歐盟網(wǎng)絡威脅情報共享進展及啟示研究

李留英

(國防大學政治學院 上海 200433)

隨著智慧歐洲建設和歐洲數(shù)字化轉型的深入，惡劣的威脅環(huán)境、復雜的網(wǎng)絡政治生態(tài)、頻繁的大規(guī)?？缇尘W(wǎng)絡攻擊、居高不下的網(wǎng)絡犯罪、日趨頻發(fā)的恐怖主義攻擊等網(wǎng)絡威脅，嚴重阻礙著歐盟網(wǎng)絡空間安全發(fā)展。為確保歐盟在網(wǎng)絡空間的優(yōu)勢，消除成員國間的猜疑和威脅情報共享的障礙，提升應對網(wǎng)絡威脅的能力，歐盟基于多層安全治理模式[1]，通過制定網(wǎng)絡安全戰(zhàn)略政策及法規(guī)標準，建立網(wǎng)絡威脅情報共享與合作機制，研發(fā)共享平臺，開展實戰(zhàn)演習，建設5G網(wǎng)絡威脅圖譜，以提升網(wǎng)絡空間治理能力。

1 多角度確立網(wǎng)絡威脅情報共享的戰(zhàn)略地位

經(jīng)過幾十年的發(fā)展，歐盟構建了以網(wǎng)絡安全組織體系、網(wǎng)絡安全戰(zhàn)略文件與法律法規(guī)體系、信息技術保障、網(wǎng)絡安全共享合作實踐、網(wǎng)絡安全文化五大保障機制為核心的戰(zhàn)略框架體系[2]。尤其是2003年以來，歐盟發(fā)布的針對不同安全領域的系列戰(zhàn)略和法規(guī)標準，均明確指出了網(wǎng)絡安全信息共享的重要性，歐盟成員國也在本國的網(wǎng)絡安全戰(zhàn)略中強調建立信息共享機制，逐步形成多層次的網(wǎng)絡威脅情報共享規(guī)劃，確立了網(wǎng)絡威脅情報共享的戰(zhàn)略地位。

信息基礎設施是歐盟網(wǎng)絡安全的重點，于2009年發(fā)布《關鍵信息基礎設施保護》[3]，建議歐盟和成員國建立信息共享平臺，鼓勵非政府機構與政府建立合作，自愿開展信息共享。同年發(fā)布《信息共享最佳實踐指南》，以指導歐盟成員國及其他利益方建立網(wǎng)絡安全信息交換機制，設立高級別安全專家例行會議制度等，開啟了信息共享與分析中心(ISAC)、公私合作伙伴(PPP)、關鍵信息基礎設施安全信息共享機制的建設熱潮。

為應對內部威脅，歐盟出臺了兩部內部安全戰(zhàn)略，強調信息共享與合作。2010年3月出臺《歐盟內部安全戰(zhàn)略》，認為歐盟面臨恐怖主義、網(wǎng)絡犯罪、災害及文化侵害等威脅，需要協(xié)調不同領域及層面的機構合作執(zhí)法，利用信息技術維護歐盟的網(wǎng)絡安全與內部的整體安全[4-5]。2020年7月發(fā)布內部安全新戰(zhàn)略《歐盟安全聯(lián)盟戰(zhàn)略2020-2025》，認為面對復雜劇增的跨境跨部門威脅，歐盟的重點是：一是打擊恐怖主義和有組織犯罪，促進公共部門與私營部門間的合作和信息共享；二是推動跨境執(zhí)法和國際合作，彌補各國法律分歧及協(xié)調不暢。戰(zhàn)略的重要任務之一是建設強大的歐洲安全生態(tài)系統(tǒng)，重點加強信息交換與合作，加強歐洲刑警組織協(xié)調與國際合作；制定與他國進行信息共享談判的框架，加強與外部伙伴的合作，培訓民眾應對網(wǎng)絡犯罪的基本技能。

為指導歐盟網(wǎng)絡安全全面建設，2013年2月歐盟委員會出臺了網(wǎng)絡安全領域的首份戰(zhàn)略文件-《歐盟網(wǎng)絡安全戰(zhàn)略：開放、安全和可靠的網(wǎng)絡空間》(簡稱《戰(zhàn)略》)，建議歐盟加強與國際伙伴合作，增強歐盟成員國之間、軍民之間、公私部門之間的共享與合作，制定歐盟網(wǎng)絡防御框架及統(tǒng)一的政策，以增強應對網(wǎng)絡威脅的集體防御能力和復原能力，提高歐盟網(wǎng)絡安全的穩(wěn)定性，并探索與北約合作的可能性[6]。根據(jù)《戰(zhàn)略》要求，目前，成員國相繼發(fā)布了各自的國家網(wǎng)絡安全戰(zhàn)略(NCSS)，并利用《國家網(wǎng)絡安全戰(zhàn)略評估框架》評估調整以應對新威脅；制定配套制度，成立專門機構應對網(wǎng)絡威脅。

為實現(xiàn)歐盟網(wǎng)絡韌性，基于2013版《戰(zhàn)略》基本框架，歐盟委員會于2020年12月16日發(fā)布《歐盟數(shù)字十年的網(wǎng)絡安全戰(zhàn)略》，作為歐盟“數(shù)字十年”計劃的基本路線和行動綱領。新戰(zhàn)略強調三點：一是重點建立基于AI的安全運營中心網(wǎng)絡，為歐盟構建網(wǎng)絡安全盾牌；二是加強歐盟各機構與成員國政府的合作，運用網(wǎng)絡外交工具箱應對網(wǎng)絡惡意活動；三是加強國際合作和對話，建立歐盟網(wǎng)絡外交網(wǎng)絡，擴大歐盟GDPR、標準、價值觀等的國際影響力，打造安全、開放、穩(wěn)定的網(wǎng)絡空間防護體。

為實現(xiàn)NCSS信息互通，歐洲網(wǎng)絡與信息安全局(ENISA)構建了NCSS互動地圖，列出了歐盟成員國NCSS的所有文件、戰(zhàn)略目標和實施實例，形成一個戰(zhàn)略信息中心，展現(xiàn)成員國保護國家網(wǎng)絡安全的信息等，從而實現(xiàn)戰(zhàn)略安全威脅信息共享。

為進一步提升威脅情報共享和利用水平，2019年11月歐盟委員會發(fā)布《增強歐盟未來網(wǎng)絡安全戰(zhàn)略價值鏈分析》的報告，強調實現(xiàn)軍用及民用關鍵領域網(wǎng)絡安全的融合，建立網(wǎng)絡安全威脅、風險及事件信息等的共享利用體系[7]。2020年7月ENISA發(fā)布《可信且網(wǎng)絡安全的歐洲》戰(zhàn)略文件，強調要加強歐盟內部信息共享、態(tài)勢感知和危機溝通；建設歐盟網(wǎng)絡安全信息共享和知識管理體系。表明歐盟未來將把網(wǎng)絡威脅信息共享能力和威脅知識體系建設作為主要支撐。

同時，歐盟陸續(xù)出臺更新了一系列法律法規(guī)[8]，奠定網(wǎng)絡威脅情報共享的法律基礎。其中較為重要的是2011年5月9日出臺的《關鍵信息基礎設施保護法案：面向全球網(wǎng)絡安全的成就和下一步行動》、2016年7月6日通過的2016/118指令-《網(wǎng)絡與信息系統(tǒng)安全指令》(NIS指令)、2016/6法規(guī)《一般數(shù)據(jù)保護條例》(GDPR)和《歐盟網(wǎng)絡安全法案》(2019/881號條例)。

《關鍵信息基礎設施保護法案》首次提出全球化網(wǎng)絡安全目標，部署了歐盟關鍵信息基礎設施保護計劃，推動各成員國共同加強關鍵信息基礎設施的防護[2]。

NIS指令是歐盟層面的第一個綜合性網(wǎng)絡安全法規(guī)，構建了歐盟統(tǒng)一的網(wǎng)絡安全框架[9]。NIS指令要求建立計算機安全事件響應團隊、信息共享與分析中心、確立安全事件報告義務，構建網(wǎng)絡安全信息共享機制，促進成員國內部和成員國之間的安全戰(zhàn)略協(xié)作和威脅情報共享，以及成員國、公共和私營部門之間的合作。2020年12月16日歐盟委員會提交了《網(wǎng)絡和信息系統(tǒng)安全指令》修訂稿(NIS 2指令)，要求建立歐洲網(wǎng)絡危機聯(lián)絡組織網(wǎng)絡，支持歐盟層面對大規(guī)模網(wǎng)絡安全事件和危機的協(xié)調管理；加強成員國之間的威脅信息共享與合作，發(fā)揮合作小組的作用；建立歐盟各地新發(fā)現(xiàn)漏洞威脅處理與披露機制。

歐盟通過2018年5月25日施行的《一般數(shù)據(jù)保護條例》(GDPR)[10]，構建了統(tǒng)一完備的數(shù)據(jù)安全治理體系，為保護包含隱私的數(shù)據(jù)共享提供了全球標準，也促使共享組織謹慎共享包含個人敏感信息或商業(yè)敏感機密信息的網(wǎng)絡威脅情報。

為實現(xiàn)歐盟內部市場正常運作，提高網(wǎng)絡彈性和信任，2019年6月27日《歐盟網(wǎng)絡安全法案》正式實施生效。法案明確了ENSIA作為永久性歐盟機構的地位和框架，建議成立歐盟級別的統(tǒng)一的ICT產(chǎn)品、流程和服務的歐盟網(wǎng)絡安全認證框架。證書由歐盟網(wǎng)絡安全認證中心頒發(fā)，以建立數(shù)字單一市場，實現(xiàn)一次認證、全域通過[11]；法案促進了歐盟單一市場經(jīng)濟的深度發(fā)展。

歐盟的戰(zhàn)略規(guī)劃和法律文件相互關聯(lián)補充，充分展現(xiàn)了歐盟網(wǎng)絡威脅情報共享理念，確定了歐盟網(wǎng)絡威脅情報多層次共享思想和戰(zhàn)略地位。

2 構建網(wǎng)絡威脅情報共享機制

為應對激增的新型網(wǎng)絡威脅，歐盟成立專門的網(wǎng)絡信息安全機構，并積極與情報部門協(xié)作，形成了歐盟、成員國、民間組織與情報機構協(xié)作的多層次網(wǎng)絡威脅共享機制。

2.1健全網(wǎng)絡安全機構，形成網(wǎng)絡威脅情報共享機制歐盟作為一個超國家集合體，發(fā)展不均衡引發(fā)眾多網(wǎng)絡安全隱患。為此歐盟成立了多種機構負責網(wǎng)絡信息安全工作，實現(xiàn)不同國家和機構的協(xié)調互聯(lián)。

在歐盟層面，歐盟委員會、歐盟理事會、歐洲議會和對外行動署負責宏觀政策策略制定及立法工作，并成立多種網(wǎng)絡信息安全專職機構負責具體的協(xié)調互聯(lián)和治理合作。如ENISA主要協(xié)調歐盟層面的網(wǎng)絡安全調研、協(xié)調、落實等；歐洲刑警組織(Europol)負責監(jiān)控打擊網(wǎng)絡犯罪；歐盟委員會下屬的通訊網(wǎng)絡、內容和技術總司(CNECT)負責商業(yè)和政府部門的網(wǎng)絡安全；歐洲防務局(EDA)和歐盟軍事參謀部負責網(wǎng)絡攻擊和網(wǎng)絡情報，管轄歐盟網(wǎng)絡部隊，開發(fā)防御技術，提升防御能力；歐盟對外行動署(EEAS)負責網(wǎng)絡外交事務、軍事領域的跨國網(wǎng)絡安全和防御事務；歐盟計算機應急響應小組(EU -CERT)負責歐盟委員會、歐盟議會等主要機構網(wǎng)絡安全，歐洲成員國論壇(EFMS)負責政府部門的網(wǎng)絡安全，歐洲網(wǎng)絡彈性公私伙伴關系(EP3R)負責私營部門的網(wǎng)絡安全[12]。同時，ENSIA、EDA和歐洲網(wǎng)絡犯罪中心(EC3)，均設有各國派駐代表組建的管理委員會，確保歐盟各成員國網(wǎng)絡安全信息的共享與戰(zhàn)略協(xié)作，共同協(xié)同預警、處理各類網(wǎng)絡威脅及攻擊[1]。

成立于2004年的ENISA作為歐盟永久性機構，通過知識共享、能力建設和合作，提高歐盟信息基礎設施的復原力和韌性。其信息共享方面的主要職能是：協(xié)助各成員國建立計算機應急響應團隊(CSIRT)、公私合作伙伴關系(PPP)、信息共享與分析中心(ISAC)，促進歐盟國家之間的合作和信息共享，推動歐盟成員國與安全產(chǎn)業(yè)界的業(yè)務合作共享；協(xié)調應對歐盟范圍內大規(guī)模跨境網(wǎng)絡安全事件；提供獨立的網(wǎng)絡威脅分析報告，報告歐盟重大的網(wǎng)絡事故；推進網(wǎng)絡安全和信息文化建設，增強公民網(wǎng)絡安全意識，向歐盟委員會提供安全建議和專業(yè)知識咨詢，定期向歐洲議會通報其活動；組織網(wǎng)絡行動，為歐盟成員國提供培訓教育和交流；支持歐盟開展網(wǎng)絡安全國際合作，組織參與網(wǎng)絡演練、以觀察員身份參與國際演習等[6][13]。ENSIA積極主動，出色地保護了關鍵信息基礎設施的安全，推動了GDPR的國際擴張，評估和共享漏洞信息及網(wǎng)絡威脅信息等，尤其是自2012年起，ENSIA的《威脅前景展望(Threat Landscape)》年度報告，具有很強的指導性和影響力。

為配合“關鍵信息基礎設施保護計劃”(CIIP)，歐盟于2004年創(chuàng)建關鍵基礎設施預警信息網(wǎng)絡委員會(CIWIN)，2005年設立安全聯(lián)絡官和保護關鍵基礎設施聯(lián)絡點，定期做出風險評估報告。

為提升歐盟安全事件的應急響應能力，2011年6月，歐盟成立由10名網(wǎng)絡技術專家組成的計算機應急反應小組(EU-CERT)。根據(jù)NIS指令，目前已有25個國家建立了網(wǎng)絡安全事件應急團隊(CSRIT)，與EU-CERT共同組建成歐盟計算機安全事件應急團隊網(wǎng)絡(CSIRTs 網(wǎng)絡)，編織成一張網(wǎng)絡安全預警網(wǎng)。CSRIT主要監(jiān)測應對區(qū)域內的網(wǎng)絡安全事件，向相關利益方提供網(wǎng)絡安全風險的分析、預警和態(tài)勢感知，同時參與跨境安全事件處置的支持、信息交換、業(yè)務合作等[3]。CSIRTs網(wǎng)絡主要負責網(wǎng)絡安全事件信息交換、為成員國跨境安全事務提供支持等。目前，大多數(shù)國家和政府的CSIRT都部署了安全信息和事件管理(SIEM)系統(tǒng)，以收集預警信息，處理威脅情報；各CSIRT之間也積極共享網(wǎng)絡威脅信息和事件響應信息，將有助于提升歐盟整體響應時效和能力。同時，歐盟也積極加入國際事件響應與安全組織(FIRST)和歐盟事件響應組織工作組(TF-CSRIT)，推動歐盟內部和國際層面的溝通協(xié)調工作，尤其是網(wǎng)絡安全威脅和事件的自主監(jiān)測發(fā)現(xiàn)、網(wǎng)絡威脅的預警通報、網(wǎng)絡安全威脅和事件的共享。

網(wǎng)絡犯罪由歐洲刑警組織(Europol)和歐盟對內事務總司(DG HOME)協(xié)助統(tǒng)管，并建立統(tǒng)一協(xié)調機制，參與國際打擊網(wǎng)絡犯罪合作。2013年1月啟用EC3，以提高打擊網(wǎng)絡犯罪集團的能力。2016年1月，啟用歐洲歐洲反恐中心(ECTC)，成為了歐盟反恐斗爭的中央信息樞紐，促進了成員國在打擊圣戰(zhàn)分子、恐怖組織融資、互聯(lián)網(wǎng)煽動行動、“伊斯蘭國”等恐怖主義等方面的情報共享與協(xié)調[2]。

EEAS統(tǒng)籌負責歐盟的對外活動，以保護歐盟核心價值以及政治、戰(zhàn)略和經(jīng)濟利益。EEAS通過開展網(wǎng)絡信息安全及網(wǎng)絡外交工作，防御外部勢力的網(wǎng)絡攻擊;通過twitter、facebook社交媒體共享信息，同時積極參與各項國際網(wǎng)絡安全論壇、全球網(wǎng)絡安全峰會和網(wǎng)絡空間國際會議等。

在國家層面，歐盟28個成員國在執(zhí)行歐盟政策決議和本國的網(wǎng)絡安全網(wǎng)絡戰(zhàn)略規(guī)劃外，還設立專門的網(wǎng)絡安全機構，如德國聯(lián)邦信息技術安全和國家網(wǎng)絡安全委員會、法國國家信息系統(tǒng)安全局等，加強與電信、司法、情報部門的分工協(xié)作，以及與私營部門的合作。

由于歐盟成員國之間網(wǎng)絡信息基礎設施發(fā)展不均衡，標準不統(tǒng)一，立法不一致，信息共享意愿不均等，網(wǎng)絡安全行動難以協(xié)調一致，導致網(wǎng)絡安全威脅情報難以跨國共享，網(wǎng)絡應急響應分隊時常遇到無法決定哪些情報數(shù)據(jù)可以分享的難題[1]。

2.2發(fā)展其他組織機構，擴展網(wǎng)絡威脅情報共享機制根據(jù)戰(zhàn)略規(guī)劃和職能要求，ENISA積極推動民間信息共享組織的建設，先后發(fā)布《教育中的網(wǎng)絡信息安全合作方式》《網(wǎng)絡和信息安全教育中的公私合作關系》《2010-2013增強歐盟恢復力的公私合作關系》《信息分享和分析中心》(ISACs)和《公私合作關系》(PPP)等專題報告，促進了歐盟網(wǎng)絡威脅情報共享組織的發(fā)展[14]。

信息共享和分析中心(ISAC)是交換網(wǎng)絡威脅情報(主要是關鍵基礎設施)和促進網(wǎng)絡安全協(xié)作的非營利性組織，也是APT等的絕佳信源。在《信息共享最佳實踐指南》(GPG)指導下，許多歐盟成員國成立了ISAC。2020年10月26日ENSIA根據(jù)ISAC概念開放發(fā)布了在線綜合工具盒“一體式信息共享和分析中心”，推出ISAC工具包，內含活動、文檔、工具、設置和運行ISAC所需的一切文檔，以支持各群體參與ISAC的建立、開發(fā)和評估。

為促進金融、能源等行業(yè)的網(wǎng)絡安全建設，2013年4月，在ENISA協(xié)助下，部分網(wǎng)絡安全公司聯(lián)合成立了歐洲網(wǎng)絡安全小組，聯(lián)合600多名網(wǎng)絡安全專家快速解決各類網(wǎng)絡安全問題。政府和組織也創(chuàng)建了行業(yè)技術共享小組，試圖緩解行業(yè)漏洞。

為推動更廣泛合作，2011年歐盟啟動“未來互聯(lián)網(wǎng)公私伙伴關系現(xiàn)代計劃”(FI-PPP)。2016年7月5日，歐盟委員會啟動網(wǎng)絡安全公私合作伙伴關系(PPP)計劃,與安全界建立了第一個歐洲網(wǎng)絡安全公私合作伙伴關系[14]，并通過“地平線2020”計劃促進政府、企業(yè)、民間社團、工業(yè)界和科研院所的廣泛參與、創(chuàng)新與合作。歐盟各國與facebook、twitter等建立數(shù)據(jù)保護協(xié)議，通過PPP提高用戶數(shù)據(jù)安全。

同時，歐盟的很多私營組織和機構也組建了歐盟網(wǎng)絡安全技術和威脅情報溝通網(wǎng)，如TF-CSIRT、FIRST、歐洲政府CERT群(由英國德國CERT構成)，以應對網(wǎng)絡威脅。2004年，為增強全球網(wǎng)絡態(tài)勢感知和事件響應能力，歐盟、美國、日本與澳大利亞等國成立了國際監(jiān)測和預警網(wǎng)絡(IWWN)，建立了信息共享國際合作機制[1]。IWWN通過參加網(wǎng)絡風暴Ⅲ和網(wǎng)絡風暴Ⅳ演習，改善了國家網(wǎng)絡事件響應計劃(NCIRP)的處理流程、程序、合作機制和共享機制。

歐盟情報機構也大力支持威脅情報共享建設。歐盟的警用情報、外事情報、軍事情報和其他具有情報功能的機構均涉及網(wǎng)絡安全事務[12]。2003年成立的歐洲情報分析中心、2017年歐盟和北約共同建立的混合威脅應對中心，都可提供專業(yè)化的威脅情報。為消除英國脫歐帶來的信任和共享缺口影響，2020年2月，23個歐洲國家建立了情報合作機構-歐洲情報學院(ICE)，通過定期的論壇進行交流和共享。

由于缺乏統(tǒng)一的威脅情報共享主管機構，各部門和機構缺乏協(xié)調機制，因此很難協(xié)調各部門各成員國的威脅情報，難以真正實現(xiàn)歐盟層面威脅情報的共享利用。2020年，歐盟擬計劃建立增強泛歐網(wǎng)絡安全中心，以連接歐洲網(wǎng)絡安全社群，協(xié)調國家層面的網(wǎng)絡安全資源，從戰(zhàn)略高度識別應對關鍵網(wǎng)絡威脅和技術方向。

3 多渠道推動網(wǎng)絡威脅情報共享能力建設

為應對未來信息安全問題，歐盟依據(jù)多層合作機制，通過網(wǎng)絡安全月活動和能力試點提升共享意識與技能，通過網(wǎng)絡實戰(zhàn)演習檢驗共享機制、梳理共享合作流程，通過創(chuàng)新計劃開展技術創(chuàng)新，研發(fā)威脅情報共享系統(tǒng)與平臺等，以提升網(wǎng)絡威脅情報的治理能力。

3.1培育歐盟網(wǎng)民安全意識和技能歐盟很注重提高公民的網(wǎng)絡安全意識和技能。2006年出臺《確保信息安全社會的戰(zhàn)略》，提出建立網(wǎng)絡信息安全多方磋商對話機制，營造人人參與的網(wǎng)絡安全文化氛圍。

為落實好戰(zhàn)略實施，自2011年起，ENSIA于每年10月舉行不同主題的“歐洲網(wǎng)絡安全月(ECSM)”活動，通過上萬場次的專題報告、戰(zhàn)略峰會等加大網(wǎng)絡意識和技能，并及時總結完善活動的原則與導向，如2019年2月ENSIA發(fā)布了《2018年歐洲網(wǎng)絡安全月部署報告》。2014年起，歐盟網(wǎng)絡安全月與美國國家網(wǎng)絡安全意識月搭建合作平臺，采取共同行動，通過推特互動等交流經(jīng)驗。網(wǎng)絡安全月活動吸引了更多企業(yè)和私營部門參與網(wǎng)絡安全治理，提升了網(wǎng)絡威脅共享范圍。

為減少網(wǎng)絡安全人才短缺對經(jīng)濟發(fā)展和國家安全的影響，2019年12月，ENSIA發(fā)布《歐洲網(wǎng)絡安全技能發(fā)展》報告，認為需要設計網(wǎng)絡安全教育與培訓方式。在“Horizon 2020”支持下，2019年歐盟開始建立歐洲網(wǎng)絡安全能力網(wǎng)絡和中心(ECCNC)，制定歐洲網(wǎng)絡安全研究與創(chuàng)新路線圖。為解決歐盟網(wǎng)絡安全人才短缺和技能水平不足問題，響應歐盟委員會2020年7月發(fā)布的《歐洲技能議程》，2020年12月，ENSIA建立了歐洲網(wǎng)絡安全技能框架特設工作組，計劃制定歐洲網(wǎng)絡安全技能框架。

3.2規(guī)范網(wǎng)絡威脅情報共享機制和合作流程為測試和驗證跨境危機合作機制，發(fā)現(xiàn)信息基礎設施的風險和漏洞，ENSIA制作了大量的網(wǎng)絡演習計劃，開發(fā)了許多培訓資源；鼓勵多方聯(lián)合定期開展網(wǎng)絡攻防跨國演練，加強威脅信息共享；組織網(wǎng)絡演習，測試歐盟應對威脅的恢復能力。

為應對國家級、體系化的大規(guī)模針對關鍵信息基礎設施的網(wǎng)絡攻擊，評估改進各個行業(yè)、國家及歐盟的網(wǎng)絡安全應急響應能力，歐盟自2010年開始每兩年組織一次“網(wǎng)絡歐洲”(Cyber Europe)演習，由ENSIA控制中心統(tǒng)一協(xié)調并發(fā)布演習評估報告。它通過模擬不同網(wǎng)絡威脅攻擊場景，不斷暴露、修復應急流程、合作機制、共享規(guī)范及協(xié)作效率等，評估網(wǎng)絡安全管理部門之間的預警、合作和信息共享的流程，增強成員國之間的信任，是ENSIA舉辦的規(guī)模最大、影響最廣、最權威的網(wǎng)絡安全演習。如2010年開展的泛歐洲重要信息基礎設施(CIIP)防護演習-“網(wǎng)絡歐洲2010”，通過30個國家的130名專家密切合作，建立了成員國之間的協(xié)同機制和信任。數(shù)千名專家參與的“網(wǎng)絡歐洲2016”國際壓力測試演習，檢驗了歐盟的網(wǎng)絡災難應急處置能力和跨域合作能力。

為改善成員國軍隊計算機應急響應小組(milCERT)的低水平跨國界合作分享能力，2021年2月17至18日，歐洲防務局(EDA)組織了軍事網(wǎng)絡實戰(zhàn)演習-“實彈射擊”活動。歐洲18個國家的milCERT編成三支對抗部隊，線上遠程進入愛沙尼亞公司CybExer提供的云靶場，通過實彈演習強化網(wǎng)絡安全事件信息共享地位，加強各國軍隊之間的合作，尤其是推動跨國界分享敏感威脅數(shù)據(jù)和戰(zhàn)術。

同時，歐盟積極參與美國的“網(wǎng)絡風暴”“大西洋網(wǎng)絡演習”北約“鎖定盾牌”等，評估國際應急協(xié)調能力、信息共享效力、網(wǎng)絡安全響應能力，以提升軍政民融合共享和合作能力，增強其網(wǎng)絡攻防和支援能力。

網(wǎng)絡演練推動了歐盟CSIRTs網(wǎng)絡及標準操作流程的完善，加強了成員國、內部機構、私營部門之間的信任關系，提升了歐盟應急響應能力和協(xié)同能力。也暴露了一些問題，如政府主導的機構和私營部門之間的合作流程不成熟，缺少高層次大范圍的合作框架；缺少合理的信息交換流轉機制，威脅攻擊信息通報效率和協(xié)同受到影響等。

3.3推進網(wǎng)絡威脅情報共享系統(tǒng)和平臺建設為應對網(wǎng)絡威脅，歐盟歐洲電信標準化協(xié)會(ETSI)下屬的網(wǎng)絡安全技術委員會與歐洲標準化委員會(CEN)、歐洲電工標準化委員會(CENELEC)等一起積開展歐盟范圍內的自愿認證計劃，制定網(wǎng)絡安全領域的標準，尤其是關鍵基礎設施、工業(yè)控制系統(tǒng)和5G等的標準化；并與ISO、IEC開展廣泛合作，制定全球適用的通用標準。2017年6月，歐盟理事會推出“網(wǎng)絡外交工具箱”聯(lián)合框架，為歐盟成員國統(tǒng)一應對及懲治國家黑客的惡意網(wǎng)絡活動提供了標準化的操作方案。

2013年的“棱鏡門”事件，摧毀了歐美之間的網(wǎng)絡信任和安全合作進程，也促使歐盟認識到只有通過網(wǎng)絡安全技術自主創(chuàng)新，才可擺脫對美國服務器及企業(yè)的嚴重依賴。為此，歐盟加大研發(fā)資金支持，制定各種政策激勵技術創(chuàng)新。2013年7月歐盟斥資250億歐元加強網(wǎng)絡信息系統(tǒng)安全創(chuàng)新，德國撥款6000萬歐元資助“信息安全研究工作計劃”項目。2018年德國成立網(wǎng)絡安全創(chuàng)新局，類似美國國防高級研究計劃局(DARPA)，推動新技術創(chuàng)新，保護德國數(shù)字基礎設施免遭網(wǎng)絡攻擊。2020年7月，歐盟宣布組織歐盟警察局、軍隊和私營企業(yè)建造聯(lián)合創(chuàng)新中心，建立協(xié)調機制，共同應對網(wǎng)絡安全威脅。

歐盟從1984年開始實施研發(fā)框架計劃驅動科技創(chuàng)新。如歐盟依托第七框架計劃(7thFP)啟動了跨國合作的袋熊(WOMBAT)計劃,通過對海量安全事件的收集、治理與分析，描述網(wǎng)絡威脅模式及網(wǎng)絡安全態(tài)勢，供全球安全人員共享[18-19]；依托“地平線2020”(Horizon 2020)計劃，研制威脅情報共享態(tài)勢系統(tǒng)，提升網(wǎng)絡威脅預警能力；依托“地平線歐洲”(2021-2027)計劃，在超級計算機、人工智能、網(wǎng)絡安全、數(shù)字技能等方面開展基礎研究，以提升歐盟網(wǎng)絡和信息系統(tǒng)安全水平。2020年愛沙尼亞和美國啟動了為期5年的網(wǎng)絡威脅情報共享項目，以提升網(wǎng)絡威脅情報共享的自動化。

歐盟內部的網(wǎng)絡安全合作日益增多，推動了網(wǎng)絡威脅情報平臺和能力建設。Europol信息系統(tǒng)(EIS)、申根信息系統(tǒng)(SIS)和歐洲旅行信息及授權系統(tǒng)(ETIAS)的應用，使得各國安全部門可以快速交換信息，有效阻斷了歐盟內部的網(wǎng)絡犯罪、網(wǎng)絡攻擊，預防恐怖主義、抓捕罪犯，實現(xiàn)一體化反恐[17]。

目前， SIEM已經(jīng)廣泛部署到各個CSIRT和企業(yè)安全運營中心(SOC)，卻面臨無法自動識別和使用基礎設施的新威脅、安全事件關聯(lián)性弱等難題。為增強SIEM的互通，解決已部署SIEM系統(tǒng)的局限性，2016-2019年“Horizon 2020”向歐洲安全研究計劃-DiSIEM項目注資400萬歐元。項目基于機器學習算法、概率模型和可視化新方法，在開源情報收集、威脅情報融合、安全事件云存儲等方面取得良好進展，已較好地開展了新的安全威脅預測和風險評估[20]。

為推動威脅情報共享平臺建設，ENISA于2018年3月26日發(fā)布歐盟首份網(wǎng)絡威脅情報平臺綜合研究報告《探索威脅情報平臺機遇與挑戰(zhàn)》，指出威脅情報平臺有利于威脅情報全生命周期管理、信息共享、信息安全水平的提高；歐盟成員國需要協(xié)調合作，完善情報分析管理能力，加強威脅情報的分類、評估、實時態(tài)勢展示等[21]。2018年6月13日，歐盟委員會發(fā)布《增強應對混合威脅的能力和恢復力》的報告，強調歐盟需要情報共享以提高網(wǎng)絡攻擊溯源能力、網(wǎng)絡修復力和威懾力。

為擺脫對美情報源的依賴，2019年1月28日ENSIA發(fā)布《2018年ENISA威脅全景報告》，探討了開發(fā)內部威脅情報的來源、準確及時的急迫性。報告要求歐盟各成員國應消除監(jiān)管障礙，開發(fā)內部網(wǎng)絡威脅情報系統(tǒng)，擺脫對美國等的依賴[22]；開發(fā)新技術，擴大網(wǎng)絡威脅情報收集范圍，提升歐盟網(wǎng)絡威脅情報能力，提高網(wǎng)絡威脅情報的獨立性和質量。在2020年10月20日發(fā)布的《2020網(wǎng)絡安全威脅全景》報告中，強調了新冠疫情大流行和數(shù)字化轉型下，網(wǎng)絡威脅狀況的發(fā)展趨勢及對策分析。

總之，經(jīng)過多年的努力，歐盟的威脅情報能力得到顯著提升。但是，歐盟作為龐大的經(jīng)濟體，已成為全球網(wǎng)絡詐騙重災區(qū)、網(wǎng)絡恐怖主義攻擊的首要目標，網(wǎng)絡安全治理難度加大。受網(wǎng)絡主權、相互信任和集體安全矛盾的制約，歐盟網(wǎng)絡威脅情報在信源質量、范圍、共享效果受到很大影響。

由于網(wǎng)絡威脅情報的識別、補救與預防需要人工干預，而且網(wǎng)絡威脅中的隱私信息和隱性知識約束了成員國和組織共享的積極性，利益攸關者之間的信任問題導致網(wǎng)絡威脅情報共享過程自動化有限。由于美國在全源情報獲取能力方面的優(yōu)勢，尤其是2017年爆發(fā)的WannaCry和NotPetya勒索軟件事件[23]，使得歐盟將繼續(xù)擴展與盟國的威脅情報共享范圍，以保持其在網(wǎng)絡空間議題上的影響力和競爭優(yōu)勢。

4 加強5G網(wǎng)絡安全風險評估及威脅圖譜建設

5G是歐盟數(shù)字化轉型的關鍵動能。2016年9月歐盟委員會啟動“5G行動計劃”，制定了歐盟5G技術基礎設施路線圖，目前所有成員國均在積極部署5G商用業(yè)務。

5G網(wǎng)絡安全是歐盟維護技術主權的重要領域。為合理規(guī)避5G面臨的潛在安全風險，2019年3月26日歐盟委員會通過了《5G網(wǎng)絡安全建議書》，強調各成員國在歐盟網(wǎng)絡和信息安全合作小組(簡稱NIS合作小組)的協(xié)調下，各成員國應采取統(tǒng)一風險評估應對5G安全，重視成員國安全信息共享，突出5G網(wǎng)絡和設備認證規(guī)定[24]。

歐盟十分重視5G網(wǎng)絡的安全風險評估。2019年10月9日，歐盟NIS合作小組根據(jù)各成員國提交的國家5G網(wǎng)絡安全風險評估結果，發(fā)布《歐盟5G網(wǎng)絡安全風險評估報告》。報告采用了ISO/IEC:27005風險評估方法，分析了5G網(wǎng)絡的主要威脅、威脅實施者、受威脅的資產(chǎn)、各種脆弱點、戰(zhàn)略風險，確定全面實施5G網(wǎng)絡安全風險緩解措施[25]，表達了對國家網(wǎng)絡攻擊、非歐盟供應商、設備漏洞和5G運維管理問題的擔憂[26]，確定了可在歐盟層面和各成員國實施的5G網(wǎng)絡安全風險緩解措施。

為支持網(wǎng)絡安全生態(tài)系統(tǒng)建設，歐盟定期提供5G威脅評估。2019年11月，ENISA發(fā)布《5G網(wǎng)絡威脅態(tài)勢》報告，并于2020年12月4日發(fā)布更新版本。報告評估了與5G相關的威脅，概述了5G資產(chǎn)和5G資產(chǎn)面臨的網(wǎng)絡安全威脅圖譜和挑戰(zhàn)；認為5G網(wǎng)絡威脅分為核心網(wǎng)絡威脅、接入網(wǎng)威脅、多接入邊緣計算威脅、虛擬化威脅、物理基礎結構威脅和通用威脅。5G面臨的網(wǎng)絡威脅主體包括網(wǎng)絡戰(zhàn)人員、網(wǎng)絡恐怖分子、網(wǎng)絡犯罪分子、國家、公司、黑客、內部員工等。報告建議各成員國及時向相關機構通報本國5G網(wǎng)絡運營建設情況，共享5G網(wǎng)絡基礎設施風險評估信息，對5G網(wǎng)絡安全風險形成共識[27]；強調ISAC負責收集和共享5G相關信息與情報。建議各成員國、歐洲委員會、ENISA等應與5G利益相關方建立聯(lián)系，共享知識，建立完善的5G威脅情報與評估。ENISA應加強統(tǒng)籌協(xié)調，向利益相關方傳播5G資產(chǎn)信息和威脅狀況，跟進5G發(fā)展，修改完善威脅評估和共享。

2020年1月29日，NIS合作小組發(fā)布《5G網(wǎng)絡安全工具箱》指導文件，全面分析了歐盟5G網(wǎng)絡面臨的5類安全風險，建議歐盟成員國采取協(xié)調一致的8項戰(zhàn)略措施、11項技術措施和10項支持行動緩解風險[28]。2020年7月24日，NIS合作小組在歐盟委員會和ENSIA的支持下，發(fā)布了截至2020年6月，成員國實施“歐盟5G網(wǎng)絡安全工具箱”進程報告，并要求成員國根據(jù)國際貿易的影響評估供應商的風險狀況。

總之，歐盟委員會將統(tǒng)籌協(xié)調制定歐盟層面的與5G網(wǎng)絡安全相關的政策、認證標準及各成員國規(guī)則執(zhí)行情況，強化安全風險評估與監(jiān)測手段，依托歐盟計劃和項目提高5G技術研發(fā)和商用推廣投入等，各成員國負責制定落實本國5G發(fā)展規(guī)劃和網(wǎng)絡安全管理。

5 啟 示

網(wǎng)絡威脅情報共享已融入歐盟及成員國網(wǎng)絡安全建設的諸多方面。針對網(wǎng)絡威脅情報收集融合、網(wǎng)絡應急響應協(xié)同機制等方面的難題，歐盟通過發(fā)布戰(zhàn)略規(guī)劃和多項法律法規(guī)明確了網(wǎng)絡威脅情報共享的地位和模式，并通過加強歐盟網(wǎng)絡威脅情報共享機制建設、開展共享實踐和能力意識培育，合理發(fā)揮了網(wǎng)絡威脅情報的治理能力。歐盟的經(jīng)驗對推進我國網(wǎng)絡空間科學合理[29]建設、自主可控發(fā)展、共享體系構建和開展5G網(wǎng)絡國際合作具有借鑒指導意義。

5.1建立網(wǎng)絡威脅情報共享機制隨著數(shù)字經(jīng)濟崛起，我國的網(wǎng)絡安全建設已長足進展，在總體國家安全觀的指導下，中央網(wǎng)絡安全和信息化委員會的成立、《國家網(wǎng)絡空間安全戰(zhàn)略》《網(wǎng)絡安全法》等的實施為我國網(wǎng)絡安全信息共享工作提供了戰(zhàn)略指引和法律依據(jù)。隨著網(wǎng)絡威脅的武器化、組織化、國際化，以歐盟為鑒，基于美國威脅情報中心的效能，可成立國家層面的威脅情報共享機構-威脅情報中心，統(tǒng)籌指導全國威脅情報共享工作；建立各層級的威脅情報共享協(xié)調機構，統(tǒng)籌跨部門、跨領域威脅情報共享，鼓勵政府部門、機構、企業(yè)加入威脅情報共享聯(lián)盟和社區(qū)，建立威脅情報共享云，形成威脅情報共享的完整體系。

同時，借鑒歐盟ISAC、PPP的融合式共享模式，加強網(wǎng)絡安全管理部門與行業(yè)、企業(yè)的合作與支持，建立多領域、多視角、多層次的威脅情報共享聯(lián)盟，制定長效的合作共享機制?；凇度驍?shù)據(jù)安全倡議》和“數(shù)字絲綢之路”，借鑒歐盟與成員國之間的自愿信息共享機制，與盟國形成有效的合作機制，提升5G在全球的合作愿景。

5.2促進網(wǎng)絡威脅情報共享能力建設目前，歐盟不斷增加情報共享技術的資金和人力投入，在保護公民數(shù)據(jù)安全的同時，盡力提高威脅情報共享的效率。目前我國通過專項行動、法規(guī)制度等降低侵犯公民隱私問題，但信息泄露問題依舊不斷。在國家計算機網(wǎng)絡應急技術處理協(xié)調中心(CNCERT/CC)的推動下，成立了國家信息安全漏洞共享平臺(CNVD)、中國反網(wǎng)絡病毒聯(lián)盟(ANVA)、中國互聯(lián)網(wǎng)網(wǎng)絡安全威脅治理聯(lián)盟(CCTGA)，上線了網(wǎng)絡安全威脅信息共享平臺(share.anva.org.cn)，工信部也上線了“網(wǎng)絡安全威脅信息共享平臺”(www.cstis.cn)，提升了企業(yè)網(wǎng)絡安全威脅信息的共享和合作力度。

由于我國在威脅情報共享標準和系統(tǒng)方面還處于起步階段。為此，需要借助AI技術、區(qū)塊鏈技術，研究威脅情報共享的各種難點，以戰(zhàn)領建，開發(fā)網(wǎng)絡威脅情報共享系統(tǒng)，推動不同行業(yè)威脅情報共享中心及網(wǎng)絡的融合。積極參與“地平線歐洲”(2021-2027)計劃網(wǎng)絡安全項目，了解歐盟5G工作進展、歐盟及其主要成員國5G市場準入和網(wǎng)絡安全政策，借鑒歐盟在5G網(wǎng)絡安全風險評估和威脅圖譜的建設經(jīng)驗，推動中歐在5G及相關網(wǎng)絡安全等領域的合作，推進5G網(wǎng)絡國際國內網(wǎng)絡安全標準規(guī)范等的發(fā)展。

統(tǒng)籌發(fā)揮CNCERT/CC作為中國網(wǎng)絡安全威脅和事件的應急聯(lián)絡點的協(xié)調和溝通職能，積極參與亞太地區(qū)計算機應急響應聯(lián)盟(APCERT)與全球網(wǎng)絡安全應急響應聯(lián)盟(FIRST)等的威脅發(fā)現(xiàn)、預警、應急處置和信息共享行動。

借鑒歐美網(wǎng)絡演習經(jīng)驗，通過定期網(wǎng)絡實戰(zhàn)演習、技能培訓等規(guī)范威脅情報共享程序、共享流程及協(xié)同方式等，提升應對境內外網(wǎng)絡安全事件的應急響應和共享合作能力。

5.3加快網(wǎng)絡威脅情報共享技術體系和標準研制大安全時代，須緊跟網(wǎng)絡攻防技術發(fā)展趨勢，研制威脅情報共享的核心技術體系，構建基于威脅情報的網(wǎng)絡空間管理地圖以及網(wǎng)絡安全戰(zhàn)略實施進展地圖，提升檢測和識別網(wǎng)絡威脅的自動化水平；建立新型未知威脅和重大網(wǎng)絡安全監(jiān)測預警體系，提升網(wǎng)絡安全威脅態(tài)勢感知能力；基于軍民融合的網(wǎng)絡安全保障模式，梳理響應協(xié)調機制，規(guī)范應急響應框架程序和流程，有效提升網(wǎng)絡安全事件響應協(xié)調能力。

標準化是威脅情報共享的技術基礎。為此，可借鑒歐盟的NIS指令、美國的情報百科(Intellipedia)與NIST的《網(wǎng)絡威脅信息共享指南》(NIST SP 800-150)，構建我國的網(wǎng)絡威脅信息共享指南。依據(jù)業(yè)界威脅情報交換系列標準，如結構化威脅信息表達式(STIX)、網(wǎng)絡可觀察表達式(CyboX)、指標信息的可信自動化交換(TAXII)，以《信息安全技術 網(wǎng)絡安全威脅信息表達模型》(GB/T 36643-2018)和2019年發(fā)布的《網(wǎng)絡安全威脅信息發(fā)布管理辦法》，制定網(wǎng)絡威脅情報的發(fā)布、共享、利用及交換規(guī)范等，提升威脅情報共享合作的范圍與力度。