戰略價值鏈分析》的報告,強調實現軍用及民用關鍵領域網絡安全的融合,建立網絡安全威脅、風險及事件信息等的共享利用體系[7]。

　　2020年7月ENISA發布《可信且網絡安全的歐洲》戰略文件,強調要加強歐盟內部信息共享、態勢感知和危機溝通;建設歐盟網絡安全信息共享和知識管理體系。表明歐盟未來將把網絡威脅信息共享能力和威脅知識體系建設作為主要支撐。同時,歐盟陸續出臺更新了一系列法律法規[8],奠定網絡威脅情報共享的法律基礎。其中較為重要的是2011年5月9日出臺的《關鍵信息基礎設施保護法案:面向全球網絡安全的成就和下一步行動》、2016年7月6日通過的2016/118指令-《網絡與信息系統安全指令》(NIS指令)、2016/6法規《一般數據保護條例》(GDPR)和《歐盟網絡安全法》(2019/881號條例)。 《關鍵信息基礎設施保護法案》首次提出全球化網絡安全目標,部署了歐盟關鍵信息基礎設施保護計劃,推動各成員國共同加強關鍵信息基礎設施的防護[2]。NIS指令是歐盟層面的第一個綜合性網絡安全法規,構建了歐盟統一的網絡安全框架[9]。

　　NIS指令要求建立計算機安全事件響應團隊、信息共享與分析中心、確立安全事件報告義務,構建網絡安全信息共享機制,促進成員國內部和成員國之間的安全戰略協作和威脅情報共享,以及成員國、公共和私營部門之間的合作。2020年12月16日歐盟委員會提交了《網絡和信息系統安全指令》修訂稿(NIS2指令),要求建立歐洲網絡危機聯絡組織網絡,支持歐盟層面對大規模網絡安全事件和危機的協調管理;加強成員國之間的威脅信息共享與合作,發揮合作小組的作用;建立歐盟各地新發現漏洞威脅處理與披露機制。歐盟通過2018年5月25日施行的《一般數據保護條例》(GDPR)[10],構建了統一完備的數據安全治理體系,為保護包含隱私的數據共享提供了全球標準,也促使共享組織謹慎共享包含個人敏感信息或商業敏感機密信息的網絡威脅情報。為實現歐盟內部市場正常運作,提高網絡彈性和信任,2019年6月27日《歐盟網絡安全法案》正式實施生效。

　　法案明確了ENSIA作為永久性歐盟機構的地位和框架,建議成立歐盟級別的統一的ICT產品、流程和服務的歐盟網絡安全認證框架。證書由歐盟網絡安全認證中心頒發,以建立數字單一市場,實現一次認證、全域通過[11];法案促進了歐盟單一市場經濟的深度發展。歐盟的戰略規劃和法律文件相互關聯補充,充分展現了歐盟網絡威脅情報共享理念,確定了歐盟網絡威脅情報多層次共享思想和戰略地位。2搖構建網絡威脅情報共享機制為應對激增的新型網絡威脅,歐盟成立專門的網絡信息安全機構,并積極與情報部門協作,形成了歐盟、成員國、民間組織與情報機構協作的多層次網絡威脅共享機制。

　　2.1健全網絡安全機構,形成網絡威脅情報共享機制歐盟作為一個超國家集合體,發展不均衡引發眾多網絡安全隱患。為此歐盟成立了多種機構負責網絡信息安全工作,實現不同國家和機構的協調互聯。在歐盟層面,歐盟委員會、歐盟理事會、歐洲議會和對外行動署負責宏觀政策策略制定及立法工作,并成立多種網絡信息安全專職機構負責具體的協調互聯和治理合作。如ENISA主要協調歐盟層面的網絡安全調研、協調、落實等;歐洲刑警組織(Europol)負責監控打擊網絡犯罪;歐盟委員會下屬的通訊網絡、內容和技術總司(CNECT)負責商業和政府部門的網絡安全。

　　歐洲防務局(EDA)和歐盟軍事參謀部負責網絡攻擊和網絡情報,管轄歐盟網絡部隊,開發防御技術,提升防御能力;歐盟對外行動署(EEAS)負責網絡外交事務、軍事領域的跨國網絡安全和防御事務;歐盟計算機應急響應小組(EU-CERT)負責歐盟委員會、歐盟議會等主要機構網絡安全,歐洲成員國論壇(EFMS)負責政府部門的網絡安全,歐洲網絡彈性公私伙伴關系(EP3R)負責私營部門的網絡安全[12]。

　　同時,ENSIA、EDA和歐洲網絡犯罪中心(EC3),均設有各國派駐代表組建的管理委員會,確保歐盟各成員國網絡安全信息的共享與戰略協作,共同協同預警、處理各類網絡威脅及攻擊[1]。成立于2004年的ENISA作為歐盟永久性機構,通過知識共享、能力建設和合作,提高歐盟信息基礎設施的復原力和韌性。

　　其信息共享方面的主要職能是:協助各成員國建立計算機應急響應團隊(CSIRT)、公私合作伙伴關系(PPP)、信息共享與分析中心(ISAC),促進歐盟國家之間的合作和信息共享,推動歐盟成員國與安全產業界的業務合作共享;協調應對歐盟范圍內大規模跨境網絡安全事件;提供獨立的網絡威脅分析報告,報告歐盟重大的網絡事故;推進網絡安全和信息文化建設,增強公民網絡安全意識,向歐盟委員會提供安全建議和專業知識咨詢,定期向歐洲議會通報其活動;組織網絡行動,為歐盟成員國提供培訓教育和交流;支持歐盟開展網絡安全國際合作,組織參與網絡演練、以觀察員身份參與國際演習等[6][13]。ENSIA積極主動,出色地保護了關鍵信息基礎設施的安全,推動了GDPR的國際擴張,評估和溝通漏洞信息及網絡威脅信息等,尤其是自2012年起,ENSIA的《威脅前景展望(ThreatLandscape)》年度報告,具有很強的指導性和影響力。

　　為配合“關鍵信息基礎設施保護計劃冶(CIIP),歐盟于2004年創建關鍵基礎設施預警信息網絡委員會(CIWIN),2005年設立安全聯絡官和保護關鍵基礎設施聯絡點,定期做出風險評估報告。為提升歐盟安全事件的應急響應能力,2011年6月,歐盟成立由10名網絡技術專家組成的計算機應急反應小組(EU-CERT)。根據NIS指令,目前已有25個國家建立了網絡安全事件應急團隊(CSRIT),與EU-CERT共同組建成歐盟計算機安全事件應急團隊網絡(CSIRTs網絡),編織成一張網絡安全預警網。CS鄄RIT主要監測應對區域內的網絡安全事件,向相關利益方提供網絡安全風險的分析、預警和態勢感知,同時參與跨境安全事件處置的支持、信息交換、業務合作等[3]。

　　CSIRTs網絡主要負責網絡安全事件信息交換、為成員國跨境安全事務提供支持等。目前,大多數國家和政府的CSIRT都部署了安全信息和事件管理(SIEM)系統,以收集預警信息,處理威脅情報;各CSIRT之間也積極共享網絡威脅信息和事件響應信息,將有助于提升歐盟整體響應時效和能力。同時,歐盟也積極加入國際事件響應與安全組織(FIRST)和歐盟事件響應組織工作組(TF-CSRIT),推動歐盟內部和國際層面的溝通協調工作,尤其是網絡安全威脅和事件的自主監測發現、網絡威脅的預警通報、網絡安全威脅和事件的共享。網絡犯罪由歐洲刑警組織(Europol)和歐盟對內事務總司(DGHOME)協助統管,并建立統一協調機制,參與國際打擊網絡犯罪合作。

　　2013年1月啟用EC3,以提高打擊網絡犯罪集團的能力。2016年1月,啟用歐洲歐洲反恐中心(ECTC),成為了歐盟反恐斗爭的中央信息樞紐,促進了成員國在打擊圣戰分子、恐怖組織融資、互聯網煽動行動、“伊斯蘭國冶等恐怖主義等方面的情報共享與協調[2]。EEAS統籌負責歐盟的對外活動,以保護歐盟核心價值以及政治、戰略和經濟利益。

　　EEAS通過開展網絡信息安全及網絡外交工作,防御外部勢力的網絡攻擊;通過twitter、facebook社交媒體共享信息,同時積極參與各項國際網絡安全論壇、全球網絡安全峰會和網絡空間國際會議等。在國家層面,歐盟28個成員國在執行歐盟政策決議和本國的網絡安全網絡戰略規劃外,還設立專門的網絡安全機構,如德國聯邦信息技術安全和國家網絡安全委員會、法國國家信息系統安全局等,加強與電信、司法、情報部門的分工協作,以及與私營部門的合作。由于歐盟成員國之間網絡信息基礎設施發展不均衡,標準不統一,立法不一致,信息共享意愿不均等,網絡安全行動難以協調一致,導致網絡安全威脅情報難以跨國共享,網絡應急響應分隊時常遇到無法決定哪些情報數據可以分享的難題[1]。

　　2.2發展其他組織機構,擴展網絡威脅情報共享機制根據戰略規劃和職能要求,ENISA積極推動著民間信息共享組織的建設,先后發布《教育中的網絡信息安全合作方式》、《網絡和信息安全教育中的公私合作關系》、《2010-2013增強歐盟恢復力的公私合作關系》、《信息分享和分析中心》(ISACs)和《公私合作關系》(PPP)等專題報告,促進了歐盟網絡威脅情報共享組織的發展[14]。

　　3多渠道推動網絡威脅情報共享能力建設為應對未來信息安全問題,歐盟依據多層合作機制,通過網絡安全月活動和能力試點提升共享意識與技能,通過網絡實戰演習檢驗共享機制、梳理共享合作流程,通過創新計劃開展技術創新,研發威脅情報共享系統與平臺等,以提升網絡威脅情報的治理能力。

　　3.1培育歐盟網民安全意識和技能歐盟很注重提高公民的網絡安全意識和技能。2006年出臺《確保信息安全社會的戰略》,提出建立網絡信息安全多方磋商對話機制,營造人人參與的網絡安全文化氛圍。為落實好戰略實施,自2011年起,ENSIA于每年10月舉行不同主題的“歐洲網絡安全月(ECSM)冶活動,通過上萬場次的專題報告、戰略峰會等加大網絡意識和技能,并及時總結完善活動的原則與導向,如2019年2月ENSIA發布了《2018年歐洲網絡安全月部署報告》。

　　2014年起,歐盟網絡安全月與美國國家網絡安全意識月搭建合作平臺,采取共同行動,通過推特互動等交流經驗。網絡安全月活動吸引了更多企業和私人部門參與網絡安全治理,提升了網絡威脅共享范圍。總之,經過多年的努力,歐盟的威脅情報能力得到顯著提升。但是,歐盟作為龐大的經濟體,已成為全球網絡詐騙重災區、網絡恐怖主義攻擊的首要目標,網絡安全治理難度加大。

　　受網絡主權、相互信任和集體安全矛盾的制約,歐盟網絡威脅情報在信源質量、范圍、共享效果受到很大影響。由于網絡威脅情報的識別、補救與預防需要人工干預,而且網絡威脅中的隱私信息和隱性知識約束了成員國和組織共享的積極性,利益攸關者之間的信任問題導致網絡威脅情報共享過程自動化有限。由于美國在全源情報獲取能力方面的優勢,尤其是2017年爆發的WannaCry和NotPetya勒索軟件事件[23],使得歐盟將繼續擴展與盟國的威脅情報共享范圍,以保持其在網絡空間議題上的影響力和競爭優勢。

　　4加強5G網絡安全風險評估及威脅圖譜建設

　　5G是歐盟數字化轉型的關鍵動能。2016年9月歐盟委員會啟動“5G行動計劃冶,制定了歐盟5G技術基礎設施路線圖,目前所有成員國均在積極部署5G商用業務。5G網絡安全是歐盟維護技術主權的重要領域。為合理規避5G面臨的潛在安全風險,2019年3月26日歐盟委員會通過了《5G網絡安全建議書》,強調各成員國在歐盟網絡和信息安全合作小組(簡稱NIS合作小組)的協調下,各成員國應采取統一風險評估應對5G安全,重視成員國安全信息共享,突出5G網絡和設備認證規定[24]。歐盟十分重視5G網絡的安全風險評估。2019年10月9日,歐盟NIS合作小組根據各成員國提交的國家5G網絡安全風險評估結果,發布《歐盟5G網絡安全風險評估報告》。

　　報告采用了ISO/IEC:27005風險評估方法,分析了5G網絡的主要威脅、威脅實施者、受威脅的資產、各種脆弱點、戰略風險,確定全面實施5G網絡安全風險緩解措施[25],表達了對國家網絡攻擊、非歐盟供應商、設備漏洞和5G運維管理問題的擔憂[26],確定了可在歐盟層面和各成員國實施的5G網絡安全風險緩解措施。為支持網絡安全生態系統建設,歐盟定期提供5G威脅評估。

　　2019年11月,ENISA發布《5G網絡威脅態勢》報告,并于2020年12月4日發布更新版本。報告評估了與5G相關的威脅,概述了5G資產和5G資產面臨的網絡安全威脅圖譜和挑戰;認為5G網絡威脅分為核心網絡威脅、接入網威脅、多接入邊緣計算威脅、虛擬化威脅、物理基礎結構威脅和通用威脅。

　　5G面臨的網絡威脅主體包括網絡戰人員、網絡恐怖分子、網絡犯罪分子、國家、公司、黑客、內部員工等。報告建議各成員國及時向相關機構通報本國5G網絡運營建設情況,共享5G網絡基礎設施風險評估信息,對5G網絡安全風險形成共識[27];強調ISAC負責收集和共享5G相關信息與情報。建議各成員國、歐洲委員會、ENISA等應與5G利益相關方建立聯系,共享知識,建立完善的5G威脅情報與評估。

　　ENISA應加強統籌協調,向利益相關方傳播5G資產信息和威脅狀況,跟進5G發展,修改完善威脅評估和共享。2020年1月29日,NIS合作小組發布《5G網絡安全工具箱》指導文件,全面分析了歐盟5G網絡面臨的5類安全風險,建議歐盟成員國采取協調一致的8項戰略措施、11項技術措施和10項支持行動緩解風險[28]。2020年7月24日,NIS合作小組在歐盟委員會和ENSIA的支持下,發布了截至2020年6月,成員國進行“歐盟5G網絡安全工具箱冶實施進程報告,并要求成員國根據國際貿易的影響評估供應商的風險狀況。

　　電力論文投稿刊物：《保密科學技術》(月刊)創刊于2010年，是由國家保密科學技術研究所主辦、國家保密局主管。設置欄目：專家之聲、技術天地、法規標準、管理之窗、學科建設、國外資訊、科普園地、時訊瀏覽、權威發布。

　　總之,歐盟委員會將統籌協調制定歐盟層面的與5G網絡安全相關的政策、認證標準及各成員國規則執行情況,強化安全風險評估與監測手段,依托歐盟計劃和項目提高5G技術研發和商用推廣投入等,各成員國負責制定落實本國5G發展規劃和網絡安全管理。5搖啟示網絡威脅情報共享已融入歐盟及成員國網絡安全建設的諸多方面。針對網絡威脅情報收集融合、網絡應急響應協同機制等方面的難題,歐盟通過發布戰略規劃和多項法律法規明確了網絡威脅情報共享的地位和模式,并通過加強歐盟網絡威脅情報共享機制建設、開展共享實踐和能力意識培育,合理發揮了網絡威脅情報的治理能力。歐盟的經驗對推進我國網絡空間科學合理[29]建設、自主可控發展、共享體系構建和開展5G網絡國際合作具有借鑒指導意義。

　　參考文獻：

　　[1]搖宋文龍.歐盟網絡安全治理研究[M].北京:世界知識出版社,2019.

　　[2]搖周秋君.歐盟網絡安全戰略解析[J].歐洲研究,2015(3):60-80.

　　[3]搖王融.歐盟關鍵信息基礎設施保護制度研究[J].保密科學技術,2016(7):21-24.

　　[4]搖劉金瑞.歐盟網絡安全立法最新進展及其意義[J].網絡空間研究,2018(1):118-125.

　　[5]搖龍鳳釗.2019主要國家網絡信息安全保密法規和政策概覽[J].保密科學技術,2019(12):14-19.

　　[6]搖王婧.歐盟網絡安全戰略研究[D].北京:外交學院,2018:28-50.

　　[7]搖胡萬里.歐盟未來網絡安全戰略價值鏈分析及對我國啟示建議[J].保密科學技術,2020(1):50-53.

　　[8]搖劉崇瑞,孫寶云,張臻,等.《歐盟網絡安全法案》解讀與述評.[J].保密科學技術,2019(12):51-56.

　　作者：李留英

轉載請注明來自發表學術論文網：http://www.zpfmc.com/jjlw/26479.html