劉金芳 齊 越

(中國網(wǎng)絡安全審查技術(shù)與認證中心 北京 100020)

(liujf@isccc.gov.cn)

1 相關(guān)研究和背景

1.1 5G相關(guān)研究

隨著5G的快速發(fā)展，5G安全成為當今網(wǎng)絡安全的焦點問題.在美國5G網(wǎng)絡安全方面：段偉倫等人[1]分析了美國5G安全戰(zhàn)略及啟示；林美玉等人[2]從博弈論的角度分析了美國5G戰(zhàn)略.在歐盟5G網(wǎng)絡安全方面：郭豐等人[3]分析了5G網(wǎng)絡安全的歐盟策略與實踐；林美玉等人[4]對《歐盟5G安全風險評估報告》進行了分析與展望.在5G安全認證方面：周艷等人[5]研究了5G安全的全球統(tǒng)一認證體系和標準演進；趙軒[6]認為，建立網(wǎng)絡接入統(tǒng)一認證管理系統(tǒng)勢在必行.在5G安全標準方面：邱勤等人[7]研究了5G安全需求與標準體系；楊志強等人[8]研究了5G安全技術(shù)與標準.

1.2 歐盟5G工具箱有關(guān)背景

歐盟高度重視5G網(wǎng)絡安全.在《歐盟網(wǎng)絡安全法》建立《歐盟網(wǎng)絡安全認證框架》的大背景下，歐盟NIS合作小組2020年提出《歐盟5G網(wǎng)絡安全風險緩解措施工具箱》[9](簡稱“5G工具箱”)，并利用5G工具箱為部署5G商用服務的德國、奧地利、比利時、芬蘭、匈牙利、愛爾蘭、意大利、荷蘭、羅馬尼亞、西班牙、瑞典、拉脫維亞等歐盟成員國提供5G安全風險緩解措施[10].歐盟5G網(wǎng)絡安全工具箱高度強調(diào)通過對5G網(wǎng)絡組件、客戶設備或供應商的流程認證來緩解5G風險.2021年2月，歐洲網(wǎng)絡與信息安全局(European Union Agency for Cybersecurity, ENISA)應歐盟委員會要求開始著手制定5G網(wǎng)絡安全認證計劃，該計劃是落實歐盟5G工具箱的后續(xù)步驟.為啟動5G網(wǎng)絡安全認證計劃開發(fā)方案，ENISA正組建特別工作組.

1.3 現(xiàn)有的5G網(wǎng)絡安全框架和安全措施

歐盟現(xiàn)有5G網(wǎng)絡安全相關(guān)的監(jiān)管框架和工具包括3方面：一是歐盟層面的政策工具.包括歐盟電信框架、歐盟網(wǎng)絡和信息系統(tǒng)安全指令、歐盟網(wǎng)絡安全法，以及《歐盟外商直接投資審查條例》、貿(mào)易保護工具、公共采購規(guī)則、歐盟研究與創(chuàng)新資助計劃和產(chǎn)業(yè)政策工具等.二是歐盟成員國層面實施的電信政策.三是歐盟的相關(guān)標準，特別是標準組織第3代合作伙伴計劃(Third Generation Part-nership Project, 3GPP)制定的系統(tǒng)安全性標準.

歐盟在國際網(wǎng)絡安全領域處于領先地位，其在5G方面的網(wǎng)絡安全政策措施值得我們研究，因此本文對歐盟5G工具箱進行系統(tǒng)的分析.

2 主要內(nèi)容

2.1 5G工具箱的建設目標

《歐盟5G網(wǎng)絡安全風險評估報告》提出了歐盟5G網(wǎng)絡面臨的5種網(wǎng)絡安全風險場景和9類安全風險，如表1所示：

表1 歐盟5G網(wǎng)絡安全風險場景和風險類別

據(jù)此，歐盟NIS合作小組提出了保護5G網(wǎng)絡的機密性、完整性和可用性相關(guān)的安全目標：一是加強網(wǎng)絡設計、部署、運行方面的安全；二是提高產(chǎn)品和服務的基準安全標準；三是盡量減少因個別供應商的風險狀況而產(chǎn)生的風險；四是避免或限制5G網(wǎng)絡中對單一供應商的依賴；五是促進5G設備的多樣化、市場的競爭性和可持續(xù)性，包括保持5G價值鏈中歐盟的競爭力.

2.2 5G工具箱的安全措施

5G工具箱的安全措施包括三大類：戰(zhàn)略措施、技術(shù)措施、支持行動.

2.2.1 5G工具箱的戰(zhàn)略措施

5G工具箱的戰(zhàn)略措施是增強監(jiān)管機構(gòu)權(quán)力以審查網(wǎng)絡設備采購部署，解決與非技術(shù)相關(guān)的風險(例如受到第三國干擾的風險或依賴風險)，促進5G供應鏈可持續(xù)和多樣化，以避免長期依賴的風險，如表2所示.

表2 5G工具箱的戰(zhàn)略措施

2.2.2 5G工具箱的技術(shù)措施

5G工具箱的技術(shù)措施主要包括技術(shù)、流程、人員和物理因素方面的措施，以加強5G網(wǎng)絡和設備安全性，如表3所示.

表3 5G工具箱的技術(shù)措施

2.2.3 5G工具箱的支持行動

5G工具箱的支持行動包括在網(wǎng)絡安全、標準化、第三方供應商、彈性和連續(xù)性、合作與協(xié)調(diào)、公共采購等方面協(xié)助戰(zhàn)略和技術(shù)措施的10個具體支持行動，如表4所示.

表4 5G工具箱的支持行動

2.3 5G工具箱的風險緩解計劃

針對9類5G網(wǎng)絡安全風險中每一類，5G工具箱為確保措施的有效性和可執(zhí)行性提供了一套由戰(zhàn)略、技術(shù)措施形成的組合措施，即風險緩解計劃，如表5所示.措施的有效性會根據(jù)要解決的風險類型而有所不同.

表5 5G工具箱風險緩解計劃

時間表:短期(2年之內(nèi))，中期(2～5年)，長期(5年以上);措施有效性：

低高

2.4 5G工具箱的使用方式

歐盟成員國在實施工具箱時要綜合考慮許多因素，例如國家電信市場的總體特征，包括部署5G網(wǎng)絡的時間表、網(wǎng)絡供應商的存在、對單個供應商的依賴程度，以及國家資源和能力、法律框架、安全要求等.工具箱的使用步驟如表6所示：

表6 使用工具箱步驟

3 值得關(guān)注的幾個問題

3.1 歐盟5G工具箱將5G標準和5G認證作為緩解5G網(wǎng)絡安全風險的重要手段

歐盟5G工具箱提出，將5G標準和5G認證作為緩解5G網(wǎng)絡安全風險的重要手段.其中，通過TM08(通過健全的采購條件提高供應商流程中的安全標準)、TM09(對5G網(wǎng)絡組件、客戶設備、供應商的流程使用歐盟認證)來緩解5G網(wǎng)絡安全中R3(產(chǎn)品質(zhì)量低)、R6(以最終用戶為目標利用5G網(wǎng)絡的有組織犯罪)、R7(關(guān)鍵基礎設施或服務嚴重中斷)3類重要風險.

一是通過5G標準和認證，降低不符合供應商工藝和設備有關(guān)要求的低質(zhì)產(chǎn)品風險，以提高產(chǎn)品質(zhì)量，提高網(wǎng)絡安全性和彈性；二是通過5G標準和認證，降低犯罪集團利用5G網(wǎng)絡犯罪的風險，以提高網(wǎng)絡安全；三是通過5G標準和認證，降低關(guān)鍵基礎設施或服務的重大中斷風險，以提高網(wǎng)絡安全性，確保彈性和連續(xù)性.

3.2 5G工具箱在技術(shù)措施、支持行動中突出發(fā)揮標準和認證的重要作用

3.2.1 5G網(wǎng)絡安全標準和網(wǎng)絡安全認證在技術(shù)措施中的重要作用

5G工具箱在技術(shù)措施中重點提出，與供應商工藝和設備有關(guān)的安全措施包括健全的采購條件，提高供應商流程的安全標準，對5G網(wǎng)絡組件、客戶設備和/或供應商流程使用歐盟認證的方式等，突出了5G網(wǎng)絡安全標準和網(wǎng)絡安全認證的重要作用，如表7所示.

表7 技術(shù)措施中的“與供應商工藝和設備有關(guān)的要求”

3.2.2 5G網(wǎng)絡安全標準和網(wǎng)絡安全認證在支持行動中的重要作用

5G工具箱在支持行動中重點提出，與供應商工藝和設備有關(guān)的安全措施包括支持和塑造5G標準化、制定有關(guān)現(xiàn)有5G標準中實施安全措施的指南、通過具體的歐盟認證計劃確保標準技術(shù)和組織安全措施的應用的方式等，再一次突出了5G網(wǎng)絡安全標準和網(wǎng)絡安全認證的重要作用，如表8所示.

表8 支持行動中的“與供應商工藝和設備有關(guān)的要求”

續(xù)表8

3.3 5G工具箱高度關(guān)注5G供應鏈安全風險和關(guān)鍵基礎設施安全風險

歐盟5G工具箱高度關(guān)注歐盟5G網(wǎng)絡面臨的9類安全風險(如表1所示).特別是單一供應商的依賴性，供應商受其他國家干預等5G供應鏈安全風險，以及5G網(wǎng)絡與其他關(guān)鍵系統(tǒng)相互依賴的風險，此類風險可能導致關(guān)鍵基礎設施或服務嚴重中斷、電力供應中斷或其他支持系統(tǒng)導致的網(wǎng)絡大規(guī)模故障.

4 未來的方向

歐盟將5G工具箱中的5G安全認證作為一種重要的技術(shù)措施提出，下一步將制定認證計劃并在整個歐盟范圍內(nèi)推廣.未來在5G網(wǎng)絡組件、設備及供應商等方面，均需按照供應商工藝和設備有關(guān)的標準要求參與歐盟認證.歐盟委員會與成員國下一步將共同努力，促進成員國間的標準化協(xié)作，形成統(tǒng)一的認證計劃，以推廣更安全的5G產(chǎn)品和流程，最大程度防范5G技術(shù)帶來的網(wǎng)絡安全風險.