编译 | 赛迪智库无线电管理研究所

【译者按】 2019年10月欧盟委员会发布《欧盟5G网络安全风险评估报告》。报告分析了5G网络的主要威胁和威胁实施者、受威胁的资产、各种脆弱点以及许多战略风险,确定了可在欧盟各国和整个欧盟层面实施的5G网络安全风险缓解措施。报告指出,5G技术和环境的发展将带来一系列新的挑战,欧盟成员国应做好充分准备。赛迪智库无线电管理研究所对该报告进行了编译,期望对我国相关部门有所帮助。

1 简介

(一) 政策背景和进度

2019年3月22日,欧盟理事会表示支持以统一的的方式对待5G网络安全问题,26日,欧盟委员会通过了《5G网络安全建议书》(以下简称“建议书”)。建议书支持欧盟制定统一的方法保障5G网络安全,并要求欧盟成员国对5G网络基础设施进行国家风险评估。

2019年7月,欧盟成员国向欧盟委员会和欧洲国家网络安全委员会(ENISA)提交了国家风险评估结果。根据评估结果,欧盟国家网络安全(NIS)协作组于10月发布了《欧盟5G网络安全风险评估报告》。随着5G技术和相关应用的发展,并考虑到快速变化的威胁环境,可以每年在必要时对本报告进行更新。NIS协作组还将参考欧盟联合风险评估结果来制定风险缓解措施工具箱,建议书呼吁各成员国在2019年12月31日之前就风险缓解措施工具箱达成一致。

(二) 5G网络及相关应用

建议书定义5G网络是用于移动和无线通信技术的所有相关网络基础架构元素的集合。该集合还可能包括基于上一代移动无线通信技术(4G或3G)的传统网络元素。这些元素应用于具有先进性能特征(高数据速率和容量、低延迟、超高可靠性、支持大量设备连接等)的连接和增值服务。以上服务对于欧盟内部市场的运作、社会和经济职能(能源、交通、银行、卫生等)的维护和运行、工业控制系统都至关重要。

(三) 5G网络的关键技术创新和挑战

软件定义网络和网络功能虚拟化(NFV)技术将使传统网络体系结构发生重大转变。由于网络功能无需建立在专用的硬件和软件上,功能差异将主要体现在软件中。从安全的角度来看,漏洞的更新和修补将变得简便。但软件依赖度的提高以及频繁更新的需求将大大提升第三方供应商和补丁管理程序的地位。

网络切片技术使同一物理网络上不同服务层的高度分离,进而可在整个网络上提供差异化服务。从安全的角度来看,每个网络切片都有不同的安全要求,攻击者的攻击面增多。

移动边缘计算技术减少了集中化的体系结构,允许网络将流量引向终端用户附近的计算资源和第三方服务,从而确保较短的响应时间。从安全的角度来看,边缘计算将增加攻击者的整体攻击面和潜在入口点的数量,并为攻击者创造了更多恶意假冒网络部件和功能的机会。

此外,电信供应链的复杂性将更加突出。各种现有的或新的参与者(集成商、服务提供商、软件供应商等)将更大程度地参与到网络关键部门管理工作中去。第三代合作伙伴计划(3GPP)的SA3工作组目前正在着手解决有关的5G安全问题。

(四) 欧盟的5G生态系统和部署

为促进欧盟部署5G基础设施和服务,“欧盟5G行动计划”为5G基础设施的公共和私人投资制定了路线图,计划最晚到2020年底推出商用5G网络。

运营商部署计划将采用分阶段的方式引入5G网络的关键创新技术。在第一阶段(极短期或短期),5G部署将主要在非独立网络中进行,其中仅将无线接入网络升级到5G技术,核心网仍依赖现有的4G技术。在后续阶段(中期到长期),需要部署独立5G网络,包括5G核心网和各类新功能。在此过程中,5G网络基础设施的主要利益相关者包括以下几类:

移动网络运营商(MNO):为用户提供移动网络服务的实体,在第三方的帮助下运营自己的网络。移动网络运营商扮演着核心决策角色,能够充分利用其网络影响整体的安全运行。

MNO的供应商:为MNO提供设备或服务的实体,包括但不限于:电信设备制造商以及其他第三方供应商(例如,云基础架构提供商、系统集成商、安全和维护承包商、传输设备制造商等)。

设备和服务供应商的制造商:提供能够接入5G网络和组成5G控制平面中托管服务的物体和服务组件(例如智能手机、互联车辆、电子医疗)的实体。

其他:包括5G移动网络的服务和内容提供商以及终端用户。

在欧盟提供服务的MNO必须遵守欧盟和各成员国的法律。成员国有关主管部门有权执行一般性授权,以确保MNO获得提供电信网络或服务的权利并履行特定义务。目前,MNO的供应商公司屈指可数。从市场份额的角度来看,主要供应商包括华为、爱立信、诺基亚、中兴、三星和思科。此外,MNO的其他重要第三方供应商还包括一系列提供各种服务(如网络管理和维护、数据中心等)的分包商。这些分包商可能与MNO处于不同的国家。值得注意的是,全球电信供应链的复杂性和相互依存性,以及许多欧盟使用或建设的网络系统的大部分制造商和第三方支持公司并未处于欧盟。

2 欧盟成员国对5G网络安全风险的评估

报告遵循ISO / IEC:27005风险评估方法,基于有关用例和可能场景的假设,对以下参数进行评估,并在最后给出了一些风险场景和缓解措施。

(一) 威胁种类

☆ 本地或全球5G网络中断(可用性);

☆ 暗中监视5G网络基础设施中的流量/数据(保密性);

☆ 修改或重路由5G网络基础架构中的流量/数据(完整性、保密性);

☆ 通过5G网络破坏或更改其他数字基础架构或信息系统(完整性、可用性)。

与现有网络相比,经济和社会功能对5G网络的依赖将更大,将可能会大大加剧5G网络中断带来的潜在负面影响。5G网络面临的威胁的严重性主要取决于以下几个因素:

☆ 受影响的用户数量和类型;

☆ 事件发现或修复之前所需的时间;

☆ 受影响的服务类型(公共安全,紧急服务,卫生,政府活动,电力供应,水供应等)以及损害或经济损失的程度;

☆ 被破坏的信息类别。

(二) 威胁实施者

表1列出了报告梳理的几种主要威胁实施者。

以下对威胁实施者攻击和企图攻击5G网络基础设施的能力(资源)和意图(动机)进行评估:国家(或国家支持的)实施者构成的威胁最严重,其可对5G网络进行持续、复杂的攻击,具有充分的动机和意图,也具有相对来说最强的能力。这些攻击可能非常复杂,并对公众基本服务产生重大影响,从而摧毁公众对移动技术和运营商的信任。例如,国家(或国家支持的)实施者可能会利用未记录在案的功能或攻击关键基础设施,从而导致电信服务的大规模中断或对其造成严重干扰。部分成员国已经确定某些非欧盟国家的网络进攻计划对其国家利益构成了威胁。

在某些情况下,内部人员或分包商也可能成为潜在的威胁实施者,尤其是为成员国服务的人员或分包商,因为它们可以被其他国家视为获取关键目标资产的渠道。

(三) 受威胁资产

对运营商而言,5G新功能的引入将需要对现有网络进行重新设计。表2按照以下两类标准对各类技术资产的敏感性进行了评估:

☆ 影响的类型,即保密性、可用性、完整性受到的损害程度;

☆ 影响的规模,即用户、持续时间、受影响的基站或小区数量、被更改或访问的信息量等。

在考虑关键资产时,以下非技术资产类别(包括用户组、地理区域、关键基础架构等)也需要特别关注:

☆ NIS指令下的基本服务运营商和关键基础架构运营商;

☆ 政府实体、执法部门、公共保护和救灾机构、军事部门;

☆ 网络安全法规未涵盖的关键部门/实体;

☆ 战略性私人公司;

☆ 在5G网络出现故障时没有备用解决方案的区域或实体。

(四) 各种脆弱点

1、硬件、软件、流程和策略相关

与任何其他数字基础设施一样,5G网络可能会涉及一系列通用技术脆弱点,这些脆弱点可能由任何一个利益相关者安全流程中的潜在漏洞引起,也可能会对软件和硬件产生影响。由于5G网络主要建立在软件基础上,主要的安全脆弱点可能使威胁实施者更容易将恶意后门插入产品中,并使其更难被发现。

对于移动网络运营商及其供应商来说,以下与流程或配置相关的脆弱点特别值得关注:

☆ 缺乏专业、训练有素的人员来保护、监视和维护5G网络;

☆ 缺乏足够的内部安全控制、监视实践、安全管理系统以及风险管理实践;

☆ 安全性或操作维护程序(例如,软件更新/补丁程序等)管理不足;

☆ 不遵守或未正确执行3GPP标准;

☆ 不良的网络设计和架构;

☆ 网络和IT基础架构的物理安全性差;

☆ 针对本地和远程访问网络组件的策略不足;

☆ 采购过程中缺乏安全要求或安全要求不足;

☆ 不良的变更管理过程等。

2、供应商相关

在5G网络中,第三方供应商提供软件和服务的作用日益增强,导致更多的脆弱点暴露风险。各供应商的风险状况可以根据以下几个因素进行评估:

第一、供应商受到非欧盟国家干涉的可能性。以下因素的存在(包括但不限于)可能会加剧这类干涉的产生:

☆ 供应商与特定第三国政府之间的紧密联系;

☆ 第三国立法,尤其是没有立法、民主制衡,或者其与欧盟没有安全或数据保护协议的第三国;

☆ 供应商的公司所有权特征;

☆ 第三国对供应商施加各种形式压力的能力。

第二、供应商保证供应的能力。

第三、供应商的自身供应链的控制程度、产品整体质量和网络安全实践水平。

3、缺乏多样性

在单个网络中,高度依赖单个供应商会导致对特定解决方案的依赖,这将使从其他供应商获取解决方案变得更加困难,尤其是在解决方案无法完全互操作的情况下。在国家和欧盟层面,供应商缺乏多样性会增加5G基础设施的整体脆弱性。一个或多个网络的依赖关系也会显著影响各成员国和整个欧盟的弹性并造成单点故障。此外,如果市场上供应商的数量有限,那么供应商开发更安全产品的动力就会降低。

(五) 风险场景举例

根据前几节所列出的有关各种参数的调查结果,确定了许多战略性风险场景,这些风险场景的特征是:

☆ 风险与整个欧盟相关;

☆ 风险将导致非常高或潜在的系统性影响;

☆ 随着5G网络的发展,风险发生的可能性正在增加。

以下场景反映了不同参数(威胁、威胁实施者、资产和脆弱点)的组合,但并未涵盖所有风险。

1、安全措施不足

1) 网络配置错误:国家(或国家支持的)实施者利用配置不当的系统和架构,通过其外部接口渗透到5G网络中,导致网络核心功能受到损害,或者利用边缘计算节点来破坏信息保密性和分布式服务。

2) 缺少访问控制:具有网络管理员权限的分包商由于第三国法律要求或员工的恶意行为采取破坏行动,从而导致保密性、完整性、可用性遭到破坏。

2、供应链风险

1) 低质量的产品:由国家(或国家支持的)实施者利用恶意软件进行间谍活动,滥用质量低劣的网络组件,利用意外脆弱点影响核心网络中的敏感元素等。

2) 单一依赖性:MNO从单个供应商那里获取大量敏感的网络组件或服务。但由于该供应商的供应不足(例如,由于第三国的贸易制裁或其他商业环境)使其设备可用性、更新能力大大降低。

3、威胁实施手段

1) 通过5G供应链进行国家干预:敌对国家(或国家支持的)实施者对其管辖范围内的供应商施加压力,进而通过后台漏洞对敏感网络资产进行访问。

2) 有组织犯罪集团利用5G网络:有组织犯罪集团通过控制5G网络体系结构的关键部分,破坏各种服务,进而勒索依赖于该服务的企业或MNO来获取利润。例如,“网络钓鱼”、在线骗局、窃取用户的隐私数据等。

4、关键系统依赖性

1) 关键基础设施或服务被破坏:恶意黑客通过控制专用网络切片来破坏信息/数据的完整性和应急服务。

2) 5G网络大规模故障:自然灾害、国家(或国家支持的)实施者、有组织犯罪集团对能源系统或其他支撑系统进行攻击,导致大规模电力供应中断等事件。

5、终端用户设备

利用物联网技术:黑客团体、国家(或国家支持的)实施者获取物联网等安全性较低的设备(例如工业自动化控制设备、运输容器、传感器、平板电脑和智能手机、家用电器等)的控制权,通过信令过载来攻击物联网络。

(六) 现有的缓解措施

第一, 标准方面,3GPP SA3已经解决了一些与5G安全相关的问题,尤其是端到端加密技术。

第二, 根据欧盟电信法规,欧盟成员国可以要求在其境内提供服务的电信运营商承担一定义务。

第三, NIS指令要求在能源、金融、医疗保健、运输、供水等领域提供基本服务的运营商采取适当的安全措施,并将严重事件通报相关国家主管部门。NIS指令还包括在跨境风险和事件发生时各成员国之间的协调问题。

第四, 欧盟和国家层面的其他安全框架还包括数据保护和隐私规则(尤其是通用数据保护法规和电子隐私指令),以及适用于关键基础架构的一些要求。

第五, 各MNO已采用各种安全措施,包括技术措施(例如,加密、身份验证、自动化、异常检测等)和与过程相关的措施(例如,脆弱点管理、事件和响应计划、用户权限管理、灾难恢复计划等)。

3 结论

5G技术和环境的不断发展可能会加剧以上各类挑战。5G网络技术和标准虽然改进了安全性,但网络架构中的新功能以及广泛的服务和应用也将带来一些新的重要挑战。

(一) 5G将增加网络整体攻击面及潜在切入点的数量

5G网络边缘的增强功能和集中程度更低的体系结构意味着核心网络的某些功能可以集成到网络的其他部分,从而使相应设备的敏感性加剧;5G设备中软件重要性的提升将导致与软件开发和更新过程相关的风险增加,从而引起配置错误等新风险。

(二) 5G第三方供应商在供应链中的作用更加突出

由于5G第三方供应商在网络或区域中占有重要地位,其也更容易成为攻击目标。威胁实施者(尤其是非欧盟国家或非欧盟国家支持的实施者)具有对欧盟成员国电信网络进行攻击的动机和资源,其可用的攻击路径数量也会因第三方供应商的作用升高而增加。对单个供应商的依赖加剧了在该供应商出现潜在风险时所要面临的风险。

(三) 5G广泛服务和应用对网络安全提出更高要求

未来,5G网络会成为广泛服务和诸多关键IT应用程序支撑环境的重要组成部分。5G广泛服务和应用将进一步对5G网络安全有关的性质(如保密性、隐私性、完整性、可用性等)提出更高要求。这也是对欧盟成员国国家安全能力的重大挑战。

4 下一步工作

(一) 重新评估当前政策和安全框架

欧盟成员国采取必要缓解措施的重要一步是重新评估5G及其生态系统的当前政策和安全框架。找出现有框架和执行机制中的潜在问题,包括网络安全法规的实施、公共机构的监督作用、运营商和供应商各自承担义务和责任等。

(二) 充分利用现有网络安全措施

现有网络安全措施主要涉及适用于前几代移动通信网络并且对未来5G网络的部署仍然有效的安全性要求。3GPP标准针对许多已识别的风险,尤其是那些影响核心网络、设备或访问级别的风险,也定义了一些应急措施。然而,5G与4G的根本性差异意味着在4G网络上的安全措施可能无法有效缓解当前已确定的5G网络安全风险。此外,某些5G网络安全风险的性质和特征决定了其无法仅通过技术措施来解决。

(三) 评估并建立风险管理措施工具箱

在实施建议书的后续阶段可对各类缓解措施进行评估。同时,还会考虑欧洲工业能力在软件开发、设备制造、实验室测试、合格评定等方面的发展水平。最终,委员会将建立一个适当的、有效的、有针对性的通用风险管理措施工具箱,以缓解欧盟成员国在此过程中确定的5G网络安全风险。

译自:EU coordinated risk assessment of the cybersecurity of 5G networks, Report, October 9, 2019 by NIS Cooperation Group

译文作者:赛迪工业和信息化研究院 周钰哲

声明:本文来自通信产业网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。