刘金芳 齐 越
(中国网络安全审查技术与认证中心 北京 100020)
(liujf@isccc.gov.cn)
随着5G的快速发展,5G安全成为当今网络安全的焦点问题.在美国5G网络安全方面:段伟伦等人[1]分析了美国5G安全战略及启示;林美玉等人[2]从博弈论的角度分析了美国5G战略.在欧盟5G网络安全方面:郭丰等人[3]分析了5G网络安全的欧盟策略与实践;林美玉等人[4]对《欧盟5G安全风险评估报告》进行了分析与展望.在5G安全认证方面:周艳等人[5]研究了5G安全的全球统一认证体系和标准演进;赵轩[6]认为,建立网络接入统一认证管理系统势在必行.在5G安全标准方面:邱勤等人[7]研究了5G安全需求与标准体系;杨志强等人[8]研究了5G安全技术与标准.
欧盟高度重视5G网络安全.在《欧盟网络安全法》建立《欧盟网络安全认证框架》的大背景下,欧盟NIS合作小组2020年提出《欧盟5G网络安全风险缓解措施工具箱》[9](简称“5G工具箱”),并利用5G工具箱为部署5G商用服务的德国、奥地利、比利时、芬兰、匈牙利、爱尔兰、意大利、荷兰、罗马尼亚、西班牙、瑞典、拉脱维亚等欧盟成员国提供5G安全风险缓解措施[10].欧盟5G网络安全工具箱高度强调通过对5G网络组件、客户设备或供应商的流程认证来缓解5G风险.2021年2月,欧洲网络与信息安全局(European Union Agency for Cybersecurity, ENISA)应欧盟委员会要求开始着手制定5G网络安全认证计划,该计划是落实欧盟5G工具箱的后续步骤.为启动5G网络安全认证计划开发方案,ENISA正组建特别工作组.
欧盟现有5G网络安全相关的监管框架和工具包括3方面:一是欧盟层面的政策工具.包括欧盟电信框架、欧盟网络和信息系统安全指令、欧盟网络安全法,以及《欧盟外商直接投资审查条例》、贸易保护工具、公共采购规则、欧盟研究与创新资助计划和产业政策工具等.二是欧盟成员国层面实施的电信政策.三是欧盟的相关标准,特别是标准组织第3代合作伙伴计划(Third Generation Part-nership Project, 3GPP)制定的系统安全性标准.
欧盟在国际网络安全领域处于领先地位,其在5G方面的网络安全政策措施值得我们研究,因此本文对欧盟5G工具箱进行系统的分析.
《欧盟5G网络安全风险评估报告》提出了欧盟5G网络面临的5种网络安全风险场景和9类安全风险,如表1所示:
表1 欧盟5G网络安全风险场景和风险类别
据此,欧盟NIS合作小组提出了保护5G网络的机密性、完整性和可用性相关的安全目标:一是加强网络设计、部署、运行方面的安全;二是提高产品和服务的基准安全标准;三是尽量减少因个别供应商的风险状况而产生的风险;四是避免或限制5G网络中对单一供应商的依赖;五是促进5G设备的多样化、市场的竞争性和可持续性,包括保持5G价值链中欧盟的竞争力.
5G工具箱的安全措施包括三大类:战略措施、技术措施、支持行动.
2.2.1 5G工具箱的战略措施
5G工具箱的战略措施是增强监管机构权力以审查网络设备采购部署,解决与非技术相关的风险(例如受到第三国干扰的风险或依赖风险),促进5G供应链可持续和多样化,以避免长期依赖的风险,如表2所示.
表2 5G工具箱的战略措施
2.2.2 5G工具箱的技术措施
5G工具箱的技术措施主要包括技术、流程、人员和物理因素方面的措施,以加强5G网络和设备安全性,如表3所示.
表3 5G工具箱的技术措施
2.2.3 5G工具箱的支持行动
5G工具箱的支持行动包括在网络安全、标准化、第三方供应商、弹性和连续性、合作与协调、公共采购等方面协助战略和技术措施的10个具体支持行动,如表4所示.
表4 5G工具箱的支持行动
针对9类5G网络安全风险中每一类,5G工具箱为确保措施的有效性和可执行性提供了一套由战略、技术措施形成的组合措施,即风险缓解计划,如表5所示.措施的有效性会根据要解决的风险类型而有所不同.
表5 5G工具箱风险缓解计划
时间表:短期(2年之内),中期(2~5年),长期(5年以上);措施有效性:
低高
欧盟成员国在实施工具箱时要综合考虑许多因素,例如国家电信市场的总体特征,包括部署5G网络的时间表、网络供应商的存在、对单个供应商的依赖程度,以及国家资源和能力、法律框架、安全要求等.工具箱的使用步骤如表6所示:
表6 使用工具箱步骤
欧盟5G工具箱提出,将5G标准和5G认证作为缓解5G网络安全风险的重要手段.其中,通过TM08(通过健全的采购条件提高供应商流程中的安全标准)、TM09(对5G网络组件、客户设备、供应商的流程使用欧盟认证)来缓解5G网络安全中R3(产品质量低)、R6(以最终用户为目标利用5G网络的有组织犯罪)、R7(关键基础设施或服务严重中断)3类重要风险.
一是通过5G标准和认证,降低不符合供应商工艺和设备有关要求的低质产品风险,以提高产品质量,提高网络安全性和弹性;二是通过5G标准和认证,降低犯罪集团利用5G网络犯罪的风险,以提高网络安全;三是通过5G标准和认证,降低关键基础设施或服务的重大中断风险,以提高网络安全性,确保弹性和连续性.
3.2.1 5G网络安全标准和网络安全认证在技术措施中的重要作用
5G工具箱在技术措施中重点提出,与供应商工艺和设备有关的安全措施包括健全的采购条件,提高供应商流程的安全标准,对5G网络组件、客户设备和/或供应商流程使用欧盟认证的方式等,突出了5G网络安全标准和网络安全认证的重要作用,如表7所示.
表7 技术措施中的“与供应商工艺和设备有关的要求”
3.2.2 5G网络安全标准和网络安全认证在支持行动中的重要作用
5G工具箱在支持行动中重点提出,与供应商工艺和设备有关的安全措施包括支持和塑造5G标准化、制定有关现有5G标准中实施安全措施的指南、通过具体的欧盟认证计划确保标准技术和组织安全措施的应用的方式等,再一次突出了5G网络安全标准和网络安全认证的重要作用,如表8所示.
表8 支持行动中的“与供应商工艺和设备有关的要求”
续表8
欧盟5G工具箱高度关注欧盟5G网络面临的9类安全风险(如表1所示).特别是单一供应商的依赖性,供应商受其他国家干预等5G供应链安全风险,以及5G网络与其他关键系统相互依赖的风险,此类风险可能导致关键基础设施或服务严重中断、电力供应中断或其他支持系统导致的网络大规模故障.
欧盟将5G工具箱中的5G安全认证作为一种重要的技术措施提出,下一步将制定认证计划并在整个欧盟范围内推广.未来在5G网络组件、设备及供应商等方面,均需按照供应商工艺和设备有关的标准要求参与欧盟认证.欧盟委员会与成员国下一步将共同努力,促进成员国间的标准化协作,形成统一的认证计划,以推广更安全的5G产品和流程,最大程度防范5G技术带来的网络安全风险.