国际互联网协会:NIS2折衷提案将损害或削弱互联网
欧盟委员会在2020年12月提出了修订后的网络与信息安全指令(NIS2),并在2021年9月出台了该指令的总统折衷提案,旨在确保欧洲互联网基础设施的安全性和可信性。近日,国际互联网协会(Internet Society,ISOC)发布了《互联网影响简报》,针对该提案对互联网产生的影响进行了评估,同时对提案如何修订给出了相关建议。
2020年12月,欧盟委员会提出了修订后的网络与信息安全指令(NIS2),废除了现有网络安全规则。
这项新提案可能会对主要的互联网基础设施提供商产生影响,包括在欧洲市场运营的域名系统服务、顶级域名注册中心、可信服务提供商和证书颁发机构。
本报告使用互联网影响评估工具包(IIAT)评估总统2021年9月21日的折衷提案可能如何影响互联网作为一个对所有人开放的、全球互联的、安全的和可信的资源。
互联网的强大和成功归功于其拥有的关键属性,这些属性组合在一起,代表了网络的互联方式(IWN)。这包括:
一个具有通用协议的可访问的基础设施、一个由可互操作的构件组成的分层结构、分权管理和分布式路由、一个通用的全球标识符系统以及一个技术中立的通用网络。
为了评估目前的提案是否会对互联网产生影响,本报告将审查它对互联网存在所需的IWN基础的影响,以及对互联网作为一个开放的、全球互联的、安全的和可信的资源茁壮成长所需要素的影响。
背景和假设
经修订的网络与信息安全指令,通常被称为NIS2,是由欧盟委员会于2020年12月16日提出的。修订后的指令为欧盟引入了新的网络安全规则,并将取代现有的2016年网络与信息安全指令(NIS1)。
NIS2提案旨在应对快速变化的网络安全威胁以及现有NIS1的局限性。该提案的目标是通过保护更多脆弱的部门和增加成员国网络安全机制之间的互联互通来支撑一个更具适应性的欧洲。因此,成员国需要将该指令转化为国家法律。
NIS2提案在许多方面与NIS1不同。在NIS2下,指令的范围已经扩大,涵盖了包括电信、社交媒体平台和公共行政在内的其他行业。NIS2提案还消除了NIS1中基本服务运营商(OES)和数字服务提供商(DSP)之间的区别。相反,成员国将对“基本和重要实体”实施风险管理和风险报告要求,数字基础设施被认为是“基本实体”,数字提供商被认为是“重要实体”。
属于NIS2的实体清单将由成员国编制,而指令本身在附件中定义了一份高级别的实体清单。在本分析报告中,我们将重点关注这些实体的子集,主要涉及域名系统(DNS)和可信服务提供商。
NIS2要求范围内的DNS服务
域名系统(DNS)在使互联网更易于导航方面发挥了关键作用,它使用一个通用的全局标识符系统,使世界各地的系统和用户可以依赖该系统来获取他们试图在互联网上访问的位置。
DNS服务通过创建一个语义映射来实现这一点,该映射允许用户仅使用域名(例如internetsociety.org)来导航网络,而不是要求用户记住多个数字的网络地址(例如104.18.16.166或2606:4700::6812:11a6)。DNS服务创建的链接确保了一致性,并有助于防止互联网的分裂。
9月21日,NIS2折衷提案将DNS解析链上的所有DNS服务提供商都纳入要求范围,包括:
1.根域名服务器运营商;2.顶级域名(TLD)服务器;3.用于域名和递归解析器的权威域名服务器。
NIS2要求在提案范围内的DNS服务满足某些报告和安全政策的要求,但小型和微型实体除外。这些要求包括事故报告、代理域名(如果实体位于联盟之外)以及各种供应链安全措施。鉴于DNS服务的典型规模,很少有实体有资格在小型和微型实体类别下获得豁免。
NIS2要求范围内的顶级域名注册机构
顶级域名(TLDs)位于DNS的顶部,可以通过域名的最后一段来识别(例如.com,.org,.net或.uk)。TLD注册运营商负责直接或通过域名中间商网络注册域名。TLD注册运营商主要管理向DNS域名层次结构的下一级别委派时所需的技术信息的生成、签名和发布。
当区域数据过期或不准确时,TLD连接到其下层用户的域名链接会中断,导致通信被定向到不准确或过期的网络地址。这会造成安全风险,因为用户被带到不安全的网络地址,在那里他们可能成为攻击行为的受害者。薄弱的注册策略使得DNS攻击变得更加容易,域名被用作僵尸网络控制中心进行攻击的例子就证明了这一点。
NIS2提案要求TLD注册机构通过技术措施收集域名注册数据。此外,TLD注册机构将有72小时的时间答复合法访问者要求披露域名注册数据的请求。NIS2提案对小型或微型可信服务提供商没有例外。
NIS2要求范围内的可信服务提供商
可信服务提供商(TSP)提供和维护用于创建和验证电子签名以及认证签名者和网站的数字证书。它们在验证互联网上的个人和公司的身份方面发挥着至关重要的作用。数字证书的可靠使用提高了互联网的可信度,还促进了整个欧盟的电子政务服务以及医疗和金融服务的增长。
NIS2最近的折衷提案将TSP纳入了指令的要求范围,并在附件中将其确定为数字基础设施类别下的基本实体。作为基本实体,可信服务机构将受到事前和事后监督,这意味着可信服务提供商需要系统地记录其遵守指令安全要求的情况。NIS2对小型或微型可信服务提供商没有例外。
NIS2如何影响互联网?
为了了解NIS2如何影响互联网,我们将评估它如何影响国际互联网协会所描述的网络互联方式(IWN)的关键属性。
公开定义并由用户社区
自发采用的可互操作和可重用的构建块
开放互联网的一个关键特征是,它促进了快速的和无许可的创新,以便在需要时采取有用的创新举措。NIS2提案没有为DNS服务规定特定的安全机制,而是采取了技术中立的方法。
技术的灵活性在过去已经被证明是重要的,因为DNS服务采用了新的安全构建块,如域名系统安全扩展(DNSSEC)以及DoT和DoH,来应对新的挑战。
从这个意义上说,虽然NIS2确实限制了DNS服务发展适合其自身风险等级的措施,但用于满足这些需求的技术类型在很大程度上是开放的,这是积极的。
分权管理和可扩展、
灵活的单一分布式路由系统
互联网服务的分权管理允许根据需要进行本地优化。NIS2提案对DNS服务规定了新的义务,但并没有考虑到它们在无数社区主导的管理结构下已经面临的各种现有义务。
这种方法有可能产生多层问责制和相互冲突的义务,威胁到DNS服务的自主性和互联网的适应性。例如,某些国家代码顶级域名的要求是由当地政府设定的,而另一些则是由当地社区设定的,在更高一级增加规则将否定地方社区主导的管理结构,减少了自治权。
无歧义的通用全局标识符
互联网使用通用标识符来提供一致的寻址能力并防止互联网分裂。由于对DNS服务提出了额外的要求,而不考虑资源和能力的差异,NIS2给某些实体带来了不成比例的负担。
不遵守规定的实体可能会被成员国命令“停止不遵守规定的行为”。不遵守规定是否会导致在欧盟禁止某些域名并禁止欧盟居民访问?
由于没有对影响提供更清楚的说明,NIS2为通用全局标识符的瓦解创造了条件,并助长了互联网分裂。当指令范围内的全局实体为了避免行政罚款而改变其行为时,分裂也可能会产生。
全球实体可以通过停止向欧洲互联网用户提供服务来做到这一点——地理封锁欧洲DNS查询同样助长互联网分裂。历史上逃避监管行为的例子可以从通用数据保护条例(GDPR)的案例中看到,在这些案例中,欧盟以外的网站阻止来自欧洲的访问。
此外,关于TLD的新义务可能会干扰全球管理规则,导致互联网分裂。NIS2提案对所有TLD注册机构的等同处理在适用于国家代码顶级域名(ccTLDs)时会产生问题。
与非欧盟国家(如.US、.UK或.CN)相关联的ccTLDs,是否也在范围内?这些ccTLDs包括来自欧盟注册机构的较低级别的域名或被欧盟内提供服务的网站使用。
同样地,一般的ccTLDs(如.tv)跨越国界使用,是否也在范围内?对所有TLD注册机构的宽泛处理造成了治外法权问题,如果其他国家也采取管制行动,则可能进一步导致互联网分裂。
折衷提案在其范围内保留了根域名服务器以及地址和路由参数区域(.arpa)TLD,并显式标识了根域名服务器运营商。根域名服务器位于DNS的核心——就像树干作为基础为树枝和树叶服务——并响应对根区域中记录的请求,该区域包含根服务器本身的列表以及所有TLDs的权威域名服务器的列表。
与此同时,.arpa为全球互联网提供了若干关键技术服务,其中包括“反向解析服务”,将数字IP地址转换为相应的域名。.arpa作为TLD提供的服务对于全局通用协议的运行至关重要。它目前由互联网体系结构委员会(IAB)管理,这是一个与互联网标准机构互联网工程任务组(IETF)相关的多方利益相关者委员会。
NIS2对根域名服务器和.arpa实施了一种自上而下的互联网管理方法,这可能会加剧互联网分裂,尤其是在世界各地的其他政府实施类似的自上而下的管理方法的情况下。
这将损害多方利益相关者进程,并加速通用全局标识符的瓦解。此外,这与欧盟历史上支持的“单一的、开放的、中立的、自由的、安全的和不分裂的网络”理念背道而驰。因此,NIS2提案应该将根域名服务器和.arpa TLD排除在指令之外。
总结
由于当前范围内的DNS服务种类繁多,NIS2影响了支撑互联网的三个关键属性。各种DNS服务参与不同社区主导的管理工作,这些工作可能与NIS2的要求相冲突。这可能会对互联网上的无许可创新、互联网的适应性和互联网的分裂产生影响。
NIS2 如何影响
互联网发挥其全部潜能?
上述关键属性是实现互联网所需要的,但如果想让互联网发挥其全部潜能,有这些属性还不够。互联网协会倡导建立一个开放的、全球互联的、安全的和可信的互联网——与欧盟“单一的、开放的、中立的、自由的、安全的和不分裂的网络”的愿景高度一致。为了评估如何获得一个具有这些特征的互联网,我们将通过能实现这些目标的促进因素来看待这些问题。
协同开发、管理和治理
互联网的技术和标准是以开放和协作的方式进行开发、管理和治理的。这种开放的协作延伸到互联网的构建和运营以及在互联网上构建的服务。开发和维护过程以透明和民主为基础,其目标是优化基础设施和服务,为使用这些技术的用户提供优质服务。
互联网安全问题是全球性的,因此需要全球配合,最好通过自愿合作的方式而不是监管来实现。这种变化破坏了基于共识的决策,也违背了要确保基础设施和服务为用户利益优化的初衷。
由于没有认清楚管理DNS服务的各种结构,NIS2提案有可能用一种自上而下的管理方式取代现有的多方利益相关者合作开发的方式,这只会实现全球需求的一个狭窄的子集。
不受限制的可达性
不受限制的可达性意味着互联网用户可以访问互联网提供的所有资源和技术,并能够自己提供资源。一旦资源的所有者以某种方式提供了资源,就不会阻止第三方对该资源的合法使用和访问。
NIS2给全球DNS服务带来了许多挑战,这些服务可能难以遵守该提案。GoDaddy等互联网域名注册机构可能需要停止在不符合标准的TLDs中注册来自欧盟公民的域名。
同样,TLD权威服务器可能需要停止响应来自欧盟解析器的查询,尽管许多查询是由Google、Cloudflare运行的公共DNS解析器代理的,其他则是欧盟企业和互联网用户的请求。其他强制机制可能涉及解析器级别的强制过滤,这将同样限制不知情的第三方(即相关TLD注册机构)的可访问性。
这些情况可能会使欧盟互联网用户失去由DNS服务产生的基本系统和资源。随着时间的推移,欧洲用户体验的互联网将与外部世界享受的互联网截然不同,也切断了欧洲人与互联网驱动的新知识和创新的联系。
类似地,NIS2可能要求浏览器从可信的证书颁发机构中删除不兼容的证书颁发机构(CAs)。这可能会导致Chrome和Safari等主流浏览器出现欧盟特定版本。不兼容的CAs也可能会发现对受其证书保护的Web资源的访问被拒绝或变得不安全。这将剥夺欧盟居民对部分互联网资源的访问。
即使TLDs只在欧盟运营,可达性问题仍然会出现。NIS2提案授权成员国“停止不符合规定的行动”,这可能导致禁止TLDs注册域名,直到它们能够收集所有强制性注册信息。这同样会使互联网用户无法享受DNS服务的全部好处。
最后,由供应链上的第三方机构提供的技术和资源也可能出现类似的问题,这些第三方机构通常自己进行安全分析,并由其服务的消费者对其安全性进行评估。NIS2可能导致这些服务在欧盟被禁止,而运营费用可能导致较小的机构破产或被较大的机构收购。这些趋势将限制互联网服务的多样性,对欧洲互联网用户构成威胁。
信息、应用程序和服务的完整性
如果通过互联网发送并存储在应用程序中的数据的完整性不受损害,互联网的价值就能最大化。这种保护意味着重要的底层互联网服务(如DNS和路由系统)不能被恶意操纵或破坏。
NIS2认识到了完整性的重要性,并鼓励使用加密等重要手段,这一点值得称赞。然而,虽然欧洲实体应该使用加密等手段,但NIS2其他用心良苦的要求如果过于严格而无法遵守,可能会对数据的完整性产生意想不到的负面影响。
例如,未能满足NIS2要求的证书颁发机构(CAs)可能会从浏览器中可信的证书颁发机构中删除,即使它们遵守证书颁发机构、浏览器开发商和其他相关涉众之间相互商定的可信标准。这将对访问受这些CAs颁发的证书保护的服务产生负面影响,从而为中间人攻击、冒充服务和其他恶意操作创造机会。
NIS2提案有进一步的机会加强互联网安全,使通过系统发送的数据的完整性不受损害。网络不断地交换路由信息,以使互联网流量到达它需要的地方。每天在这些网络上发生数百起事件,包括路由劫持、路由泄漏和IP地址欺骗。这些事件导致拒绝服务(DoS)攻击、监视和收入损失,对互联网的可信度产生负面影响。
自愿合作行动对于打击此类事件和加强互联网安全至关重要。例如,互联网协会协调和支持一项由行业领导的倡议,称为相互商定的路由安全规范(MANRS),以保护互联网的完整性和适应性。该倡议针对网络运营商(ISPs)支持四个自愿项目:互联网交换中心(IXPs)、内容分发网络(CDNs),云提供商和设备供应商,以应对最常见的路由威胁。建议NIS2鼓励自愿合作行动,以提高互联网的安全性。
可靠性、适应性和可用性
当技术和程序发展到位,允许按承诺提供服务时,互联网是可靠的。如果互联网服务的可用性是不可预测的,那么用户将认为这是不可靠的。这不仅会降低对单个服务的可信度,还会降低对互联网本身的可信度。适应性与可靠性相关,即使面对错误、恶意行为和针对正常操作的其他挑战,可靠的互联网仍可以保持可接受的服务水平。
数字服务提供商在遵守NIS2要求以及现有义务时,可能会发现资源紧张。这可能助长市场退出、企业关闭或较大实体收购较小实体的情况发生,导致市场集中化。DNS服务的市场整合将降低互联网的可选择性和适应性。当运营商的数量有限时,错误、恶意行为或针对正常操作的其他挑战就不再是孤立存在的,可能会影响到整个系统。
免费提供服务并以微薄利润运营的非营利证书权利机构就是一个例子。NIS2的过度要求可能会迫使这些免费服务供应商退出欧洲市场,为私人证书供应商提高价格创造条件。欧洲企业将面临更高的IT基础设施成本,与仍可获得这些免费服务且运营成本较低的外国企业相比,欧洲企业将处于不利地位。这可能会对欧洲的创新和欧洲科技行业的全球竞争力产生连锁反应。
问责制
互联网上的问责制使用户确信与他们直接或间接互动的组织和机构是以透明和公平的方式运行的。在负责任的互联网中,实体、服务和信息可以被识别,相关组织将对其行为负责。
DNS服务受制于国家和社区主导的管理机构的层层权力。对于某些实体,可能会对哪个是权威管理机构感到困惑。
例如,.tv应该对哪个权力机构负责?从技术上来说是图瓦卢的ccTLD,但在全球范围内呢?对于与主权国家有密切联系的ccTLDs来说,这个问题尤为突出。这种模糊性给组织对其行为负责和向公众提供透明度的要求带来了挑战。
同样的问题也适用于在全球范围内运作并遵守证书颁发机构浏览器论坛(CA/Browser Forum)规定的证书颁发机构。随着权力链变得更加复杂,互联网对结果的问责制也变得更加复杂,降低了透明度和可信度。
总结
NIS2将对互联网的开放、全球互联、安全和可信这四个目标产生负面影响。由于不支持这些特性,NIS2限制了协同开发、管理和治理;限制了不受限制的可达性;限制了可靠性、适应性和可用性;还限制了问责制。
其后果可能会限制为用户优化的未来基础设施的发展、导致重要的DNS服务退出欧洲市场、导致市场合并和欧盟企业运营成本的增加,并导致在相互冲突的权力下缺乏问责制。
结论
本互联网影响简报举出了NIS2折衷提案损害或削弱了互联网作为一个开放的、全球互联的、安全的和可信的资源的几个实例。互联网协会建议欧盟委员会进行全面的互联网影响评估报告,以确定NIS2将如何影响DNS服务、可信服务提供商和证书颁发机构,避免任何意想不到的后果。
本报告还提出了若干补充建议,包括应该将根域名服务器明确地排除在NIS2提案的要求范围之外,将它们纳入提案与欧盟对“单一的、开放的、中立的、自由的、安全的和不分裂的网络”的初衷背道而驰。对它们进行监管将为其他政府对由IETF和IAB管理的多方利益相关者进程实施监管开创先例。这可能会导致通用全球标识符的瓦解,从而增加互联网分裂的风险。
此外,本报告建议欧盟委员会鼓励自愿合作行动,以加强互联网安全和数据保护。网络运营商的自愿协作行动有助于防止路由劫持、路由泄漏和IP地址欺骗。
例如,互联网协会提出的相互商定的路由安全规范倡议(https://www.manrs.org/)自愿模式,已经被全世界700多个网络采用。
来源:国际互联网协会
作者:卡勒姆·沃格、奥拉夫·科尔克曼、安德烈·罗巴切夫斯基
翻译:董明(东北大学)
责编:项阳
投稿、转载或合作,请联系:eduinfo@cernet.com
往期推荐
看完了,点个赞呗~