2019年3月，歐盟委員會通過《5G網絡安全建議書》，呼吁歐盟成員國完成國家風險評估并審查國家安全措施。歐盟國家網絡安全協(xié)作組根據成員國的評估結果，于同年10月發(fā)布《歐盟5G網絡安全風險評估報告》。報告分析了5G網絡的主要威脅和威脅實施者、受威脅的資產、各種脆弱點以及許多戰(zhàn)略風險，確定了可在歐盟各國和整個歐盟層面實施的5G網絡安全風險緩解措施。報告指出，5G技術和環(huán)境的發(fā)展將帶來一系列新的挑戰(zhàn)，歐盟成員國應做好充分準備。

5G網絡安全簡介

在歐盟經濟和社會實現(xiàn)數字化轉型的過程中，5G網絡將發(fā)揮核心作用。5G網絡有潛力支持各種應用程序和功能的運行，其作用絕不僅限于為最終用戶的溝通提供移動通信服務。2025年，估計全球5G收入將達到2250億歐元，5G技術和服務將成為歐洲參與全球市場競爭的重要資產。為保護歐盟的經濟和社會秩序，充分利用和發(fā)揮5G帶來的重要機遇和潛力，確保歐盟戰(zhàn)略自主權，5G網絡的安全至關重要。

政策背景和進度

2019年3月22日，歐盟理事會表示支持以統(tǒng)一的的方式對待5G網絡安全問題，26日，歐盟委員會通過了《5G網絡安全建議書》（以下簡稱“建議書”）。建議書支持歐盟制定統(tǒng)一的方法保障5G網絡安全，并要求歐盟成員國對5G網絡基礎設施進行國家風險評估。

2019年7月，歐盟成員國向歐盟委員會和歐洲國家網絡安全委員會（ENISA）提交了國家風險評估結果。根據評估結果，歐盟國家網絡安全（NIS）協(xié)作組于10月發(fā)布了《歐盟5G網絡安全風險評估報告》。隨著5G技術和相關應用的發(fā)展，并考慮到快速變化的威脅環(huán)境，每年可對本報告進行更新。NIS協(xié)作組還將參考歐盟聯(lián)合風險評估結果來制定風險緩解措施工具箱，建議書呼吁各成員國在2019年12月31日之前就風險緩解措施工具箱達成一致。

5G網絡及相關應用

建議書定義5G網絡是用于移動和無線通信技術的所有相關網絡基礎架構元素的集合。該集合還可能包括基于上一代移動無線通信技術（4G或3G）的傳統(tǒng)網絡元素。這些元素應用于具有先進性能特征（高數據速率和容量、低延遲、超高可靠性、支持大量設備連接等）的連接和增值服務。以上服務對于歐盟內部市場的運作、社會和經濟職能（能源、交通、銀行、衛(wèi)生等）的維護和運行、工業(yè)控制系統(tǒng)都至關重要。

軟件定義網絡和網絡功能虛擬化（NFV）技術將使傳統(tǒng)網絡體系結構發(fā)生重大轉變。由于網絡功能無需建立在專用的硬件和軟件上，功能差異將主要體現(xiàn)在軟件中。從安全的角度來看，漏洞的更新和修補將變得簡便。但軟件依賴度的提高以及頻繁更新的需求將大大提升第三方供應商和補丁管理程序的地位。

網絡切片技術使同一物理網絡上不同服務層高度分離，進而可在整個網絡上提供差異化服務。從安全的角度來看，每個網絡切片都有不同的安全要求，攻擊者的攻擊面增多。

移動邊緣計算技術減少了集中化的體系結構，允許網絡將流量引向終端用戶附近的計算資源和第三方服務，從而確保較短的響應時間。從安全的角度來看，邊緣計算將增加攻擊者的整體攻擊面和潛在入口點的數量，并為攻擊者創(chuàng)造了更多惡意假冒網絡部件和功能的機會。

此外，電信供應鏈的復雜性將更加突出。各種現(xiàn)有的或新的參與者（集成商、服務提供商、軟件供應商等）將更大程度地參與到網絡關鍵部門管理工作中去。第三代合作伙伴計劃（3GPP）的SA3工作組目前正在著手解決有關的5G安全問題。

歐盟的5G生態(tài)系統(tǒng)和部署

為促進歐盟部署5G基礎設施和服務，“歐盟5G行動計劃2”為5G基礎設施的公共和私人投資制定了路線圖，計劃最晚到2020年底推出商用5G網絡。

運營商部署計劃將采用分階段的方式引入5G網絡的關鍵創(chuàng)新技術。在第一階段（極短期或短期），5G部署將主要在非獨立網絡中進行，其中僅將無線接入網絡升級到5G技術，核心網仍依賴現(xiàn)有的4G技術。在后續(xù)階段（中期到長期），需要部署獨立5G網絡，包括5G核心網和各類新功能。在此過程中，5G網絡基礎設施的主要利益相關者包括以下幾類：

移動網絡運營商（MNO）：為用戶提供移動網絡服務的實體，在第三方的幫助下運營自己的網絡。移動網絡運營商扮演著核心決策角色，能夠充分利用其網絡影響整體的安全運行。

MNO的供應商：為MNO提供設備或服務的實體，包括但不限于：電信設備制造商以及其他第三方供應商（例如，云基礎架構提供商、系統(tǒng)集成商、安全和維護承包商、傳輸設備制造商等）。

設備和服務供應商的制造商：提供能夠接入5G網絡和組成5G控制平面中托管服務的物體和服務組件（例如智能手機、互聯(lián)車輛、電子醫(yī)療）的實體。

其他：包括5G移動網絡的服務和內容提供商以及終端用戶。在歐盟提供服務的MNO必須遵守歐盟和各成員國的法律。成員國有關主管部門有權執(zhí)行一般性授權，以確保MNO獲得提供電信網絡或服務的權利并履行特定義務。目前，MNO的供應商公司屈指可數。從市場份額的角度來看，主要供應商包括華為、愛立信、諾基亞、中興、三星和思科。此外，MNO的其他重要第三方供應商還包括一系列提供各種服務（如網絡管理和維護、數據中心等）的分包商。這些分包商可能與MNO處于不同的國家。值得注意的是，全球電信供應鏈的復雜性和相互依存性，以及許多歐盟使用或建設的網絡系統(tǒng)的大部分制造商和第三方支持公司并未處于歐盟。

歐盟成員國對5G網絡安全風險的評估

報告遵循ISO/IEC：270053風險評估方法，基于有關用例和可能場景的假設，對以下參數進行評估，并在最后給出了一些風險場景和緩解措施。

威脅種類

本地或全球5G網絡中斷（可用性）;暗中監(jiān)視5G網絡基礎設施中的流量/數據（保密性）;修改或重路由5G網絡基礎架構中的流量/數據（完整性、保密性）;通過5G網絡破壞或更改其他數字基礎架構或信息系統(tǒng)（完整性、可用性）。與現(xiàn)有網絡相比，經濟和社會功能對5G網絡的依賴將更大，將可能會大大加劇5G網絡中斷帶來的潛在負面影響。5G網絡面臨的威脅的嚴重性主要取決于以下幾個因素：受影響的用戶數量和類型;事件發(fā)現(xiàn)或修復之前所需的時間;受影響的服務類型（公共安全，緊急服務，衛(wèi)生，政府活動，電力供應，水供應等）以及損害或經濟損失的程度;被破壞的信息類別。

威脅實施者

表1列出了報告梳理的幾種主要威脅實施者。

以下對威脅實施者攻擊和企圖攻擊5G網絡基礎設施的能力（資源）和意圖（動機）進行評估：國家（或國家支持的）實施者構成的威脅最嚴重，其可對5G網絡進行持續(xù)、復雜的攻擊，具有充分的動機和意圖，也具有相對來說最強的能力。這些攻擊可能非常復雜，并對公眾基本服務產生重大影響，從而摧毀公眾對移動技術和運營商的信任。例如，國家（或國家支持的）實施者可能會利用未記錄在案的功能或攻擊關鍵基礎設施，從而導致電信服務的大規(guī)模中斷或對其造成嚴重干擾。部分成員國已經確定某些非歐盟國家的網絡進攻計劃對其國家利益構成了威脅。

在某些情況下，內部人員或分包商也可能成為潛在的威脅實施者，尤其是為成員國服務的人員或分包商，因為它們可以被其他國家視為獲取關鍵目標資產的渠道。

受威脅資產

對運營商而言，5G新功能的引入將需要對現(xiàn)有網絡進行重新設計。表2按照以下兩類標準對各類技術資產的敏感性進行了評估：影響的類型，即保密性、可用性、完整性受到的損害程度;影響的規(guī)模，即用戶、持續(xù)時間、受影響的基站或小區(qū)數量、被更改或訪問的信息量等。

在考慮關鍵資產時，以下非技術資產類別（包括用戶組、地理區(qū)域、關鍵基礎架構等）也需要特別關注：NIS指令下的基本服務運營商和關鍵基礎架構運營商;政府實體、執(zhí)法部門、公共保護和救災機構、軍事部門;網絡安全法規(guī)未涵蓋的關鍵部門/實體;戰(zhàn)略性私人公司;在5G網絡出現(xiàn)故障時沒有備用解決方案的區(qū)域或實體。

各種脆弱點

1.硬件、軟件、流程和策略相關。與任何其他數字基礎設施一樣，5G網絡可能會涉及一系列通用技術脆弱點，這些脆弱點可能由任何一個利益相關者安全流程中的潛在漏洞引起，也可能會對軟件和硬件產生影響。由于5G網絡主要建立在軟件基礎上，主要的安全脆弱點可能使威脅實施者更容易將惡意后門插入產品中，并使其更難被發(fā)現(xiàn)。

對于移動網絡運營商及其供應商來說，以下與流程或配置相關的脆弱點特別值得關注：缺乏專業(yè)、訓練有素的人員來保護、監(jiān)視和維護5G網絡;缺乏足夠的內部安全控制、監(jiān)視實踐、安全管理系統(tǒng)以及風險管理實踐;安全性或操作維護程序（例如，軟件更新/補丁程序等）管理不足;不遵守或未正確執(zhí)行3GPP標準;不良的網絡設計和架構;網絡和IT基礎架構的物理安全性差;針對本地和遠程訪問網絡組件的策略不足;采購過程中缺乏安全要求或安全要求不足;不良的變更管理過程等。

2.供應商相關。在5G網絡中，第三方供應商提供軟件和服務的作用日益增強，導致更多的脆弱點暴露風險。各供應商的風險狀況可以根據以下幾個因素進行評估：第一，供應商受到非歐盟國家干涉的可能性。以下因素的存在（包括但不限于）可能會加劇這類干涉的產生：供應商與特定第三國政府之間的緊密聯(lián)系;第三國立法，尤其是沒有立法、民主制衡，或者其與歐盟沒有安全或數據保護協(xié)議的第三國;供應商的公司所有權特征。第二，供應商保證供應的能力。第三，供應商的自身供應鏈的控制程度、產品整體質量和網絡安全實踐水平。

3.缺乏多樣性。在單個網絡中，高度依賴單個供應商會導致對特定解決方案的依賴，這將使從其他供應商獲取解決方案變得更加困難，尤其是在解決方案無法完全互操作的情況下。在國家和歐盟層面，供應商缺乏多樣性會增加5G基礎設施的整體脆弱性。一個或多個網絡的依賴關系也會顯著影響各成員國和整個歐盟的彈性并造成單點故障。此外，如果市場上供應商的數量有限，那么供應商開發(fā)更安全產品的動力就會降低。

風險場景舉例

根據前幾節(jié)所列出的有關各種參數的調查結果，確定了許多戰(zhàn)略性風險場景，這些風險場景的特征是：風險與整個歐盟相關;風險將導致非常高或潛在的系統(tǒng)性影響;隨著5G網絡的發(fā)展，風險發(fā)生的可能性正在增加。

以下場景反映了不同參數（威脅、威脅實施者、資產和脆弱點）的組合，但并未涵蓋所有風險。

1.安全措施不足。網絡配置錯誤：國家（或國家支持的）實施者利用配置不當的系統(tǒng)和架構，通過其外部接口滲透到5G網絡中，導致網絡核心功能受到損害，或者利用邊緣計算節(jié)點來破壞信息保密性和分布式服務;缺少訪問控制：具有網絡管理員權限的分包商由于第三國法律要求或員工的惡意行為采取破壞行動，從而導致保密性、完整性、可用性遭到破壞。

2.供應鏈風險。低質量的產品：由國家（或國家支持的）實施者利用惡意軟件進行間諜活動，濫用質量低劣的網絡組件，利用意外脆弱點影響核心網絡中的敏感元素等;單一依賴性：MNO從單個供應商那里獲取大量敏感的網絡組件或服務。但由于該供應商的供應不足使其設備可用性、更新能力大大降低。

3.威脅實施手段。通過5G供應鏈進行國家干預：敵對國家（或國家支持的）實施者對其管轄范圍內的供應商施加壓力，進而通過后臺漏洞對敏感網絡資產進行訪問;有組織犯罪集團利用5G網絡：有組織犯罪集團通過控制5G網絡體系結構的關鍵部分，破壞各種服務，進而勒索依賴于該服務的企業(yè)或MNO來獲取利潤。例如，“網絡釣魚”，在線騙局、竊取用戶的隱私數據等。

4.關鍵系統(tǒng)依賴性。關鍵基礎設施或服務被破壞：惡意黑客通過控制專用網絡切片來破壞信息/數據的完整性和應急服務;5G網絡大規(guī)模故障：自然災害、國家（或國家支持的）實施者、有組織犯罪集團對能源系統(tǒng)或其他支撐系統(tǒng)進行攻擊，導致大規(guī)模電力供應中斷等事件。

5.終端用戶設備。利用物聯(lián)網技術：黑客團體、國家（或國家支持的）實施者獲取物聯(lián)網等安全性較低的設備（例如工業(yè)自動化控制設備、運輸容器、傳感器、平板電腦和智能手機、家用電器等）的控制權，通過信令過載來攻擊物聯(lián)網絡。

現(xiàn)有的緩解措施

第一，標準方面，3GPPSA3已經解決了一些與5G安全相關的問題，尤其是端到端加密技術;第二，根據歐盟電信法規(guī)，歐盟成員國可以要求在其境內提供服務的電信運營商承擔一定義務;第三，NIS指令要求在能源、金融、醫(yī)療保健、運輸、供水等領域提供基本服務的運營商采取適當的安全措施，并將嚴重事件通報相關國家主管部門。NIS指令還包括在跨境風險和事件發(fā)生時各成員國之間的協(xié)調問題;第四，歐盟和國家層面的其他安全框架還包括數據保護和隱私規(guī)則（尤其是通用數據保護法規(guī)和電子隱私指令），以及適用于關鍵基礎架構的一些要求;第五，各MNO已采用各種安全措施，包括技術措施（例如，加密、身份驗證、自動化、異常檢測等）和與過程相關的措施（例如，脆弱點管理、事件和響應計劃、用戶權限管理、災難恢復計劃等）。

《報告》得出的結論

5G技術和環(huán)境的不斷發(fā)展可能會加劇以上各類挑戰(zhàn)。5G網絡技術和標準雖然改進了安全性，但網絡架構中的新功能以及廣泛的服務和應用也將帶來一些新的重要挑戰(zhàn)。

（一） 5G將增加網絡整體攻擊面及潛在切入點的數量。5G網絡邊緣的增強功能和集中程度更低的體系結構意味著核心網絡的某些功能可以集成到網絡的其他部分，從而使相應設備的敏感性加劇;5G設備中軟件重要性的提升將導致與軟件開發(fā)和更新過程相關的風險增加，從而引起配置錯誤等新風險。

（二） 5G第三方供應商在供應鏈中的作用更加突出。由于5G第三方供應商在網絡或區(qū)域中占有重要地位，其也更容易成為攻擊目標。威脅實施者（尤其是非歐盟國家或非歐盟國家支持的實施者）具有對歐盟成員國電信網絡進行攻擊的動機和資源，其可用的攻擊路徑數量也會因第三方供應商的作用升高而增加。對單個供應商的依賴加劇了在該供應商出現(xiàn)潛在風險時所要面臨的風險。

（三）5G廣泛服務和應用對網絡安全提出更高要求。未來，5G網絡會成為廣泛服務和諸多關鍵IT應用程序支撐環(huán)境的重要組成部分。5G廣泛服務和應用將進一步對5G網絡安全有關的性質（如保密性、隱私性、完整性、可用性等）提出更高要求。這也是對歐盟成員國國家安全能力的重大挑戰(zhàn)。

下一步工作重點

（一）重新評估當前政策和安全框架。歐盟成員國采取必要緩解措施的重要一步是重新評估5G及其生態(tài)系統(tǒng)的當前政策和安全框架。找出現(xiàn)有框架和執(zhí)行機制中的潛在問題，包括網絡安全法規(guī)的實施、公共機構的監(jiān)督作用、運營商和供應商各自承擔義務和責任等。

（二）充分利用現(xiàn)有網絡安全措施。現(xiàn)有網絡安全措施主要涉及適用于前幾代移動通信網絡并且對未來5G網絡的部署仍然有效的安全性要求。3GPP標準針對許多已識別的風險，尤其是那些影響核心網絡、設備或訪問級別的風險，也定義了一些應急措施。然而，5G與4G的根本性差異意味著在4G網絡上的安全措施可能無法有效緩解當前已確定的5G網絡安全風險。此外，某些5G網絡安全風險的性質和特征決定了其無法僅通過技術措施來解決。

（三）評估并建立風險管理措施工具箱。在實施建議書的后續(xù)階段可對各類緩解措施進行評估。同時，還會考慮歐洲工業(yè)能力在軟件開發(fā)、設備制造、實驗室測試、合格評定等方面的發(fā)展水平。最終，委員會將建立一個適當的、有效的、有針對性的通用風險管理措施工具箱，以緩解歐盟成員國在此過程中確定的5G網絡安全風險。