:《欧盟5G网络安全风险评估报告》
【译者按】 2019年10月欧盟委员会发布《欧盟5G网络安全风险评估报告》 。报告分析了5G网络的主要威胁和威胁实施者、受威胁的资产、各种脆弱点以及许多战略风险 , 确定了可在欧盟各国和整个欧盟层面实施的5G网络安全风险缓解措施 。报告指出 , 5G技术和环境的发展将带来一系列新的挑战 , 欧盟成员国应做好充分准备 。赛迪智库无线电管理研究所对该报告进行了编译 , 期望对我国相关部门有所帮助 。
1
简介
(一) 政策背景和进度2019年3月22日 , 欧盟理事会表示支持以统一的的方式对待5G网络安全问题 , 26日 , 欧盟委员会通过了《5G网络安全建议书》(以下简称“建议书”) 。建议书支持欧盟制定统一的方法保障5G网络安全 , 并要求欧盟成员国对5G网络基础设施进行国家风险评估 。2019年7月 , 欧盟成员国向欧盟委员会和欧洲国家网络安全委员会(ENISA)提交了国家风险评估结果 。根据评估结果 , 欧盟国家网络安全(NIS)协作组于10月发布了《欧盟5G网络安全风险评估报告》 。随着5G技术和相关应用的发展 , 并考虑到快速变化的威胁环境 , 可以每年在必要时对本报告进行更新 。NIS协作组还将参考欧盟联合风险评估结果来制定风险缓解措施工具箱 , 建议书呼吁各成员国在2019年12月31日之前就风险缓解措施工具箱达成一致 。(二) 5G网络及相关应用建议书定义5G网络是用于移动和无线通信技术的所有相关网络基础架构元素的集合 。该集合还可能包括基于上一代移动无线通信技术(4G或3G)的传统网络元素 。这些元素应用于具有先进性能特征(高数据速率和容量、低延迟、超高可靠性、支持大量设备连接等)的连接和增值服务 。以上服务对于欧盟内部市场的运作、社会和经济职能(能源、交通、银行、卫生等)的维护和运行、工业控制系统都至关重要 。(三) 5G网络的关键技术创新和挑战软件定义网络和网络功能虚拟化(NFV)技术将使传统网络体系结构发生重大转变 。由于网络功能无需建立在专用的硬件和软件上 , 功能差异将主要体现在软件中 。从安全的角度来看 , 漏洞的更新和修补将变得简便 。但软件依赖度的提高以及频繁更新的需求将大大提升第三方供应商和补丁管理程序的地位 。网络切片技术使同一物理网络上不同服务层的高度分离 , 进而可在整个网络上提供差异化服务 。从安全的角度来看 , 每个网络切片都有不同的安全要求 , 攻击者的攻击面增多 。移动边缘计算技术减少了集中化的体系结构 , 允许网络将流量引向终端用户附近的计算资源和第三方服务 , 从而确保较短的响应时间 。从安全的角度来看 , 边缘计算将增加攻击者的整体攻击面和潜在入口点的数量 , 并为攻击者创造了更多恶意假冒网络部件和功能的机会 。此外 , 电信供应链的复杂性将更加突出 。各种现有的或新的参与者(集成商、服务提供商、软件供应商等)将更大程度地参与到网络关键部门管理工作中去 。第三代合作伙伴计划(3GPP)的SA3工作组目前正在着手解决有关的5G安全问题 。(四) 欧盟的5G生态系统和部署为促进欧盟部署5G基础设施和服务 , “欧盟5G行动计划”为5G基础设施的公共和私人投资制定了路线图 , 计划最晚到2020年底推出商用5G网络 。运营商部署计划将采用分阶段的方式引入5G网络的关键创新技术 。在第一阶段(极短期或短期) , 5G部署将主要在非独立网络中进行 , 其中仅将无线接入网络升级到5G技术 , 核心网仍依赖现有的4G技术 。在后续阶段(中期到长期) , 需要部署独立5G网络 , 包括5G核心网和各类新功能 。在此过程中 , 5G网络基础设施的主要利益相关者包括以下几类:移动网络运营商(MNO):为用户提供移动网络服务的实体 , 在第三方的帮助下运营自己的网络 。移动网络运营商扮演着核心决策角色 , 能够充分利用其网络影响整体的安全运行 。MNO的供应商:为MNO提供设备或服务的实体 , 包括但不限于:电信设备制造商以及其他第三方供应商(例如 , 云基础架构提供商、系统集成商、安全和维护承包商、传输设备制造商等) 。设备和服务供应商的制造商:提供能够接入5G网络和组成5G控制平面中托管服务的物体和服务组件(例如智能手机、互联车辆、电子医疗)的实体 。其他:包括5G移动网络的服务和内容提供商以及终端用户 。在欧盟提供服务的MNO必须遵守欧盟和各成员国的法律 。成员国有关主管部门有权执行一般性授权 , 以确保MNO获得提供电信网络或服务的权利并履行特定义务 。目前 , MNO的供应商公司屈指可数 。从市场份额的角度来看 , 主要供应商包括华为、爱立信、诺基亚、中兴、三星和思科 。此外 , MNO的其他重要第三方供应商还包括一系列提供各种服务(如网络管理和维护、数据中心等)的分包商 。这些分包商可能与MNO处于不同的国家 。值得注意的是 , 全球电信供应链的复杂性和相互依存性 , 以及许多欧盟使用或建设的网络系统的大部分制造商和第三方支持公司并未处于欧盟 。
