歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告

2019年3月，歐盟委員會(huì)通過(guò)《5G網(wǎng)絡(luò)安全建議書》，呼吁歐盟成員國(guó)完成國(guó)家風(fēng)險(xiǎn)評(píng)估并審查國(guó)家安全措施。歐盟國(guó)家網(wǎng)絡(luò)安全協(xié)作組根據(jù)成員國(guó)的評(píng)估結(jié)果，于同年10月發(fā)布《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》。報(bào)告分析了5G網(wǎng)絡(luò)的主要威脅和威脅實(shí)施者、受威脅的資產(chǎn)、各種脆弱點(diǎn)以及許多戰(zhàn)略風(fēng)險(xiǎn)，確定了可在歐盟各國(guó)和整個(gè)歐盟層面實(shí)施的5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)緩解措施。報(bào)告指出，5G技術(shù)和環(huán)境的發(fā)展將帶來(lái)一系列新的挑戰(zhàn)，歐盟成員國(guó)應(yīng)做好充分準(zhǔn)備。

5G網(wǎng)絡(luò)安全簡(jiǎn)介

在歐盟經(jīng)濟(jì)和社會(huì)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的過(guò)程中，5G網(wǎng)絡(luò)將發(fā)揮核心作用。5G網(wǎng)絡(luò)有潛力支持各種應(yīng)用程序和功能的運(yùn)行，其作用絕不僅限于為最終用戶的溝通提供移動(dòng)通信服務(wù)。2025年，估計(jì)全球5G收入將達(dá)到2250億歐元，5G技術(shù)和服務(wù)將成為歐洲參與全球市場(chǎng)競(jìng)爭(zhēng)的重要資產(chǎn)。為保護(hù)歐盟的經(jīng)濟(jì)和社會(huì)秩序，充分利用和發(fā)揮5G帶來(lái)的重要機(jī)遇和潛力，確保歐盟戰(zhàn)略自主權(quán)，5G網(wǎng)絡(luò)的安全至關(guān)重要。

政策背景和進(jìn)度

2019年3月22日，歐盟理事會(huì)表示支持以統(tǒng)一的的方式對(duì)待5G網(wǎng)絡(luò)安全問(wèn)題，26日，歐盟委員會(huì)通過(guò)了《5G網(wǎng)絡(luò)安全建議書》（以下簡(jiǎn)稱“建議書”）。建議書支持歐盟制定統(tǒng)一的方法保障5G網(wǎng)絡(luò)安全，并要求歐盟成員國(guó)對(duì)5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行國(guó)家風(fēng)險(xiǎn)評(píng)估。

2019年7月，歐盟成員國(guó)向歐盟委員會(huì)和歐洲國(guó)家網(wǎng)絡(luò)安全委員會(huì)（ENISA）提交了國(guó)家風(fēng)險(xiǎn)評(píng)估結(jié)果。根據(jù)評(píng)估結(jié)果，歐盟國(guó)家網(wǎng)絡(luò)安全（NIS）協(xié)作組于10月發(fā)布了《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》。隨著5G技術(shù)和相關(guān)應(yīng)用的發(fā)展，并考慮到快速變化的威脅環(huán)境，每年可對(duì)本報(bào)告進(jìn)行更新。NIS協(xié)作組還將參考?xì)W盟聯(lián)合風(fēng)險(xiǎn)評(píng)估結(jié)果來(lái)制定風(fēng)險(xiǎn)緩解措施工具箱，建議書呼吁各成員國(guó)在2019年12月31日之前就風(fēng)險(xiǎn)緩解措施工具箱達(dá)成一致。

5G網(wǎng)絡(luò)及相關(guān)應(yīng)用

建議書定義5G網(wǎng)絡(luò)是用于移動(dòng)和無(wú)線通信技術(shù)的所有相關(guān)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)元素的集合。該集合還可能包括基于上一代移動(dòng)無(wú)線通信技術(shù)（4G或3G）的傳統(tǒng)網(wǎng)絡(luò)元素。這些元素應(yīng)用于具有先進(jìn)性能特征（高數(shù)據(jù)速率和容量、低延遲、超高可靠性、支持大量設(shè)備連接等）的連接和增值服務(wù)。以上服務(wù)對(duì)于歐盟內(nèi)部市場(chǎng)的運(yùn)作、社會(huì)和經(jīng)濟(jì)職能（能源、交通、銀行、衛(wèi)生等）的維護(hù)和運(yùn)行、工業(yè)控制系統(tǒng)都至關(guān)重要。

軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化（NFV）技術(shù)將使傳統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)發(fā)生重大轉(zhuǎn)變。由于網(wǎng)絡(luò)功能無(wú)需建立在專用的硬件和軟件上，功能差異將主要體現(xiàn)在軟件中。從安全的角度來(lái)看，漏洞的更新和修補(bǔ)將變得簡(jiǎn)便。但軟件依賴度的提高以及頻繁更新的需求將大大提升第三方供應(yīng)商和補(bǔ)丁管理程序的地位。

網(wǎng)絡(luò)切片技術(shù)使同一物理網(wǎng)絡(luò)上不同服務(wù)層高度分離，進(jìn)而可在整個(gè)網(wǎng)絡(luò)上提供差異化服務(wù)。從安全的角度來(lái)看，每個(gè)網(wǎng)絡(luò)切片都有不同的安全要求，攻擊者的攻擊面增多。

移動(dòng)邊緣計(jì)算技術(shù)減少了集中化的體系結(jié)構(gòu)，允許網(wǎng)絡(luò)將流量引向終端用戶附近的計(jì)算資源和第三方服務(wù)，從而確保較短的響應(yīng)時(shí)間。從安全的角度來(lái)看，邊緣計(jì)算將增加攻擊者的整體攻擊面和潛在入口點(diǎn)的數(shù)量，并為攻擊者創(chuàng)造了更多惡意假冒網(wǎng)絡(luò)部件和功能的機(jī)會(huì)。

此外，電信供應(yīng)鏈的復(fù)雜性將更加突出。各種現(xiàn)有的或新的參與者（集成商、服務(wù)提供商、軟件供應(yīng)商等）將更大程度地參與到網(wǎng)絡(luò)關(guān)鍵部門管理工作中去。第三代合作伙伴計(jì)劃（3GPP）的SA3工作組目前正在著手解決有關(guān)的5G安全問(wèn)題。

歐盟的5G生態(tài)系統(tǒng)和部署

為促進(jìn)歐盟部署5G基礎(chǔ)設(shè)施和服務(wù)，“歐盟5G行動(dòng)計(jì)劃2”為5G基礎(chǔ)設(shè)施的公共和私人投資制定了路線圖，計(jì)劃最晚到2020年底推出商用5G網(wǎng)絡(luò)。

運(yùn)營(yíng)商部署計(jì)劃將采用分階段的方式引入5G網(wǎng)絡(luò)的關(guān)鍵創(chuàng)新技術(shù)。在第一階段（極短期或短期），5G部署將主要在非獨(dú)立網(wǎng)絡(luò)中進(jìn)行，其中僅將無(wú)線接入網(wǎng)絡(luò)升級(jí)到5G技術(shù)，核心網(wǎng)仍依賴現(xiàn)有的4G技術(shù)。在后續(xù)階段（中期到長(zhǎng)期），需要部署獨(dú)立5G網(wǎng)絡(luò)，包括5G核心網(wǎng)和各類新功能。在此過(guò)程中，5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施的主要利益相關(guān)者包括以下幾類：

移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商（MNO）：為用戶提供移動(dòng)網(wǎng)絡(luò)服務(wù)的實(shí)體，在第三方的幫助下運(yùn)營(yíng)自己的網(wǎng)絡(luò)。移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商扮演著核心決策角色，能夠充分利用其網(wǎng)絡(luò)影響整體的安全運(yùn)行。

MNO的供應(yīng)商：為MNO提供設(shè)備或服務(wù)的實(shí)體，包括但不限于：電信設(shè)備制造商以及其他第三方供應(yīng)商（例如，云基礎(chǔ)架構(gòu)提供商、系統(tǒng)集成商、安全和維護(hù)承包商、傳輸設(shè)備制造商等）。

設(shè)備和服務(wù)供應(yīng)商的制造商：提供能夠接入5G網(wǎng)絡(luò)和組成5G控制平面中托管服務(wù)的物體和服務(wù)組件（例如智能手機(jī)、互聯(lián)車輛、電子醫(yī)療）的實(shí)體。

其他：包括5G移動(dòng)網(wǎng)絡(luò)的服務(wù)和內(nèi)容提供商以及終端用戶。在歐盟提供服務(wù)的MNO必須遵守歐盟和各成員國(guó)的法律。成員國(guó)有關(guān)主管部門有權(quán)執(zhí)行一般性授權(quán)，以確保MNO獲得提供電信網(wǎng)絡(luò)或服務(wù)的權(quán)利并履行特定義務(wù)。目前，MNO的供應(yīng)商公司屈指可數(shù)。從市場(chǎng)份額的角度來(lái)看，主要供應(yīng)商包括華為、愛(ài)立信、諾基亞、中興、三星和思科。此外，MNO的其他重要第三方供應(yīng)商還包括一系列提供各種服務(wù)（如網(wǎng)絡(luò)管理和維護(hù)、數(shù)據(jù)中心等）的分包商。這些分包商可能與MNO處于不同的國(guó)家。值得注意的是，全球電信供應(yīng)鏈的復(fù)雜性和相互依存性，以及許多歐盟使用或建設(shè)的網(wǎng)絡(luò)系統(tǒng)的大部分制造商和第三方支持公司并未處于歐盟。

歐盟成員國(guó)對(duì)5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估

報(bào)告遵循ISO/IEC：270053風(fēng)險(xiǎn)評(píng)估方法，基于有關(guān)用例和可能場(chǎng)景的假設(shè)，對(duì)以下參數(shù)進(jìn)行評(píng)估，并在最后給出了一些風(fēng)險(xiǎn)場(chǎng)景和緩解措施。

威脅種類

本地或全球5G網(wǎng)絡(luò)中斷（可用性）;暗中監(jiān)視5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的流量/數(shù)據(jù)（保密性）;修改或重路由5G網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的流量/數(shù)據(jù)（完整性、保密性）;通過(guò)5G網(wǎng)絡(luò)破壞或更改其他數(shù)字基礎(chǔ)架構(gòu)或信息系統(tǒng)（完整性、可用性）。與現(xiàn)有網(wǎng)絡(luò)相比，經(jīng)濟(jì)和社會(huì)功能對(duì)5G網(wǎng)絡(luò)的依賴將更大，將可能會(huì)大大加劇5G網(wǎng)絡(luò)中斷帶來(lái)的潛在負(fù)面影響。5G網(wǎng)絡(luò)面臨的威脅的嚴(yán)重性主要取決于以下幾個(gè)因素：受影響的用戶數(shù)量和類型;事件發(fā)現(xiàn)或修復(fù)之前所需的時(shí)間;受影響的服務(wù)類型（公共安全，緊急服務(wù)，衛(wèi)生，政府活動(dòng)，電力供應(yīng)，水供應(yīng)等）以及損害或經(jīng)濟(jì)損失的程度;被破壞的信息類別。

威脅實(shí)施者

表1列出了報(bào)告梳理的幾種主要威脅實(shí)施者。

以下對(duì)威脅實(shí)施者攻擊和企圖攻擊5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施的能力（資源）和意圖（動(dòng)機(jī)）進(jìn)行評(píng)估：國(guó)家（或國(guó)家支持的）實(shí)施者構(gòu)成的威脅最嚴(yán)重，其可對(duì)5G網(wǎng)絡(luò)進(jìn)行持續(xù)、復(fù)雜的攻擊，具有充分的動(dòng)機(jī)和意圖，也具有相對(duì)來(lái)說(shuō)最強(qiáng)的能力。這些攻擊可能非常復(fù)雜，并對(duì)公眾基本服務(wù)產(chǎn)生重大影響，從而摧毀公眾對(duì)移動(dòng)技術(shù)和運(yùn)營(yíng)商的信任。例如，國(guó)家（或國(guó)家支持的）實(shí)施者可能會(huì)利用未記錄在案的功能或攻擊關(guān)鍵基礎(chǔ)設(shè)施，從而導(dǎo)致電信服務(wù)的大規(guī)模中斷或?qū)ζ湓斐蓢?yán)重干擾。部分成員國(guó)已經(jīng)確定某些非歐盟國(guó)家的網(wǎng)絡(luò)進(jìn)攻計(jì)劃對(duì)其國(guó)家利益構(gòu)成了威脅。

在某些情況下，內(nèi)部人員或分包商也可能成為潛在的威脅實(shí)施者，尤其是為成員國(guó)服務(wù)的人員或分包商，因?yàn)樗鼈兛梢员黄渌麌?guó)家視為獲取關(guān)鍵目標(biāo)資產(chǎn)的渠道。

受威脅資產(chǎn)

對(duì)運(yùn)營(yíng)商而言，5G新功能的引入將需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行重新設(shè)計(jì)。表2按照以下兩類標(biāo)準(zhǔn)對(duì)各類技術(shù)資產(chǎn)的敏感性進(jìn)行了評(píng)估：影響的類型，即保密性、可用性、完整性受到的損害程度;影響的規(guī)模，即用戶、持續(xù)時(shí)間、受影響的基站或小區(qū)數(shù)量、被更改或訪問(wèn)的信息量等。

在考慮關(guān)鍵資產(chǎn)時(shí)，以下非技術(shù)資產(chǎn)類別（包括用戶組、地理區(qū)域、關(guān)鍵基礎(chǔ)架構(gòu)等）也需要特別關(guān)注：NIS指令下的基本服務(wù)運(yùn)營(yíng)商和關(guān)鍵基礎(chǔ)架構(gòu)運(yùn)營(yíng)商;政府實(shí)體、執(zhí)法部門、公共保護(hù)和救災(zāi)機(jī)構(gòu)、軍事部門;網(wǎng)絡(luò)安全法規(guī)未涵蓋的關(guān)鍵部門/實(shí)體;戰(zhàn)略性私人公司;在5G網(wǎng)絡(luò)出現(xiàn)故障時(shí)沒(méi)有備用解決方案的區(qū)域或?qū)嶓w。

各種脆弱點(diǎn)

1.硬件、軟件、流程和策略相關(guān)。與任何其他數(shù)字基礎(chǔ)設(shè)施一樣，5G網(wǎng)絡(luò)可能會(huì)涉及一系列通用技術(shù)脆弱點(diǎn)，這些脆弱點(diǎn)可能由任何一個(gè)利益相關(guān)者安全流程中的潛在漏洞引起，也可能會(huì)對(duì)軟件和硬件產(chǎn)生影響。由于5G網(wǎng)絡(luò)主要建立在軟件基礎(chǔ)上，主要的安全脆弱點(diǎn)可能使威脅實(shí)施者更容易將惡意后門插入產(chǎn)品中，并使其更難被發(fā)現(xiàn)。

對(duì)于移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商及其供應(yīng)商來(lái)說(shuō)，以下與流程或配置相關(guān)的脆弱點(diǎn)特別值得關(guān)注：缺乏專業(yè)、訓(xùn)練有素的人員來(lái)保護(hù)、監(jiān)視和維護(hù)5G網(wǎng)絡(luò);缺乏足夠的內(nèi)部安全控制、監(jiān)視實(shí)踐、安全管理系統(tǒng)以及風(fēng)險(xiǎn)管理實(shí)踐;安全性或操作維護(hù)程序（例如，軟件更新/補(bǔ)丁程序等）管理不足;不遵守或未正確執(zhí)行3GPP標(biāo)準(zhǔn);不良的網(wǎng)絡(luò)設(shè)計(jì)和架構(gòu);網(wǎng)絡(luò)和IT基礎(chǔ)架構(gòu)的物理安全性差;針對(duì)本地和遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)組件的策略不足;采購(gòu)過(guò)程中缺乏安全要求或安全要求不足;不良的變更管理過(guò)程等。

2.供應(yīng)商相關(guān)。在5G網(wǎng)絡(luò)中，第三方供應(yīng)商提供軟件和服務(wù)的作用日益增強(qiáng)，導(dǎo)致更多的脆弱點(diǎn)暴露風(fēng)險(xiǎn)。各供應(yīng)商的風(fēng)險(xiǎn)狀況可以根據(jù)以下幾個(gè)因素進(jìn)行評(píng)估：第一，供應(yīng)商受到非歐盟國(guó)家干涉的可能性。以下因素的存在（包括但不限于）可能會(huì)加劇這類干涉的產(chǎn)生：供應(yīng)商與特定第三國(guó)政府之間的緊密聯(lián)系;第三國(guó)立法，尤其是沒(méi)有立法、民主制衡，或者其與歐盟沒(méi)有安全或數(shù)據(jù)保護(hù)協(xié)議的第三國(guó);供應(yīng)商的公司所有權(quán)特征。第二，供應(yīng)商保證供應(yīng)的能力。第三，供應(yīng)商的自身供應(yīng)鏈的控制程度、產(chǎn)品整體質(zhì)量和網(wǎng)絡(luò)安全實(shí)踐水平。

3.缺乏多樣性。在單個(gè)網(wǎng)絡(luò)中，高度依賴單個(gè)供應(yīng)商會(huì)導(dǎo)致對(duì)特定解決方案的依賴，這將使從其他供應(yīng)商獲取解決方案變得更加困難，尤其是在解決方案無(wú)法完全互操作的情況下。在國(guó)家和歐盟層面，供應(yīng)商缺乏多樣性會(huì)增加5G基礎(chǔ)設(shè)施的整體脆弱性。一個(gè)或多個(gè)網(wǎng)絡(luò)的依賴關(guān)系也會(huì)顯著影響各成員國(guó)和整個(gè)歐盟的彈性并造成單點(diǎn)故障。此外，如果市場(chǎng)上供應(yīng)商的數(shù)量有限，那么供應(yīng)商開(kāi)發(fā)更安全產(chǎn)品的動(dòng)力就會(huì)降低。

風(fēng)險(xiǎn)場(chǎng)景舉例

根據(jù)前幾節(jié)所列出的有關(guān)各種參數(shù)的調(diào)查結(jié)果，確定了許多戰(zhàn)略性風(fēng)險(xiǎn)場(chǎng)景，這些風(fēng)險(xiǎn)場(chǎng)景的特征是：風(fēng)險(xiǎn)與整個(gè)歐盟相關(guān);風(fēng)險(xiǎn)將導(dǎo)致非常高或潛在的系統(tǒng)性影響;隨著5G網(wǎng)絡(luò)的發(fā)展，風(fēng)險(xiǎn)發(fā)生的可能性正在增加。

以下場(chǎng)景反映了不同參數(shù)（威脅、威脅實(shí)施者、資產(chǎn)和脆弱點(diǎn)）的組合，但并未涵蓋所有風(fēng)險(xiǎn)。

1.安全措施不足。網(wǎng)絡(luò)配置錯(cuò)誤：國(guó)家（或國(guó)家支持的）實(shí)施者利用配置不當(dāng)?shù)南到y(tǒng)和架構(gòu)，通過(guò)其外部接口滲透到5G網(wǎng)絡(luò)中，導(dǎo)致網(wǎng)絡(luò)核心功能受到損害，或者利用邊緣計(jì)算節(jié)點(diǎn)來(lái)破壞信息保密性和分布式服務(wù);缺少訪問(wèn)控制：具有網(wǎng)絡(luò)管理員權(quán)限的分包商由于第三國(guó)法律要求或員工的惡意行為采取破壞行動(dòng)，從而導(dǎo)致保密性、完整性、可用性遭到破壞。

2.供應(yīng)鏈風(fēng)險(xiǎn)。低質(zhì)量的產(chǎn)品：由國(guó)家（或國(guó)家支持的）實(shí)施者利用惡意軟件進(jìn)行間諜活動(dòng)，濫用質(zhì)量低劣的網(wǎng)絡(luò)組件，利用意外脆弱點(diǎn)影響核心網(wǎng)絡(luò)中的敏感元素等;單一依賴性：MNO從單個(gè)供應(yīng)商那里獲取大量敏感的網(wǎng)絡(luò)組件或服務(wù)。但由于該供應(yīng)商的供應(yīng)不足使其設(shè)備可用性、更新能力大大降低。

3.威脅實(shí)施手段。通過(guò)5G供應(yīng)鏈進(jìn)行國(guó)家干預(yù)：敵對(duì)國(guó)家（或國(guó)家支持的）實(shí)施者對(duì)其管轄范圍內(nèi)的供應(yīng)商施加壓力，進(jìn)而通過(guò)后臺(tái)漏洞對(duì)敏感網(wǎng)絡(luò)資產(chǎn)進(jìn)行訪問(wèn);有組織犯罪集團(tuán)利用5G網(wǎng)絡(luò)：有組織犯罪集團(tuán)通過(guò)控制5G網(wǎng)絡(luò)體系結(jié)構(gòu)的關(guān)鍵部分，破壞各種服務(wù)，進(jìn)而勒索依賴于該服務(wù)的企業(yè)或MNO來(lái)獲取利潤(rùn)。例如，“網(wǎng)絡(luò)釣魚(yú)”，在線騙局、竊取用戶的隱私數(shù)據(jù)等。

4.關(guān)鍵系統(tǒng)依賴性。關(guān)鍵基礎(chǔ)設(shè)施或服務(wù)被破壞：惡意黑客通過(guò)控制專用網(wǎng)絡(luò)切片來(lái)破壞信息/數(shù)據(jù)的完整性和應(yīng)急服務(wù);5G網(wǎng)絡(luò)大規(guī)模故障：自然災(zāi)害、國(guó)家（或國(guó)家支持的）實(shí)施者、有組織犯罪集團(tuán)對(duì)能源系統(tǒng)或其他支撐系統(tǒng)進(jìn)行攻擊，導(dǎo)致大規(guī)模電力供應(yīng)中斷等事件。

5.終端用戶設(shè)備。利用物聯(lián)網(wǎng)技術(shù)：黑客團(tuán)體、國(guó)家（或國(guó)家支持的）實(shí)施者獲取物聯(lián)網(wǎng)等安全性較低的設(shè)備（例如工業(yè)自動(dòng)化控制設(shè)備、運(yùn)輸容器、傳感器、平板電腦和智能手機(jī)、家用電器等）的控制權(quán)，通過(guò)信令過(guò)載來(lái)攻擊物聯(lián)網(wǎng)絡(luò)。

現(xiàn)有的緩解措施

第一，標(biāo)準(zhǔn)方面，3GPPSA3已經(jīng)解決了一些與5G安全相關(guān)的問(wèn)題，尤其是端到端加密技術(shù);第二，根據(jù)歐盟電信法規(guī)，歐盟成員國(guó)可以要求在其境內(nèi)提供服務(wù)的電信運(yùn)營(yíng)商承擔(dān)一定義務(wù);第三，NIS指令要求在能源、金融、醫(yī)療保健、運(yùn)輸、供水等領(lǐng)域提供基本服務(wù)的運(yùn)營(yíng)商采取適當(dāng)?shù)陌踩胧?yán)重事件通報(bào)相關(guān)國(guó)家主管部門。NIS指令還包括在跨境風(fēng)險(xiǎn)和事件發(fā)生時(shí)各成員國(guó)之間的協(xié)調(diào)問(wèn)題;第四，歐盟和國(guó)家層面的其他安全框架還包括數(shù)據(jù)保護(hù)和隱私規(guī)則（尤其是通用數(shù)據(jù)保護(hù)法規(guī)和電子隱私指令），以及適用于關(guān)鍵基礎(chǔ)架構(gòu)的一些要求;第五，各MNO已采用各種安全措施，包括技術(shù)措施（例如，加密、身份驗(yàn)證、自動(dòng)化、異常檢測(cè)等）和與過(guò)程相關(guān)的措施（例如，脆弱點(diǎn)管理、事件和響應(yīng)計(jì)劃、用戶權(quán)限管理、災(zāi)難恢復(fù)計(jì)劃等）。

《報(bào)告》得出的結(jié)論

5G技術(shù)和環(huán)境的不斷發(fā)展可能會(huì)加劇以上各類挑戰(zhàn)。5G網(wǎng)絡(luò)技術(shù)和標(biāo)準(zhǔn)雖然改進(jìn)了安全性，但網(wǎng)絡(luò)架構(gòu)中的新功能以及廣泛的服務(wù)和應(yīng)用也將帶來(lái)一些新的重要挑戰(zhàn)。

（一） 5G將增加網(wǎng)絡(luò)整體攻擊面及潛在切入點(diǎn)的數(shù)量。5G網(wǎng)絡(luò)邊緣的增強(qiáng)功能和集中程度更低的體系結(jié)構(gòu)意味著核心網(wǎng)絡(luò)的某些功能可以集成到網(wǎng)絡(luò)的其他部分，從而使相應(yīng)設(shè)備的敏感性加劇;5G設(shè)備中軟件重要性的提升將導(dǎo)致與軟件開(kāi)發(fā)和更新過(guò)程相關(guān)的風(fēng)險(xiǎn)增加，從而引起配置錯(cuò)誤等新風(fēng)險(xiǎn)。

（二） 5G第三方供應(yīng)商在供應(yīng)鏈中的作用更加突出。由于5G第三方供應(yīng)商在網(wǎng)絡(luò)或區(qū)域中占有重要地位，其也更容易成為攻擊目標(biāo)。威脅實(shí)施者（尤其是非歐盟國(guó)家或非歐盟國(guó)家支持的實(shí)施者）具有對(duì)歐盟成員國(guó)電信網(wǎng)絡(luò)進(jìn)行攻擊的動(dòng)機(jī)和資源，其可用的攻擊路徑數(shù)量也會(huì)因第三方供應(yīng)商的作用升高而增加。對(duì)單個(gè)供應(yīng)商的依賴加劇了在該供應(yīng)商出現(xiàn)潛在風(fēng)險(xiǎn)時(shí)所要面臨的風(fēng)險(xiǎn)。

（三）5G廣泛服務(wù)和應(yīng)用對(duì)網(wǎng)絡(luò)安全提出更高要求。未來(lái)，5G網(wǎng)絡(luò)會(huì)成為廣泛服務(wù)和諸多關(guān)鍵IT應(yīng)用程序支撐環(huán)境的重要組成部分。5G廣泛服務(wù)和應(yīng)用將進(jìn)一步對(duì)5G網(wǎng)絡(luò)安全有關(guān)的性質(zhì)（如保密性、隱私性、完整性、可用性等）提出更高要求。這也是對(duì)歐盟成員國(guó)國(guó)家安全能力的重大挑戰(zhàn)。

下一步工作重點(diǎn)

（一）重新評(píng)估當(dāng)前政策和安全框架。歐盟成員國(guó)采取必要緩解措施的重要一步是重新評(píng)估5G及其生態(tài)系統(tǒng)的當(dāng)前政策和安全框架。找出現(xiàn)有框架和執(zhí)行機(jī)制中的潛在問(wèn)題，包括網(wǎng)絡(luò)安全法規(guī)的實(shí)施、公共機(jī)構(gòu)的監(jiān)督作用、運(yùn)營(yíng)商和供應(yīng)商各自承擔(dān)義務(wù)和責(zé)任等。

（二）充分利用現(xiàn)有網(wǎng)絡(luò)安全措施。現(xiàn)有網(wǎng)絡(luò)安全措施主要涉及適用于前幾代移動(dòng)通信網(wǎng)絡(luò)并且對(duì)未來(lái)5G網(wǎng)絡(luò)的部署仍然有效的安全性要求。3GPP標(biāo)準(zhǔn)針對(duì)許多已識(shí)別的風(fēng)險(xiǎn)，尤其是那些影響核心網(wǎng)絡(luò)、設(shè)備或訪問(wèn)級(jí)別的風(fēng)險(xiǎn)，也定義了一些應(yīng)急措施。然而，5G與4G的根本性差異意味著在4G網(wǎng)絡(luò)上的安全措施可能無(wú)法有效緩解當(dāng)前已確定的5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。此外，某些5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的性質(zhì)和特征決定了其無(wú)法僅通過(guò)技術(shù)措施來(lái)解決。

（三）評(píng)估并建立風(fēng)險(xiǎn)管理措施工具箱。在實(shí)施建議書的后續(xù)階段可對(duì)各類緩解措施進(jìn)行評(píng)估。同時(shí)，還會(huì)考慮歐洲工業(yè)能力在軟件開(kāi)發(fā)、設(shè)備制造、實(shí)驗(yàn)室測(cè)試、合格評(píng)定等方面的發(fā)展水平。最終，委員會(huì)將建立一個(gè)適當(dāng)?shù)摹⒂行У摹⒂嗅槍?duì)性的通用風(fēng)險(xiǎn)管理措施工具箱，以緩解歐盟成員國(guó)在此過(guò)程中確定的5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。