作者:安全内参社区研究员 刘允泉、彭汉英
2020年1月29日,欧盟发布5G网络安全指引,这份名为《在欧盟确保5G的安全部署——实施欧盟工具箱》1的指南旨在降低欧盟及其成员国在地区层面的网络安全风险,强调成员国应当评估5G网络基础设施供应商的风险,对高风险供应商实施相关限制,将它们排除在“关键、敏感”的核心网络功能之外。成员国还应制定战略,确保供应商的多样化,避免过度依赖单一设备供应商。以下我们对欧盟5G网络安全指引进行解读。
一、 欧盟5G网络安全指引的主要内容
欧盟5G网络安全指引分为引言、在欧盟推出5G、欧盟5G网络安全风险评估、欧盟5G网络安全工具箱、实施工具箱和结论共六个部分,以下介绍每一部分的内容。
(一) 引言
欧盟委员会(以下简称“欧委会”)认为,5G将在欧洲社会和经济发展中发挥重要作用,预计会给欧盟带来巨大的经济机会,并成为交通、能源、制造业、卫生、农业和媒体等领域数字化和绿色转型的基础。5G将影响欧盟公民生活的方方面面。因此,5G网络的安全不仅对保护欧盟的经济、社会和民主进程至关重要,而且对确保欧盟数字化转型也十分重要。
(二) 在欧盟推出5G
欧委会认为,在欧洲部署5G网络基础设施对于欧洲的工业战略和竞争力至关重要。欧委会已将5G网络技术的部署视为未来数字服务的主要推动力。欧盟成员国分配了5G的先锋频段,制定了推出5G商用服务的目标和计划,并提供资金支持。预计到2020年底,将率先在138个欧洲城市中提供5G服务。
(三) 欧盟5G网络安全风险评估
首先,欧盟对5G网络安全进行了风险评估。各成员国完成了自己的5G网络基础设施风险评估,并于2019年7月初将结果发送给了欧委会和欧盟网络和信息安全局(ENISA)。基于这些风险评估,在欧委会和欧盟网络和信息安全局的支持下,欧盟成员国于2019年10月9日发布了《5G网络安全风险评估报告》。该评估报告强调5G网络的发布将带来的主要影响有以下方面:
(1) 5G引入的技术变革将增加总体攻击面和更多的潜在攻击入口。网络边缘的功能增强和比上一代移动网络更低的集中式体系结构意味着核心网络的某些功能可以集成到网络的其他部分,从而使一些网络组件和功能变得更加敏感,比如基站和网络的关键技术管理功能。另外,5G网络设备中增加的软件部分导致与软件开发和升级相关的风险增加,带来新的配置错误的风险,并使得单一移动网络运营商在网络开发过程中作出的选择在安全分析中的作用更加重要。
(2) 这些新技术特性使得移动网络运营商对第三方供应商的依赖以及他们在5G供应链中的作用更加重要。在5G网络环境下,第三方供应商更容易受到攻击,第三方供应商本身的风险变得尤其重要,特别是在第三方供应商在网络或区域中占据重要地位的情况下。
(3) 过度依赖单一设备供应商会增加对该供应商的潜在风险敞口,造成对特定解决方案的依赖,并被网络威胁者发现可以利用的弱点。供应商缺乏多样性会增加5G基础设施的漏洞,引发单点失败率,特别在供应商存在高风险的情况下。
(4) 网络可用性和完整性的威胁成为主要的安全考虑。5G网络有望成为许多关键IT应用的骨干,这些网络的完整性和可用性将构成成员国安全的主要威胁,以及欧盟在网络安全上的主要挑战。
欧盟的风险评估报告由此得出结论,由于这些挑战创造了新的安全范式,因此有必要重新审视5G部门及其生态系统的政策和安全框架,并采取必要的缓解措施。
欧委会认为,为了有效降低已识别的风险并加强5G网络的安全性和弹性,需要采取综合和协调的方法,即采取一整套关键措施以应对与5G网络技术相关的安全挑战。
(四)欧盟5G网络安全工具箱
欧盟网络与信息系统安全(NIS)合作小组推出欧盟减轻风险措施的工具箱,以解决欧盟风险评估报告中识别的风险。欧盟5G网络安全工具箱提出了一系列的战略和技术措施。战略措施包括加强监管机构的权力以审查网络采购和部署,解决与非技术漏洞有关的风险的具体措施,以及促进可持续的和多样化的5G供应链以避免系统性的长期依赖风险的举措。技术措施包括通过应对因技术、流程、人为和物理因素引起的风险来加强5G网络和设备安全的措施。此外,对于欧盟风险评估报告中识别的各个风险领域,工具箱都基于最高有效性的原则提供了缓解风险的计划。
欧盟工具箱提出采取一系列组合措施来解决所有风险领域的关键问题,具体包括:
1. 所有成员国均应确保已采取措施应对目前已识别的风险和未来的风险,尤其要确保它们能够遵循风险分析的方法,基于安全相关理由,限制、禁止和对5G网络设备的供应、部署和运营设定特定的要求或条件。特别是,他们应当:
(1)提高对移动网络运营商的安全要求,例如严格的访问限制、安全操作和监控规则、对特定功能外包的限制等;
(2)评估供应商的风险,将高风险供应商从在欧盟网络安全风险评估中被认为是关键和敏感的资产(例如核心网络功能、网络管理和协调功能,以及网络接入功能)中排除出去;
(3)确保每个运营商都有适当的多供应商战略,以避免对单一供应商(或有类似风险的供应商)的过度依赖,确保在国家层面有足够的平衡,并避免依赖被认为是高风险的供应商。这也包括避免为了设备的互操作性而与单个供应商锁定的情况。
2. 欧委会应与成员国共同努力,为维持多样化且可持续的5G供应链,避免长期依赖作出贡献:包括:
(1)充分利用现有的工具和手段,特别是通过筛选影响5G关键资产的潜在外国直接投资(FDI),避免因潜在的倾销或补贴而导致的5G供应市场扭曲; 以及
(2)通过使用相关的欧盟计划和资金,进一步增强欧盟在5G和5G后技术中的能力;
(3)促进成员国之间在标准化方面的协调,以实现特定的安全目标,并制定相关的欧盟认证计划,以推广更安全的产品和流程。
3. 为确保这种协调一致的方法经得起时间考验,应延长NIS合作小组的工作期限,并扩大与其他相关机构和实体的合作,定期审查欧盟和成员国5G和5G后网络安全的风险评估,并适应不断发展的5G技术,进一步完善和调整所采用的评估方法。
工具箱显示出成员国决心共同应对5G网络的安全挑战。该工具箱使欧盟能够采用共同的5G网络安全方法,通过欧盟的政策和协调来支持整个内部市场的统一性,并充分发挥成员国在国家安全方面的能力,其所包含的缓解措施和计划允许欧盟对常见的5G网络安全挑战做出积极和有效的反应。欧委会认为,这对于成员国和整个欧盟的安全、成员国经济以及欧盟内部市场和欧洲的技术主权非常重要。
(五)实施欧盟5G网络安全工具箱
1.针对5G供应商的基于风险的协同方法
为确保欧盟5G网络的安全性和弹性以及可持续发展的最终目标,成员国同意有必要评估单个供应商的风险状况,并对被视为高风险的供应商施加限制,包括如工具箱中所述的,可以采取必要的排除措施。欧委会支持成员国执行这些措施。
根据欧盟风险评估第2.37段的规定,可基于多种因素评估单个供应商的风险状况。对供应商的风险评估应仅基于安全性并根据客观标准进行。为了采取协调一致的方法来实施这些措施,工具箱建议成员国相互交流有关最佳做法的信息。此外,欧委会认为,该行动应协调NIS和ENISA,成为NIS合作小组下一阶段首要的工作任务之一。
重要的是,应及时采取对高风险供应商的限制措施,包括必要的排除措施以有效控制风险,以及避免依赖高风险的供应商。尽早这样做(包括如有可能建立5G频率许可流程)将提高市场运营商的预见性,从而有助于5G网络的迅速部署,并确保5G网络的长期安全性和5G供应链的弹性。
此外,由于5G网络软件的复杂性,电信运营商可能越来越依赖于第三方实体来执行某些任务,例如5G网络和软件以及其他外包管理服务的维护和升级,这将成为严重的安全风险来源。因此,应当特别注意这一点。另外还必须对承担这些服务的供应商进行彻底的安全风险评估,尤其是当这些工作不在欧盟境内进行时。应该采取适当的措施,包括在5G网络的敏感部分施加限制,或者根据工具箱的缓解措施对高风险供应商进行必要的排除,以保持5G基础设施的长期完整性。
2.发挥欧委会在实施工具箱中的作用
具体来说,欧委会将采取以下措施,确保实施相应的缓解措施。
(1)维护5G网络安全和多样化的5G价值链
这包括通过(i)网络安全合作;(ii)电信和网络安全规则;(iii)标准化;(iv)认证;(v)外国直接投资(FDI)筛选;(vi)贸易防御工具;(vii)竞争规则;(viii)欧盟资助计划;(ix)公共采购;(x)事件响应和危机管理以及网络演习;(xi)欧盟对恶意网络活动的联合外交应对框架,确保在欧委会的职权范围内,实施工具箱中的措施。
(2)促进创新并投资于网络安全和网络基础设施技术
在欧盟2021-27预算中,欧委会已提议对网络安全技术进行近30亿欧元的投资。此外,在下一个“地平线欧洲”计划下,欧委会提议与业界合作并与成员国协调,建立有关“智能网络与服务”的欧盟制度化伙伴关系,以完成5G网络的部署,并为下一代移动技术6G作准备,与欧盟2021-27预算相应的是至少75亿欧元的私人投资。
(六)结论
5G网络将为欧洲公民、社会和经济带来一系列的机遇。因此,确保5G网络的安全性和弹性至关重要。同时,网络安全威胁是一个不断发展的挑战,并且随着对技术和数据的依赖性越来越高,相关性也在不断增加。忽视网络安全将破坏对数字经济和社会发展的信任,并会阻止欧盟从中获得利益。欧盟针对关键技术和网络安全协调一致的方法对于确保欧盟的技术主权、维持和发展欧盟的工业能力至关重要。欧委会全力支持欧盟的5G网络安全方法,同时确保欧盟市场对符合不断发展的网络安全和信任要求的产品和服务保持开放。
二、对中国海外公司业务的影响
欧盟5G网络安全指引的核心思想非常明确:一方面,欧盟希望尽快推出5G网络;另一方面,要确保欧盟5G网络的安全性。为此,必须采取一系列措施,降低5G关键基础设施和供应链的安全风险,实行供应商多元化,避免过度依赖单一供应商,并将高风险供应商排除在核心网络之外。虽然欧盟并没有指名,业内普遍认为指引中提到的高风险供应商是指华为,因为正是华为在欧洲深耕多年,是欧盟5G网络基础设施和服务的主要提供商。在指引中,虽然欧盟没有禁止华为,但对安全问题表示关切,并支持成员国将高风险供应商排除在欧盟“关键、敏感”的核心网络之外,这和英国的立场基本相似。英国政府在2020年1月27日表示,允许华为有限参与其5G网络建设。华为可以参与英国5G网络的非敏感部分,其参与程度不能超过35%。
目前在欧洲提供5G网络基础设施和相关5G网络、软件服务的中国公司主要是华为、中兴,有些中国公司(例如在境外提供云服务的公司)在欧洲使用或部分使用华为的基础设施,因此,欧盟5G网络安全指引会间接影响到这些公司。如果欧盟及其成员国在后续的执行措施中要求去除云业务中的某些华为设备,这些公司的海外云基础设施事业部和采购部门可能需要评估和预备替代方案,但在目前,欧盟5G网络安全指引并没有完全排除华为,而是表示对供应商的风险评估应基于安全性并根据客观标准进行,说明欧盟采取的是一种务实的态度。
参考资料
1. 请参见 https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1582624678858&uri=CELEX:52020DC0050
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。