5G供應鏈安全風險分析與對策研究

韓曉露 段偉倫 呂 欣 李 陽 張祺琪

1(中國信息通信科技集團有限公司戰略規劃部 北京 100191) 2(國家信息中心博士后工作站 北京 100045) 3(中國信息通信科技集團有限公司武漢虹旭信息技術有限責任公司 武漢 430205)

1 5G及5G供應鏈的特點

第五代移動通信(5G)是新一代信息通信技術演進的重要方向，是數字經濟時代實現萬物互聯互通的關鍵信息基礎設施之一，對促進經濟社會數字化轉型具有重要支撐引領作用.因此，5G技術日益成為贏得國家長期競爭優勢的戰略制高點，世界各國已普遍認識到加強5G供應鏈安全管理的重要性，并逐步將5G供應鏈安全列入其國家戰略.

5G供應鏈圍繞核心企業，從原材料、元器件開始，制成模組等中間產品，生產出最終產品，最后由銷售網絡把產品提供給公共網絡和垂直行業的運營商，并向消費者提供各種服務，這樣各級供應商、制造商、分銷商、運營商、服務提供商等被連成一個整體的功能網鏈結構，依據特定的邏輯關系和時空布局關系形成一定的技術經濟關聯，形成5G供應鏈生態.5G供應鏈的特點包括：

1)全球分布性.5G移動通信網絡供應鏈具有全球分布性特點，5G網絡設備和系統中的產品均由全球分布的供應方開發、集成和交付.例如5G的芯片可能在一個國家或者地區設計，在另一個地方制造，為5G網絡設備進行產品供應.

2)全生命周期特性.5G移動通信網絡供應鏈覆蓋了5G產品、系統或者服務從無到有再到廢棄的整個生命周期，不僅包括供應鏈的計劃、獲取、制造、交付和返回等流程，還延伸到系統開發的生命周期以及產品和服務交付后的運營維護過程.

3)產品服務復雜性.5G的系統、產品和服務的類型多樣，構成復雜.5G產品涉及復雜的整機及系統設計、先進的通信協議和通信算法、高性能的通信芯片等等.

4)供應方多樣性.在5G設備和系統的設計、開發、采購、制造、集成、倉儲、退回等多個環境中，不同類型的供應方均參與其中，具備供應方多樣性的特點.

2 5G供應鏈安全風險分析模型

5G供應鏈風險分析模型主要從5G供應鏈安全資產識別、5G供應鏈安全威脅分析、5G供應鏈安全脆弱性分析等方面識別和分析5G供應鏈風險，支撐5G供應鏈安全風險評估與風險處理，如圖1所示.

圖1 5G供應鏈安全風險分析模型

2.1 5G供應鏈安全風險資產識別

一般ICT供應鏈風險資產識別主要為其產品、關鍵組件或服務等.5G供應鏈風險需要識別5G信息通信系統組成的多個產品、硬件、軟件、數據庫、中間件、固件、關鍵元器件、測試儀器儀表、核心生產裝備、原材料、關鍵備品備件、升級換代核心模塊、應用服務等，供應鏈風險識別涉及的范圍比一般ICT供應鏈廣，具有更深的穿透性，也是ICT供應鏈的典型代表.

5G作為關鍵信息基礎設施，關鍵技術需要長期的積累，涉及較多的知識產權，對應的關鍵核心元器件需要大量投入.如果不加強對5G供應鏈關鍵資產的識別和分級分類管理，當面臨諸如疫情等不可控的因素時會導致5G供應鏈斷供的風險.

2.2 5G供應鏈安全威脅分析

1)供應中斷

一般ICT設備供應鏈層級少，供應商分布少數在全球，供應鏈中斷造成的影響一般通過簡單的措施就能彌補，對國家整個經濟、社會或企業生產經營不會產生較大的影響.5G作為數字經濟發展支撐的關鍵信息基礎設施之一，覆蓋通信、金融、能源、交通等重要行業，滲透到社會生活的方方面面.5G網絡產品和服務供應鏈通常由分布在全球各地、多個層級的供應方組成，隨著異地供應方、供應方層級的增多，5G網絡產品和服務供應鏈的透明性和安全風險控制能力都在下降，由于自然的、管理的或不正當競爭行為等原因，5G網絡產品或服務供應鏈面臨中斷或終止的安全威脅.

5G技術門檻高，產業鏈長，應用領域廣泛，產業鏈涵蓋系統設備、芯片、終端、應用軟件、操作系統等[1]，其技術和產品的產業支撐能力需要持續的創新性和全球性的協同.如果不能在基礎性、通用性和前瞻性技術方面加強創新，協同產業鏈各環節同步更新完善5G技術，提供更為安全可靠的5G技術產品，將增加5G供應鏈安全風險，影響5G安全.5G供應鏈安全威脅可能導致5G網絡產品和服務中斷，在較短時間內難以通過采購、生產、備貨、國產替代等措施解決，嚴重影響組織的正常經營，將對經濟和社會產生較大影響，甚至影響國家安全.

5G高頻段、大帶寬、多天線對產品的研發提出挑戰，同時也對產業鏈的支撐能力提出更高的要求.我國企業在5G核心元器件、設備精密儀器儀表、關鍵的生產裝備、上游半導體原材料等方面與發達國家相比還存在差距，進口依賴性較強，且國內上游元器件、原材料等產品缺乏大規模應用機會，迭代升級進度緩慢，供應鏈存在較高風險.

2)惡意篡改

一般ICT設備在供應鏈環節可能存在對產品或上游組件進行惡意篡改的風險[2].5G網絡由于引入的網絡功能虛擬化、網絡切片、邊緣計算、網絡能力開放等關鍵技術，一定程度上帶來了新的安全威脅和風險，對數據保護、安全防護和運營部署等方面提出了更高要求，如果不采取適當供應鏈安全分級分類的措施，將危害產品和數據的保密性、完整性和可用性.5G網絡切片目前基于虛擬化技術，根據不同的網絡需求在共享資源的基礎上實現邏輯隔離，面臨各種安全威脅[3].如果沒有采取安全的隔離機制，當某個低防護能力的網絡切片受到惡意篡改將影響其他切片，進而影響整體網絡基礎設施安全.

3)假冒偽劣

一般ICT設備產品或上游組件存在質量低劣等問題.5G網絡由多個網元構成，網絡設備由于布網數量多，工作環境多樣化，對于器件的成本、功耗和性能要求較高，核心技術需要更多的知識產權保護，供應鏈安全形勢更為嚴峻.5G網元安全也相互作用，相互影響，如果其中一個網元或組件在供應上出現假冒偽劣也會給其他網元帶來安全方面的影響.

4)信息泄露

由于5G網絡虛擬化大量采用開源和第三方軟件，比一般ICT設備引入安全漏洞的可能性更大，在虛擬環境下管理控制功能高度集中，多個虛擬網絡功能(VNF)共享下層基礎資源，若某個虛擬網絡功能被攻擊將會波及其他功能，一旦敏感信息泄露造成的影響巨大.5G在邊緣計算平臺上可部署多個應用，由不同的供應商提供，這些應用可能共享多個資源，如果某個應用的供應商違規收集或使用敏感信息，將影響邊緣計算平臺上其他應用安全，容易造成敏感信息泄露.5G網絡能力將用戶個人信息、網絡數據和業務數據等從網絡運營商內部的封閉平臺中開放出來，網絡運營商對數據的管理控制能力減弱，可能會帶來供應鏈數據泄露的風險.

2.3 5G供應鏈安全脆弱性分析

1)研發階段脆弱性

由于5G網絡的開放性和復雜性，5G產品比一般ICT設備在設計階段對權限管理、安全域劃分隔離、內部風險評估控制、應急處置等方面提出更高的安全要求，安全需求分析和安全威脅分析以及安全開發流程也比一般ICT設備復雜.5G網絡安全、應用安全、終端安全問題相互交織，互相影響，需要需求階段和開發階段加強協同.5G網絡產品設計開發階段使用的核心方案屬于專利性保護產品，而且沒有其他的非風險性產品可以替代，對產品需求的功能性要求又不能降低.

2)供應階段脆弱性

5G供應階段如果供應鏈安全管理制度和流程不完善或者在選擇供應商時未考慮供應鏈安全要求，可能造成供應階段的脆弱性，例如：在采購環節可能存在被供應商篡改、替換或偽造的組件；在倉儲環節可能存在雇用不可靠或不安全的倉儲商；在運輸環節可能存在被植入、篡改或替換的產品；在銷售環節可能存在經銷商未經授權私自預裝程序等.5G網絡產品、核心元器件、精密儀器儀表、核心生產裝備、上游半導體原材料供應商由于具有一定的獨立市場地位，也存在采購單一來源風險.5G網絡產品、元器件、原材料供應商多為全球分布，且只有幾家供貨，疫情時期交通運輸也受影響，導致交付不及時、成本增加，嚴重影響產品交付.

3)運維階段脆弱性

由于5G具有運維粒度細和運營角色多的特點，相對其他ICT設備5G運維階段有更高的細粒度的運維要求，運維角色也更多樣化，這意味著5G運維配置錯誤的風險提升，錯誤的安全配置可能導致5G網絡遭受不必要的安全攻擊.5G運營維護要求高，對從業人員操作規范性、業務素養等帶來挑戰，也會影響5G網絡的安全性.5G網絡產品、元器件核心技術被為數不多的供應商掌控，如果供應商分布在國外，產品維修不能在國內原廠解決，將增加運維階段的脆弱性.

4)供應鏈管理脆弱性

由于5G網絡的集中部署，如果通信功能失效將導致多個地區通信業務異常或中斷，安全事件的影響范圍也比一般ICT設備更大，因此5G的供應鏈安全保障比一般ICT設備要求更高.如果5G產品、備品備件和服務供應鏈管理不能快速響應，有效處置應急情況，將會帶來嚴重的安全風險.5G供應鏈管理系統如果被黑客攻擊或內部人員泄密，可能會出現5G供應商信息泄露，訂單信息、招投標標書等信息泄露，將對企業帶來嚴重的經濟損失，甚至影響國家安全.

5)供應鏈生態脆弱性

由于供應鏈或生態圈的供應商安全能力參差不齊，ICT供應鏈整體安全水平不高.5G供應鏈整體安全水平如果不能做到分級管理，對核心產品的風險預估可能不夠完善，將影響整體的安全.5G技術與行業應用結合，涉及端到端安全、通信網絡安全、應用安全、終端安全等問題，導致相關方安全責任界定困難[4].如果不能充分考慮各主體不同層次的安全責任和要求，5G網絡將面臨嚴重的生態安全風險.此外，5G供應鏈安全風險在整個供應鏈生態中不僅需要從網絡運營商、設備供應商的角度考慮，還需要從垂直行業應用服務提供商角度考慮.在特殊情況下，例如新冠疫情比較嚴重時，5G核心元器件、關鍵原材料受國際關系、產地等影響，采購成本上升，運輸受限，生產供給不足，返修延遲，給整個供應鏈帶來嚴重的影響.

6)不同應用場景供應鏈脆弱性

5G與行業應用結合，包括工業互聯網、車聯網、智慧電網、智慧校園、遠程醫療以及其他智慧城市應用等等.不同垂直行業5G應用存在較大差別，供應鏈安全訴求存在差異，安全能力水平不一，難以采用單一化、通用化的安全解決方案來確保各垂直行業安全應用[5].5G網絡承載了不同的行業應用，由于不同供應商提供的行業應用產品存在安全漏洞和安全配置錯誤風險，也對5G網絡傳導造成各種應用場景下的安全風險，例如業務數據篡改、泄露、偽造或重放[6]、個人隱私泄露等.

3 5G供應鏈安全風險對策研究

5G是我國制造強國和網絡強國戰略的核心組成部分，關系到我國網絡安全和信息化發展的國家戰略，目前我國正加快推進5G產業的發展.面對5G供應鏈安全風險對策建議如下：

1)加強5G供應鏈安全風險評估.目前，以5G技術為代表的新一代移動通信技術引領全球科技革命.5G作為通信基礎設施是關鍵信息基礎設施的重要組成，其供應鏈風險不同于一般ICT設備，5G供應鏈安全面臨更為復雜的國際合規性挑戰、全球化外包管理挑戰、全球化的供應鏈管理組織和流程挑戰，以及來自運營商、設備商、垂直行業服務提供商的生態安全挑戰，如果5G供應鏈斷供事件發生，將在一定范圍給國家和社會帶來嚴重影響，甚至影響國家安全.因此，5G風險是全局性而非局部性風險，更為復雜.準確評估5G產品和服務的供應鏈風險顯得愈發重要、迫切，需在加快推進5G網絡建設和運營的同時，系統加強5G供應鏈安全風險評估，針對性地采取措施.

2)建立和完善5G供應鏈安全標準.通過對國內外的5G供應鏈安全標準化現狀進行梳理及對比分析，本文認為當前我國關鍵信息基礎設施標準中供應鏈安全標準缺乏，ICT供應鏈安全相關標準還需要在關鍵信息基礎設施領域進一步應用和實踐.5G作為數字經濟發展關鍵支撐，其供應鏈的復雜性不同于一般的ICT設施，隨著5G商用進程不斷深化和產業發展的不斷完善，在5G安全領域更需要出臺5G供應鏈安全標準，明確5G供應鏈安全要求、評估模型、評估指標和方法[7]，填補5G供應鏈安全的網絡安全評估無標準可依的空白.同時，推動評估技術與工具研制，加強在元器件、原材料、服務等方面的供應鏈安全風險評估，推動相關信創產品、元器件、原材料研發，促使5G供應鏈更加安全可控.

3)加快建立5G安全可靠的產業供應鏈.在當今的數字經濟時代，為了保持在5G的長期競爭優勢和在全球的主導地位，發達國家均在推進5G發展，加強5G安全戰略[8]，布局5G產業鏈和供應鏈.針對我國5G供應鏈安全風險，應加快補齊5G產業鏈供應鏈短板，突破5G核心技術和供應鏈上的“卡脖子”難題，堅持自主可控、安全高效，推動全產業鏈優化升級，加大重要硬件、軟件、關鍵元器件、儀器儀表、裝備/原材料的核心技術攻關力度，優化5G產業鏈供應鏈發展環境，加強國際產業安全合作，形成具有更強創新力、更高附加值、更安全可靠的5G產業鏈供應鏈[9].

4)加強國際交流與合作，推動5G供應鏈的創新與完善.5G技術是國際社會共同的高科技創新成果，是5G全球產業鏈、供應鏈、價值鏈高度融合技術.我國需抓住5G技術發展機遇，加強與ISO，ISO/IEC JTC1，ITU-T等國際標準化組織的交流與合作[10]，充分消化、吸收、借鑒國際國內已有的5G標準化技術成果，支持鼓勵我國企業、高等院校、研究機構、政府部門和業界專家積極參與5G及其演進技術國際標準的制定工作.此外，在國際頻率、技術研發、全球部署上我國應進一步加強國際交流與合作，堅持自主創新與開放合作相結合的原則，共同推進5G價值鏈、產業鏈、供應鏈的創新與完善，推動5G及其演進技術的發展.