5G安全国内外形势与政策分析

余晓光 翟亚红 余滢鑫 阳陈锦剑 解晓青

1(华为技术有限公司松山湖研究所 广东东莞 523808)

2(华为技术有限公司西安研究所 西安 710075)

3(中国网络安全审查技术与认证中心 北京 100020)

(sean.yuxg@huawei.com)

1 全球5G整体安全形势综述

随着5G技术在全球范围内的逐渐商用和相关产业链的不断成熟、应用场景的不断拓展，在全球范围内已经进入了商用部署的关键时期，5G安全已成为全球各国竞争的战略高地，决定各国在5G上的话语权和竞合关系.

5G自身带来的新的网络特性，如高带宽、低时延、广连接，势必带来新的安全挑战，万物互联的未来也为攻击者提供了更多的入侵可能.各国出于自身地缘政治、经济、技术等方面的考虑，在5G安全方面表现出各自不同的策略.

美国把5G网络安全和5G产业领先作为国家战略，动员国家的力量，从法律、市场、技术、产业上全面出击，意图实现美国主导的5/6G标准.美国利用他们在法律和供应链等方面的优势，加大对非美5G设备提供商的市场遏制，以“清洁网络”等口号对5G网络安全持续施加影响并将会不断加大.

欧盟发布工具箱(toolbox)是想通过欧盟统一的安全评估消减5G网络安全风险，在保障5G网络安全的情况下加速5G部署，确保技术主权.欧洲强调对非欧盟国家5G供应商的风险评估，在美国的压力下对中国5G供应商采取各种限制措施.欧盟推出工具箱后负面影响加大，影响范围从欧洲扩大到亚太和拉美.

英国原本采取平衡战略，在美国施压下，逐步倒向美国.从禁止中国5G企业核心网到禁止无线基站部分，并将中国企业列入高风险供应商(HRV).

日韩在5G安全方面的政策紧跟美国和欧盟，也将5G作为重大战略机遇，公布了禁止中国5G企业的禁令，利用中国企业被打压的契机，不断扶植本国企业，想要将5G作为未来新的经济引擎.

总体来说，全球在5G安全形势方面复杂多变，5G安全并不仅仅是技术问题，而是上升到一个包含了国家战略、法律、产业、技术各方面的综合体，中国企业的5G自研能力、业务连续性等方面受到严峻挑战.在这个过程中，中国必须坚持自立自强的道路，尽快实现国内的5G商业成功，加快推出自主知识产权的5G安全标准、解决方案等，持续保持在5G方面的引领地位.

2 国外5G安全形势与政策介绍

2.1 美国5G安全形势与政策

美国对5G高度重视，认为5G是21世纪美国繁荣与安全的主要驱动力，是国家繁荣和安全的重要因素.美国把保障5G安全并重新领导5G产业，提升到国家战略层面，而且通过立法和行政命令保障执行.另外，美国担心5G特别是外国设备商会给国家安全带来风险，所以在大力推动5G的同时，积极消减5G网络安全风险.

2020年3月12日，美国通过《安全可信通信网络法案》(Safe and Trusted Communications Networks Act)，禁止联邦基金购买中国企业华为、中兴的设备，并提供10亿美金补偿替代产生的费用.

2020年3月23日，美国通过《2020年5G安全保障法》(The Secure 5G and Beyond Act of 2020, S.893)[1]，以确保美国国内5G安全，并推动盟友5G安全.采用政策扶持手段补齐美国及盟友在5G和未来网络安全领域中的不足，提升美国在5G和未来网络的标准与产业领导力，推进美国和盟友联合研发和测试，确保中长期研发和创新领导力.

2020年3月23日，白宫发布《美国5G安全国家战略》(National Strategy To Secure 5G of the United States of America)[2]，承接S.893加速5G在国内推广，内容包括频谱规划、简化审批、评估5G漏洞、制定安全原则等方面，协同盟友制定国际5G安全原则，推动全球安全5G的开发和部署，引领5G未来方向.

2020年4月24日，众议院提案《美国电信法案》(USA Telecommunications Act，H.R.6624)[3]，通过美国国家电信和信息管理局(NTIA)提供7.5亿美元的拨款，以支持在全美范围内Open RAN 5G网络的部署和使用，并加入安全特性.

在5G安全方面，美国国防部(Department of Defense, DoD)也动作频频.2019年4月，DoD发布由国防创新委员会(Defense Innovation Board)撰写的《5G生态：国防部的风险和机遇》(The 5G Ecosystem: Risks & Opportunities for DoD)报告[4]，介绍了5G发展历程和现状，分析了5G的机会、风险和应对建议，认识到美国在5G的落后，给出了一定的应对建议，包括转向Sub-6G，制定Sub-6G计划，塑造5G生态；制定战略级和工程级的安全计划(如采用零信任、减少数据流动、冗余层、供应链分析、出口管制遏制、5G/6G研究、毫米波改进)；调整贸易策略，惩罚漏洞代码，联合遏制中企.

2020年5月DoD发布《国防部5G战略》(Department of Defense 5G Strategy)[5]，目标是在频谱、技术和生态落后的情况下加速5G部署，利用美国芯片和IT优势，推进美国和盟国5G能力，保护美国及盟国5G安全，并提出明确的工作路线：一是推动5G技术发展，如承办5G演示、测试床、毫米波、频谱动态共享、开放架构和虚拟化、人员培养等；二是5G漏洞评估和消减，如威胁分析、供应链风险管理、安全评估、零信任、全球运营；三是影响标准和政策，如影响3GPP等标准机构、频谱管理政策、出口管制政策等；四是联合盟国和伙伴，如联合盟国推行国家安全理念、联合行业提升5G能力、联合国会立法等.

2020年12月15日，DoD发布题为《5G技术实施方案》(5G Strategy Implementation Plan)[6]的报告.该报告作为《国防部5G战略》的附录，描述了国防部5G战略的实施细节.此外，报告还为《国防部5G战略》提供了路线图，以解决5G的技术、安全、标准、政策以及应用与合作的问题.

美国不仅在本国实施5G安全的准入壁垒，在美国之外北约以5G网络安全和供应链安全为借口，施压盟友共同抵制中企.2019年5月2—3日，以美国为首的32个国家在捷克布拉格召开安全大会，就5G网络安全的挑战与对策举行闭门会议，中国没有参会.会议发布了非约束性政策建议“布拉格提案”：网络安全不仅是技术问题，保护通信设施网络安全不仅是商业问题，需要适当的国家战略、健全的政策、全面的法律框架等.系统的风险评估非常重要，网络安全威胁不仅要考虑技术性质，还要考虑恶意行为的政治、经济行为以及供应链安全.

2020年5月13日，应美国国务院要求，美国国际战略研究中心(Center for Strategic and International Studies，CSIS)组织来自亚洲、欧洲、美国的25名专家，制定供应商的可信评估标准、政府行动建议，发布《电信网络与服务安全可信标准》(Criteria for Security and Trust in Telecommunications Networks and Services)[7]，该标准目的是助推盟友国家制定政策，遏制中企.他们认为电信网络影响国家安全，只能来自可信供应商，而可信供应商重点基于国家政策、公司治理、风险消减措施来评估，有明显的倾向性.

在产业上，美国鼓励私营企业以多种方式进入电信5G领域，以安全切入，以IT和芯片优势重新领导5G产业.通过产业和开源组织实现开放、解耦、开源、白盒，如TIP OpenRAN/OCN(Open Core Network)，O-RAN，Open RAN政策联盟等.

2020年5月5日，美日欧31家企业，包括5G Startup、美日欧运营商、美日韩设备商、美国IT/云/OTT厂商等，组成OpenRAN政策联盟.

2020年1月30日，美国国防高级研究计划局(Defense Advanced Research Projects Agency，DARPA)发布OPS-5G项目，希望以安全为由切入重新领导5G/6G产业.OPS-5G目标是建立美国主导的、兼容标准的、不依赖于硬件的、安全的开源软件，解决5G带来的安全风险.OPS-5G项目计划通过4年达成目标，至少在1个美国运营商商用分为4个TA(technical area)，重点在AI自动生成代码(TA1)和网络安全(TA2/3/4)上构筑领先优势.

2.2 欧盟5G安全形势与政策

2019年以来，欧盟高度重视5G技术的战略自主权和网络安全，出台了一系列旨在解决本地区5G网络安全问题的政策文件[8].这些文件特别强调对非欧盟国家5G供应商的风险评估，中国5G企业在欧盟开展业务面临严峻挑战.

2019年3月欧盟委员会通过《5G网络安全建议》(Commission Recommendation—Cybersecurity of 5G networks)[9].欧盟在建议中提出了要通过制定适当的风险分析指南来解决5G网络安全风险，特别是在欧盟层面要制定具有协调性的风险评估机制，并建立最佳风险管理措施的工具箱流程.具体包括以下步骤：1)成员国进行5G网络安全风险评估；2)欧盟形成统一5G网络安全风险评估报告；3)欧盟制定统一5G网络风险消减措施工具箱；4)评估工具箱实施效果[9].

2019年7月欧盟成员国完成本国5G网络风险评估报告，提交到欧盟.

2019年10月欧盟国家网络安全协作组(NIS Corporation Group )发布《5G网络安全统一风险评估报告》(EU Coordinated Risk Assessment of the CyberSecurity of 5G Networks)[10]，对5G资产敏感度、威胁、漏洞、风险进行了评估.

2019年11月欧洲网络和信息安全局(ENISA)发布《5G网络安全威胁全景图》(Threat Landscape of 5G Networks)[11]，对5G网络所存在的安全威胁进行分析，描述了5G网络安全威胁图谱和5G网络在安全方面的挑战，加入了创建综合5G架构、识别重要资产、对影响5G的威胁进行评估、识别资产暴露的程度以及威胁源动机的评估.

2020年1月欧盟国家网络安全协作组(NIS Corporation Group)发布《5G网络安全风险消减措施工具箱》(Cybersecurity of 5G networks EU Toolbox of Risk Mitigating Measures)[12]，为成员国消减5G网络安全风险提供指导.包括8条战略措施(SM)和11条技术措施(TM)，其中SM03要求成员国评估供应商风险，高风险供应商要排除高敏感部件,TM09定义欧盟统一认证框架.

2020年7月24日欧盟国家网络安全协作组输出《欧盟成员国关于实施5G网络安全工具箱的进展报告》(Report on Member State’s Progress in Implementing the EU Toolbox on 5G Cybersecurity)[13].该报告分析了欧盟成员国在国家一级实施5G安全工具箱的进展.2020年10月成员国与欧盟共同评估工具箱实施效果，并决定是否采取进一步措施.因疫情原因延迟.

目前欧盟对5G安全的理解，已不局限在技术层面，而是站在欧盟整体利益、区域安全和国际关系的战略高度来思考.欧盟发布工具箱的目的，是想通过欧盟统一的方法评估和消减5G网络安全风险，在保障5G网络安全的情况下加速5G部署，确保技术主权.欧盟在工具箱中定义了九大风险、8个战略措施、11个技术措施、10个支撑行动，核心是供应商风险评估和统一认证，这对于中国供应商提出了更高的要求.

欧盟认为的5G面临的TOP9风险如表1所示，其中R5条款针对的是国外5G设备提供商.

表1 欧盟工具箱的TOP9风险

欧盟工具箱提出的8个战略措施如表2所示，基本所有国家都在执行或者计划执行SM03，14个国家已经表明会考虑非技术因素，如第三国干预、供应商来源、情报威胁等.

表2 欧盟工具箱的8个战略措施

欧盟工具箱提出保障5G安全的11个技术措施如表3所示，技术措施TM09,TM10提出了针对5G组件和非5G组件要通过欧盟安全认证.

表3 欧盟工具箱的11个技术措施

欧盟工具箱提出保障5G安全的10个支撑行动如表4所示，在SA03中提出要形成5G标准，在SA05中提出要在欧盟层面进行安全认证，在SA06中提出要对供应商进行风险画像.

表4 欧盟工具箱的10个支撑行动

欧盟工具箱中涉及到的技术措施TM09,TM10对于安全认证的要求，触发5G认证组的成立.欧盟网络安全认证组负责成立相关技术认证组制定认证标准，5G认证组是其中之一.

2019年6月《网络安全法案》(EU Cybersecurity Act)出台，建立统一认证框架.

2019年H1欧盟网络安全认证组(ECCG)成立.

2020年H2欧洲网络和信息安全局(ENISA)5G认证组成立，制定欧盟5G认证规范.

2021—2022欧盟批准ENISA 5G认证标准.

欧盟通过一系列在5G安全方面的政策发布，旨在降低欧盟及其成员国在地区层面的网络安全风险，在欧盟层面形成一致性的行动和检测标准.对欧盟各国认为的高风险供应商实施相关限制，将它们排除在“关键、敏感”的核心网络功能之外，这对于中国供应商增大了准入难度.

2.3 英国5G安全形势与政策

英国在1998年颁布新版《数据保护法》，明确了数据控制者在个人数据处理中的权利、义务及责任，提出公民拥有获取与自身相关数据的权利.英国信息公开领域的基础性法律包括2000年颁布的《信息自由法》(Freedom of Information Act, FOIA)和2012年颁布的《自由保护法》(Protection of Freedom, PFA).为加强网络与信息安全，英国政府分别于2009年、2011年和2016年颁布3部《国家网络安全战略》(National Cyber Security Strategy)[14].英国原本采取平衡战略，在美国施压下逐步倒向美国.

2018年12月5日英国运营商BT宣布不用中国企业华为的5G核心网，并替换现网2/3/4G核心网.

2019年7月22日英国DCMS(数字、文化、传媒和体育部)、NCSC(英国国家网络安全中心)、OFCOM(通信管理局)联合发布电信安全要求(Telecoms Security Requirements, TSR)，作为法规管理所有运营商，由OFCOM监管[15-16].

2020年5月29日英国政府与G7、澳大利亚、韩国和印度等10个国家，建立了D10 5G俱乐部，扶持5G设备的替代供应商，欲摆脱对中国5G的依赖[17-18].

2020年1月28日，英国NCSC(英国国家网络安全中心)发布正式报告，华为被定为高风险供应商(HRV)，禁止中国华为核心网，允许无线参与，份额小于35%，并通过风险消减措施使得网络安全风险可控[19-21].

2020年7月14日，英国国家网络安全中心(NSSC)表示无法保证中国公司华为5G安全，2020年底停止华为5G设备采购和部署，2027年要求华为从英国5G网络中完全消失[19-21].

英国国家网络安全中心(NCSC)定义了高风险供应商(HRV)标准，并将华为定位HRV[19-21].评估标准如下：

1) 供应商在英国网络的战略地位/规模；

2) 供应商在其他电信网络的战略地位/规模，特别是如果该供应商是新进入英国市场的供应商；

3) 供应商工程实践的质量和透明度、网络安全管控；

4) 供应商过去的行为和做法；

5) 供应商在技术方面和向英国运营商供应连续性方面的韧性；

6) 与供应商相关的所有权和经营地点有关的若干考虑因素.包括：

① 供应商受归属国家机器的影响(正式和非正式)；

② 供应商受归属国家机器和关联行为者是否拥有攻击性网络能力，可能被用来针对英国的利益；

③ 业务运营的重要组成部分是否受供应商国内安全法律的约束，这些法律允许以与英国法律相冲突的方式向外部发出指示.

英国政府制定了5类网络安全风险消减措施，包括技术和非技术措施如表5所示：

表5 网络安全风险消减措施

2.4 日韩5G安全形势与政策

日本政府建立了由首相亲自挂帅的IT战略本部会议，针对Society5.0及未来5G，IoT，AI等方面制定战略决策:

2018年12月6日，日本要求其政府及公共事业不得采购华为的5G设备[22-23].

2018年12月10日，日本四大运营商(NTT DoCoMo，KDDI，SoftBank，Rakuten)均表态不会使用华为5G设备[22-23].

2019年12月12日，日本政府正式宣布，若电信公司采购的设备是来自“不会对日本构成安全风险的国家”的设备，将可享有15%的减税优惠.

2020年2月18日，政府批准法案，通过一系列减税措施鼓励国内企业发展5G技术，NEC、富士通占全球通信设备份额1%～2%，主要在日本国内，希望借5G和Open RAN发展壮大.日本厂商积极参与TIP Open RAN、O-RAN联盟、美国Open-RAN政策联盟等，NTT DoCoMo将诺基亚BBU与富士通和NEC的RRU集成在一起，符合O-RAN(open radio access network).NEC与Rakuten合作，计划5年时间完成16 000面低成本5G天线部署.

韩国把5G定义为国家战略，希望趁机做大：

2019年6月17日，韩国官员表示，华为5G设备与国防网络隔离，威胁很小，只有小于10%使用华为5G，其他均采用三星等厂商[24-27].

通过快速推进频谱发放、物理站点共享、国家比拼测试等方式驱动运营商加速5G商用，意图是通过韩国本土催熟E2E 5G产业，从而提升包括终端、半导体、网络设备等ICT产业出口，打造韩国经济增长新引擎.

3 我国5G安全进展简介

在我国国家政策层面，2018年12月中央经济工作会议将5G与人工智能、工业互联网、物联网定义为“新基建”，并把其定为2019年的重点工作.《中国制造2025》提出全面突破5G技术，突破“未来网络”核心技术和体系架构.《十三五规划纲要》提出要积极推进5G发展，布局未来网络架构[28].

2020年是5G元年，各部委针对5G单独发文，要求加强5G安全保障，体现了国家在5G安全方面的高度重视.

2020年8月25日，国家发展和改革委员会发布《推动5G安全体系建设》指出：5G技术发展与业务应用面临安全挑战，使得基于垂直行业个人隐私泄露风险增加，个人隐私信息转移到开放平台.该发文要求加大5G技术研发力度和资金支持.加大对5G安全技术研发的投入，推动漏洞挖掘、数据保护、入侵防御、追踪溯源等安全产品的研发，构建全局感知、联动处置、预警防护、威胁监测的5G安全保障框架，通过技术创新不断化解5G发展中面临的安全风险[29].

2020年3月24日工业和信息化部发布《关于推动5G加快发展的通知》.该通知要求加强5G网络基础设施安全保障，加快构建5G关键信息基础设施安全保障体系，加强5G核心系统、网络切片、移动边缘计算平台等新对象的网络安全防护，建立风险动态评估、关键设备检测认证等制度和机制，强化5G网络数据安全保护.围绕5G各类典型技术和车联网、工业互联网等典型应用场景，健全完善数据安全管理制度与标准规范.建立5G典型场景数据安全风险动态评估评测机制，强化评估结果运用.培育5G网络安全产业生态.加强5G网络安全核心技术攻关和成果转化，强化安全服务供给.大力推进国家网络安全产业园区建设和试点示范，加快培育5G安全产业链关键环节领军企业，促进产业上下游中小企业发展，形成关键技术、产品和服务的一体化保障能力.

2019年11月26日，IMT-2020(5G)推进组安全工作组在北京召开启动大会.会议进行了5G安全关键技术及产业发展研讨.安全工作组应开展以下工作：一是5G安全关键技术及检测评估方法研究，推进国际、国内标准化；二是5G设备安全相关测试，提升5G设备安全性和可靠性；三是加强交流与合作，增进5G安全国际共识；四是推进5G行业应用安全相关研究

2020年2月4日，中国信通院发布《5G安全报告》.报告分析了5G主要场景的安全威胁，超大流量下传统安全设备的性能成为业务瓶颈，由于低延时互联网应用达到5G边缘，因此存在用户边缘应用安全的新场景.低时延需求导致安全部署受限，接入认证、数据加密会增加时延，需要有合理的解决方案在低延时的情况下保证uRLLC的安全.物联网设备的低可靠性，包括难以部署复杂的安全策略，容易被攻击，成为跳板.因此物联网安全，尤其是工业物联网安全，是5G安全解决方案关注的重点[30].

2020年2月，安全公司360发布了《5G网络安全研究报告》.报告指出5G在网络安全方面最大的挑战在于它构筑了万物互联的基础，海量IoT设备的普及和数据的传输成为可能.网络切片技术使得网络边界模糊，5G对用户位置隐私的保护提出更高要求，低时延业务扩大了网络安全的攻击面，5G在促进物联网发展的同时，也会成为黑客攻击的重点目标.

2020年5月，中国电信发布《5G SA安全增强SIM卡白皮书》，主要面向终端安全方向.SUCI计算方案利用高安全等级算法对用户身份加密后再传输，可保护接入连接设备用户的身份隐私，避免被跟踪攻击；5G SA安全增强SIM卡新增的GBA功能则为行业合作伙伴应用提供统一的业务接入认证能力，可创建安全数据通道，满足差异化安全需求.

中国在5G应用和5G安全方面目前正在不断推进过程中，2020年中国5G基站数量达70万，占全球近七成.在进入千行百业的垂直领域，5G安全是保障业务的重要一环，目前中国在该领域具有一定的领先优势，在推进过程中，有希望保持并率先实现安全方面的突破.

4 总结和应对建议

纵观5G安全国际国内发展态势，虽然中国面临世界头号强国的打压，但中国5G仍实现了快速发展，5G安全技术标准和产业布局方面发展迅速.随着各国建设5G网络和5G商用推广，5G的政治属性越来越强，5G安全形势变得更加紧迫.美国已经动用国家力量，对中国5G企业展开一场公开的或秘密的全球运动，以阻止华为等中国公司在5G领域的发展.

未来10年，5G将作为全面构筑经济社会数字化转型的关键基础设施对推动我国数字经济发展具有重要意义.未来5G将更多走向工业化的应用，包括车联网、物联网、工业互联网等在内的场景应用将迎来蓬勃发展.在这种情况下，我国5G产业必须解决卡脖子的战略风险.

在5G安全方面，建议从以下方面展开行动：

1) 明确国家5G安全战略.我国需研究制定频谱战略，完善我国5G安全发展法规与政策，加快我国5G新基建建设，形成成功的5G安全样板点.

2) 开放合作，主导5G安全技术.进一步加强5G国际开放与合作等，积极应对外部打压，以保持我国在全球5G安全的主导地位.

3) 构建统一的5G安全标准.打造领先的安全理念和解决方案，借3GPP/GSMA推动全球5G安全统一认证，打造安全共识，消除疑虑.

4) 进行关键技术攻关，确保业务连续性.通过对芯片、架构等方面的技术攻关，构建多元化战略和引入战略合作伙伴，保障在极端场景下的业务连续性.

5) 做实5G布局6G，持续引领未来.实现5G遍地开花，全面领先，提前布局5.5/6G，持续引领标准与产业.

我国需要抓住网络空间发展的重大机遇，占领5G安全的制高点，加强5G商用与相关网络安全防护的标准化工作，运用标准来指导网络安全、规范引领信息技术应用，形成5G命运共同体，推动5G价值链、供应链、产业链的创新与合作，共享5G发展机遇，为全球数字经济的发展作出新的贡献.