张桦

（中共广州市委党校信息网络中心，广东广州 510500）

1 引言

2019年10月9日，欧洲网络与信息安全局（ENISA）发布了《欧盟5G网络安全风险评估报告》[1]。《报告》基于所有欧盟成员国向欧盟执行机构和ENISA提交的国家网络安全评估情况，并借鉴立法机构、监管机构、网络安全、电信当局及安全和情报服务部门的意见，评估了欧盟成员国在2020年部署5G网络将面临的可能的安全风险挑战。

这是自计算机网络诞生近50年来，西方国家首次对一代通信网络技术安全的高度重视。近年来，世界各国都在争夺科技领域的绝对优势，在第五代移动通讯系统（5G）技术的主导权争斗中，中国作为发展中国家的代表开始领跑世界，让一些西方国家对中国在5G技术方面的竞争优势表示出强烈担忧[3]。这种担忧在欧盟的这份《报告》中也有体现，《报告》较全面地分析了欧盟在2020年部署5G将面临的安全风险挑战，同时所展现的国际、区域合作的框架和接下来的应对措施等，对我国已经开始5G商用时代具有典型的借鉴意义。

2 《报告》解读

《报告》分三个部分：引言、安全风险评估和结论。引言部分介绍了《报告》出台的相关背景及过程、评估范围、5G网络的关键技术革新和欧盟部署情况及各相关方；安全风险评估部分从威胁和威胁者、网络资产、漏洞、风险场景和现有的缓解措施或安全基线等五方面予以重点阐述；结论部分着重突出了5G的新特性和应用，着重强调对于5G网络供应商及供应链依赖度的增加是欧盟考虑的主要风险，并指出未来社会各行各业可能更广泛地依赖5G网络。《报告》指出了后续将确定一套适当、有效的风险管理措施，以减轻欧盟成员国在此过程中把控5G网络安全风险。

2.1 引言部分

《报告》引言部分阐述了欧盟5G网络安全推进背景及过程、评估范围、关键技术和5G部署。

2.1.1 推进背景及过程

推进背景主要介绍了《报告》发布之前欧盟对5G网络安全所做的一些工作和在《报告》发布之后所需要完成的主要工作，如表1所示。从表1中发现，欧盟做为一个区域性国际合作组织，在5G网络安全方面，拟打算用10个月时间完成其组织的整个5G网络安全保障。可见，欧盟对5G网络安全的重视和抱团取暖的趋势。

2.1.2 评估范围

《报告》约定评估范围是基于欧盟委员会5G网络安全建议中所定义的5G网络安全范围，主要包括5G网络所有相关部分：通信设备及相关应用。同时，《报告》指出虽然未来5G网络的主要特性和功能已经众所周知，特别是在3GPP规范中已有的描述，但是该技术及其具体的架构仍在发展。这会造成在风险评估过程中会存在某些不确定性无法评估。

2.1.3 5G网络的关键技术革新

5G网络的关键技术革新是《报告》确定5G网络安全不同于以往3G/4G网络安全的关键所在，主要表现在5G网络更加偏重于软件定义、网络功能虚拟化、网络切片技术和完全独立于3G/4G的网络架构等。《报告》认为,这些都加大了欧盟成员国对5G网络供应链上各相关方的依赖程度，而当前那些成熟的5G供应链上的相关方大多是非欧盟成员的第三国，这就是欧盟难于管控的主要风险点所在。如表2所示，列出了5G网络关键技术革新对欧盟所带来的安全依赖，其实这些安全依赖方跟3G/4G网络没什么区别，就因为这些依赖方主要来自非欧盟国家的第三国，其网络安全风险才显得尤为突出，由此可见欧盟对非欧盟国的偏见与执着，将是非欧盟国家企业在欧盟国家部署、应用5G面对的主要困难。

表1 欧盟5G网络安全推进过程表

表2 5G网络关键技术革新安全依赖列表

2.1.4 欧盟5G网络的部署情况及网络生态

报告中指出5G网络部署的具体时间，由于欧盟成员国和移动网络运营商的情况不同而有所差异。欧盟计划2020年实现5G的商用。部署计划分阶段实施，在第一阶段（非常短或短期内完成），5G部署主要涵盖非独立的网络，在网络接入层完成无线接入网升级到5G，主干依然使用现有的4G核心网络，只为终端用户提供增强的移动宽带。在后续阶段（短期或中期长期），部署“独立”的5G网络,实现5G核心网络功能，完成主干4G核心网的取代，实现5G网络的全面部署。同时，报告指出5G网络生态包括：5G网络运营商、5G网络运营商供应商、连接设备制造商和相关服务提供商、5G网络服务、内容提供商、终端用户等。

2.2 5G网络安全风险评估部分

5G网络安全风险评估是《报告》的重点，主要从主要威胁、网络资产、漏洞和风险场景等几个方面展开。

2.2.1 威胁和威胁者

《报告》指出，在威胁和威胁者方面最显著特征是供应链攻击的增加。《报告》认为，最相关的威胁还是传统的威胁，传统的威胁类别与机密性、可用性和完整性等有关。与现有3G/4G的网络威胁相比，一个重要的区别在于威胁潜在影响的性质和强度。特别是经济和社会功能对5G网络依赖程度较大的那些行业和领域，如果发生网络中断或网络异常，可能会带来比3G/4G网络更恶劣的负面后果。因此，《报告》认为，除了现有的保密性和隐私性要求外，这些网络的完整性和可用性也将成为主要问题。如表3所示，归纳了《报告》中针对5G网络威胁场景所需的安全保障。可见，这些安全保障需求跟3G4G没有任何特别之处，只是5G网络的应用面和影响面更加凸显了这些安全保障需求。

对于5G网络安全威胁者，《报告》着重从威胁者的能力（能调动的资源）和动机（攻击的意图）两个方面进行了评估，得出国家或国家支持的威胁者构成的威胁被认为具有最高的危险性。原因是这类威胁者有动机和意图，同时也有能力对5G网络进行持续而复杂的攻击，而这种威胁者多来自非欧盟国家。另外，《报告》指出内部人员或分包商（被视为潜在的威胁者），以5G网络为目标来服务于利益组织等。对于内部人员或分包商强调，如果有国家利用他们，他们可以作为国家获取关键目标的有利渠道。以5G网络为目标以服务于他们利益的组织或企业实体等威胁者也是不容忽视的，因为他们常寻求通过知识产权盗窃或网络恐怖分子在技术领域获得竞争优势等这些威胁者都不容小觑。如表4所示，描述了各成员国评估的各种威胁类型情况，从这些类型来看，主要威胁是人为威胁，值得注意的是欧盟虽强调了自身的威胁者来源，但是也不排除欧盟出于各种目的抱团对其他非欧盟成员国造成威胁。

表3 5G网络的威胁场景所需的安全保障

2.2.2 网络资产

网络资产是5G网络通信的载体，承载着5G网络的各项具体功能。《报告》根据成员国提供的本国风险评估对主要网络资产的重要性进行了评估。《报告》的整个逻辑将网络资产按照逻辑部分和功能部分两层展开，如表5所示列出了报告对网络资产评估情况。从表5中发现，对这些网络资产风险程度的评估直接涉及5G网络设备及技术功能层面，可见欧盟成员国对5G网络结构及技术细节有全面的了解和认识。

同时，《报告》还评估了技术资产以外的资产，例如用户组、地理区域、关键基础设施中相关实体的重要性影响。特别强调注意实体和用户类别有：基本服务运营商和关键基础设施运营商；政府实体、执法、公共保护和救灾、军事；网络安全法规未涵盖的关键行业或实体；战略性的私营企业；特别是在5G网络出现故障时没有备用解决方案的地区或实体等。此外，还要注意一些成员国根据对人口、经济、社会和国家安全因素分析确定的特别敏感的地理区域。

2.2.3 漏洞风险

报告重点评估了与硬件、软件、流程和策略相关的漏洞风险。这些漏洞可能会影响软件、硬件或源自任何5G网络供应链中相关方安全流程各个方面的潜在缺陷。如表6所示，归纳了报告中有关5G网络各种可能漏洞风险及这些漏洞风险的影响评估，从这些漏洞风险的评估情况可以看出，欧盟对可能存在的风险漏洞进行了详细的收集，并进行了充分的评估，能给欧盟成员国部署5G时各流程提供风险管控参考，这或许是欧盟部署5G风险排查的重点所在。

2.2.4 漏洞风险场景

《报告》在列出漏洞风险的同时，还列出了这些漏洞具体可能存在的主要风险场景，这些漏洞风险场景主要从5G网络运营商的安全措施、5G供应链、威胁者、5G网络应用端和设备五大方面展开如表7所示，为欧盟各成员国部署5G应用提供进一步明确的有针对性的参考。

表4 5G网络安全威胁类型列表

表5 5G网络资产评估情况

2.2.5 现有的缓解措施/安全基线

针对这些风险，《报告》并没有明确列出在部署5G网络可具体操作性的指导和欧盟各成员国的应对措施，只是点出了可供欧盟各成员国参考的四个层面：欧盟层面、国家层面、运营商层面和行业标准层面，如表8所示。《报告》重点是呼应背景推进过程中今后工作的重点，同时也指出了欧盟将在这些层面考虑的具体应对措施，这为我国研究欧盟接下来的工作、提前布局提供了方向。

2.3 《报告》结论部分

《报告》结论部分对全文进行了总结，再次强调5G网络架构的新特性，广泛性的服务和应用将带来一些重大安全风险挑战。虽然，5G网络技术和标准也将带来与前几代网络相比一定程度的安全改进，但是欧盟十分重视移动网络运营商和电信设备制造商等对5G网络安全的保障。《报告》指出,在欧盟提供服务的移动网络运营商在所有权、市场战略、市场定位以及设备、系统和服务供应商选择等方面存在诸多差异，这是是无法回避的事实。但是，强调在欧盟提供服务的移动网络运营商或供应商等都必须遵守欧盟和成员国的国家法律，即在一个法律框架，约定提供5G通信网络供应商或服务商等的权利和义务。同时，建议各成员国在国家层面应该有专门的部门或机构负责执行5G网络安全的特定权力和义务。

《报告》对5G网络设备供应商给予了关注，指出电信设备市场现在的主要情况，只有少数几家全球公司有能力向大型电信运营商提供所需的技术。公司分别是华为、爱立信和诺基亚，并强调这些公司治理存在显著差异，进一步说明了在透明度水平和公司所有权结构类型等方面的担忧，足见欧盟对非欧盟成员国企业的不信任和丧失5G科技主导权后对非欧盟国家的排斥而又不得不部署应用5G的双重矛盾。

《报告》总结了最突出的5G网络安全风险，是5G带来的技术变革将增加攻击者的整体攻击面和潜在入口点数量。这是与前几代的流动网络相比，网络边缘的功能增强，架构不集中，这意味着核心网络的某些功能可能会与网络的其他部分整合，使相应的设备更敏感更重要。主要表现为：5G网络大大增加有关软件开发和更新流程，创建新的配置错误的风险，这些新的技术特征将使移动网络运营商更加依赖第三方供应商，并在5G供应链中发挥更大的作用；同时，这些新特性和应用未来可能会广泛依赖5G网络；这些安全挑战还与第三方供应商更多地接入网络、5G网络和第三方系统之间的相互连接以及对单个供应商的依赖程度有关等。这将增加可以被攻击者利用的攻击路径数量，尤其非欧盟国家或政府支持的攻击者，因为攻击者有能力和资源来执行攻击欧盟成员国电信网络。报告指出这些挑战势必需要一种新的安全模式，来重新评估适用于5G网络安全风险及其生态系统的现行政策和安全框架，使各成员国采取必要的减轻措施。报告最后呼吁欧盟各成员国需要确定现有框架和执行机制的潜在差距，包括网络安全立法的实施、公共部门的监督作用、运营商和供应商各自的义务和责任。这对我国商用5G发展和继续引领及我国在网络安全风险管控领域，具有很好的借鉴意义。

表6 5G网络安全风险漏洞列表

表6 5G网络安全风险漏洞列表（续）

表7 5G网络安全风险场景列表

表8 5G网络安全风险管控安全基线

3 结束语

（1）从《报告》来看，欧盟在地区联合上对5G网络安全给予了相当的重视，体现了各国间相互合作共赢的网络安全观，所体现出来的合作模式及评估内容，可为我国实“一带一路”网络安全合作共赢提供借鉴。

（2）《报告》多角度，较为全面地评估了5G网络安全风险，对于我国5G网络安全风险管控和网络空间战略发展有着重大的借鉴意义。

（3）相对于我国，欧盟在5G发展上显然处于劣势，《报告》体现出谨慎和担忧。主要是从无线移动网络5G开始，其他非欧盟国家，基本打破了欧盟等为代表的西方国家垄断，开始拥有了网络自主发展地位。《报告》所表现的担忧其本质是欧盟为代表的西方国家一种一直以来领先、占优思维的集中体现，这对中国政府和中国企业在走出国门提出了更高的要求，如何让欧盟为代表的西方国家接受后发国家的科技文明，将是未来一段时间内面临走出去的难题。

（4）对于西方国家的认识，要全面地认识其本质。西方国家以资本扩张掠夺其他国家和地区的财富，无论是在资本原始阶段还是现在的技术、知识和经济输出阶段，都离不开“掠夺”这个本质。应该认清这个本质，并做好更好更强大的战略预备，以应对对我国的再次“掠夺”。网络信息空间也不例外。

（5）我国核心技术企业，将面临更强大的外部发展阻力和担负更重要的网络安全责任。这是困难也是机遇，中国的核心技术要借此上升一大步，建立并完善自主的科技文明体系。同时，网络安全的管理和使用要登上新台阶，积极拥抱新变化，于无声处固网防，把网络信息安全双刃剑用足、用好。

（6）以5G为代表的万物互联时代，对于网络服务提供商或应用系统、内容提供商等所涉及的有关国家秘密、个人隐私、数据财产等方面的保护要更加切实有效。