欧盟网络威胁情报共享进展及启示研究
2021-01-03李留英
李留英
(国防大学政治学院 上海 200433)
随着智慧欧洲建设和欧洲数字化转型的深入,恶劣的威胁环境、复杂的网络政治生态、频繁的大规模跨境网络攻击、居高不下的网络犯罪、日趋频发的恐怖主义攻击等网络威胁,严重阻碍着欧盟网络空间安全发展。为确保欧盟在网络空间的优势,消除成员国间的猜疑和威胁情报共享的障碍,提升应对网络威胁的能力,欧盟基于多层安全治理模式[1],通过制定网络安全战略政策及法规标准,建立网络威胁情报共享与合作机制,研发共享平台,开展实战演习,建设5G网络威胁图谱,以提升网络空间治理能力。
1 多角度确立网络威胁情报共享的战略地位
经过几十年的发展,欧盟构建了以网络安全组织体系、网络安全战略文件与法律法规体系、信息技术保障、网络安全共享合作实践、网络安全文化五大保障机制为核心的战略框架体系[2]。尤其是2003年以来,欧盟发布的针对不同安全领域的系列战略和法规标准,均明确指出了网络安全信息共享的重要性,欧盟成员国也在本国的网络安全战略中强调建立信息共享机制,逐步形成多层次的网络威胁情报共享规划,确立了网络威胁情报共享的战略地位。
信息基础设施是欧盟网络安全的重点,于2009年发布《关键信息基础设施保护》[3],建议欧盟和成员国建立信息共享平台,鼓励非政府机构与政府建立合作,自愿开展信息共享。同年发布《信息共享最佳实践指南》,以指导欧盟成员国及其他利益方建立网络安全信息交换机制,设立高级别安全专家例行会议制度等,开启了信息共享与分析中心(ISAC)、公私合作伙伴(PPP)、关键信息基础设施安全信息共享机制的建设热潮。
为应对内部威胁,欧盟出台了两部内部安全战略,强调信息共享与合作。2010年3月出台《欧盟内部安全战略》,认为欧盟面临恐怖主义、网络犯罪、灾害及文化侵害等威胁,需要协调不同领域及层面的机构合作执法,利用信息技术维护欧盟的网络安全与内部的整体安全[4-5]。2020年7月发布内部安全新战略《欧盟安全联盟战略2020-2025》,认为面对复杂剧增的跨境跨部门威胁,欧盟的重点是:一是打击恐怖主义和有组织犯罪,促进公共部门与私营部门间的合作和信息共享;二是推动跨境执法和国际合作,弥补各国法律分歧及协调不畅。战略的重要任务之一是建设强大的欧洲安全生态系统,重点加强信息交换与合作,加强欧洲刑警组织协调与国际合作;制定与他国进行信息共享谈判的框架,加强与外部伙伴的合作,培训民众应对网络犯罪的基本技能。
为指导欧盟网络安全全面建设,2013年2月欧盟委员会出台了网络安全领域的首份战略文件-《欧盟网络安全战略:开放、安全和可靠的网络空间》(简称《战略》),建议欧盟加强与国际伙伴合作,增强欧盟成员国之间、军民之间、公私部门之间的共享与合作,制定欧盟网络防御框架及统一的政策,以增强应对网络威胁的集体防御能力和复原能力,提高欧盟网络安全的稳定性,并探索与北约合作的可能性[6]。根据《战略》要求,目前,成员国相继发布了各自的国家网络安全战略(NCSS),并利用《国家网络安全战略评估框架》评估调整以应对新威胁;制定配套制度,成立专门机构应对网络威胁。
为实现欧盟网络韧性,基于2013版《战略》基本框架,欧盟委员会于2020年12月16日发布《欧盟数字十年的网络安全战略》,作为欧盟“数字十年”计划的基本路线和行动纲领。新战略强调三点:一是重点建立基于AI的安全运营中心网络,为欧盟构建网络安全盾牌;二是加强欧盟各机构与成员国政府的合作,运用网络外交工具箱应对网络恶意活动;三是加强国际合作和对话,建立欧盟网络外交网络,扩大欧盟GDPR、标准、价值观等的国际影响力,打造安全、开放、稳定的网络空间防护体。
为实现NCSS信息互通,欧洲网络与信息安全局(ENISA)构建了NCSS互动地图,列出了欧盟成员国NCSS的所有文件、战略目标和实施实例,形成一个战略信息中心,展现成员国保护国家网络安全的信息等,从而实现战略安全威胁信息共享。
为进一步提升威胁情报共享和利用水平,2019年11月欧盟委员会发布《增强欧盟未来网络安全战略价值链分析》的报告,强调实现军用及民用关键领域网络安全的融合,建立网络安全威胁、风险及事件信息等的共享利用体系[7]。2020年7月ENISA发布《可信且网络安全的欧洲》战略文件,强调要加强欧盟内部信息共享、态势感知和危机沟通;建设欧盟网络安全信息共享和知识管理体系。表明欧盟未来将把网络威胁信息共享能力和威胁知识体系建设作为主要支撑。
同时,欧盟陆续出台更新了一系列法律法规[8],奠定网络威胁情报共享的法律基础。其中较为重要的是2011年5月9日出台的《关键信息基础设施保护法案:面向全球网络安全的成就和下一步行动》、2016年7月6日通过的2016/118指令-《网络与信息系统安全指令》(NIS指令)、2016/6法规《一般数据保护条例》(GDPR)和《欧盟网络安全法案》(2019/881号条例)。
《关键信息基础设施保护法案》首次提出全球化网络安全目标,部署了欧盟关键信息基础设施保护计划,推动各成员国共同加强关键信息基础设施的防护[2]。
NIS指令是欧盟层面的第一个综合性网络安全法规,构建了欧盟统一的网络安全框架[9]。NIS指令要求建立计算机安全事件响应团队、信息共享与分析中心、确立安全事件报告义务,构建网络安全信息共享机制,促进成员国内部和成员国之间的安全战略协作和威胁情报共享,以及成员国、公共和私营部门之间的合作。2020年12月16日欧盟委员会提交了《网络和信息系统安全指令》修订稿(NIS 2指令),要求建立欧洲网络危机联络组织网络,支持欧盟层面对大规模网络安全事件和危机的协调管理;加强成员国之间的威胁信息共享与合作,发挥合作小组的作用;建立欧盟各地新发现漏洞威胁处理与披露机制。
欧盟通过2018年5月25日施行的《一般数据保护条例》(GDPR)[10],构建了统一完备的数据安全治理体系,为保护包含隐私的数据共享提供了全球标准,也促使共享组织谨慎共享包含个人敏感信息或商业敏感机密信息的网络威胁情报。
为实现欧盟内部市场正常运作,提高网络弹性和信任,2019年6月27日《欧盟网络安全法案》正式实施生效。法案明确了ENSIA作为永久性欧盟机构的地位和框架,建议成立欧盟级别的统一的ICT产品、流程和服务的欧盟网络安全认证框架。证书由欧盟网络安全认证中心颁发,以建立数字单一市场,实现一次认证、全域通过[11];法案促进了欧盟单一市场经济的深度发展。
欧盟的战略规划和法律文件相互关联补充,充分展现了欧盟网络威胁情报共享理念,确定了欧盟网络威胁情报多层次共享思想和战略地位。
2 构建网络威胁情报共享机制
为应对激增的新型网络威胁,欧盟成立专门的网络信息安全机构,并积极与情报部门协作,形成了欧盟、成员国、民间组织与情报机构协作的多层次网络威胁共享机制。
2.1健全网络安全机构,形成网络威胁情报共享机制欧盟作为一个超国家集合体,发展不均衡引发众多网络安全隐患。为此欧盟成立了多种机构负责网络信息安全工作,实现不同国家和机构的协调互联。
在欧盟层面,欧盟委员会、欧盟理事会、欧洲议会和对外行动署负责宏观政策策略制定及立法工作,并成立多种网络信息安全专职机构负责具体的协调互联和治理合作。如ENISA主要协调欧盟层面的网络安全调研、协调、落实等;欧洲刑警组织(Europol)负责监控打击网络犯罪;欧盟委员会下属的通讯网络、内容和技术总司(CNECT)负责商业和政府部门的网络安全;欧洲防务局(EDA)和欧盟军事参谋部负责网络攻击和网络情报,管辖欧盟网络部队,开发防御技术,提升防御能力;欧盟对外行动署(EEAS)负责网络外交事务、军事领域的跨国网络安全和防御事务;欧盟计算机应急响应小组(EU -CERT)负责欧盟委员会、欧盟议会等主要机构网络安全,欧洲成员国论坛(EFMS)负责政府部门的网络安全,欧洲网络弹性公私伙伴关系(EP3R)负责私营部门的网络安全[12]。同时,ENSIA、EDA和欧洲网络犯罪中心(EC3),均设有各国派驻代表组建的管理委员会,确保欧盟各成员国网络安全信息的共享与战略协作,共同协同预警、处理各类网络威胁及攻击[1]。
成立于2004年的ENISA作为欧盟永久性机构,通过知识共享、能力建设和合作,提高欧盟信息基础设施的复原力和韧性。其信息共享方面的主要职能是:协助各成员国建立计算机应急响应团队(CSIRT)、公私合作伙伴关系(PPP)、信息共享与分析中心(ISAC),促进欧盟国家之间的合作和信息共享,推动欧盟成员国与安全产业界的业务合作共享;协调应对欧盟范围内大规模跨境网络安全事件;提供独立的网络威胁分析报告,报告欧盟重大的网络事故;推进网络安全和信息文化建设,增强公民网络安全意识,向欧盟委员会提供安全建议和专业知识咨询,定期向欧洲议会通报其活动;组织网络行动,为欧盟成员国提供培训教育和交流;支持欧盟开展网络安全国际合作,组织参与网络演练、以观察员身份参与国际演习等[6][13]。ENSIA积极主动,出色地保护了关键信息基础设施的安全,推动了GDPR的国际扩张,评估和共享漏洞信息及网络威胁信息等,尤其是自2012年起,ENSIA的《威胁前景展望(Threat Landscape)》年度报告,具有很强的指导性和影响力。
为配合“关键信息基础设施保护计划”(CIIP),欧盟于2004年创建关键基础设施预警信息网络委员会(CIWIN),2005年设立安全联络官和保护关键基础设施联络点,定期做出风险评估报告。
为提升欧盟安全事件的应急响应能力,2011年6月,欧盟成立由10名网络技术专家组成的计算机应急反应小组(EU-CERT)。根据NIS指令,目前已有25个国家建立了网络安全事件应急团队(CSRIT),与EU-CERT共同组建成欧盟计算机安全事件应急团队网络(CSIRTs 网络),编织成一张网络安全预警网。CSRIT主要监测应对区域内的网络安全事件,向相关利益方提供网络安全风险的分析、预警和态势感知,同时参与跨境安全事件处置的支持、信息交换、业务合作等[3]。CSIRTs网络主要负责网络安全事件信息交换、为成员国跨境安全事务提供支持等。目前,大多数国家和政府的CSIRT都部署了安全信息和事件管理(SIEM)系统,以收集预警信息,处理威胁情报;各CSIRT之间也积极共享网络威胁信息和事件响应信息,将有助于提升欧盟整体响应时效和能力。同时,欧盟也积极加入国际事件响应与安全组织(FIRST)和欧盟事件响应组织工作组(TF-CSRIT),推动欧盟内部和国际层面的沟通协调工作,尤其是网络安全威胁和事件的自主监测发现、网络威胁的预警通报、网络安全威胁和事件的共享。
网络犯罪由欧洲刑警组织(Europol)和欧盟对内事务总司(DG HOME)协助统管,并建立统一协调机制,参与国际打击网络犯罪合作。2013年1月启用EC3,以提高打击网络犯罪集团的能力。2016年1月,启用欧洲欧洲反恐中心(ECTC),成为了欧盟反恐斗争的中央信息枢纽,促进了成员国在打击圣战分子、恐怖组织融资、互联网煽动行动、“伊斯兰国”等恐怖主义等方面的情报共享与协调[2]。
EEAS统筹负责欧盟的对外活动,以保护欧盟核心价值以及政治、战略和经济利益。EEAS通过开展网络信息安全及网络外交工作,防御外部势力的网络攻击;通过twitter、facebook社交媒体共享信息,同时积极参与各项国际网络安全论坛、全球网络安全峰会和网络空间国际会议等。
在国家层面,欧盟28个成员国在执行欧盟政策决议和本国的网络安全网络战略规划外,还设立专门的网络安全机构,如德国联邦信息技术安全和国家网络安全委员会、法国国家信息系统安全局等,加强与电信、司法、情报部门的分工协作,以及与私营部门的合作。
由于欧盟成员国之间网络信息基础设施发展不均衡,标准不统一,立法不一致,信息共享意愿不均等,网络安全行动难以协调一致,导致网络安全威胁情报难以跨国共享,网络应急响应分队时常遇到无法决定哪些情报数据可以分享的难题[1]。
2.2发展其他组织机构,扩展网络威胁情报共享机制根据战略规划和职能要求,ENISA积极推动民间信息共享组织的建设,先后发布《教育中的网络信息安全合作方式》《网络和信息安全教育中的公私合作关系》《2010-2013增强欧盟恢复力的公私合作关系》《信息分享和分析中心》(ISACs)和《公私合作关系》(PPP)等专题报告,促进了欧盟网络威胁情报共享组织的发展[14]。
信息共享和分析中心(ISAC)是交换网络威胁情报(主要是关键基础设施)和促进网络安全协作的非营利性组织,也是APT等的绝佳信源。在《信息共享最佳实践指南》(GPG)指导下,许多欧盟成员国成立了ISAC。2020年10月26日ENSIA根据ISAC概念开放发布了在线综合工具盒“一体式信息共享和分析中心”,推出ISAC工具包,内含活动、文档、工具、设置和运行ISAC所需的一切文档,以支持各群体参与ISAC的建立、开发和评估。
为促进金融、能源等行业的网络安全建设,2013年4月,在ENISA协助下,部分网络安全公司联合成立了欧洲网络安全小组,联合600多名网络安全专家快速解决各类网络安全问题。政府和组织也创建了行业技术共享小组,试图缓解行业漏洞。
为推动更广泛合作,2011年欧盟启动“未来互联网公私伙伴关系现代计划”(FI-PPP)。2016年7月5日,欧盟委员会启动网络安全公私合作伙伴关系(PPP)计划,与安全界建立了第一个欧洲网络安全公私合作伙伴关系[14],并通过“地平线2020”计划促进政府、企业、民间社团、工业界和科研院所的广泛参与、创新与合作。欧盟各国与facebook、twitter等建立数据保护协议,通过PPP提高用户数据安全。
同时,欧盟的很多私营组织和机构也组建了欧盟网络安全技术和威胁情报沟通网,如TF-CSIRT、FIRST、欧洲政府CERT群(由英国德国CERT构成),以应对网络威胁。2004年,为增强全球网络态势感知和事件响应能力,欧盟、美国、日本与澳大利亚等国成立了国际监测和预警网络(IWWN),建立了信息共享国际合作机制[1]。IWWN通过参加网络风暴Ⅲ和网络风暴Ⅳ演习,改善了国家网络事件响应计划(NCIRP)的处理流程、程序、合作机制和共享机制。
欧盟情报机构也大力支持威胁情报共享建设。欧盟的警用情报、外事情报、军事情报和其他具有情报功能的机构均涉及网络安全事务[12]。2003年成立的欧洲情报分析中心、2017年欧盟和北约共同建立的混合威胁应对中心,都可提供专业化的威胁情报。为消除英国脱欧带来的信任和共享缺口影响,2020年2月,23个欧洲国家建立了情报合作机构-欧洲情报学院(ICE),通过定期的论坛进行交流和共享。
由于缺乏统一的威胁情报共享主管机构,各部门和机构缺乏协调机制,因此很难协调各部门各成员国的威胁情报,难以真正实现欧盟层面威胁情报的共享利用。2020年,欧盟拟计划建立增强泛欧网络安全中心,以连接欧洲网络安全社群,协调国家层面的网络安全资源,从战略高度识别应对关键网络威胁和技术方向。
3 多渠道推动网络威胁情报共享能力建设
为应对未来信息安全问题,欧盟依据多层合作机制,通过网络安全月活动和能力试点提升共享意识与技能,通过网络实战演习检验共享机制、梳理共享合作流程,通过创新计划开展技术创新,研发威胁情报共享系统与平台等,以提升网络威胁情报的治理能力。
3.1培育欧盟网民安全意识和技能欧盟很注重提高公民的网络安全意识和技能。2006年出台《确保信息安全社会的战略》,提出建立网络信息安全多方磋商对话机制,营造人人参与的网络安全文化氛围。
为落实好战略实施,自2011年起,ENSIA于每年10月举行不同主题的“欧洲网络安全月(ECSM)”活动,通过上万场次的专题报告、战略峰会等加大网络意识和技能,并及时总结完善活动的原则与导向,如2019年2月ENSIA发布了《2018年欧洲网络安全月部署报告》。2014年起,欧盟网络安全月与美国国家网络安全意识月搭建合作平台,采取共同行动,通过推特互动等交流经验。网络安全月活动吸引了更多企业和私营部门参与网络安全治理,提升了网络威胁共享范围。
为减少网络安全人才短缺对经济发展和国家安全的影响,2019年12月,ENSIA发布《欧洲网络安全技能发展》报告,认为需要设计网络安全教育与培训方式。在“Horizon 2020”支持下,2019年欧盟开始建立欧洲网络安全能力网络和中心(ECCNC),制定欧洲网络安全研究与创新路线图。为解决欧盟网络安全人才短缺和技能水平不足问题,响应欧盟委员会2020年7月发布的《欧洲技能议程》,2020年12月,ENSIA建立了欧洲网络安全技能框架特设工作组,计划制定欧洲网络安全技能框架。
3.2规范网络威胁情报共享机制和合作流程为测试和验证跨境危机合作机制,发现信息基础设施的风险和漏洞,ENSIA制作了大量的网络演习计划,开发了许多培训资源;鼓励多方联合定期开展网络攻防跨国演练,加强威胁信息共享;组织网络演习,测试欧盟应对威胁的恢复能力。
为应对国家级、体系化的大规模针对关键信息基础设施的网络攻击,评估改进各个行业、国家及欧盟的网络安全应急响应能力,欧盟自2010年开始每两年组织一次“网络欧洲”(Cyber Europe)演习,由ENSIA控制中心统一协调并发布演习评估报告。它通过模拟不同网络威胁攻击场景,不断暴露、修复应急流程、合作机制、共享规范及协作效率等,评估网络安全管理部门之间的预警、合作和信息共享的流程,增强成员国之间的信任,是ENSIA举办的规模最大、影响最广、最权威的网络安全演习。如2010年开展的泛欧洲重要信息基础设施(CIIP)防护演习-“网络欧洲2010”,通过30个国家的130名专家密切合作,建立了成员国之间的协同机制和信任。数千名专家参与的“网络欧洲2016”国际压力测试演习,检验了欧盟的网络灾难应急处置能力和跨域合作能力。
为改善成员国军队计算机应急响应小组(milCERT)的低水平跨国界合作分享能力,2021年2月17至18日,欧洲防务局(EDA)组织了军事网络实战演习-“实弹射击”活动。欧洲18个国家的milCERT编成三支对抗部队,线上远程进入爱沙尼亚公司CybExer提供的云靶场,通过实弹演习强化网络安全事件信息共享地位,加强各国军队之间的合作,尤其是推动跨国界分享敏感威胁数据和战术。
同时,欧盟积极参与美国的“网络风暴”“大西洋网络演习”北约“锁定盾牌”等,评估国际应急协调能力、信息共享效力、网络安全响应能力,以提升军政民融合共享和合作能力,增强其网络攻防和支援能力。
网络演练推动了欧盟CSIRTs网络及标准操作流程的完善,加强了成员国、内部机构、私营部门之间的信任关系,提升了欧盟应急响应能力和协同能力。也暴露了一些问题,如政府主导的机构和私营部门之间的合作流程不成熟,缺少高层次大范围的合作框架;缺少合理的信息交换流转机制,威胁攻击信息通报效率和协同受到影响等。
3.3推进网络威胁情报共享系统和平台建设为应对网络威胁,欧盟欧洲电信标准化协会(ETSI)下属的网络安全技术委员会与欧洲标准化委员会(CEN)、欧洲电工标准化委员会(CENELEC)等一起积开展欧盟范围内的自愿认证计划,制定网络安全领域的标准,尤其是关键基础设施、工业控制系统和5G等的标准化;并与ISO、IEC开展广泛合作,制定全球适用的通用标准。2017年6月,欧盟理事会推出“网络外交工具箱”联合框架,为欧盟成员国统一应对及惩治国家黑客的恶意网络活动提供了标准化的操作方案。
2013年的“棱镜门”事件,摧毁了欧美之间的网络信任和安全合作进程,也促使欧盟认识到只有通过网络安全技术自主创新,才可摆脱对美国服务器及企业的严重依赖。为此,欧盟加大研发资金支持,制定各种政策激励技术创新。2013年7月欧盟斥资250亿欧元加强网络信息系统安全创新,德国拨款6000万欧元资助“信息安全研究工作计划”项目。2018年德国成立网络安全创新局,类似美国国防高级研究计划局(DARPA),推动新技术创新,保护德国数字基础设施免遭网络攻击。2020年7月,欧盟宣布组织欧盟警察局、军队和私营企业建造联合创新中心,建立协调机制,共同应对网络安全威胁。
欧盟从1984年开始实施研发框架计划驱动科技创新。如欧盟依托第七框架计划(7thFP)启动了跨国合作的袋熊(WOMBAT)计划,通过对海量安全事件的收集、治理与分析,描述网络威胁模式及网络安全态势,供全球安全人员共享[18-19];依托“地平线2020”(Horizon 2020)计划,研制威胁情报共享态势系统,提升网络威胁预警能力;依托“地平线欧洲”(2021-2027)计划,在超级计算机、人工智能、网络安全、数字技能等方面开展基础研究,以提升欧盟网络和信息系统安全水平。2020年爱沙尼亚和美国启动了为期5年的网络威胁情报共享项目,以提升网络威胁情报共享的自动化。
欧盟内部的网络安全合作日益增多,推动了网络威胁情报平台和能力建设。Europol信息系统(EIS)、申根信息系统(SIS)和欧洲旅行信息及授权系统(ETIAS)的应用,使得各国安全部门可以快速交换信息,有效阻断了欧盟内部的网络犯罪、网络攻击,预防恐怖主义、抓捕罪犯,实现一体化反恐[17]。
目前, SIEM已经广泛部署到各个CSIRT和企业安全运营中心(SOC),却面临无法自动识别和使用基础设施的新威胁、安全事件关联性弱等难题。为增强SIEM的互通,解决已部署SIEM系统的局限性,2016-2019年“Horizon 2020”向欧洲安全研究计划-DiSIEM项目注资400万欧元。项目基于机器学习算法、概率模型和可视化新方法,在开源情报收集、威胁情报融合、安全事件云存储等方面取得良好进展,已较好地开展了新的安全威胁预测和风险评估[20]。
为推动威胁情报共享平台建设,ENISA于2018年3月26日发布欧盟首份网络威胁情报平台综合研究报告《探索威胁情报平台机遇与挑战》,指出威胁情报平台有利于威胁情报全生命周期管理、信息共享、信息安全水平的提高;欧盟成员国需要协调合作,完善情报分析管理能力,加强威胁情报的分类、评估、实时态势展示等[21]。2018年6月13日,欧盟委员会发布《增强应对混合威胁的能力和恢复力》的报告,强调欧盟需要情报共享以提高网络攻击溯源能力、网络修复力和威慑力。
为摆脱对美情报源的依赖,2019年1月28日ENSIA发布《2018年ENISA威胁全景报告》,探讨了开发内部威胁情报的来源、准确及时的急迫性。报告要求欧盟各成员国应消除监管障碍,开发内部网络威胁情报系统,摆脱对美国等的依赖[22];开发新技术,扩大网络威胁情报收集范围,提升欧盟网络威胁情报能力,提高网络威胁情报的独立性和质量。在2020年10月20日发布的《2020网络安全威胁全景》报告中,强调了新冠疫情大流行和数字化转型下,网络威胁状况的发展趋势及对策分析。
总之,经过多年的努力,欧盟的威胁情报能力得到显著提升。但是,欧盟作为庞大的经济体,已成为全球网络诈骗重灾区、网络恐怖主义攻击的首要目标,网络安全治理难度加大。受网络主权、相互信任和集体安全矛盾的制约,欧盟网络威胁情报在信源质量、范围、共享效果受到很大影响。
由于网络威胁情报的识别、补救与预防需要人工干预,而且网络威胁中的隐私信息和隐性知识约束了成员国和组织共享的积极性,利益攸关者之间的信任问题导致网络威胁情报共享过程自动化有限。由于美国在全源情报获取能力方面的优势,尤其是2017年爆发的WannaCry和NotPetya勒索软件事件[23],使得欧盟将继续扩展与盟国的威胁情报共享范围,以保持其在网络空间议题上的影响力和竞争优势。
4 加强5G网络安全风险评估及威胁图谱建设
5G是欧盟数字化转型的关键动能。2016年9月欧盟委员会启动“5G行动计划”,制定了欧盟5G技术基础设施路线图,目前所有成员国均在积极部署5G商用业务。
5G网络安全是欧盟维护技术主权的重要领域。为合理规避5G面临的潜在安全风险,2019年3月26日欧盟委员会通过了《5G网络安全建议书》,强调各成员国在欧盟网络和信息安全合作小组(简称NIS合作小组)的协调下,各成员国应采取统一风险评估应对5G安全,重视成员国安全信息共享,突出5G网络和设备认证规定[24]。
欧盟十分重视5G网络的安全风险评估。2019年10月9日,欧盟NIS合作小组根据各成员国提交的国家5G网络安全风险评估结果,发布《欧盟5G网络安全风险评估报告》。报告采用了ISO/IEC:27005风险评估方法,分析了5G网络的主要威胁、威胁实施者、受威胁的资产、各种脆弱点、战略风险,确定全面实施5G网络安全风险缓解措施[25],表达了对国家网络攻击、非欧盟供应商、设备漏洞和5G运维管理问题的担忧[26],确定了可在欧盟层面和各成员国实施的5G网络安全风险缓解措施。
为支持网络安全生态系统建设,欧盟定期提供5G威胁评估。2019年11月,ENISA发布《5G网络威胁态势》报告,并于2020年12月4日发布更新版本。报告评估了与5G相关的威胁,概述了5G资产和5G资产面临的网络安全威胁图谱和挑战;认为5G网络威胁分为核心网络威胁、接入网威胁、多接入边缘计算威胁、虚拟化威胁、物理基础结构威胁和通用威胁。5G面临的网络威胁主体包括网络战人员、网络恐怖分子、网络犯罪分子、国家、公司、黑客、内部员工等。报告建议各成员国及时向相关机构通报本国5G网络运营建设情况,共享5G网络基础设施风险评估信息,对5G网络安全风险形成共识[27];强调ISAC负责收集和共享5G相关信息与情报。建议各成员国、欧洲委员会、ENISA等应与5G利益相关方建立联系,共享知识,建立完善的5G威胁情报与评估。ENISA应加强统筹协调,向利益相关方传播5G资产信息和威胁状况,跟进5G发展,修改完善威胁评估和共享。
2020年1月29日,NIS合作小组发布《5G网络安全工具箱》指导文件,全面分析了欧盟5G网络面临的5类安全风险,建议欧盟成员国采取协调一致的8项战略措施、11项技术措施和10项支持行动缓解风险[28]。2020年7月24日,NIS合作小组在欧盟委员会和ENSIA的支持下,发布了截至2020年6月,成员国实施“欧盟5G网络安全工具箱”进程报告,并要求成员国根据国际贸易的影响评估供应商的风险状况。
总之,欧盟委员会将统筹协调制定欧盟层面的与5G网络安全相关的政策、认证标准及各成员国规则执行情况,强化安全风险评估与监测手段,依托欧盟计划和项目提高5G技术研发和商用推广投入等,各成员国负责制定落实本国5G发展规划和网络安全管理。
5 启 示
网络威胁情报共享已融入欧盟及成员国网络安全建设的诸多方面。针对网络威胁情报收集融合、网络应急响应协同机制等方面的难题,欧盟通过发布战略规划和多项法律法规明确了网络威胁情报共享的地位和模式,并通过加强欧盟网络威胁情报共享机制建设、开展共享实践和能力意识培育,合理发挥了网络威胁情报的治理能力。欧盟的经验对推进我国网络空间科学合理[29]建设、自主可控发展、共享体系构建和开展5G网络国际合作具有借鉴指导意义。
5.1建立网络威胁情报共享机制随着数字经济崛起,我国的网络安全建设已长足进展,在总体国家安全观的指导下,中央网络安全和信息化委员会的成立、《国家网络空间安全战略》《网络安全法》等的实施为我国网络安全信息共享工作提供了战略指引和法律依据。随着网络威胁的武器化、组织化、国际化,以欧盟为鉴,基于美国威胁情报中心的效能,可成立国家层面的威胁情报共享机构-威胁情报中心,统筹指导全国威胁情报共享工作;建立各层级的威胁情报共享协调机构,统筹跨部门、跨领域威胁情报共享,鼓励政府部门、机构、企业加入威胁情报共享联盟和社区,建立威胁情报共享云,形成威胁情报共享的完整体系。
同时,借鉴欧盟ISAC、PPP的融合式共享模式,加强网络安全管理部门与行业、企业的合作与支持,建立多领域、多视角、多层次的威胁情报共享联盟,制定长效的合作共享机制。基于《全球数据安全倡议》和“数字丝绸之路”,借鉴欧盟与成员国之间的自愿信息共享机制,与盟国形成有效的合作机制,提升5G在全球的合作愿景。
5.2促进网络威胁情报共享能力建设目前,欧盟不断增加情报共享技术的资金和人力投入,在保护公民数据安全的同时,尽力提高威胁情报共享的效率。目前我国通过专项行动、法规制度等降低侵犯公民隐私问题,但信息泄露问题依旧不断。在国家计算机网络应急技术处理协调中心(CNCERT/CC)的推动下,成立了国家信息安全漏洞共享平台(CNVD)、中国反网络病毒联盟(ANVA)、中国互联网网络安全威胁治理联盟(CCTGA),上线了网络安全威胁信息共享平台(share.anva.org.cn),工信部也上线了“网络安全威胁信息共享平台”(www.cstis.cn),提升了企业网络安全威胁信息的共享和合作力度。
由于我国在威胁情报共享标准和系统方面还处于起步阶段。为此,需要借助AI技术、区块链技术,研究威胁情报共享的各种难点,以战领建,开发网络威胁情报共享系统,推动不同行业威胁情报共享中心及网络的融合。积极参与“地平线欧洲”(2021-2027)计划网络安全项目,了解欧盟5G工作进展、欧盟及其主要成员国5G市场准入和网络安全政策,借鉴欧盟在5G网络安全风险评估和威胁图谱的建设经验,推动中欧在5G及相关网络安全等领域的合作,推进5G网络国际国内网络安全标准规范等的发展。
统筹发挥CNCERT/CC作为中国网络安全威胁和事件的应急联络点的协调和沟通职能,积极参与亚太地区计算机应急响应联盟(APCERT)与全球网络安全应急响应联盟(FIRST)等的威胁发现、预警、应急处置和信息共享行动。
借鉴欧美网络演习经验,通过定期网络实战演习、技能培训等规范威胁情报共享程序、共享流程及协同方式等,提升应对境内外网络安全事件的应急响应和共享合作能力。
5.3加快网络威胁情报共享技术体系和标准研制大安全时代,须紧跟网络攻防技术发展趋势,研制威胁情报共享的核心技术体系,构建基于威胁情报的网络空间管理地图以及网络安全战略实施进展地图,提升检测和识别网络威胁的自动化水平;建立新型未知威胁和重大网络安全监测预警体系,提升网络安全威胁态势感知能力;基于军民融合的网络安全保障模式,梳理响应协调机制,规范应急响应框架程序和流程,有效提升网络安全事件响应协调能力。
标准化是威胁情报共享的技术基础。为此,可借鉴欧盟的NIS指令、美国的情报百科(Intellipedia)与NIST的《网络威胁信息共享指南》(NIST SP 800-150),构建我国的网络威胁信息共享指南。依据业界威胁情报交换系列标准,如结构化威胁信息表达式(STIX)、网络可观察表达式(CyboX)、指标信息的可信自动化交换(TAXII),以《信息安全技术 网络安全威胁信息表达模型》(GB/T 36643-2018)和2019年发布的《网络安全威胁信息发布管理办法》,制定网络威胁情报的发布、共享、利用及交换规范等,提升威胁情报共享合作的范围与力度。