霍梦瑶 孙松林 王少康 王一兆 陆冬婕

(北京邮电大学信息与通信工程学院 北京 100876)(移动互联网安全技术国家工程实验室(北京邮电大学) 北京 100876)(可信分布式计算与服务教育部重点实验室(北京邮电大学) 北京 100876)(2019140187@bupt.edu.cn)

1 5G供应链

随着5G技术的普及和应用，5G将会高度融入生活，5G安全事关国家核心利益，5G供应链安全则是5G网络安全的基础，本节从5G供应链的组成和特点出发分析了我国5G供应链现状.

1.1 5G供应链的组成及特点

供应链的概念在20世纪80年代被定义为：制造企业从企业外部采购的原材料和零部件通过生产转换和销售等活动再传递到零售商和用户的过程.随着供应链应用的不断扩展，目前供应链一般是指产品生产和流通中涉及的原材料供应商、生产商、批发商、零售商以及最终用户组成的供需网络结构[1].

5G供应链是指5G网络产品和服务的供应链：在将5G产品、系统或者服务提供给需方的过程当中，为了满足供应关系通过资源和过程将需方、供方相互连接的网链结构.5G产业链：上游为基站升级，如基站射频、基带芯片、关键材料等；中游主要为网络建设、无线主设备以及传输设备等；下游为产品应用及终端产品应用场景(如云计算、车联网、物联网、VR/AR).整个供应链包括基础网络设备商、无线网络提供商、移动虚拟网络提供商(MVNO)、网络规划/维护公司、应用服务提供商、终端用户等[2].在供应链中，一个组织可能既是上游组织的需方，也是下游组织的供应方，与其上游、下游均存在供应商关系，因此5G供应链中的各个环节的联系十分紧密.5G供应链的基本结构如图1所示：

图1 5G供应链的基本结构

5G供应链具有全球分布性、全生命周期覆盖性、供应商多样性、网络边界动态性、产品服务复杂性等特点[3]：1)全球分布.在全球化下，5G技术的芯片、模组、材料、器件、基站、网络、终端等产品都由全球供应商开发销售.以苹果公司为例，在苹果的产业链上，有来自49个国家与地区的1 142家供应商，有500多家遍及全球的苹果商店和数以千计的渠道在不间断地营业.2)全生命周期.5G供应链生命周期是5G产品和服务从无到有直至废弃的全生命周期涉及的供应链活动，通常以5G产品和服务的设计为起点，经过开发、生产、集成、仓储、交付等环节将产品和服务交付给需方，并对产品和服务进行运维、售后服务等直至其废弃[3].3)网络边界动态性.由于5G的应用场景分布广泛，各类应用场景都属于5G网络的范围.在研究5G网络安全时可以基于语音、数据的最小网络进行相关研究.4)产品服务复杂.由于5G产业链的覆盖范围非常广泛，导致5G相关的产品、系统以及服务种类繁多、结构复杂.5)供应商多样性.在5G供应链的上中下游都包含着多种类型的供应商，除5G技术设备相关的供应商外，物流、贸易等多种类型的供应商均会参与其中.

1.2 我国5G供应链现状

目前，我国5G供应链的中下游产品在国际上具有一定的优势，我国生产的5G基站、网络、终端设备均面向全球市场销售，且占有一定的份额.在5G供应链的上游，除了一些企业在光器件上具有一定的优势之外，其他产业大多被美日韩等国家占据较多的市场份额，我国的部分产品只能抢占中低端的市场份额.由于供应链各个环节的联系非常紧密，任何元器件或者原材料的供应出现问题都可能造成5G供应链的中断.因此加快研发并尽快弥补我国在5G供应链上的短板是保障我国5G供应链安全的重点.

2019年5月，美国等32国发布了《布拉格提案》，警告各国政府关注第三方国家对5G供应商施加影响的总体风险；紧接着美国又颁布了《确保信息和通信技术及服务供应链安全》行政令，禁止美国个人和各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的ICT技术设备和服务[4].只有具备公信力的5G产品安全评估认证正式颁布才能确保5G供应链良性发展.虽然目前3GPP已经发布了5G设备安全保障测评标准，但是全球广泛接受的5G供应链安全要求与认证规则仍未明确.在此背景下，我国需警惕部分国家从法律、投资、人才、5G供应链产品等方面遏制中国5G技术的发展.

2 5G供应链安全风险评估模型

供应链安全标准的制定和提出对保障供应链安全具有极其重要的作用，目前，我国供应链安全标准处于起步阶段.有关供应链安全管理的标准分散在许多文件当中：《信息安全技术信息技术产品供应方行为安全准则》[5]规定了信息技术产品供应方的行为安全准则；《信息安全技术云计算服务安全能力要求》[6]对云服务商的供应链中的部分环节提出了安全要求；《信息安全技术政府部门信息安全管理基本要求》[7]在日常信息安全管理中也规定了一些管理要求.在供应链风险管理方面，我国风险管理标准化技术委员会(SAC/TC310)发布的《供应链风险管理指南》[8]，给出了供应链风险管理的通用指南和航空工业的风险评估示例.《信息安全技术ICT供应链安全风险管理指南》[9-10]是我国第1个ICT供应链安全国家标准，弥补了ICT供应链安全风险管理的空白.但是目前还没有针对5G供应链安全的相关标准，5G供应链安全保障机制仍有缺失.本节结合ICT供应链安全风险管理方法分析解读了5G供应链安全风险管理模型，提出了一种5G供应链安全风险评估模型.

2.1 5G供应链安全风险管理

要完善我国的5G供应链安全的管理首先要加强我国5G全球供应链系统建设和风险管理，在识别5G、关键信息基础设施供应链可能存在的安全风险后，根据5G供应链安全风险的来源和严重程度，有针对性地采取应对措施，构建一个有弹性、可持续的5G供应链.参考ICT供应链安全风险管理过程，5G供应链安全风险管理过程应分为背景分析、风险评估、风险处置、风险监督与检查、风险沟通与记录5个步骤，如图2所示：

图2 供应链安全风险管理过程

1) 背景分析.背景分析是进行供应链风险管理的第1步，通过背景分析环节分析供应链中的薄弱环节和供应链风险的可能来源，确保整个供应链安全风险管理过程的顺利进行.

2) 风险识别.供应链风险识别是指风险管理主体运用各种方法认识供应链所面临的风险，认真分析可能的风险事件发生的潜在原因.5G供应链安全风险可以从5G供应链可能受到的威胁和脆弱性导致的风险2个方面来考虑.

3) 风险分析.风险分析是在风险识别后针对识别的风险进行可能性分析(威胁利用脆弱性导致安全事件发生的概率)、后果分析(针对已识别的5G供应链安全事件,分析事件的潜在影响)和风险估算(为5G供应链安全风险的可能性和后果赋值).

4) 风险评价.在风险评估环节将风险识别和分析中得到的后果、可能性与风险评估模型和风险评价指标相结合,进行面向全生命周期各个阶段和系统各个层级的多层次多角度的供应链风险分析评价.

5) 风险处置.对风险评估给出的具体风险宜制定风险处置计划,并结合组织自身的业务要求和能力限制,选择风险处置策略.

6) 风险监督与检查.风险监督与检查的目的是确保组织的风险在可接受的范围内.

7) 风险沟通与记录.风险沟通与记录是在风险管理者以及利益相关者之间就如何通过交换和(或)共享有关风险信息来管理风险而达成一致的活动.

2.2 5G供应链安全风险评估模型

5G供应链的特性决定了对其供应链安全性进行分析评价必须从多维度去进行.本节提供的5G供应链风险评估模型和供应链风险评估指标体系在林星辰等人[3]提出的5G供应链安全评估模型的基础上增加了对专利、供应链完整度的考虑，可以更加精细地为5G供应链安全管理提供风险衡量标准.本节提出的5G供应链风险评估模型：从时间上面向5G全生命周期中的建设期、运营期和退服期；从层次上面向5G供应链中涉及的专利、材料、元器件、产品、供应链条等系统层级.从多个维度进行供应链风险评估，提升5G供应链安全防护能力.

通过对5G网络全生命周期供应链安全和系统层级供应链安全的分析，5G供应链安全模型如图3所示，可用风险级别来呈现5G供应链安全态势.从2个方向呈现：一是分层级呈现，即按专利、材料、元器件、产品、供应链条展示自主可控程度；二是按照时间阶段呈现，即按建设期、运营期和退服期展示风险可控程度.风险级别越低表示安全态势越安全，风险级别越高表示安全态势严重不安全.

图3 5G供应链风险评估模型

根据5G供应链安全评价模型构建面向全生命周期各个阶段和系统各个层级的供应链安全评估指标体系如图4所示.

图4 5G供应链风险评估指标体系

5G供应链风险评价指标体系共有3个层次：1级指标面向全生命周期各个阶段包括建设期供应链安全指标、运营期供应链安全指标和退服期供应链安全指标；2级指标是对1级指标依据一定的准则进行分析和分解得到的，建设期供应链安全指标下设的2级指标面向系统3个层级包含产品供应链安全指标、元器件供应链安全指标和原材料供应链安全指标；3级指标是对2级指标的进一步细化.对5G供应链风险的评估，可以从以上全生命周期、系统各层级和多个维度进行，国家行业监管部门以及5G运营商、设备制造商评估5G关键基础设施的供应链安全可基于5G供应链安全的评估模型和指标开展5G供应链风险的评估，进而规避供应链可能出现的风险.

3 5G供应链安全标准化推进建议

5G具有增强移动宽带、高可靠低延时和广覆盖大连接的特点，当这些特点与边缘计算、人工智能相结合使得万物融为一体，实现万物互联指日可待.作为新一代数字通信应用，5G技术会给人类生活和生产带来巨大变化，因此各国已经把发展5G提升到战略性的高度.中美博弈下，科技领域首当其冲，华为作为拥有28%的市场份额的世界上最大的电信设备制造商，使美国政府感到焦虑，决定动用霸权政治和盟国体系手段来阻止中国企业全球发展.与华为类似，由于分工细密、专业性强，5G设备制造商供应链参与广泛、结构复杂.任何一家电信设备制造企业都需要数以百计的直接或间接的国内外供应商来提供产品和服务，而来自欧美日韩等发达国家(地区)和中国台湾地区的供应商则占据显著位置.为了摆脱现在的困境，加快支撑国家安全战略落地，解决5G跨行业应用安全问题，为高速发展的5G网络和业务提供及时、有力支撑，建议在以下方面加快推进5G供应链安全标准化工作：

1) 在关键设备安全可控等政策框架下，尽快研制5G供应链安全评估规范等适用于5G网络设备的安全测评认证标准，扩大国际互信的安全认证合作范围，推动建立安全、开放、互信的全球供应链体系.

2) 针对5G等电信设备行业提供产业技术和产业布局方面的政策支持，吸引和鼓励国内外厂商与我国的5G电信设备商进行合作.

3) 加强研发投入，补齐我国在技术上的短板，尤其是5G供应链上游产业中的一些相关技术.只有构建具有自主发展能力和核心竞争力的产业链，才能逐步缩减与国际领先企业的距离，并实现反超.不过有国内产业政策、资金和市场的多方支撑，近年来5G上游厂商的数量迅速增加，已形成一定产业规模.

4) 坚持自主创新与开放合作相结合，在国际标准、技术研发、全球部署上加强国际交流与合作，共同推进5G及其演进技术的发展.充分利用国际电信联盟(ITU)等国际组织，推动形成5G安全管理的全球统一标准的形成[11]；加强与国际标准化组织的交流与合作，鼓励我国企业、高等院校、研究机构、政府部门积极参与5G国际标准的研究与制定，提升我国在5G国际标准制定方面的影响力.

4 总 结

综上，5G网络是未来信息社会的关键基础设施，是构建万物互联的重要组成部分，其供应链安全应引起高度重视，安全可靠的5G供应链是国家产业安全、经济安全和社会长治久安的基石.本文提出的5G供应链安全风险评估模型可以为5G供应链安全评估工作提供实践参考，对5G供应链中各主体未来开展供应链安全工作有一定的参考和借鉴意义.