互信互認(rèn)的5G安全評(píng)估認(rèn)證體系建設(shè)思路研究

王鳳嬌 宋 揚(yáng) 王 磊

(中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 北京 100020)

(wangfj@isccc.gov.cn)

第5代(5G)無線通信技術(shù)代表著電信網(wǎng)絡(luò)的深刻變革.5G將改變數(shù)字格局，成為創(chuàng)新、新市場(chǎng)和經(jīng)濟(jì)增長(zhǎng)的催化劑.隨著數(shù)百億臺(tái)設(shè)備通過5G連接到互聯(lián)網(wǎng)，這些連接將為大量新的和增強(qiáng)的關(guān)鍵基礎(chǔ)設(shè)施服務(wù)提供支持，真正意義上使萬物互聯(lián)成為可能，將深刻改變社會(huì)和生活.作為“新基建”之首，5G是新一輪科技革命和產(chǎn)業(yè)革命的代表性、引領(lǐng)性技術(shù)，是支持未來經(jīng)濟(jì)社會(huì)發(fā)展的戰(zhàn)略資源和公共基礎(chǔ)設(shè)施，關(guān)乎國計(jì)民生、社會(huì)生產(chǎn)和國家安全，是實(shí)現(xiàn)經(jīng)濟(jì)社會(huì)可持續(xù)發(fā)展的關(guān)鍵要素和重要基礎(chǔ).因此，5G網(wǎng)絡(luò)一旦出現(xiàn)安全問題，可能會(huì)波及工業(yè)、交通等關(guān)系國家命脈的重要行業(yè)領(lǐng)域，將給國家和社會(huì)造成嚴(yán)重影響，這也意味著5G網(wǎng)絡(luò)安全的重要性將超過以往任何一代網(wǎng)絡(luò).

當(dāng)前，5G安全問題已成為全球各國面臨的共同挑戰(zhàn)[1].我國作為5G技術(shù)全球領(lǐng)先的國家，在加速推進(jìn)5G發(fā)展和應(yīng)用部署的同時(shí)，急需構(gòu)建客觀、開放的5G安全保障體系，以此確保5G的持續(xù)快速健康發(fā)展[2].

1 5G安全評(píng)估認(rèn)證體系是5G安全保障體系的重要組成

隨著5G的快速發(fā)展和應(yīng)用，美歐等西方發(fā)達(dá)國家對(duì)5G安全的重視程度不斷提高，不惜將其上升到國家戰(zhàn)略層面予以關(guān)注.近年來，美歐等國家和地區(qū)密集出臺(tái)了一系列的戰(zhàn)略[3]、政策、立法和風(fēng)險(xiǎn)緩解措施，其中標(biāo)準(zhǔn)與評(píng)估認(rèn)證作為支撐政策法規(guī)落地實(shí)施的重要支撐和通用技術(shù)性風(fēng)險(xiǎn)緩解措施被廣泛提出和采用.

究其原因，隨著網(wǎng)絡(luò)安全問題越來越復(fù)雜，網(wǎng)絡(luò)安全“牽一發(fā)而動(dòng)全身”的系統(tǒng)性風(fēng)險(xiǎn)本質(zhì)愈發(fā)凸顯，越來越多的國家在網(wǎng)絡(luò)安全保障和信息技術(shù)利用中反復(fù)強(qiáng)調(diào)“安全”“可信”的概念.這意味著在底層設(shè)計(jì)中要強(qiáng)調(diào)“信息系統(tǒng)所部署的技術(shù)和產(chǎn)品滿足特定的國家要求”，這種要求的實(shí)現(xiàn)依賴于相關(guān)的政策、立法、標(biāo)準(zhǔn)和評(píng)估認(rèn)證.嚴(yán)格來講，“可信”是帶有強(qiáng)烈主觀色彩的政策術(shù)語，其體現(xiàn)為對(duì)客觀安全環(huán)境進(jìn)行的主觀判斷，這種主觀性在ICT供應(yīng)鏈全球化的背景下表現(xiàn)得尤為明顯.因此，在網(wǎng)絡(luò)安全保障及新興技術(shù)利用中出現(xiàn)了一個(gè)迫切需要解決的問題，即如何實(shí)現(xiàn)對(duì)ICT技術(shù)與產(chǎn)品安全性的客觀評(píng)價(jià)，在用戶與供應(yīng)商之間建立信任關(guān)系，達(dá)到國家安全與經(jīng)濟(jì)發(fā)展及技術(shù)利用之間的平衡.

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與評(píng)估認(rèn)證即是在這種背景與需求下進(jìn)入各國網(wǎng)絡(luò)安全保障的視野并逐步發(fā)展成為一項(xiàng)重要的制度措施.隨著ICT供應(yīng)鏈風(fēng)險(xiǎn)的持續(xù)攀升及國家網(wǎng)絡(luò)安全審查制度的興起，標(biāo)準(zhǔn)與評(píng)估認(rèn)證在國家網(wǎng)絡(luò)安全保障和新興技術(shù)利用中的功能和價(jià)值進(jìn)一步得到強(qiáng)化.5G作為關(guān)乎國家安全和經(jīng)濟(jì)發(fā)展的重要新型基礎(chǔ)設(shè)施，其安全保障的目標(biāo)與國家網(wǎng)絡(luò)安全保障的核心戰(zhàn)略目標(biāo)高度一致，因此，5G安全標(biāo)準(zhǔn)與評(píng)估認(rèn)證也自然成為各國5G安全保障體系建設(shè)中的重要組成部分，可以為5G產(chǎn)品和服務(wù)在技術(shù)層面的“可信性”提供客觀依據(jù)，將在5G安全保障中得到進(jìn)一步重視、關(guān)注和應(yīng)用.

2 美歐等主要發(fā)達(dá)國家5G安全評(píng)估認(rèn)證的進(jìn)展

美歐等國已在5G安全標(biāo)準(zhǔn)與評(píng)估認(rèn)證方面進(jìn)行了一系列的部署和推進(jìn)，在全球具有風(fēng)向標(biāo)作用.

2.1 美國5G安全評(píng)估認(rèn)證相關(guān)舉措

美國早已揚(yáng)言5G是一場(chǎng)美國“必須取勝”的競(jìng)賽，絕不允許有任何挑戰(zhàn)者.近幾年來，美國對(duì)我國5G、人工智能等高技術(shù)發(fā)展的擔(dān)憂和遏制達(dá)到了前所未有的程度，頻繁地以“國家安全”為由，通過各種政策措施和手段建立針對(duì)我國技術(shù)“冷戰(zhàn)”的機(jī)制壁壘，成為中美貿(mào)易沖突的焦點(diǎn).在5G安全方面，美國通過密集制定出臺(tái)的一系列戰(zhàn)略、立法、政策、標(biāo)準(zhǔn)、審查與評(píng)估等政策措施和手段，形成了聯(lián)邦機(jī)構(gòu)和部門、SLTT政府機(jī)構(gòu)(州、地方、部落和地區(qū)政府機(jī)構(gòu))、私營(yíng)行業(yè)、非政府組織(協(xié)會(huì)、學(xué)術(shù)界和非營(yíng)利組織)及國際合作伙伴多方關(guān)注和參與，覆蓋從設(shè)備、頻譜、國際協(xié)調(diào)和標(biāo)準(zhǔn)，再到國家安全和供應(yīng)鏈等問題的一整套5G安全監(jiān)管和保障體系.在加快國內(nèi)5G研發(fā)部署的同時(shí)，也通過“拉攏”“聯(lián)盟”“理念和標(biāo)準(zhǔn)輸出”等方式試圖影響5G全球的發(fā)展和部署，其中評(píng)估、審查、標(biāo)準(zhǔn)、認(rèn)證及測(cè)試等措施被作為重要的5G安全保障和監(jiān)管手段[4]：

一是在戰(zhàn)略、政策法規(guī)方面高度重視.2020年1月，美國眾議院投票通過了《促進(jìn)美國在5G領(lǐng)域的國際領(lǐng)導(dǎo)地位法案》，旨在加強(qiáng)美國在5G領(lǐng)域的國際領(lǐng)導(dǎo)地位，明確了美國及其盟國、合作伙伴應(yīng)在第5代及下一代移動(dòng)電信系統(tǒng)和基礎(chǔ)設(shè)施的國際標(biāo)準(zhǔn)制定機(jī)構(gòu)中保持參與和領(lǐng)導(dǎo)地位；美國應(yīng)與其盟國、合作伙伴密切合作，促進(jìn)第5代及下一代移動(dòng)通信系統(tǒng)和基礎(chǔ)設(shè)施的供應(yīng)鏈和網(wǎng)絡(luò)安全等.2020年3月，又發(fā)布了《2019安全和可信通信法案》和《5G安全國家戰(zhàn)略》.《2019安全和可信通信法案》要求“禁止使用聯(lián)邦補(bǔ)貼購買構(gòu)成國家安全風(fēng)險(xiǎn)的通信設(shè)備或服務(wù)，并建立10億美元的補(bǔ)償計(jì)劃幫助小型偏遠(yuǎn)電信運(yùn)營(yíng)商更換“可疑的網(wǎng)絡(luò)設(shè)備”.《5G安全國家戰(zhàn)略》所提出的加快美國5G國內(nèi)部署、評(píng)估5G基礎(chǔ)設(shè)施相關(guān)風(fēng)險(xiǎn)并確定其核心安全原則、解決全球5G基礎(chǔ)設(shè)施開發(fā)和部署過程中對(duì)美國經(jīng)濟(jì)和國家安全的風(fēng)險(xiǎn)，以及推動(dòng)負(fù)責(zé)任的5G全球開發(fā)和部署4條戰(zhàn)略路線，均有具體的法律法規(guī)和政策文件支撐，其中，《2018年聯(lián)邦采購供應(yīng)鏈安全法案》《布拉格提案》及第13837號(hào)行政命令等法案提案中均將標(biāo)準(zhǔn)、評(píng)估、審查等作為5G安全保障的重要舉措.

二是成為多個(gè)聯(lián)邦機(jī)構(gòu)政策措施落實(shí)的有效支撐手段.以聯(lián)邦通信委員會(huì)、國土安全部、商務(wù)部、國務(wù)院及白宮國家安全委員會(huì)為首的眾多聯(lián)邦機(jī)構(gòu)對(duì)探索和如何過渡到5G網(wǎng)絡(luò)都高度關(guān)注.

在政策和標(biāo)準(zhǔn)領(lǐng)域，正在努力解決制定和實(shí)施問題.白宮成立了5G政策協(xié)調(diào)委員會(huì)，以協(xié)調(diào)聯(lián)邦機(jī)構(gòu)與3GPP的合作.聯(lián)邦通信委員會(huì)(Federal Communications Commission, FCC)和內(nèi)政部(Department of Interior, DOI)的職責(zé)是5G部署和安全工作.DOI率先執(zhí)行農(nóng)村寬帶部署行政命令，F(xiàn)CC正在推行一項(xiàng)全面的計(jì)劃，旨在提升美國在5G技術(shù)方面的優(yōu)勢(shì)，將更多的頻譜推向市場(chǎng)，更新基礎(chǔ)設(shè)施政策，并使過時(shí)的法規(guī)現(xiàn)代化.美國國家標(biāo)準(zhǔn)與技術(shù)研究所(National Institute of Standards and Technology, NIST)正致力于保護(hù)移動(dòng)設(shè)備和數(shù)據(jù)的安全，并就蜂窩技術(shù)的安全性提供指導(dǎo).國防部已經(jīng)建立了技術(shù)團(tuán)隊(duì)來處理各種5G標(biāo)準(zhǔn)問題，以幫助在整個(gè)國防部建立統(tǒng)一的標(biāo)準(zhǔn).國防部還與五眼聯(lián)盟合作，協(xié)調(diào)標(biāo)準(zhǔn)的實(shí)施和統(tǒng)一.

在安全方面，5G系統(tǒng)的每個(gè)元素(核心、硬件、軟件等)都代表著獨(dú)特的安全挑戰(zhàn).因此，安全主題必然與其他行動(dòng)領(lǐng)域交叉重疊.FCC、商務(wù)部和國防部等機(jī)構(gòu)都成立了專門處理安全問題的工作組.作為聯(lián)邦通信主管部門，F(xiàn)CC對(duì)進(jìn)入美國電信市場(chǎng)的5G設(shè)備和裝置設(shè)置了一系列的授權(quán)規(guī)則和程序.任何發(fā)射射頻輻射的產(chǎn)品都要遵守FCC的設(shè)備授權(quán)制度.大多數(shù)情況下，在射頻設(shè)備上市(即出售、租賃、廣告出售或租賃或進(jìn)口)之前，必須獲得FCC設(shè)備授權(quán)，由FCC指定的電信認(rèn)證機(jī)構(gòu)(TCB)執(zhí)行.所需的授權(quán)程序可以是稱為認(rèn)證的嚴(yán)格批準(zhǔn)程序，也可以是稱為供應(yīng)商符合性聲明的不太詳細(xì)的程序.盡管供應(yīng)商符合性聲明的方式允許使用電子卷標(biāo)并減少了繁瑣的進(jìn)口聲明要求，但認(rèn)證程序同樣需要出具測(cè)試報(bào)告.許多設(shè)備在這2種方法下都要經(jīng)過批準(zhǔn).此外，F(xiàn)CC的規(guī)則還規(guī)定了詳細(xì)的標(biāo)簽和進(jìn)口要求.

作為負(fù)責(zé)網(wǎng)絡(luò)安全的主要聯(lián)邦機(jī)構(gòu)，國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency, CISA)正通過戰(zhàn)略風(fēng)險(xiǎn)緩解計(jì)劃，幫助塑造這一新興關(guān)鍵基礎(chǔ)設(shè)施的推出，全面落實(shí)《5G安全國家戰(zhàn)略》中提到的4條工作線，確保5G技術(shù)和基礎(chǔ)設(shè)施的安全性和彈性，領(lǐng)導(dǎo)風(fēng)險(xiǎn)緩解工作.2020年8月，CISA發(fā)布了其5G戰(zhàn)略，確立了5項(xiàng)戰(zhàn)略舉措，以應(yīng)對(duì)5G部署安全的關(guān)鍵風(fēng)險(xiǎn).CISA利用其作為國家風(fēng)險(xiǎn)顧問的特殊身份和獨(dú)特的權(quán)威機(jī)構(gòu)——國家風(fēng)險(xiǎn)管理中心，正在與跨機(jī)構(gòu)、行業(yè)和國際合作伙伴合作，以確保相關(guān)的政策、法律、安全和安全框架到位，以減輕重大5G風(fēng)險(xiǎn)，并推動(dòng)所有16個(gè)部門的關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)在依賴ICT(包括部署時(shí)的5G組件)來運(yùn)行國家關(guān)鍵功能(national critical functions，NCF)時(shí)將5G安全作為優(yōu)先事項(xiàng).

在供應(yīng)鏈方面，聯(lián)邦機(jī)構(gòu)正在推行多種戰(zhàn)略，以促進(jìn)在全國推廣更安全、更可靠的5G網(wǎng)絡(luò).5G的供應(yīng)鏈完整性一直是包括白宮、商務(wù)部、FCC和國會(huì)在內(nèi)的利益相關(guān)者關(guān)注的中心問題，其中中國的設(shè)備是一個(gè)特別的重點(diǎn)領(lǐng)域.這種擔(dān)憂已經(jīng)在整個(gè)聯(lián)邦政府中表現(xiàn)出來，包括：通過特朗普總統(tǒng)2019年的供應(yīng)鏈行政命令，針對(duì)中國企業(yè)，建立了一個(gè)新的監(jiān)管制度，對(duì)某些交易進(jìn)行審查；商務(wù)部將華為列入實(shí)體名單；成立聯(lián)邦采購安全委員會(huì)，幫助政府機(jī)構(gòu)評(píng)估供應(yīng)商安全； FCC限制擁有某些中國制造商設(shè)備的實(shí)體使用普遍服務(wù)基金的程序；國土安全部正在進(jìn)行5G安全風(fēng)險(xiǎn)評(píng)估，由CISA的國家風(fēng)險(xiǎn)管理中心牽頭；國防部和國防創(chuàng)新委員會(huì)對(duì)5G生態(tài)系統(tǒng)風(fēng)險(xiǎn)和機(jī)遇的審查；NIST一直在研究其網(wǎng)絡(luò)安全框架中的供應(yīng)鏈風(fēng)險(xiǎn)管理；美國國務(wù)院“5G清潔網(wǎng)絡(luò)”倡議下的第1項(xiàng)努力“5G清潔路徑”，要求所有進(jìn)出美國外交設(shè)施的5G網(wǎng)絡(luò)流量都有一條“清潔路徑”.5G 清潔路徑設(shè)想了一種端到端通信路徑，不使用來自不受信任的IT供應(yīng)商的傳輸、控制、計(jì)算或存儲(chǔ)設(shè)備.出于對(duì)全球電信供應(yīng)鏈的安全擔(dān)憂，美國對(duì)5G等電信設(shè)備實(shí)施了多項(xiàng)限制，不斷加強(qiáng)對(duì)感知風(fēng)險(xiǎn)的審查和評(píng)估.

在5G測(cè)試方面，成立了跨部門聯(lián)合的聯(lián)邦移動(dòng)測(cè)試工作組(Federal Mobility Group, FMG).FMG成立于2019年，由總務(wù)管理局(General Services Administration, GSA)、國土安全部(Department of Homeland Security, DHS)和NIST的代表共同領(lǐng)導(dǎo)，團(tuán)隊(duì)包括250名合同制員工和項(xiàng)目經(jīng)理，以及來自聯(lián)邦和技術(shù)方面45個(gè)機(jī)構(gòu)和局的領(lǐng)導(dǎo)，每2周見面1次.工作組的5G測(cè)試工作符合《5G安全國家戰(zhàn)略》中“促進(jìn)國內(nèi)5G推廣”的工作路線，其目標(biāo)是促進(jìn)新技術(shù)和架構(gòu)的研究、開發(fā)、測(cè)試和評(píng)估，這些新技術(shù)和架構(gòu)通過訪問共享測(cè)試資源推進(jìn)5G技術(shù).為了避免重復(fù)和促進(jìn)共享測(cè)試資源的使用，F(xiàn)MG的5G和移動(dòng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施組對(duì)5G的測(cè)試方法進(jìn)行了評(píng)估，以了解美國的5G測(cè)試能力.2020年11月，F(xiàn)MG發(fā)布了《聯(lián)邦5G測(cè)試框架》，通過對(duì)全國范圍內(nèi)一組4G和5G實(shí)驗(yàn)室和測(cè)試平臺(tái)的調(diào)查，得出了關(guān)于實(shí)驗(yàn)室能力及其適用性的結(jié)論，以供聯(lián)邦政府使用.該框架報(bào)告提供了有關(guān)所訪問實(shí)驗(yàn)室現(xiàn)有和計(jì)劃的5G測(cè)試能力的信息，細(xì)化了5G的聯(lián)邦用例，并定義了進(jìn)行5G測(cè)試的框架，確定了進(jìn)行5G測(cè)試所需的模塊化能力和要素.框架分為4個(gè)階段，理論上基于3GPP 5G標(biāo)準(zhǔn)發(fā)布和5G設(shè)備/設(shè)備供應(yīng)商產(chǎn)品的時(shí)間表.該框架不僅有助于5G項(xiàng)目經(jīng)理或測(cè)試經(jīng)理了解進(jìn)行用例測(cè)試所需的測(cè)試元素，還可以支持聯(lián)邦5G用例的不同需求，以及聯(lián)邦政府5G測(cè)試活動(dòng)的協(xié)調(diào).

2.2 歐盟5G安全評(píng)估認(rèn)證進(jìn)展

歐盟作為標(biāo)準(zhǔn)與認(rèn)證認(rèn)可的發(fā)源地，歷來高度重視標(biāo)準(zhǔn)與認(rèn)證的研究及運(yùn)用，在標(biāo)準(zhǔn)的研究制定、認(rèn)證認(rèn)可機(jī)制的應(yīng)用方面始終走在世界前列.近2年來，歐盟提出一系列具有操作性的步驟和措施來整體推動(dòng)5G安全部署，其中評(píng)估、標(biāo)準(zhǔn)與認(rèn)證是重要方面：

1) 2019年3月，歐盟通過的《歐盟網(wǎng)絡(luò)安全法》將為特定的信息和通信技術(shù)(ICT)流程、產(chǎn)品和服務(wù)建立統(tǒng)一的認(rèn)證框架.從法律層面為歐盟統(tǒng)一的網(wǎng)絡(luò)安全認(rèn)證框架的實(shí)施推動(dòng)提供了保障，并提出將在物聯(lián)網(wǎng)、5G設(shè)備和網(wǎng)絡(luò)以及數(shù)據(jù)和隱私保護(hù)等新興技術(shù)、新產(chǎn)品的應(yīng)用和新的安全需求中將安全認(rèn)證作為一項(xiàng)重要的評(píng)估手段.

2) 2019年3月，歐盟委員會(huì)宣布了在5G網(wǎng)絡(luò)安全方面的法律建議，包括敦促歐盟委員會(huì)授權(quán)歐盟網(wǎng)絡(luò)與信息安全局(European union agency for cybersecurity, ENISA)優(yōu)先開展5G設(shè)備認(rèn)證方案的研究，特別注意有一定規(guī)模的、可對(duì)公民的日常生活和經(jīng)濟(jì)有重大影響的廣泛使用的過程、產(chǎn)品和軟件；要求成員國應(yīng)在年底前向歐盟委員會(huì)和ENISA提交國家風(fēng)險(xiǎn)評(píng)估報(bào)告.法律建議還規(guī)定，一旦歐盟制定了與5G網(wǎng)絡(luò)相關(guān)的網(wǎng)絡(luò)安全認(rèn)證計(jì)劃，成員國應(yīng)根據(jù)歐盟法律通過國家技術(shù)條例，對(duì)這些計(jì)劃所涵蓋的信息和通信技術(shù)產(chǎn)品、服務(wù)或系統(tǒng)進(jìn)行強(qiáng)制性認(rèn)證.

3) 2019年10月，歐盟內(nèi)部達(dá)成安全共識(shí)并發(fā)布《歐盟 5G 安全風(fēng)險(xiǎn)評(píng)估報(bào)告》，明確了網(wǎng)絡(luò)威脅和攻擊者、敏感資產(chǎn)、關(guān)鍵漏洞和包括供應(yīng)鏈安全在內(nèi)的多種戰(zhàn)略安全風(fēng)險(xiǎn).

4) 2019年11月，ENISA發(fā)布了《歐盟5G網(wǎng)絡(luò)威脅場(chǎng)景分析報(bào)告》，對(duì)5G網(wǎng)絡(luò)架構(gòu)、敏感資產(chǎn)、影響資產(chǎn)和威脅主體的網(wǎng)絡(luò)威脅進(jìn)行了系統(tǒng)分析.2020年12月，ENISA發(fā)布了更新版報(bào)告，捕捉了5G架構(gòu)的發(fā)展，包含所有引入的新功能，并總結(jié)了5G相關(guān)標(biāo)準(zhǔn)化文件中的信息[5].

5) 2020年1月，歐盟制定并發(fā)布了《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)對(duì)工具箱》[6]，重點(diǎn)圍繞5G安全風(fēng)險(xiǎn)提出戰(zhàn)略和技術(shù)措施.歐盟委員會(huì)將支持實(shí)施關(guān)于5G網(wǎng)絡(luò)安全的歐盟方法，并將根據(jù)成員國的要求，酌情使用所有可用工具以確保5G基礎(chǔ)架構(gòu)和供應(yīng)鏈的安全性，包括：電信和網(wǎng)絡(luò)安全規(guī)則；協(xié)調(diào)標(biāo)準(zhǔn)化以及歐盟范圍內(nèi)的認(rèn)證(作為4項(xiàng)技術(shù)措施之一)；外國直接投資審查框架保護(hù)歐洲5G供應(yīng)鏈等等.

6) 2020年7月1日，ENISA發(fā)布了歐盟網(wǎng)絡(luò)安全認(rèn)證候選方案[7]，規(guī)定的原則和要素也適用于5G認(rèn)證.

7) 2020年12月10日，ENISA發(fā)布了新的指導(dǎo)方針《歐洲電子通信規(guī)范安全措施指南》和《5G補(bǔ)充文件：歐洲電子通信規(guī)范下的安全措施指南》[8]，以支持歐洲電信安全部門實(shí)施歐洲電子通信規(guī)范(EECC)和歐盟5G工具箱的安全要求.指南和相關(guān)的5G補(bǔ)充文件強(qiáng)調(diào)了數(shù)字單一市場(chǎng)電信安全通用方法的重要性.5G補(bǔ)充文件包含5G技術(shù)概要，補(bǔ)充了EECC下安全措施的技術(shù)中立指南，就如何確保移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商實(shí)施和加強(qiáng)安全措施，以減輕5G網(wǎng)絡(luò)的風(fēng)險(xiǎn)，向國家主管部門提供了額外的指導(dǎo).

8) 2021年2月初，歐盟委員會(huì)要求ENISA制定歐盟5G網(wǎng)絡(luò)安全認(rèn)證方案.根據(jù)歐盟委員會(huì)的要求，ENISA將著手制定新的5G候選網(wǎng)絡(luò)安全認(rèn)證計(jì)劃.這項(xiàng)工作基于歐盟5G安全工具箱，預(yù)計(jì)將進(jìn)一步加強(qiáng)5G網(wǎng)絡(luò)的網(wǎng)絡(luò)安全，因?yàn)樗兄趹?yīng)對(duì)某些風(fēng)險(xiǎn)，作為更廣泛的風(fēng)險(xiǎn)緩解戰(zhàn)略的一部分.歐盟委員會(huì)這一要求符合建立歐盟網(wǎng)絡(luò)安全認(rèn)證框架的《網(wǎng)絡(luò)安全法》.同時(shí)，5G網(wǎng)絡(luò)安全認(rèn)證是新版歐盟數(shù)字10年網(wǎng)絡(luò)安全戰(zhàn)略的下一步舉措，這項(xiàng)新舉措建立在已經(jīng)采取的行動(dòng)的基礎(chǔ)上，以減輕5G技術(shù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn).

9) 2021年2月，ENISA發(fā)布了《5G規(guī)范中的網(wǎng)絡(luò)安全：3GPP中的安全控制報(bào)告》[9]，為主管部門提供有關(guān)5G工具箱措施的技術(shù)指導(dǎo)，以滿足現(xiàn)有5G標(biāo)準(zhǔn)中的安全要求.這份新的報(bào)告是由歐盟5G安全工具箱中設(shè)定的目標(biāo)(主要技術(shù)措施“TM02”)直接驅(qū)動(dòng)的.這項(xiàng)技術(shù)措施要求歐盟成員國的相關(guān)主管部門確保并評(píng)估運(yùn)營(yíng)商及其供應(yīng)商在現(xiàn)有5G標(biāo)準(zhǔn)(具體為3GPP)中實(shí)施安全措施的情況.

與美國頻繁以“國家安全”為由出臺(tái)多種安全措施不同，歐盟對(duì)5G安全的評(píng)估和監(jiān)管相較而言更加客觀，思路更加簡(jiǎn)明、清晰.在風(fēng)險(xiǎn)評(píng)估和威脅場(chǎng)景分析的基礎(chǔ)上，圍繞5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)制定發(fā)布了5G網(wǎng)絡(luò)安全工具箱，提出了戰(zhàn)略性和技術(shù)性2類風(fēng)險(xiǎn)緩解措施，并逐步推動(dòng)各項(xiàng)措施(包括標(biāo)準(zhǔn)、評(píng)估和認(rèn)證)的落地實(shí)施.特別是在5G安全標(biāo)準(zhǔn)、評(píng)估、認(rèn)證方面的差距分析、方案準(zhǔn)備及通過立法推動(dòng)等做法更具參考借鑒意義.

3 對(duì)建立互信互認(rèn)的5G安全評(píng)估認(rèn)證體系的思考

目前，我國5G發(fā)展在技術(shù)標(biāo)準(zhǔn)、產(chǎn)業(yè)體系、部署應(yīng)用等方面已經(jīng)具有領(lǐng)先優(yōu)勢(shì)，但同時(shí)也面臨著一些挑戰(zhàn)，比如國際“信任環(huán)境惡劣”、端到端產(chǎn)業(yè)鏈尚未完全成熟、5G網(wǎng)絡(luò)新技術(shù)新業(yè)態(tài)導(dǎo)致網(wǎng)絡(luò)安全和數(shù)據(jù)安全的風(fēng)險(xiǎn)點(diǎn)增多等[10].特別是鑒于當(dāng)前5G國際信任環(huán)境惡劣、產(chǎn)業(yè)鏈供應(yīng)鏈風(fēng)險(xiǎn)持續(xù)攀升等形勢(shì)，急需立足國內(nèi)國外2個(gè)市場(chǎng)觀，從我國5G安全和產(chǎn)業(yè)發(fā)展的雙重需求出發(fā)，系統(tǒng)地作出戰(zhàn)略評(píng)估并采取切實(shí)的應(yīng)對(duì)措施.在加強(qiáng)對(duì)5G產(chǎn)業(yè)鏈供應(yīng)鏈各環(huán)節(jié)安全問題和風(fēng)險(xiǎn)的全面、客觀認(rèn)識(shí)和評(píng)估的基礎(chǔ)上，加快制定5G安全相關(guān)標(biāo)準(zhǔn)，以5G安全評(píng)估認(rèn)證體系建設(shè)推動(dòng)建立信任機(jī)制，并推動(dòng)在多邊領(lǐng)域乃至全球的互認(rèn).需要從如下2方面著手推動(dòng)：

一方面，需正確認(rèn)識(shí)5G安全評(píng)估認(rèn)證體系建設(shè)在5G安全保障和供應(yīng)鏈優(yōu)化中的必要性和意義.從國內(nèi)外5G安全評(píng)估認(rèn)證的進(jìn)展和實(shí)踐、我國5G發(fā)展和安全保障的需求以及當(dāng)前國際國內(nèi)的環(huán)境形勢(shì)需要等來看，建立互信互認(rèn)的5G安全評(píng)估認(rèn)證體系非常必要，是當(dāng)前5G產(chǎn)業(yè)快速發(fā)展的迫切需求，也是我國完善現(xiàn)代化產(chǎn)業(yè)鏈供應(yīng)鏈的必要舉措.因此，應(yīng)立足現(xiàn)代化的全球供應(yīng)鏈理念，明確界定我國5G產(chǎn)業(yè)的全球供應(yīng)鏈定位，主動(dòng)對(duì)接國際標(biāo)準(zhǔn)組織與相關(guān)認(rèn)證組織，運(yùn)用通用的國際標(biāo)準(zhǔn)全面優(yōu)化供應(yīng)鏈結(jié)構(gòu)要素，提升供應(yīng)鏈安全水平，構(gòu)建統(tǒng)一、客觀、獨(dú)立、公正、可驗(yàn)證的5G安全評(píng)估認(rèn)證體系，利用主流國際認(rèn)證機(jī)制，建立與外國市場(chǎng)和用戶的遠(yuǎn)期信任，為5G產(chǎn)業(yè)新生態(tài)和數(shù)字經(jīng)濟(jì)發(fā)展保駕護(hù)航.

另一方面，在完善頂層設(shè)計(jì)、明確推動(dòng)思路的基礎(chǔ)上，以“4個(gè)體系”的構(gòu)建有計(jì)劃有步驟地推動(dòng)落實(shí)：一是完善制度體系.以網(wǎng)絡(luò)安全法為基本依據(jù)，基于深度防御和廣度防御的理念，完善制度體系，做好頂層設(shè)計(jì)，在5G安全保障中，綜合運(yùn)用風(fēng)險(xiǎn)識(shí)別、審查、評(píng)估、認(rèn)證等制度和手段，推進(jìn)代表國家行為的網(wǎng)絡(luò)安全審查與控制市場(chǎng)準(zhǔn)入的安全認(rèn)證有效銜接，防范風(fēng)險(xiǎn)，傳遞信任，共筑網(wǎng)絡(luò)安全防線.二是建立5G安全認(rèn)證評(píng)價(jià)體系.結(jié)合5G產(chǎn)業(yè)鏈中重點(diǎn)產(chǎn)品、系統(tǒng)、服務(wù)、關(guān)鍵人員的安全評(píng)價(jià)需求，及5G運(yùn)營(yíng)商、服務(wù)提供商的網(wǎng)絡(luò)安全管理需求，建立覆蓋完整的安全認(rèn)證、評(píng)價(jià)體系.三是加強(qiáng)5G安全評(píng)價(jià)的核心能力體系建設(shè).當(dāng)前我國對(duì)ICT產(chǎn)品和服務(wù)的安全性評(píng)價(jià)能力整體不足，存在評(píng)價(jià)不了、評(píng)價(jià)不準(zhǔn)、評(píng)價(jià)效果不明等幾個(gè)突出的問題，需要突破核心能力建設(shè)，深入開展安全評(píng)價(jià)關(guān)鍵支撐技術(shù)研究與應(yīng)用.四是建立5G安全評(píng)價(jià)生態(tài)體系.安全評(píng)價(jià)不僅是產(chǎn)品、服務(wù)等使用前的評(píng)價(jià)和把關(guān)，它與產(chǎn)業(yè)鏈、生態(tài)鏈的各個(gè)環(huán)節(jié)都密切相關(guān).因此，需要推進(jìn)產(chǎn)學(xué)研用的聯(lián)合，集合優(yōu)秀的企業(yè)、實(shí)驗(yàn)室、服務(wù)機(jī)構(gòu)等各方力量，共同推進(jìn)協(xié)同配合的5G安全評(píng)價(jià)生態(tài)體系建設(shè)，促進(jìn)我國5G安全可控能力的整體提升，保障國家安全、公共利益，提升廣大人民群眾的使用信心.