:《欧盟5G网络安全风险评估报告》( 三 )
3
结论
5G技术和环境的不断发展可能会加剧以上各类挑战 。5G网络技术和标准虽然改进了安全性 , 但网络架构中的新功能以及广泛的服务和应用也将带来一些新的重要挑战 。(一) 5G将增加网络整体攻击面及潜在切入点的数量5G网络边缘的增强功能和集中程度更低的体系结构意味着核心网络的某些功能可以集成到网络的其他部分 , 从而使相应设备的敏感性加剧;5G设备中软件重要性的提升将导致与软件开发和更新过程相关的风险增加 , 从而引起配置错误等新风险 。(二) 5G第三方供应商在供应链中的作用更加突出由于5G第三方供应商在网络或区域中占有重要地位 , 其也更容易成为攻击目标 。威胁实施者(尤其是非欧盟国家或非欧盟国家支持的实施者)具有对欧盟成员国电信网络进行攻击的动机和资源 , 其可用的攻击路径数量也会因第三方供应商的作用升高而增加 。对单个供应商的依赖加剧了在该供应商出现潜在风险时所要面临的风险 。(三) 5G广泛服务和应用对网络安全提出更高要求未来 , 5G网络会成为广泛服务和诸多关键IT应用程序支撑环境的重要组成部分 。5G广泛服务和应用将进一步对5G网络安全有关的性质(如保密性、隐私性、完整性、可用性等)提出更高要求 。这也是对欧盟成员国国家安全能力的重大挑战 。
4
【:《欧盟5G网络安全风险评估报告》】下一步工作
(一) 重新评估当前政策和安全框架
欧盟成员国采取必要缓解措施的重要一步是重新评估5G及其生态系统的当前政策和安全框架 。找出现有框架和执行机制中的潜在问题 , 包括网络安全法规的实施、公共机构的监督作用、运营商和供应商各自承担义务和责任等 。
(二) 充分利用现有网络安全措施
现有网络安全措施主要涉及适用于前几代移动通信网络并且对未来5G网络的部署仍然有效的安全性要求 。3GPP标准针对许多已识别的风险 , 尤其是那些影响核心网络、设备或访问级别的风险 , 也定义了一些应急措施 。然而 , 5G与4G的根本性差异意味着在4G网络上的安全措施可能无法有效缓解当前已确定的5G网络安全风险 。此外 , 某些5G网络安全风险的性质和特征决定了其无法仅通过技术措施来解决 。
(三) 评估并建立风险管理措施工具箱
在实施建议书的后续阶段可对各类缓解措施进行评估 。同时 , 还会考虑欧洲工业能力在软件开发、设备制造、实验室测试、合格评定等方面的发展水平 。最终 , 委员会将建立一个适当的、有效的、有针对性的通用风险管理措施工具箱 , 以缓解欧盟成员国在此过程中确定的5G网络安全风险 。
译自:EU coordinated risk assessment of the cybersecurity of 5G networks, Report, October 9, 2019 by NIS Cooperation Group
编译 | 赛迪智库无线电管理研究所
译文作者:赛迪工业和信息化研究院 周钰哲
