欧盟发布《5G网络安全风险评估报告》，并未将中国列入威胁

dallor

  s  C* @0 g4 j3 w
10月9日，在欧盟委员会和欧盟网络安全机构的支持下，欧盟成员国发布了名为《report on the EU coordinated risk assessment on cybersecurity in Fifth Generation (5G) networks》（5G网络安全风险评估报告）的报告。


* V5 F1 O' q+ s* A
! A- d. W3 g; p$ a& _该报告是基于所有欧盟成员国网络安全风险评估的结果形成的，报告识别了主要的威胁和威胁单元、最敏感的资产、主要的漏洞（包括技术漏洞和其他方面的漏洞）、以及其他的战略风险。
6 ^8 n, M+ A3 L1 q
6 m" k; s' `' S# i3 c+ O% ?
( i; L. {, M/ B+ b: I9 g' v1 d
2 I+ N7 e: ~  \) A$ z# b5G网络是未来数字化经济和社会的骨干和基础。关系到数十亿互联的对象和系统，包括能源、交通、银行、监控等关键领域，以及承载敏感信息和支持安全系统的工控系统。因此，确保5G网络的安全和弹性是非常必要的。
, ?; r. O  y% R% E; t, E8 q
7 _% \) L$ F0 e) Y
$ i3 O. G' q+ p; m: ?! w

1 }) D. }: ]9 m0 B3 f3 q

报告背景

5 O9 P0 K( f2 m& `( k5 _
欧盟层面：2019年3月，在得到欧盟议会支持后，欧盟委员会采纳了针对5G网络安全的建议，具体是建议欧盟成员国完成国家级的5G风险评估，审查国家级的预防措施，并在欧盟层面上进行风险评估和形成缓解措施通用工具集。
+ i) m. w7 n$ X# e2 G, E$ E
3 B, W7 r" v# ?( q( S! g
国家层面：国家级的风险评估主要分析影响5G网络的主要威胁和威胁者、敏感5G资产和相关漏洞等。
, u1 Z+ P9 e" X: B& w  w

* J$ \/ d% O" R2 m6 c

下一步计划

( L& ^+ E8 ?& {) B! @
' @/ V3 G/ h9 i& U7 x5 R) \3 q2 k
2019年12月31日前，合作小组将就解决识别的网络安全风险的工具集达成一致。

% B  ]" r% ^! |3 Y# l
2020年10月1日前，欧盟成员国将与欧盟委员会协作来评估建议的效果，以确定下一步行动。 


: D3 e6 z5 |! s8 O* t9 h

/ i6 K* D! e$ S# U. y

报告主要观点

4 C# a8 S: x8 e7 l9 c      
, `* _0 A/ q" i8 h
7 \& W( ^  _. c$ [1. 为识别国家级和欧盟级应用的缓解措施提供了基础。

" \. \6 r/ `1 \
+ g/ N: v0 j: J) @' ], X2 I* g1 F4 _
2. 识别了大量重要的网络安全挑战，与现有网络相比，5G网络的主要安全挑战体现在：5G技术的关键创新；供应商在构建和运营5G网络中的角色，以及对单个供应商的依赖性。
 
6 o% o: b+ @' u8 t6 y+ ]3. 5G网络的发布将带来的主要影响有：
7 S2 a# b' U: ?# u: n（1）增加攻击面和更多的潜在攻击入口。因为5G网络更多地依赖软件，因此产生了很多相关安全漏洞的风险。攻击者可以更容易地插入后门到产品中，并且更加难以检测。（2）由于5G网络架构的新特点和功能，一些网络组件和功能变得更加敏感，比如基站和网络的关键技术管理功能。（3）移动网络运营商对供应商的依赖相关的风险。这会引发大量攻击者可以利用的攻击路径，并增加此类攻击的潜在影响的严重程度。其中非欧盟成员国和有国家背景的风险是最严重的。（4）网络可用性和完整性的威胁成为主要的安全考虑。除了机密性和完整性的威胁外，5G网络有望成为许多关键IT应用的骨干，这些网络的完整性和可用性将成为国家安全的主要威胁，以及欧盟的主要安全挑战。

% q2 c: T1 P: S& b4 U4. 欧盟提出一个新的安全图谱，因此需要重新评估适用于相关机构和生态的当前政策和安全框架，欧盟成员国也需要采取必要的缓解措施。为完善欧盟成员国的安全评估报告，欧盟网络安全局正在制作与5G网络相关的威胁图谱映射。
; o  ]1 K1 g  \. z- P) j
" Q2 Y1 B2 m* _
3 d1 ]2 F1 \/ v! w

报告主要内容

' U4 I$ W4 _# x# C  e8 h" o

+ G( P$ G9 Q1 ^# E3 E0 x1. 评估方法
- {3 N* H; l) j; E, @


评估使用的是ISO/ISC：27005风险评估方法。评估过程中的一些参数，包括：5G网络的主要威胁类型；主要威胁单元；主要资产和敏感程度；主要的漏洞；主要风险和相关场景。
; e9 C% |. ]8 k  B/ h8 I  R+ o
$ c4 @: c: J1 O" V

2. 主要威胁


& W% K; Q5 B  a0 u3 b
6 x; e; V  c; R# `; a, z9 ^+ j: P5G网络部署引发的网络安全风险主要是增加了供应链攻击的风险。


具体来看，与5G网络安全相关的威胁场景主要考虑：

/ _$ H. A$ z+ w& E3 u
• 本地和全球5G网络的破坏（对可用性的威胁）
  
• 对5G网络基础设施的流量和数据的监控（对机密性的威胁）
  
• 5G网络基础设施流量和数据的修改或重路由（完整性和机密性的威胁）
  
• 对经过5G网络的其他数字基础设施或信息系统的破坏或修改（对完整性和机密性的破坏）
  ( A: a& p' H$ O7 u3 C

 
与5G网络相关的特定威胁场景的严重程度是根据以下因素确定的：
* Z! b; K: b( r6 R) |

! u  K& J1 }- x* l6 ~8 S
• 受影响的用户数量和类型
  
• 事件发生后检测或修复所花费的时间
  , m1 W9 s( e  u+ ]! s& n: |5 f
• 受影响的服务类型，破坏和经济损失的程度和范围
  
• 信息泄露的类型
  

8 u( V1 }: b* H, N* x; w3. 威胁单元
4 I  z" I! k& F" r8 ~' G


6 s; |- e, l+ G! e2 v- R下面介绍了欧盟成员国发现的不同类型的威胁单元：
  X! e: A) I1 V9 N' \, v- a# F

. W7 O6 Y, [2 b2 R0 p

6 V: T  J6 p6 ^) r+ m图：威胁单元的种类
' R! j- Q0 p4 m0 A4 D, M  d/ J" a

# Q* `: b! L$ J) p

4. 资产
# ~6 f1 Z. D! Q7 e/ t3 E
5 x* C$ b! m3 r7 z. o7 Z) K
网络资产的评估是按照逻辑和功能部分进行评估的：
1 }/ C* z' C* e: g! h$ p4 V3GPP标准中定义的功能有：
0 s: `& r+ M: o1 n" N4 n5 g; ~

• 核心功能。指为订阅用户提供服务的功能。
  
• 访问功能。连接订阅用户和网络提供商的功能。
  " {& y& l! {0 d; m& h# I

 
3GPP标准中未定义的底层功能有：
) l- P! W0 }% b/ C- E& {1 L$ ]

• 传输功能。将访问网络连接到核心网的功能。
  ) p+ u& ^: D/ o2 g3 A+ S
• 网络交换功能。使不同网络互联的功能。
  0 g! ]8 a: n3 G% ^9 O* I6 D
• 管理系统和支撑服务。负责管理端到端网络分组和其他非关键服务。 
  

0 v7 o9 q9 `0 r1 Z
$ \  t) O7 _6 l* w( ^5. 漏洞
, k0 }$ V; }0 ?# u2 y$ D5 B1 A# G, u
* Q  w, z' N5 f7 p" Z5 B3 i# `7 Q
! A- R' U( T* x" @. |0 K2 B
6 A+ R+ ^7 d* l2 V1 N2 V4 ^4 [. o漏洞是指与硬件、软件、过程和政策相关的漏洞。


9 O& j% D- p; Y0 o5 S对移动网络运营商和供应商等相关利益方来说：

• 缺乏专业的人员来保证5G网络的安全，并进行监控和维护。
  # c4 |4 |$ W* M+ P1 R
• 缺乏足够的内部安全控制、监控实践、安全管理系统，并且风险管理实践不够充分。
  & w$ t3 R/ E( j7 _
• 安全或运营维护流程缺乏或不足，比如软件补丁/更新管理。
  ( t# [) q) q# d+ \

. u& ~5 s' V0 N! W
# t$ |- g7 g/ A( V4 }7 |对移动网络运营商来说：
* Q$ y0 s0 B) u2 v/ O% H

• 网络设计和架构存在不足
  $ S* h! }& ]7 |+ q. a
• 网络和IT基础设施的物理安全存在不足
  
• 到网络组件的本地和远程访问策略存在不足
  4 t( L5 {! ~+ o
• 采购流程的安全需求存在不足
  - a( q  Y+ I9 g. }7 J$ H. i! B
• 变更管理流程存在不足
  # W5 l5 U5 Z* c. o8 m% I' j

# w" F/ W9 `( _: w% w# i- \, ~. u9 ^
1 V: t6 l% c( J- u2 B- `对单一供应商依赖产生的漏洞：
1 A, b2 b5 g- u% K3 `6 z3 w

• 在单个网络中，对单个供应商的依赖会造成对特定解决方案的依赖，最终导致难以从其他供应商采购解决方案，这对那些无法实现全交互的方案来说更是如此。
  0 `; Y. h) l3 e) Y

5 m7 \+ H0 j, X* X. D
因此，过度依赖单一设备供应商的基于欧盟的运营商已经暴露了大量由于商业（经济）压力引发的风险，包括是企业合并、并购或被制裁。
$ l7 b5 `$ C1 F
6 [) H8 r+ e3 t( Y& I, S
/ {: C  n" e: L, k/ X' ?从国家和欧盟层面来看，在供应商方面缺乏多样性会增加5G基础设施的漏洞。依赖与单个或多个网络也会明显影响国家和欧盟范围内的弹性，并引发单点失败率。供应商数量太少会降低开发出更安全产品的积极性。

4 g) N; l* ?! R2 M$ A1 A
6. 总结


2 e: b. K5 |, C9 V$ C欧盟5G网络安全评估报告中提到最重要的安全风险还是关键基础设施和供应链的安全风险。中国5G技术在全球处于领先水平是不争的事实，以美国为首的西方国家认为5G技术中国领先会其带来国家安全、经济安全带来潜在威胁。欧盟报告中虽然强调了关键基础设施和供应链的安全风险，但没有明确将中国及华为公司列为威胁。
  o* f$ K9 @* O9 U! `: f

欢迎选购本所最新力作《人工智能全球格局：未来趋势与中国位势》↓↓↓

! v: r1 I- m: Y4 V4 w1 p

# X: n0 F" @3 {

5 i' K4 a/ Y( o0 q
) Q1 U( q& {. F3 F& ~1 a+ m研究所简介


# v: K  E8 e4 v# O7 E$ g, s' X3 J国际技术经济研究所（IITE）成立于1985年11月，是隶属于国务院发展研究中心的非营利性研究机构，主要职能是研究我国经济、科技社会发展中的重大政策性、战略性、前瞻性问题，跟踪和分析世界科技、经济发展态势，为中央和有关部委提供决策咨询服务。“全球技术地图”为国际技术经济研究所官方微信账号，致力于向公众传递前沿技术资讯和科技创新洞见。

2 w2 a$ w7 ?" Q
% @$ v9 m4 }# m
' R+ h6 w- |% \6 w- ~6 X% s地址：北京市海淀区小南庄20号楼A座
电话：010-82635522
! Z/ l" ~" t% s+ s微信：iite_er

1 u# m$ Z! f; ~6 b6 ~9 @
; |) |" {- }8 ~5 u/ g* X; [
7 ^+ X7 ^$ ^+ E

来源：http://mp.weixin.qq.com/s?src=11&timestamp=1571920205&ver=1932&signature=6daNlv7YIuMAPlfdgyDyPeOUQ8lhD7EIcFbG9*JMpi7MJ98uKyMCAEK-PAjUmcvg*urw-K0JFMdkLsDJ8rfxZc6m302WxzrDreZ7eTxIK66abvnV9pFpSu6MAjH9K4fg&new=1
/ p! K& @7 v; Y, E) P6 ]6 f免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！