歐盟5G網(wǎng)絡(luò)安全工具箱政策研究

劉金芳 齊 越

(中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 北京 100020)

(liujf@isccc.gov.cn)

1 相關(guān)研究和背景

1.1 5G相關(guān)研究

隨著5G的快速發(fā)展，5G安全成為當(dāng)今網(wǎng)絡(luò)安全的焦點(diǎn)問(wèn)題.在美國(guó)5G網(wǎng)絡(luò)安全方面：段偉倫等人[1]分析了美國(guó)5G安全戰(zhàn)略及啟示；林美玉等人[2]從博弈論的角度分析了美國(guó)5G戰(zhàn)略.在歐盟5G網(wǎng)絡(luò)安全方面：郭豐等人[3]分析了5G網(wǎng)絡(luò)安全的歐盟策略與實(shí)踐；林美玉等人[4]對(duì)《歐盟5G安全風(fēng)險(xiǎn)評(píng)估報(bào)告》進(jìn)行了分析與展望.在5G安全認(rèn)證方面：周艷等人[5]研究了5G安全的全球統(tǒng)一認(rèn)證體系和標(biāo)準(zhǔn)演進(jìn)；趙軒[6]認(rèn)為，建立網(wǎng)絡(luò)接入統(tǒng)一認(rèn)證管理系統(tǒng)勢(shì)在必行.在5G安全標(biāo)準(zhǔn)方面：邱勤等人[7]研究了5G安全需求與標(biāo)準(zhǔn)體系；楊志強(qiáng)等人[8]研究了5G安全技術(shù)與標(biāo)準(zhǔn).

1.2 歐盟5G工具箱有關(guān)背景

歐盟高度重視5G網(wǎng)絡(luò)安全.在《歐盟網(wǎng)絡(luò)安全法》建立《歐盟網(wǎng)絡(luò)安全認(rèn)證框架》的大背景下，歐盟NIS合作小組2020年提出《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)緩解措施工具箱》[9](簡(jiǎn)稱“5G工具箱”)，并利用5G工具箱為部署5G商用服務(wù)的德國(guó)、奧地利、比利時(shí)、芬蘭、匈牙利、愛(ài)爾蘭、意大利、荷蘭、羅馬尼亞、西班牙、瑞典、拉脫維亞等歐盟成員國(guó)提供5G安全風(fēng)險(xiǎn)緩解措施[10].歐盟5G網(wǎng)絡(luò)安全工具箱高度強(qiáng)調(diào)通過(guò)對(duì)5G網(wǎng)絡(luò)組件、客戶設(shè)備或供應(yīng)商的流程認(rèn)證來(lái)緩解5G風(fēng)險(xiǎn).2021年2月，歐洲網(wǎng)絡(luò)與信息安全局(European Union Agency for Cybersecurity, ENISA)應(yīng)歐盟委員會(huì)要求開(kāi)始著手制定5G網(wǎng)絡(luò)安全認(rèn)證計(jì)劃，該計(jì)劃是落實(shí)歐盟5G工具箱的后續(xù)步驟.為啟動(dòng)5G網(wǎng)絡(luò)安全認(rèn)證計(jì)劃開(kāi)發(fā)方案，ENISA正組建特別工作組.

1.3 現(xiàn)有的5G網(wǎng)絡(luò)安全框架和安全措施

歐盟現(xiàn)有5G網(wǎng)絡(luò)安全相關(guān)的監(jiān)管框架和工具包括3方面：一是歐盟層面的政策工具.包括歐盟電信框架、歐盟網(wǎng)絡(luò)和信息系統(tǒng)安全指令、歐盟網(wǎng)絡(luò)安全法，以及《歐盟外商直接投資審查條例》、貿(mào)易保護(hù)工具、公共采購(gòu)規(guī)則、歐盟研究與創(chuàng)新資助計(jì)劃和產(chǎn)業(yè)政策工具等.二是歐盟成員國(guó)層面實(shí)施的電信政策.三是歐盟的相關(guān)標(biāo)準(zhǔn)，特別是標(biāo)準(zhǔn)組織第3代合作伙伴計(jì)劃(Third Generation Part-nership Project, 3GPP)制定的系統(tǒng)安全性標(biāo)準(zhǔn).

歐盟在國(guó)際網(wǎng)絡(luò)安全領(lǐng)域處于領(lǐng)先地位，其在5G方面的網(wǎng)絡(luò)安全政策措施值得我們研究，因此本文對(duì)歐盟5G工具箱進(jìn)行系統(tǒng)的分析.

2 主要內(nèi)容

2.1 5G工具箱的建設(shè)目標(biāo)

《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》提出了歐盟5G網(wǎng)絡(luò)面臨的5種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)場(chǎng)景和9類安全風(fēng)險(xiǎn)，如表1所示：

表1 歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)場(chǎng)景和風(fēng)險(xiǎn)類別

據(jù)此，歐盟NIS合作小組提出了保護(hù)5G網(wǎng)絡(luò)的機(jī)密性、完整性和可用性相關(guān)的安全目標(biāo)：一是加強(qiáng)網(wǎng)絡(luò)設(shè)計(jì)、部署、運(yùn)行方面的安全；二是提高產(chǎn)品和服務(wù)的基準(zhǔn)安全標(biāo)準(zhǔn)；三是盡量減少因個(gè)別供應(yīng)商的風(fēng)險(xiǎn)狀況而產(chǎn)生的風(fēng)險(xiǎn)；四是避免或限制5G網(wǎng)絡(luò)中對(duì)單一供應(yīng)商的依賴；五是促進(jìn)5G設(shè)備的多樣化、市場(chǎng)的競(jìng)爭(zhēng)性和可持續(xù)性，包括保持5G價(jià)值鏈中歐盟的競(jìng)爭(zhēng)力.

2.2 5G工具箱的安全措施

5G工具箱的安全措施包括三大類：戰(zhàn)略措施、技術(shù)措施、支持行動(dòng).

2.2.1 5G工具箱的戰(zhàn)略措施

5G工具箱的戰(zhàn)略措施是增強(qiáng)監(jiān)管機(jī)構(gòu)權(quán)力以審查網(wǎng)絡(luò)設(shè)備采購(gòu)部署，解決與非技術(shù)相關(guān)的風(fēng)險(xiǎn)(例如受到第三國(guó)干擾的風(fēng)險(xiǎn)或依賴風(fēng)險(xiǎn))，促進(jìn)5G供應(yīng)鏈可持續(xù)和多樣化，以避免長(zhǎng)期依賴的風(fēng)險(xiǎn)，如表2所示.

表2 5G工具箱的戰(zhàn)略措施

2.2.2 5G工具箱的技術(shù)措施

5G工具箱的技術(shù)措施主要包括技術(shù)、流程、人員和物理因素方面的措施，以加強(qiáng)5G網(wǎng)絡(luò)和設(shè)備安全性，如表3所示.

表3 5G工具箱的技術(shù)措施

2.2.3 5G工具箱的支持行動(dòng)

5G工具箱的支持行動(dòng)包括在網(wǎng)絡(luò)安全、標(biāo)準(zhǔn)化、第三方供應(yīng)商、彈性和連續(xù)性、合作與協(xié)調(diào)、公共采購(gòu)等方面協(xié)助戰(zhàn)略和技術(shù)措施的10個(gè)具體支持行動(dòng)，如表4所示.

表4 5G工具箱的支持行動(dòng)

2.3 5G工具箱的風(fēng)險(xiǎn)緩解計(jì)劃

針對(duì)9類5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)中每一類，5G工具箱為確保措施的有效性和可執(zhí)行性提供了一套由戰(zhàn)略、技術(shù)措施形成的組合措施，即風(fēng)險(xiǎn)緩解計(jì)劃，如表5所示.措施的有效性會(huì)根據(jù)要解決的風(fēng)險(xiǎn)類型而有所不同.

表5 5G工具箱風(fēng)險(xiǎn)緩解計(jì)劃

時(shí)間表:短期(2年之內(nèi))，中期(2～5年)，長(zhǎng)期(5年以上);措施有效性：

低高

2.4 5G工具箱的使用方式

歐盟成員國(guó)在實(shí)施工具箱時(shí)要綜合考慮許多因素，例如國(guó)家電信市場(chǎng)的總體特征，包括部署5G網(wǎng)絡(luò)的時(shí)間表、網(wǎng)絡(luò)供應(yīng)商的存在、對(duì)單個(gè)供應(yīng)商的依賴程度，以及國(guó)家資源和能力、法律框架、安全要求等.工具箱的使用步驟如表6所示：

表6 使用工具箱步驟

3 值得關(guān)注的幾個(gè)問(wèn)題

3.1 歐盟5G工具箱將5G標(biāo)準(zhǔn)和5G認(rèn)證作為緩解5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要手段

歐盟5G工具箱提出，將5G標(biāo)準(zhǔn)和5G認(rèn)證作為緩解5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要手段.其中，通過(guò)TM08(通過(guò)健全的采購(gòu)條件提高供應(yīng)商流程中的安全標(biāo)準(zhǔn))、TM09(對(duì)5G網(wǎng)絡(luò)組件、客戶設(shè)備、供應(yīng)商的流程使用歐盟認(rèn)證)來(lái)緩解5G網(wǎng)絡(luò)安全中R3(產(chǎn)品質(zhì)量低)、R6(以最終用戶為目標(biāo)利用5G網(wǎng)絡(luò)的有組織犯罪)、R7(關(guān)鍵基礎(chǔ)設(shè)施或服務(wù)嚴(yán)重中斷)3類重要風(fēng)險(xiǎn).

一是通過(guò)5G標(biāo)準(zhǔn)和認(rèn)證，降低不符合供應(yīng)商工藝和設(shè)備有關(guān)要求的低質(zhì)產(chǎn)品風(fēng)險(xiǎn)，以提高產(chǎn)品質(zhì)量，提高網(wǎng)絡(luò)安全性和彈性；二是通過(guò)5G標(biāo)準(zhǔn)和認(rèn)證，降低犯罪集團(tuán)利用5G網(wǎng)絡(luò)犯罪的風(fēng)險(xiǎn)，以提高網(wǎng)絡(luò)安全；三是通過(guò)5G標(biāo)準(zhǔn)和認(rèn)證，降低關(guān)鍵基礎(chǔ)設(shè)施或服務(wù)的重大中斷風(fēng)險(xiǎn)，以提高網(wǎng)絡(luò)安全性，確保彈性和連續(xù)性.

3.2 5G工具箱在技術(shù)措施、支持行動(dòng)中突出發(fā)揮標(biāo)準(zhǔn)和認(rèn)證的重要作用

3.2.1 5G網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全認(rèn)證在技術(shù)措施中的重要作用

5G工具箱在技術(shù)措施中重點(diǎn)提出，與供應(yīng)商工藝和設(shè)備有關(guān)的安全措施包括健全的采購(gòu)條件，提高供應(yīng)商流程的安全標(biāo)準(zhǔn)，對(duì)5G網(wǎng)絡(luò)組件、客戶設(shè)備和/或供應(yīng)商流程使用歐盟認(rèn)證的方式等，突出了5G網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全認(rèn)證的重要作用，如表7所示.

表7 技術(shù)措施中的“與供應(yīng)商工藝和設(shè)備有關(guān)的要求”

3.2.2 5G網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全認(rèn)證在支持行動(dòng)中的重要作用

5G工具箱在支持行動(dòng)中重點(diǎn)提出，與供應(yīng)商工藝和設(shè)備有關(guān)的安全措施包括支持和塑造5G標(biāo)準(zhǔn)化、制定有關(guān)現(xiàn)有5G標(biāo)準(zhǔn)中實(shí)施安全措施的指南、通過(guò)具體的歐盟認(rèn)證計(jì)劃確保標(biāo)準(zhǔn)技術(shù)和組織安全措施的應(yīng)用的方式等，再一次突出了5G網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全認(rèn)證的重要作用，如表8所示.

表8 支持行動(dòng)中的“與供應(yīng)商工藝和設(shè)備有關(guān)的要求”

續(xù)表8

3.3 5G工具箱高度關(guān)注5G供應(yīng)鏈安全風(fēng)險(xiǎn)和關(guān)鍵基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)

歐盟5G工具箱高度關(guān)注歐盟5G網(wǎng)絡(luò)面臨的9類安全風(fēng)險(xiǎn)(如表1所示).特別是單一供應(yīng)商的依賴性，供應(yīng)商受其他國(guó)家干預(yù)等5G供應(yīng)鏈安全風(fēng)險(xiǎn)，以及5G網(wǎng)絡(luò)與其他關(guān)鍵系統(tǒng)相互依賴的風(fēng)險(xiǎn)，此類風(fēng)險(xiǎn)可能導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施或服務(wù)嚴(yán)重中斷、電力供應(yīng)中斷或其他支持系統(tǒng)導(dǎo)致的網(wǎng)絡(luò)大規(guī)模故障.

4 未來(lái)的方向

歐盟將5G工具箱中的5G安全認(rèn)證作為一種重要的技術(shù)措施提出，下一步將制定認(rèn)證計(jì)劃并在整個(gè)歐盟范圍內(nèi)推廣.未來(lái)在5G網(wǎng)絡(luò)組件、設(shè)備及供應(yīng)商等方面，均需按照供應(yīng)商工藝和設(shè)備有關(guān)的標(biāo)準(zhǔn)要求參與歐盟認(rèn)證.歐盟委員會(huì)與成員國(guó)下一步將共同努力，促進(jìn)成員國(guó)間的標(biāo)準(zhǔn)化協(xié)作，形成統(tǒng)一的認(rèn)證計(jì)劃，以推廣更安全的5G產(chǎn)品和流程，最大程度防范5G技術(shù)帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn).