欧盟网络防御政策研究

赵 慧

(中资网络信息安全科技有限公司 北京 100041)

2022年11月,欧洲委员会和外交与安全政策高级代表共同发布《欧盟网络防御政策》联合公报[1],旨在进一步从战略、技术、投资、国际合作等层面推动欧盟各国加强网络防御合作,提升各国关键设施安全保护能力,捍卫各国在网络空间的国家利益.在该联合公报中多次提及网络防御的实际案例,并经深入分析后得出结论:与实体空间防御相比,网络空间的防御界限日渐模糊,实体基础设施和数字基础设施的相互依存关系日渐紧密,越来越多的成功实体行动得益于对网络空间的利用.因此,亟需加强各方协同,共同建设网络防御能力.值得注意的是,欧盟认为态势感知能力建设是构建网络防御能力重要方面之一,通过建设最为完备的共同态势感知能力,才能更好地检测、发现、阻止大规模有组织的网络攻击,最终形成有效的主动防御能力.

1 联合公报主要观点

1) 强调联合开展网络防御的必要性.

网络空间已成为和陆海空天一样的国家间争夺激烈的领域.有国家行为背景、非国家行为等各种网络空间恶意活动愈演愈烈,关键基础设施正遭受严重的网络攻击,越来越多的重大网络攻击给关键基础设施造成极大的破坏.在许多成功的网络防御实战中离不开有关部门的支持,而且发挥了关键作用.因此,欧盟在联合公报中再次着重强调了网络防御合作的必要性,并建议欧盟各国应加大网络防御能力建设投资,特别是主动防御方面,进一步研究并掌握网络安全及防御尖端技术,共同防范外部网络攻击.

2) 明确态势感知在网络防御中的重要作用.

网络攻击具有跨域、跨境的特点,特别是大规模混合网络攻击可能对多个国家的关键基础设施造成损害,如攻击国家选举基础设施等.因此,欧盟提出,各国应拥有最为完备的共同态势感知能力,从事前风险检测,到事后合作、协调、恢复等.欧盟计划建立一个欧盟网络防御协调中心,从网络空间、电磁环境、认知领域等不同来源的信息汇聚成信息情报,增强关键领域网络安全态势感知能力;还将建设一套基于主动信息技术的传感器系统,加强对支持网络空间攻防任务和行动节点的网络安全监测,进一步增强攻防系统的风险评估和态势感知.

3) 多层面推动网络防御合作.

一是建设网络防御联合协调机构.将欧盟网络防御协调中心作为共同防御中心,鼓励各国积极参与国防网络安全应急机构网络建设,并将本国网络安全应急机构网络接入,建立合作关系.二是建立一致的网络危机管理机制.结合实战经验和各类态势感知技术,各方协同开展应对大规模网络安全事件的危机管理,以作出最佳决策和一致响应.三是提高共同态势感知水平.支持有关部门研发先进的网络威胁检测和态势感知技术,积极打造安全运营中心基础设施,逐步在欧盟各国建设部署,开展对重大网络安全事件的有效检测、及时告警、响应恢复,联合保护关键基础设施安全.四是增强国防生态系统的网络弹性.依托可靠性高的相关部门,对关键基础设施进行漏洞检测和风险评估,提高能源系统、国防工业和电信运营商等实体的网络弹性.

4) 提升网络防御技术能力和水平.

联合公报提出,欧盟各国对网络防御投入还不够,应加大资金投入用于研究和发展全方位、最先进的网络防御技术,保持竞争优势.一是研制全谱系网络防御工具集.欧洲防务基金将在网络态势感知、实时威胁搜索和响应、网络运营、网络培训和演习等方面加大资助和投入,进一步研制网络空间运营和事件管理、通信和信息系统弹性增强等通用性工具集.二是加强网络防御颠覆性技术研究.计划开展对量子密码学的研究,用于网络防御系统安全提升.在欧洲防御基金资助的新兴、颠覆性和尖端技术的研究中,网络防御技术占比高达8%.三是强调技术主权问题.欧盟委员会将和欧洲国防局、成员国共同制定关键网络技术路线图,明确欧盟重要网络防御技术的主权,绘制技术发展和战略依赖关系图,并采取行动降低对他国技术的依赖.

5) 深化建立网络防御战略伙伴关系.

在网络防御领域,欧盟积极寻求与其他国际组织和国家建立互惠互利的合作伙伴关系,共同执行网络防御任务和行动.此外,利用欧洲和平基金等继续支持伙伴国家特别是邻国网络防御能力建设,并与其他资助者密切合作开发态势感知和协调平台.

2 欧盟网络防御政策特点分析

为应对不断变化的网络安全挑战,欧盟及其成员国持续增强其网络安全弹性,发展网络防御能力.主要呈现如下特点:

1) 深化网络防御政策,积极应对严峻安全形势.

2013年6月,欧盟发布《欧盟2013年网络安全战略》[2],首次提出在网络安全方向中增加“网络防御”维度;同年底,提出制定《欧盟网络防御政策框架》的计划.2014年,发布首版《欧盟网络防御政策框架》[3-4],提出支持成员国在共同安全与防务政策框架下发展网络防御能力、保护成员国使用欧盟共同安全与防务政策通信网络等5项优先事项.2018年,修订《欧盟网络防御政策框架》[5],明确将网络空间作为继陆海空天后的第5个防御领域,并在优化2014年提出的5项优先事项的基础上,新增“发展研究和技术”事项,发展网络防御相关技术.2022年,发布网络防御政策联合公报.综合来看,欧盟每隔4年调整一次自身网络防御政策,以积极应对复杂严峻、不断变化的国际形势.

2) 落实网络防御政策,同步提升防御技术能力.

欧盟协调各成员国加强网络防御能力建设,确保政策发布与技术能力建设同步.一是欧洲国防局在“能力发展计划”中将“网络防御”确定为优先行动之一,增加网络态势感知、高级可持续性威胁(advanced persistent threat, APT)攻击检测、数字取证、培训和演习等项目,积极协调各国共同开发,发展网络防御技术[6].二是成员国联合发起永久性合作项目.各国承诺加大网络防御合作力度,首批合作启动了“网络快速反应小组和相互协助网络安全”“网络威胁和事件响应信息共享平台”2个网络防御技术项目[5].三是欧盟将制定一项网络团结倡议,强化各国对网络威胁和事件检测、态势感知、应急响应的协同能力.

3) 强化各方协同合作,保护关键基础设施安全.

欧盟网络防御政策联合公报指出,卫星通信、能源系统等各成员国共同依赖的关键基础设施,一旦遭到网络攻击而中断服务甚至瘫痪,则各方都有可能受到严重影响.2022年,欧盟未再继续修订政策框架,而是正式发布防御政策联合公报,在前期的实践基础上强调了各方合作的必要性和重要性,从加强欧盟网络防御共同行动、保护国防生态系统、投资网络防御能力、携手应对共同挑战4个方面,提出了20项任务和具体实施路径,以提高各成员国关键基础设施预防、检测、威慑、恢复和防御网络攻击的能力.

3 有关启示和建议

我国高度重视关键基础设施保护,出台了《关键信息基础设施安全保护条例》,建立了以运营者为主体的安全综合保护体系,在压实运营者主体责任的基础上,充分发挥政府和社会力量,赋予运营者必要的支持协助[7].通过采取加强各方合作、发展网络防御技术能力、加强网络防御体系建设等措施,提升我国关键基础设施共同态势感知能力、安全运营水平、APT攻击检测和发现能力,切实维护我国在网络空间的安全和国家利益.本文提出以下3点对策建议:

一是建设国家级联合态势感知平台,研究最新态势感知技术,制定统一态势感知标准,充分激发共同态势感知在联合防御中的叠加效应,持续强化安全态势感知在我国网络防御中的关键作用.

二是推动我国各关键基础设施部门建设安全运营中心,部署网络威胁检测探测器和态势感知平台,开展对重大网络安全事件的有效检测、及时告警、响应恢复,持续提升并夯实自身技术和业务水平,形成我国网络防御核心节点.同时加强各安全运营中心间的合作,利用区块链、加密等技术,将各网络防御核心节点打通,形成安全可信的网络防御联合基础设施.

三是加大APT攻击检测技术的研究,利用人工智能等技术开展未知威胁检测,深挖APT组织攻击线索和行为,发现更多潜在攻击,避免造成更大损失,有效应对国家级网络威胁.