5G供應鏈安全風險評估模型研究

霍夢瑤 孫松林 王少康 王一兆 陸冬婕

(北京郵電大學信息與通信工程學院 北京 100876)(移動互聯網安全技術國家工程實驗室(北京郵電大學) 北京 100876)(可信分布式計算與服務教育部重點實驗室(北京郵電大學) 北京 100876)(2019140187@bupt.edu.cn)

1 5G供應鏈

隨著5G技術的普及和應用，5G將會高度融入生活，5G安全事關國家核心利益，5G供應鏈安全則是5G網絡安全的基礎，本節從5G供應鏈的組成和特點出發分析了我國5G供應鏈現狀.

1.1 5G供應鏈的組成及特點

供應鏈的概念在20世紀80年代被定義為：制造企業從企業外部采購的原材料和零部件通過生產轉換和銷售等活動再傳遞到零售商和用戶的過程.隨著供應鏈應用的不斷擴展，目前供應鏈一般是指產品生產和流通中涉及的原材料供應商、生產商、批發商、零售商以及最終用戶組成的供需網絡結構[1].

5G供應鏈是指5G網絡產品和服務的供應鏈：在將5G產品、系統或者服務提供給需方的過程當中，為了滿足供應關系通過資源和過程將需方、供方相互連接的網鏈結構.5G產業鏈：上游為基站升級，如基站射頻、基帶芯片、關鍵材料等；中游主要為網絡建設、無線主設備以及傳輸設備等；下游為產品應用及終端產品應用場景(如云計算、車聯網、物聯網、VR/AR).整個供應鏈包括基礎網絡設備商、無線網絡提供商、移動虛擬網絡提供商(MVNO)、網絡規劃/維護公司、應用服務提供商、終端用戶等[2].在供應鏈中，一個組織可能既是上游組織的需方，也是下游組織的供應方，與其上游、下游均存在供應商關系，因此5G供應鏈中的各個環節的聯系十分緊密.5G供應鏈的基本結構如圖1所示：

圖1 5G供應鏈的基本結構

5G供應鏈具有全球分布性、全生命周期覆蓋性、供應商多樣性、網絡邊界動態性、產品服務復雜性等特點[3]：1)全球分布.在全球化下，5G技術的芯片、模組、材料、器件、基站、網絡、終端等產品都由全球供應商開發銷售.以蘋果公司為例，在蘋果的產業鏈上，有來自49個國家與地區的1 142家供應商，有500多家遍及全球的蘋果商店和數以千計的渠道在不間斷地營業.2)全生命周期.5G供應鏈生命周期是5G產品和服務從無到有直至廢棄的全生命周期涉及的供應鏈活動，通常以5G產品和服務的設計為起點，經過開發、生產、集成、倉儲、交付等環節將產品和服務交付給需方，并對產品和服務進行運維、售后服務等直至其廢棄[3].3)網絡邊界動態性.由于5G的應用場景分布廣泛，各類應用場景都屬于5G網絡的范圍.在研究5G網絡安全時可以基于語音、數據的最小網絡進行相關研究.4)產品服務復雜.由于5G產業鏈的覆蓋范圍非常廣泛，導致5G相關的產品、系統以及服務種類繁多、結構復雜.5)供應商多樣性.在5G供應鏈的上中下游都包含著多種類型的供應商，除5G技術設備相關的供應商外，物流、貿易等多種類型的供應商均會參與其中.

1.2 我國5G供應鏈現狀

目前，我國5G供應鏈的中下游產品在國際上具有一定的優勢，我國生產的5G基站、網絡、終端設備均面向全球市場銷售，且占有一定的份額.在5G供應鏈的上游，除了一些企業在光器件上具有一定的優勢之外，其他產業大多被美日韓等國家占據較多的市場份額，我國的部分產品只能搶占中低端的市場份額.由于供應鏈各個環節的聯系非常緊密，任何元器件或者原材料的供應出現問題都可能造成5G供應鏈的中斷.因此加快研發并盡快彌補我國在5G供應鏈上的短板是保障我國5G供應鏈安全的重點.

2019年5月，美國等32國發布了《布拉格提案》，警告各國政府關注第三方國家對5G供應商施加影響的總體風險；緊接著美國又頒布了《確保信息和通信技術及服務供應鏈安全》行政令，禁止美國個人和各類實體購買和使用被美國認定為可能給美國帶來安全風險的外國設計制造的ICT技術設備和服務[4].只有具備公信力的5G產品安全評估認證正式頒布才能確保5G供應鏈良性發展.雖然目前3GPP已經發布了5G設備安全保障測評標準，但是全球廣泛接受的5G供應鏈安全要求與認證規則仍未明確.在此背景下，我國需警惕部分國家從法律、投資、人才、5G供應鏈產品等方面遏制中國5G技術的發展.

2 5G供應鏈安全風險評估模型

供應鏈安全標準的制定和提出對保障供應鏈安全具有極其重要的作用，目前，我國供應鏈安全標準處于起步階段.有關供應鏈安全管理的標準分散在許多文件當中：《信息安全技術信息技術產品供應方行為安全準則》[5]規定了信息技術產品供應方的行為安全準則；《信息安全技術云計算服務安全能力要求》[6]對云服務商的供應鏈中的部分環節提出了安全要求；《信息安全技術政府部門信息安全管理基本要求》[7]在日常信息安全管理中也規定了一些管理要求.在供應鏈風險管理方面，我國風險管理標準化技術委員會(SAC/TC310)發布的《供應鏈風險管理指南》[8]，給出了供應鏈風險管理的通用指南和航空工業的風險評估示例.《信息安全技術ICT供應鏈安全風險管理指南》[9-10]是我國第1個ICT供應鏈安全國家標準，彌補了ICT供應鏈安全風險管理的空白.但是目前還沒有針對5G供應鏈安全的相關標準，5G供應鏈安全保障機制仍有缺失.本節結合ICT供應鏈安全風險管理方法分析解讀了5G供應鏈安全風險管理模型，提出了一種5G供應鏈安全風險評估模型.

2.1 5G供應鏈安全風險管理

要完善我國的5G供應鏈安全的管理首先要加強我國5G全球供應鏈系統建設和風險管理，在識別5G、關鍵信息基礎設施供應鏈可能存在的安全風險后，根據5G供應鏈安全風險的來源和嚴重程度，有針對性地采取應對措施，構建一個有彈性、可持續的5G供應鏈.參考ICT供應鏈安全風險管理過程，5G供應鏈安全風險管理過程應分為背景分析、風險評估、風險處置、風險監督與檢查、風險溝通與記錄5個步驟，如圖2所示：

圖2 供應鏈安全風險管理過程

1) 背景分析.背景分析是進行供應鏈風險管理的第1步，通過背景分析環節分析供應鏈中的薄弱環節和供應鏈風險的可能來源，確保整個供應鏈安全風險管理過程的順利進行.

2) 風險識別.供應鏈風險識別是指風險管理主體運用各種方法認識供應鏈所面臨的風險，認真分析可能的風險事件發生的潛在原因.5G供應鏈安全風險可以從5G供應鏈可能受到的威脅和脆弱性導致的風險2個方面來考慮.

3) 風險分析.風險分析是在風險識別后針對識別的風險進行可能性分析(威脅利用脆弱性導致安全事件發生的概率)、后果分析(針對已識別的5G供應鏈安全事件,分析事件的潛在影響)和風險估算(為5G供應鏈安全風險的可能性和后果賦值).

4) 風險評價.在風險評估環節將風險識別和分析中得到的后果、可能性與風險評估模型和風險評價指標相結合,進行面向全生命周期各個階段和系統各個層級的多層次多角度的供應鏈風險分析評價.

5) 風險處置.對風險評估給出的具體風險宜制定風險處置計劃,并結合組織自身的業務要求和能力限制,選擇風險處置策略.

6) 風險監督與檢查.風險監督與檢查的目的是確保組織的風險在可接受的范圍內.

7) 風險溝通與記錄.風險溝通與記錄是在風險管理者以及利益相關者之間就如何通過交換和(或)共享有關風險信息來管理風險而達成一致的活動.

2.2 5G供應鏈安全風險評估模型

5G供應鏈的特性決定了對其供應鏈安全性進行分析評價必須從多維度去進行.本節提供的5G供應鏈風險評估模型和供應鏈風險評估指標體系在林星辰等人[3]提出的5G供應鏈安全評估模型的基礎上增加了對專利、供應鏈完整度的考慮，可以更加精細地為5G供應鏈安全管理提供風險衡量標準.本節提出的5G供應鏈風險評估模型：從時間上面向5G全生命周期中的建設期、運營期和退服期；從層次上面向5G供應鏈中涉及的專利、材料、元器件、產品、供應鏈條等系統層級.從多個維度進行供應鏈風險評估，提升5G供應鏈安全防護能力.

通過對5G網絡全生命周期供應鏈安全和系統層級供應鏈安全的分析，5G供應鏈安全模型如圖3所示，可用風險級別來呈現5G供應鏈安全態勢.從2個方向呈現：一是分層級呈現，即按專利、材料、元器件、產品、供應鏈條展示自主可控程度；二是按照時間階段呈現，即按建設期、運營期和退服期展示風險可控程度.風險級別越低表示安全態勢越安全，風險級別越高表示安全態勢嚴重不安全.

圖3 5G供應鏈風險評估模型

根據5G供應鏈安全評價模型構建面向全生命周期各個階段和系統各個層級的供應鏈安全評估指標體系如圖4所示.

圖4 5G供應鏈風險評估指標體系

5G供應鏈風險評價指標體系共有3個層次：1級指標面向全生命周期各個階段包括建設期供應鏈安全指標、運營期供應鏈安全指標和退服期供應鏈安全指標；2級指標是對1級指標依據一定的準則進行分析和分解得到的，建設期供應鏈安全指標下設的2級指標面向系統3個層級包含產品供應鏈安全指標、元器件供應鏈安全指標和原材料供應鏈安全指標；3級指標是對2級指標的進一步細化.對5G供應鏈風險的評估，可以從以上全生命周期、系統各層級和多個維度進行，國家行業監管部門以及5G運營商、設備制造商評估5G關鍵基礎設施的供應鏈安全可基于5G供應鏈安全的評估模型和指標開展5G供應鏈風險的評估，進而規避供應鏈可能出現的風險.

3 5G供應鏈安全標準化推進建議

5G具有增強移動寬帶、高可靠低延時和廣覆蓋大連接的特點，當這些特點與邊緣計算、人工智能相結合使得萬物融為一體，實現萬物互聯指日可待.作為新一代數字通信應用，5G技術會給人類生活和生產帶來巨大變化，因此各國已經把發展5G提升到戰略性的高度.中美博弈下，科技領域首當其沖，華為作為擁有28%的市場份額的世界上最大的電信設備制造商，使美國政府感到焦慮，決定動用霸權政治和盟國體系手段來阻止中國企業全球發展.與華為類似，由于分工細密、專業性強，5G設備制造商供應鏈參與廣泛、結構復雜.任何一家電信設備制造企業都需要數以百計的直接或間接的國內外供應商來提供產品和服務，而來自歐美日韓等發達國家(地區)和中國臺灣地區的供應商則占據顯著位置.為了擺脫現在的困境，加快支撐國家安全戰略落地，解決5G跨行業應用安全問題，為高速發展的5G網絡和業務提供及時、有力支撐，建議在以下方面加快推進5G供應鏈安全標準化工作：

1) 在關鍵設備安全可控等政策框架下，盡快研制5G供應鏈安全評估規范等適用于5G網絡設備的安全測評認證標準，擴大國際互信的安全認證合作范圍，推動建立安全、開放、互信的全球供應鏈體系.

2) 針對5G等電信設備行業提供產業技術和產業布局方面的政策支持，吸引和鼓勵國內外廠商與我國的5G電信設備商進行合作.

3) 加強研發投入，補齊我國在技術上的短板，尤其是5G供應鏈上游產業中的一些相關技術.只有構建具有自主發展能力和核心競爭力的產業鏈，才能逐步縮減與國際領先企業的距離，并實現反超.不過有國內產業政策、資金和市場的多方支撐，近年來5G上游廠商的數量迅速增加，已形成一定產業規模.

4) 堅持自主創新與開放合作相結合，在國際標準、技術研發、全球部署上加強國際交流與合作，共同推進5G及其演進技術的發展.充分利用國際電信聯盟(ITU)等國際組織，推動形成5G安全管理的全球統一標準的形成[11]；加強與國際標準化組織的交流與合作，鼓勵我國企業、高等院校、研究機構、政府部門積極參與5G國際標準的研究與制定，提升我國在5G國際標準制定方面的影響力.

4 總 結

綜上，5G網絡是未來信息社會的關鍵基礎設施，是構建萬物互聯的重要組成部分，其供應鏈安全應引起高度重視，安全可靠的5G供應鏈是國家產業安全、經濟安全和社會長治久安的基石.本文提出的5G供應鏈安全風險評估模型可以為5G供應鏈安全評估工作提供實踐參考，對5G供應鏈中各主體未來開展供應鏈安全工作有一定的參考和借鑒意義.