关于欧盟通信基础设施和网络的网络安全和弹性的报告

2022年3月9日Nevers Call的后续行动 2024年2月21日 目录 1.Introduction....................................................................................................................................31.1.Policy背景… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … …31.2.Objectivesand范围..............................................................................................................31.3.方法论… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … …41.4.现有and即将到来框架and措施................................................................52.威胁and漏洞............................................................................................................82.1.威胁演员… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … …82.2.威胁....................................................................................................................................92.3.漏洞.......................................................................................................................112.4.溢出effects...................................................................................................................133.Risk情景… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … 144.Recommendations................................................................................................................174.1.战略建议… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … 184.2.技术20 5.Conclusionsandnext步骤23 附件5.Recommendations............................................................................................................27 1. Introduction 1.1. Policy context 2022年3月9日在Nevers举行的电信部长非正式理事会会议，导致了加强欧盟网络安全能力的联合呼吁1。它认识到“关键”电信网络和数字服务等基础设施对我们社会中的许多关键功能，因此是网络攻击的主要目标。“威胁到关键的基础设施，加剧了俄罗斯对乌克兰的侵略战争，以及数字领域的关键依赖关系，特别是对高风险供应商的依赖，是主要问题对于欧盟。确保这些关键基础设施的网络安全和弹性是主要优先事项，在当前的地缘政治格局中更是如此。 联合呼吁的介绍性文本解释说，部长们“由于当前的地缘政治景观，“希望”立即采取网络安全强化行动。“。联合呼吁涵盖几点，包括通信网络的弹性，需要加强通过公私合作的市场，迅速采用关于高整个联盟的共同网络安全水平(NIS2指令2)，欧盟的运作网络安全能力中心，进一步加强欧盟- CyCLONE和欧盟网络危机管理网络(CSIRT Network)，需要建立一个可信的网络安全生态系统服务提供商和网络安全应急基金。 Nevers Call的第4点要求有关当局，例如欧洲监管机构电子通信(BEREC)、欧盟网络安全机构(ENISA)和NIS合作小组向欧盟成员国和欧盟委员会提出建议风险评估，以加强欧盟通信基础设施和网络。理事会在2022年5月23日通过的结论中重申了这一呼吁欧盟的网络态势3. 为了对这一呼吁采取后续行动，NIS合作小组在委员会和ENISA的支持下并与BEREC协商，对通信进行了高级别风险评估基础架构和网络。此报告包含中确定的主要威胁和漏洞这种风险评估，开发了一套风险情景，并做出了一些战略和技术recommendations. 1.2.目标和范围 制定建议，根据会员国的情况，这些建议可以得到执行在短期内，基于高级别的风险评估，以解决保护方面的潜在差距欧盟的通信网络和基础设施。建议还包括以下领域需要进一步的详细评估。 就威胁和情景而言，风险评估的范围已由成员商定国家如下：风险评估和差距分析重点关注网络攻击对欧盟的风险 通信网络和基础设施(包括对网络的物理攻击和信息系统，符合NIS2指令的全危害方法)，由敌对的第三方国家，即民族国家行为者，但也有组织犯罪集团和黑客主义者采取行动支持民族国家。 在这种情况下，运营商需要保护的所有网络安全事件，不考虑，超出了范围，例如，由自然现象、气候引起的事件变化、人为错误、非自愿错误、功能错误和配置错误、网络攻击纯粹的财务目的，如诈骗和欺诈等。4然而，这些其他事件和攻击必须运营商在保护其系统和网络时仍然会考虑。附件2包含与电信运营商相关的更多威胁列表。 本风险评估范围内的网络和信息系统资产包括： •公共电子通信网络：ooo移动网络，包括信令网络；固定网络；卫星网络；•核心互联网基础设施：ooooInternet流量的路由；海底和地下电缆；互联网交换点（IXPs）和数据中心；用于提供顶级域名注册(TLD)的网络和系统和域名系统(DNS)服务。 超出范围的是Web证书和合格的信任服务提供商，即(所谓的过顶)独立于数字的人际通信服务，以及云服务，除非运营商使用它们来提供上述网络或基础设施。也超出范围最终用户设备，如智能手机、个人电脑(PC)、家用路由器和目标智能手机间谍软件等设备上的威胁，因为它们不是网络或基础设施，一般来说，不受运营商的控制。然而，考虑使用此类设备攻击网络和基础设施的场景。 关于与5G网络相关的问题，欧盟协调风险评估的调查结果5G网络的网络安全5 2019年10月发布的欧盟缓解措施5G网络安全工具箱（EU工具箱）62020年1月的有效期仍然有效，并与此目的相关目前的风险评估。 1.3. Methodology 本报告基于成员国在NIS进行的风险评估的结果合作小组在委员会和ENISA的支持下，并与BEREC协商，2022年4月至2023年12月。评估是在方法论的基础上进行的欧盟5G网络协调风险评估和开放无线电的网络安全分析 接入网7。数据是通过问卷调查和与NIS合作小组内的成员国。在这一进程的第一阶段，成员国评估了与公共电子通信相关的主要威胁和漏洞网络和核心互联网基础设施，以及这些部门之间的溢出效应和其他关键部门。根据这些调查结果，成员国制定了一份风险情景清单。在第二阶段，会员国讨论并商定了一套共同的建议。这报告总结了这一过程的结果。 这种风险评估是对ECASEC小组所做的一般性、更具技术性的工作的补充欧盟电信安全当局，他们开发并维护了技术安全框架欧洲电子通信法规(EECC)下的措施，以及NIS所做的工作欧盟工具箱框架内的合作小组。此外，本报告还提供理事会结论要求的正在进行的跨部门网络风险评估的信息欧盟的网络态势8. 1.4.现有和即将出台的框架和措施 欧盟已经制定或准备了一些政策框架和规则来保护电子通信网络. 1.4. 1欧洲电子通信代码(EECC) 欧洲电子通信代码（EECC）是欧盟的主要政策框架电信部门9。本规则于2018年通过，适用于所有电子通信服务和欧盟的网络。目前，EECC已被大多数欧盟国家调换委员会在实施过程中支持会员国。安全要求电信部门包含在EECC第40条(取代了框架第13a条指令): •第40条要求会员国确保运营商采取“适当”的网络安全措施，并向国家当局报告重大事件；•第41条要求会员国确保国家主管当局电信国家监管机构(NRA)或网络安全机构，具体取决于国家设置，有权审计电信运营商，并在案件中执行措施网络安全缺陷。 在监督这些安全要求方面，会员国采取了不同的方法。例如，在绑定规则适用于移动网络运营商的情况下，它们可能涵盖不同类型的技术和组织措施。在安全措施的成员国在更多的技术和实际细节中进一步澄清(通常通过二级立法)，它们通常参考ENISA框架的详细技术电信安全措施10，这是开发的与所有成员国一起实施EECC，并包含相关电信安全的详细清单措施。 除了个别电信运营商的具体安全要求外，几个成员国还启动了国家举措，解决共同的部门威胁和风险，如全国漫游危机情况下的协议、互助和协助解决电力供应依赖问题，或跨部门协作以解决分布式拒绝服务(DDoS)攻击。 1.4. 2. NIS指令（NIS1和NIS2） 互联网基础设施关键部分的安全要求，开放互联网的公共核心，包含在NIS指令中11，涵盖IXP、DNS提供商和TLD。在NIS下指令，提供此类服务的实体，被标识为基本服务运营商(OES)由各自的成员国根据本指令第16条接受事前监督，并必须采取适当的安全措施，并向国家当局报告事件。 修订后的NIS指令，称为NIS2，将废除并取代EECC的第40条和第41条，自2024年10月18日起，简化网络安全政策框架，增加提供商公共电子通信网络和公共电子通信提供商为“数字基础设施”部门提供服务12。根据NIS2指令，欧盟委员会必须发布为NIS2下的几个实体实施安全措施和事件报告法digital infrastructure sector, including for TLD, DNS, and content delive