《欧盟5G安全风险评估报告》分析与展望

《欧盟5G安全风险评估报告》分析与展望

林美玉  卢丹

（中国信息通信研究院安全研究所，北京 100191）

摘要：2019年10月9日，欧盟网络信息安全合作组（NISCG）发布了《欧盟5G安全风险评估报告》（EU coordinated risk assessment of the cybersecurity of 5G networks），从威胁、资产、脆弱性、风险场景和解决方案5个方面阐述了5G安全风险。2019年11月21日，欧盟网络信息安全局（ENISA）又发布了《5G安全威胁视图报告》（Threat Landscape For 5G Networks），给出了更详细的5G安全威胁类别。分析欧盟对5G安全的主要观点，并进一步展望5G安全的未来方向。

关键词：欧盟；5G；安全；威胁；脆弱性

1   引言

5G作为新一代网络基础设施，将服务对象从人与人通信拓展到人与物、物与物通信，在开启万物互联新局面的同时，也带来了新的安全风险和挑战，当前5G安全已成为各国政府和全球产业链的热议话题。

欧盟一直走在信息通信领域前沿，在5G安全问题上强调各成员应采取统一行动应对5G安全。2019年3月，欧盟启动了5G安全风险评估工作，各成员国通过调查问卷等形式完成风险评估，发布了《欧盟5G安全风险评估报告》和《5G安全威胁视图报告》。

2   欧盟5G安全观点

欧盟在5G安全风险评估中采用了ISO/IEC：27005风险评估方法，通过资产识别、威胁识别和脆弱性识别，结合5G安全现有措施得出总体安全风险评估结论，并提出5G安全观点（见图1）。

图1  5G安全风险评估流程

（1）在资产方面，强调5G核心网和虚拟化管理编排系统是关键资产，同时由于边缘计算的引入使接入网也成为高敏感资产

由于5G核心网负责处理和存储敏感的用户数据，且部署的网络功能均为网络核心控制功能，因此与传统移动通信网一样，核心网至关重要。同时，5G网络为了提高网络的灵活性和开放性，采用了SDN/NFV等虚拟化技术，构造出基于统一管理控制功能的虚拟网络，由于管理控制功能高度集中，其可用性和完整性将影响整个网络的安全稳定运行，因此管理编排系统成为了新的关键资产。另外，由于边缘计算使核心网功能下沉到了网络边缘，所处的物理环境更为不安全，且原有不敏感的接入网设备需要处理用户数据或执行更敏感的功能，因此与传统移动通信网相比，5G无线接入网也变得更加敏感。

（2）在威胁方面，强调5G安全威胁的影响面更大，可用性成为主要问题，并指出影响可用性的最大威胁来自国家或国家支持下出于政治目的的网络攻击

一方面，与现有移动网络面临的威胁相比，5G所面临的威胁场景并没有发生变化，只是威胁潜在的负面影响强度大大加剧，由于未来经济和社会将对5G网络有更大的依赖，因此5G尤其需要关注网络的可用性，避免在服务健康、自动驾驶、电力、国防等垂直行业应用时发生网络中断；另一方面，除了个人黑客、黑客集团、犯罪集团、恐怖分子等攻击外，国家或国家支持的行为者出于政治目的开展的网络攻击计划所构成的威胁被认为是5G将可能面临的最严重威胁。

（3）在脆弱性方面，强调移动网络运营商和设备供应商的重要作用，并重点突出了非欧盟、单一供应商引发的系统脆弱性

除了传统网络同样存在的软硬件安全漏洞、不良安全设计或策略配置等带来的系统脆弱性外，报告认为5G网络脆弱性的主要特点包括两方面：一方面是网络功能软件化、引入网络切片或第三方开源软件等新型技术可能增加被利用的风险，这些脆弱性需要移动网络运营商通过较好的架构设计、运维管理和人员来解决；另一方面，供应商产品中可能存在的安全漏洞对5G影响越来越大，这既包括技术方面的产品质量和网络安全实践，还包括供应商是否受到非欧盟国家干扰的可能性和当前供应商多样性不足等问题，并认为这是评估5G网络非技术漏洞的关键方面。

（4）在安全措施方面，已发布的欧盟网络安全、数据保护等法律法规、3GPP等标准仍无法有效解决5G全部安全风险，还需持续评估

目前，针对5G安全风险，已经提出了法律法规、标准、网络实践等方面的措施。

在法律法规方面，依据欧盟颁布的《网络与信息安全指令》（NIS Directive）、《欧洲电子通信守则》（European Electronic Communications Code）等，已建立纵贯“成员国—欧盟—国际层面”的网络安全风险应对联动合作机制，能够快速应对难以准确预判的5G安全风险；同时，欧盟已有一套较为完善的针对个人信息保护和数据出境的管理体系，包括1995年发布的《数据保护指令》、2018年5月生效的《一般数据保护条例》（GDPR），能够有效防范5G网络的数据安全风险。

在网络安全实践方面，移动网络运营商现有的加密、身份验证等技术措施，以及漏洞管理、应急响应、灾难恢复等安全措施，同样能够适用于5G网络。

在安全标准方面，3GPP、ETSI针对5G网络新架构和新技术的安全制订了相关标准，从网络架构和协议设计角度提供了安全技术保障。由于5G网络的网络安全实践尚不成熟，以上安全措施是否能够有效解决已有的安全风险仍需进一步评估，尤其是在部署、运营、维护、管理等方面需要重点持续跟踪。

3   欧盟观点分析和未来展望

从总体来看，欧盟报告对5G安全风险在分析视角上较为全面，在资产、威胁和脆弱性识别上都从不同主体、不同网络分层进行了详细分析，值得各国借鉴参考。但欧盟在报告中表达了对国家网络攻击、非欧盟供应商、设备漏洞和5G运维管理问题的担忧，对未来可推进的5G安全技术解决措施论述并不充分，使得报告整体突出了5G安全风险点的多样化和非技术因素的重要性。

从技术本身来看，5G网络尽管引入了新技术，也带来了与4G不同的安全风险，但5G网络仍是4G网络的演进升级；5G安全问题可以和4G一样，通过更灵活、更强大的安全机制和技术手段来有效解决。因此，结合欧盟报告和当前全球5G产业链的安全需求，初步判断5G安全在以下方面将需要进一步加快推进。

（1）加强协作，推动3GPP和ETSI等5G网络安全机制标准研制

已发布的5G R15标准主要聚焦移动宽带场景和基础低时延、高可靠业务，提供了更完备的安全架构和更强的安全机制，包括服务域安全、增强用户隐私、增强完整性保护、增强网间漫游安全、统一认证框架等。5G R16标准还将进一步提升低时延高可靠场景的支撑能力，因此产业界需要进一步合力推进3GPP、ETSI等网络切片、边缘计算、网络功能开放等增强关键技术的安全机制和后续国际标准研制，促进形成垂直行业应用下的5G安全解决方案。

（2）增进互信，构建产业共识的国际5G设备安全评测标准

5G设备是基于全球化的移动通信产业链，由于供应链的跨国复杂性使得必须全产业共同来应对5G安全风险，因此各国更应合力推进对5G设备安全级别技术度量，可以借鉴IT系统安全评估机制的做法，制定设备安全的评估评测标准。目前，3GPP、GSMA等标准组织正在积极推动5G安全评估认证标准，包括5G通信设备安全保障（3GPP的SCAS）系列规范、网络设备安全保障框架（GSMA的NESAS）等，能够帮助政府监管部门、运营商和设备商共同提升5G网络安全，确立可接受的信任水平。

（3）加快创新，提高5G网络安全技术能力和运维管理水平

5G安全突破离不开在关键器件、核心算法、安全协议和安全架构方面的技术创新。由于5G网络在不同应用场景下的安全需求各不相同，安全攻击点更多，更需要灵活、智能、主动的安全防御能力，包括零信任安全、AI+5G安全、区块链+5G安全等；同时，5G网络渗透到各行各业，需要网络运营商和应用服务商之间的协同，在态势感知、信息共享、联动处置等方面也需要进一步加强5G网络的运维能力。

参考文献

[1] Report on the EU coordinated risk assessment on cybersecurity in Fifth Generation (5G) networks[R]. NISCG, 2019.

[2] ENISA threat landscape For 5G Networks[R]. ENISA, 2019.

[3] 3GPP TS 33.501. Security architecture and procedures for 5G system[R]. 3GPP, 2018.

[4] GSMA NESAS Scheme[EB/OL]. [2019-12-28]. https://www.gsma.com/security/network-equipment-security-assurance-scheme/.

[5] ETSI MEC Security[EB/OL]. [2019-12-28]. https://www.etsi.org/technologies/multi-access-edge-computing.

Analysis of European 5G security risk assessment reports and way forward

LIN Meiyu, LU Dan

(China Academy of Information and Communications Technology, Beijing 100191, China)

Abstract：On November and December 2019, NIS cooperation group and ENISA published two EU 5G security risk assessment reports, which showed EU assessment conclusions on 5G security from aspects of threats, assets, vulnerabilities, risk scenarios, existing mitigating measures. This paper analyzes the EU 5G security reports and gives suggestions on future 5G security to global 5G industries.

Key words：EU; 5G; security; threat; vulnerability

本文刊于《信息通信技术与政策》2020年第2期