陆 勰 张曼君 王姗姗 谢泽铖

(中国联合网络通信有限公司研究院 北京 100048)

(lux23@chinaunicom.cn)

1 背 景

移动通信每10年一次技术革新,奇数代技术变革,偶数代迭代更新,不断推动着信息技术、经济社会的快速发展.演进到第5代移动通信时代(5G),成为改变社会的重要驱动力,5G改变社会，作为经济社会发展的重要底座,5G是推动物联网、工业互联网等重要行业发展的关键动力,是全面实施行业数字化转型的重要基础,5G技术的创新与融合是世界各国对技术制高点的争夺,也是对打造数字化社会的机遇抢占,为此,各国不断加大5G网络建设与技术研究,纷纷将5G列入其国家战略, 作为战略布局的重点.

我国移动通信从2G跟随、3G参与、4G追赶到5G同步,经过30多年的积累与努力,移动通信技术取得了可喜的成绩,创新能力显著提高.国家高度重视5G网络对行业发展的重要作用, 作为我国新基建之首,5G是产业变革的核心；作为一项革命性的技术,其关键技术切片、边缘计算等能够面向不同的行业实现“私人订制”,激发行业动力,推动行业的融合创新与发展.国家利用5G来助力多个重大战略的落地实施,如《中国制造2025》、“互联网+行动计划”等,产业界也成立IMT-2020(5G)推进组,启动了全球规模最大的5G技术研发试验并积极开展5G关键技术的研究，以此促进5G网络的全面发展.国家战略、行业与技术的相互促进共同推动我国5G发展迈入快车道,国际标准参与度提升，5G相关专利世界排名第一，相关设备的技术水平达到全球领先水平.总之,5G网络的发展对我国建设网络强国、数字中国具有重要的价值和意义.

供应链安全是供应链风险研究领域中一个较为特殊的分支,关注的是供应链环境中的安全问题.5G供应链安全属于5G安全运营管理领域,是供应链安全的一个细粒度划分.随着5G网络发展的不断加深加快,其供应链的安全关注度也在逐渐提高,5G供应链安全事关国家经济、社会发展、国家安全、科技创新等核心领域,一旦出现风险将会给国家带来重大安全挑战,产生的后果不堪设想,为此,厘清现有5G供应链安全风险,构建完备的5G供应链安全防护手段和制定积极有效的应对策略显得至关重要,才能更好地推动5G网络的健康发展,推动全球供应链秩序的良好运作,加快行业数字化转型的步伐.

2 现 状

2.1 国际战略情况

美国是最先提出并实施供应链国家战略的国家,从2012年开始相继发布多个重要的战略报告.2012年1月,美国总统签署《全球供应链安全国家战略》[1],设定2个目标:一个是促进商品的高效和安全传输;二是培养有弹性的供应链.这份战略标志着供应链安全在美国上升到战略高度.2017年5月美国发布《保护联邦政府与关键基础设施网络安全》,同年12月公布《国家安全战略报告》,其中7次提到“供应链”,这2份文件共同明确了美国网络安全战略的路线图.2019年美国总统签署《确保信息和通信技术及服务供应链安全》行政令,旨在保护美国关键基础设施安全,防范外部攻击美国的供应链.同年7月美国国防后勤局发布《供应链安全战略》,该战略主要作为配套文件指导后勤局供应链安全实践.2020年3月,美国发布《确保5G安全国家战略》,将5G供应链风险和5G基础设施“高风险”供应商带来的风险看作5G的核心安全风险.同年8月,美国国土安全部网络安全和基础设施局发布《5G战略:确保国家5G基础设施安全和韧性》,强调5G供应链风险态势感知并推广安全措施.

英国在2013年发起可信软件倡议.2014年发布《软件可信度治理与管理规范》[2],该规范涵盖了技术、物理环境和行为管理等多个方面.2019年发布《英国电信供应链回顾报告》,强调了安全在电信基础设施领域的重要意义,对电信供应链安全管理开展评估.2020年11月,公布《电信(安全)法案》,从法律方面确认了政府监督和评估运营商的权力.同年,英国政府还发布了5G供应链多元化战略,并将为该战略提供2.5亿英镑的初始资金支持,旨在发展英国的电信供应链，以此确保其能够应对未来的挑战和威胁.

德国在电信网络方面的主要法律是1996年的《电信法》[3].2020年8月,德国联邦信息安全署发布了《电信和数据处理系统及个人数据处理安全要求目录(草案)》《具有高风险级别的公共电信网络和服务的关键功能列表(草案)》的征求意见稿,其增加了对关键核心组件采购的要求.此外,在《IT安全法2.0(草案)》中,明确提出关键基础设施运营者必须建立并证明信息安全的最低标准,其中与5G网络相关的是关键核心组件的有关要求.

日本在2020年提交了《特定高度电信普及促进法》,主要目的是维护日本的信息安全,确保日本企业慎重应用5G和无人机等新一代网络技术,在采购高科技产品时必须确保系统的安全与可信,强调的是5G供应链设备的可信.

在国际合作方面,以美国为首的国家在2019年布拉格5G安全大会推出的《布拉格提案》[4],以事关国家、经济及全球稳定为由,提出需要对5G的网络结构和系统功能进行重点的安全考量.在2020年提出的“净网计划”试图游说其他国家加入该计划,该计划包括“净化”5G路径、运营商、应用商店、应用程序、云服务和通信电缆6个领域.美国及其“盟友”一系列的5G供应链安全战略,实际是对中国5G网络技术崛起的害怕,打压中国企业,这种霸权主义注定只会渐行渐远.

2.2 国内战略情况

我国供应链管理以前主要靠市场驱动,因此对其安全重视程度相比国外起步较晚.但随着国家经济、政治、科技等不断增强,对供应链安全的重视程度也在不断提升,并逐步建立供应链相关的法律法规.2016年《中华人民共和国网络安全法》中明确了关键信息基础设施运营者采购的网络产品和服务,如可能影响国际安全的应通过国家有关部门组织开展的网络安全审查.2017年6月颁布《网络产品和服务安全审查办法(试行)》和《网络关键设备和网络安全专用产品目录(第一批)》.2020年4月由12个部门联合发布了《网络安全审查办法》,进一步细化和明确了审查的范围、机制、流程等相关要求,但在审查对象上没有特别针对所谓“高风险供应商”的审查,仅在某项产品或服务造成的安全风险超出运营商的能力范围时,才有政府介入机制,避免政府过度干预企业的商业行为.2020年11月习近平总书记在G20峰会上提出《全球数据安全倡议》,此举展现了大国担当的形象,有利于维护全球5G供应链开放、安全和稳定.

3 风险分析

供应链越长面临的风险与问题就越多.随着物联网、工业互联网的蓬勃发展,接入5G网络的终端越来越多,5G网络设备接入的种类日趋复杂,供应链增长,攻击面和被攻击的机会加大,5G供应链面临的风险不容小觑.5G产业链由网络规划、无线主设备[5]、传输设备、终端设备以及运营商组成.目前,我国5G发展所需核心芯片、模组、器件、装备、材料在世界范围内采购,所生产的5G基站设备、网络设备、终端等产品面向全球市场销售,5G供应链全球化态势明显.我国部分5G基站、光传输设备、终端的核心元器件和原材料依赖美国、日本、韩国等国家的供应商,任何元器件和原材料的中断都有可能影响到整个生产过程的连续性,目前我国在芯片、元器件等核心器件技术方面存在短板,国内大循环和国际双循环运作欠佳.具体来说,我国5G供应链面临的中断与非中断风险交叉存在[6],中断风险受政治、自然(如2020年全球新冠疫情的爆发)、人为影响较大.非中断风险主要来源外部攻击,以破坏供应链上产品的功能、性能为目的,常见的攻击包括信息泄露、仿冒、拒绝服务攻击等.总的看来,中断风险相比非中断风险影响更大,不可控因素较多,消减风险的难度最大,中断风险中国际政治环境影响较为突出.就我国现状来看,从2018年8月1日美国商务部一次性将44家中国企业、机构纳入“实体清单”到2020年3月4日,美国参议院举办“5G供应链安全性”听证会,讨论阻止华为在5G网络市场中立足的具体措施等等一系列打压、抹黑我国科技企业的动作,更加凸显了我国5G供应链面临的前所未有的安全挑战, 2019年4月日本四大运营商共同拒绝采购华为5G设备,转向了诺基亚、爱立信等设备商,这一系列事件由供应链安全引发的问题是当下噬需关注和解决的重点,需国家、全行业、全产业链凝聚共识,共同“突围”,实现产业链的弹性、安全发展.

4 应对策略

5G供应链安全是世界各国博弈的焦点,面对复杂多变的5G供应链风险挑战,需要的不再是单一的技术手段和安全管理的加强,而是国家战略的指引、关键技术的创新、交流合作的深化、风险管理的可控等多轮驱动力,共同应对.形成一个从上至下,从窄到宽,端到端拉通的弹性供应链全生命周期战略防护路线.为应对当下供应链面临的风险,本文从战略主导、标准指引、技术创新与风险管理4个方面提出几点建议,为国家监管部门、行业、市场等提供参考,共同提升5G供应链安全的防护水平,构建良好的产业链供应链生态环境.

4.1 战略主导

1) 构建中国特色的5G供应链安全战略.

产业链供应链安全稳定是构建新发展格局的重要保障,也是统筹发展和安全的需要[7].今年是十四五规划的开局之年,继续开好5G网络安全建设之局,增强5G供应链韧性是基础网络健康发展的基础.加强顶层设计,强化政策指引,持续完善供应链安全法律法规,调整产业结构,优化5G供应链布局,充分发挥我国资源、技术及人才的优势,构建中国特色的5G供应链安全战略,形成有层次、有维度、有力度的供应链全生命周期保障的安全防护战略支撑体系,促进我国5G供应链安全持续向好发展.

2) 加强核心技术攻关，增强协同创新能力.

梳理我国5G供应链产品、元器件等现状,摸清“家底”,完善“卡脖子”产品清单,组建政府主导、行业、科研协同的核心技术攻关力量.补短板,强弱项,尽快填补我国产业供应链存在“大而不强、全而不精”的短板,瞄准世界科技技术前沿,在5G领域下好“先手棋”,牢牢抓住核心技术自主创新这个“牛鼻子”,构建可信可控的5G供应链安全体系.

3) 加强国际间交流合作，做大做强供应链安全生态圈.

5G网络技术是重要的基础设施之一,具有开放性与全球化的特点,我国坚持走自主创新、开放合作的道路,秉承合作共赢的理念.在供应链安全方面,应加强国际交流合作,打通国内国际双循环的“传动轴”,在健康有序的良性竞争中,共同推进5G供应链安全、开放、稳定发展,构建5G供应链命运共同体的生态圈.

4.2 标准指引

充分发挥标准在技术、管理等方面的指引作用,不断完善5G供应链标准体系,逐步细化供应链全生命周期中的相关技术和管理要求,形成规范化文件,为5G关键基础设施产品和服务的供应链安全风险评估、检测、管理等工作提供技术保障和实施指南.具体来说：一方面加强国内供应链安全标准的研究编制,联合多方,群策群力,共同推动供应链安全标准的研究进展；另一方面建立适合国际互信的供应链安全标准体系[8],加强与国际标准化组织ISO，3GPP，ITU等的交流合作,提升我国在5G国际标准制定方面的国际话语权和影响力.

4.3 技术支撑

充分发挥新技术在5G供应链安全的重要支撑作用.结合区块链、量子计算等前沿技术,提升供应链安全保障能力,打造新技术能力中台,持续赋能供应链安全,形成能“伸”能“缩”、能“增”能“减”、上下游联动的生态链模式,增强供应链弹性和快速响应能力.

加强自主可控的技术手段能力建设，打破行业壁垒,创新研发模式，运用大数据、人工智能、机器学习等建立5G供应链安全模型,提升现有供应链安全防护能力,加快5G芯片、终端、模组等产业链的成熟完善,提升我国自给自足水平.

4.4 风险管理

完全消除5G供应链安全风险是不可能的,只能通过一些技术手段和管理措施来消减风险,把风险降到可控的范围内.因此,加强我国5G全球供应链系统建设和风险管理,识别5G供应链存在的安全风险,根据5G供应链安全风险的来源、严重程度,有针对性地采取应对措施,构建有弹性、可持续的5G供应链.具体来说,建立一套成熟、全面的风险管理体系,在传统风险管理的模式上积极创新,构建别具特色的5G网络供应链管理模式和评估机制.首先,建立供应链风险管理闭环的运作模式,包括风险的识别、漏洞修补、持续检验、弹性运作4个方面,4个方面循环运作,共同提升5G供应链的健壮性；其次,建立和完善安全风险监测评估机制,风险评估在供应链安全中占据重要位置,一个较为完善的评估机制能够极大地降低供应链安全风险,减少损失.因此,构建5G全球供应链安全监测系统,提升供应链安全监测能力,形成设备从生产到消费的端到端安全监测常态化模式,评估设备风险,模拟、预判、识别中断来源,对风险能够及时预警、研判,提升供应链抗风险的能力.

5 总 结

2021年MWC(世界移动通信大会)主题是和合共生,彰显连接的力量,从行业共生到产业共生,凸显的是各国、各行业合作共赢的重要性.在5G网络技术演进的过程中,没有一个国家能够独占鳌头,供应链连接的不是单一的产品、元器件等,连接的是人类命运的共同体,只有秉承开放合作、协同创新的理念,才能让5G的璀璨之光更加明亮.5G供应链安全是国家战略,更是连接全世界科技发展的安全链.