关于欧盟通信基础设施和网络的网络安全和弹性的报告

欧洲的网络安全和弹性通信基础设施 和网络 2022年3月9日NeversCall的后续行动 2024年2月21日 目录 1.Introduction3 1.1.Policy背景…………………………………………………………………………………………… ………………………………………………………………………………………………………………… …………………………………………………3 1.2.Objectivesand范围3 1.3.方法论………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………4 1.4.现有and即将到来框架and措施5 2.威胁and漏洞8 2.1.威胁演员……………………………………………………………………………………………… ………………………………………………………………………………………………………………… ……………………………8 2.2.威胁9 2.3.漏洞11 2.4.溢出effects13 3.Risk情景……………………………………………………………………………………… ……………………………………………………………………14 4.Recommendations17 4.1.战略建议……………………………………………………………………………………………… …………………………………………………………………………18 4.2.技术20 5.Conclusionsandnext步骤23 6.Annexes25 附件1.威胁25 附件2.电信安全威胁景观。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。25 附件3.漏洞26 附件4.Risk26 附件5.Recommendations27 1.Introduction 1.1.Policycontext 2022年3月9日在Nevers举行的电信部长非正式理事会会议，导致了加强欧盟网络安全能力的联合呼吁1。它认识到“关键”电信网络和数字服务等基础设施对 我们社会中的许多关键功能，因此是网络攻击的主要目标。“威胁 到关键的基础设施，加剧了俄罗斯对乌克兰的侵略战争，以及 数字领域的关键依赖关系，特别是对高风险供应商的依赖，是主要问题对于欧盟。确保这些关键基础设施的网络安全和弹性是主要优先事项，在当前的地缘政治格局中更是如此。 联合呼吁的介绍性文本解释说，部长们“由于当前的地缘政治 景观，“希望”立即采取网络安全强化行动。“。联合呼吁涵盖 几点，包括通信网络的弹性，需要加强通过公私合作的市场，迅速采用关于高 整个联盟的共同网络安全水平(NIS2指令2)，欧盟的运作 网络安全能力中心，进一步加强欧盟-CyCLONE和欧盟网络 危机管理网络(CSIRTNetwork)，需要建立一个可信的网络安全生态系统服务提供商和网络安全应急基金。 NeversCall的第4点要求有关当局，例如欧洲监管机构电子通信(BEREC)、欧盟网络安全机构(ENISA)和NIS合作小组向欧盟成员国和欧盟委员会提出建议 风险评估，以加强欧盟通信基础设施和 网络。理事会在2022年5月23日通过的结论中重申了这一呼吁欧盟的网络态势3. 为了对这一呼吁采取后续行动，NIS合作小组在委员会和ENISA的支持下并与BEREC协商，对通信进行了高级别风险评估 基础架构和网络。此报告包含中确定的主要威胁和漏洞 这种风险评估，开发了一套风险情景，并做出了一些战略和技术 recommendations. 1.2.目标和范围 本报告的目的是通过评估风险和 制定建议，根据会员国的情况，这些建议可以得到执行 在短期内，基于高级别的风险评估，以解决保护方面的潜在差距欧盟的通信网络和基础设施。建议还包括以下领域 需要进一步的详细评估。 就威胁和情景而言，风险评估的范围已由成员商定 国家如下：风险评估和差距分析重点关注网络攻击对欧盟的风险 1https://presse.economie.gouv.fr/download?id=92155&pn=2131-联合呼吁加强欧盟网络安全 capabilities-pdf 2022年12月14日第(EU)2022/2555号指令，关于在全球范围内实现高水平网络安全的措施 联盟。 3理事会关于欧盟网络态势发展的结论，9364/22，2022年5月23日。 通信网络和基础设施(包括对网络的物理攻击和 信息系统，符合NIS2指令的全危害方法)，由敌对的第三方 国家，即民族国家行为者，但也有组织犯罪集团和黑客主义者采取行动支持民族国家。 在这种情况下，运营商需要保护的所有网络安全事件， 不考虑，超出了范围，例如，由自然现象、气候引起的事件变化、人为错误、非自愿错误、功能错误和配置错误、网络攻击 纯粹的财务目的，如诈骗和欺诈等。4然而，这些其他事件和攻击必须运营商在保护其系统和网络时仍然会考虑。附件2包含 与电信运营商相关的更多威胁列表。 本风险评估范围内的网络和信息系统资产包括： 公共电子通信网络： o移动网络，包括信令网络； o固定网络； o卫星网络； 核心互联网基础设施： oInternet流量的路由； o海底和地下电缆； o互联网交换点（IXPs）和数据中心； o用于提供顶级域名注册(TLD)的网络和系统和域名系统(DNS)服务。 超出范围的是Web证书和合格的信任服务提供商，即(所谓的过顶) 独立于数字的人际通信服务，以及云服务，除非 运营商使用它们来提供上述网络或基础设施。也超出范围 最终用户设备，如智能手机、个人电脑(PC)、家用路由器和目标智能手机间谍软件等设备上的威胁，因为它们不是 网络或基础设施，一般来说，不受运营商的控制。然而，考虑使用此类设备攻击网络和基础设施的场景。 关于与5G网络相关的问题，欧盟协调风险评估的调查结果 5G网络的网络安全52019年10月发布的欧盟缓解措施 5G网络安全工具箱（EU工具箱）62020年1月的有效期仍然有效，并与此目的相关目前的风险评估。 1.3.Methodology 本报告基于成员国在NIS进行的风险评估的结果 合作小组在委员会和ENISA的支持下，并与BEREC协商，2022年4月至2023年12月。评估是在方法论的基础上进行的欧盟5G网络协调风险评估和开放无线电的网络安全分析 4ENISA，2021年电信安全事件，2022年7月27日，https://www.enisa.europa.eu/publications/telecom- 安全事件-2021 5NIS合作小组，欧盟范围内5G网络安全协调风险评估，2019年10月9日， https://digital-strategy.ec.europa.eu/en/news/eu-wide-coordinated-risk-assessment-5g-networks -security 6NIS合作小组，5G网络的网络安全-欧盟风险缓解措施工具箱，1月29日 2020，https://digital-strategy.ec.europa.eu/en/library/网络安全-5g-networks-eu-toolbox-risk-mitgating- 措施4 接入网7。数据是通过问卷调查和与 NIS合作小组内的成员国。在这一进程的第一阶段，成员国评估了与公共电子通信相关的主要威胁和漏洞 网络和核心互联网基础设施，以及这些部门之间的溢出效应和 其他关键部门。根据这些调查结果，成员国制定了一份风险情景清单。在第二阶段，会员国讨论并商定了一套共同的建议。这 报告总结了这一过程的结果。 这种风险评估是对ECASEC小组所做的一般性、更具技术性的工作的补充欧盟电信安全当局，他们开发并维护了技术安全框架 欧洲电子通信法规(EECC)下的措施，以及NIS所做的工作欧盟工具箱框架内的合作小组。此外，本报告还提供 理事会结论要求的正在进行的跨部门网络风险评估的信息欧盟的网络态势8. 1.4.现有和即将出台的框架和措施 欧盟已经制定或准备了一些政策框架和规则来保护电子通信网络. 1.4.1欧洲电子通信代码(EECC) 欧洲电子通信代码（EECC）是欧盟的主要政策框架 电信部门9。本规则于2018年通过，适用于所有电子通信服务和欧盟的网络。目前，EECC已被大多数欧盟国家调换 委员会在实施过程中支持会员国。安全要求 电信部门包含在EECC第40条(取代了框架第13a条指令): 第40条要求会员国确保运营商采取“适当”的网络安全措施，并向国家当局报告重大事件； 第41条要求会员国确保国家主管当局 电信国家监管机构(NRA)或网络安全机构，具体取决于国家设置，有权审计电信运营商，并在案件中执行措施网络安全缺陷。 在监督这些安全要求方面，会员国采取了不同的 方法。例如，在绑定规则适用于移动网络运营商的情况下，它们可能涵盖不同类型的技术和组织措施。在安全措施的成员国 在更多的技术和实际细节中进一步澄清(通常通过二级立法)，它们通常参考ENISA框架的详细技术电信安全措施10，这是开发的 与所有成员国一起实施EECC，并包含相关电信安全的详细清单措施。 7NIS合作，关于开放无线接入网网络安全的报告，2022年5月10日，https://digital- strategy.ec.europa.eu/en/library/网络安全-开放-无线电-访问-网络 8理事会关于欧盟网络态势发展的结论，9364/22，2022年5月23日。 9欧洲议会和理事会关于建立欧洲电子的指令(EU)2018/1972 通信代码。 10ENISA关于EECC下安全措施的指南，最新更新 https://www.enisa.europa.eu/publications/guideline-on-security-measures-under- the-eecc 7July2021, 除了个别电信运营商的具体安全要求外，几个成员国还 启动了国家举措，解决共同的部门威胁和风险，如全国漫游危机情况下的协议、互助和协助解决电力供应依赖问题，或跨部门协作以解决分布式拒绝服务(DDoS)攻击。 1.4.2.NIS指令（NIS1和NIS2） 互联网基础设施关键部分的安全要求，开放互联网的公共核心，包含在NIS指令中11，涵盖IXP、DNS提供商和TLD。在NIS下指令，提供此类服务的实体，被标识为基本服务运营商(OES) 由各自的成员国根据本指令第16条接受事前监督， 并必须采取适当的安全措施，并向国家当局报告事件。 修订后的NIS指令，称为NIS2，将废除并取代EECC的第40条和第41条，自2024年10月18日起，简化网络安全政策框架，增加提供商 公共电子通信网络和公共电子通信提供商 为“数字基础设施”部门提供服务12。根据NIS2指令，欧盟委员会必须发布为NIS2下的几个实体实施安全措施和事件报告法 digitalinfrastructuresector,includingforTLD,DNS,andcontentdeliverynetworks(CDN).TheNIS 合作小组已经为TLD注册管理机构发布了详细的技术安全措施13并且是为DNS提供商起草安全措施指南。此外，NIS2允许NIS 合作小组与欧盟委员会和ENISA一起进行欧盟范围内的风险评估在关键供应链中。 1.4.3.关键实体的弹性指令 关键实体的弹性(CER)指令14涵盖关键实体的物理弹性 针对人为和自然灾害，与NIS2指令保持一致，该指令涵盖 网络安全风险。该指令侧重于所有相关的非网络自然和人为风险，包括可能影响提供基本服务的跨部门或跨境，例如 自然灾害、事故、突发公共卫生事件和敌对威胁，包括恐怖主义犯罪