譯科技 ▏歐盟發(fā)布5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告

來源：Techcrunch 時(shí)間：2019-10-14 09:44:08 作者：Elena Randall

European risk report flags 5G security challenges

數(shù)據(jù)觀丨（譯）

　　近日，歐盟成員國發(fā)布了一份關(guān)于5G技術(shù)的聯(lián)合風(fēng)險(xiǎn)評(píng)估報(bào)告，該報(bào)告不僅強(qiáng)調(diào)了安全風(fēng)險(xiǎn)的日益增加，也強(qiáng)調(diào)了需要用新的方法來確保電信基礎(chǔ)設(shè)施的安全。

　　截止目前，歐盟頂住了來自美國的壓力，拒絕以國家安全為由抵制中國科技巨頭華為作為5G供應(yīng)商，英國等個(gè)別成員國也在仔細(xì)考慮這個(gè)問題。

　　但這份報(bào)告指出，5G面臨的風(fēng)險(xiǎn)來自于它所謂的“非歐盟國家或國家支持的行為體”——這可以解讀為華為的外交信號(hào)。不過，正如一些業(yè)內(nèi)專家指出的那樣，如果英國脫歐成為現(xiàn)實(shí)，那么在不久的將來，該標(biāo)簽可能會(huì)在不久的將來被應(yīng)用到離英國更近的地方。

　　早在今年3月，當(dāng)歐洲電信行業(yè)擔(dān)憂如何應(yīng)對(duì)美國封鎖華為的壓力時(shí)，歐盟委員會(huì)就介入發(fā)布了一系列安全建議——敦促成員國在推出5G網(wǎng)絡(luò)時(shí)，加強(qiáng)個(gè)人和集體關(guān)注，以減輕潛在的安全風(fēng)險(xiǎn)。

　　該5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告就是在此基礎(chǔ)上形成的。

　　報(bào)告指出了一些“安全挑戰(zhàn)”，與現(xiàn)有的網(wǎng)絡(luò)情況相比，這些挑戰(zhàn)“可能在5G網(wǎng)絡(luò)中出現(xiàn)或變得更加突出”，這與大規(guī)模使用軟件來運(yùn)行5G網(wǎng)絡(luò)有關(guān)。

　　供應(yīng)商在建立和運(yùn)營5G網(wǎng)絡(luò)中的作用也被視為一項(xiàng)安全挑戰(zhàn)。報(bào)告指出，要把握好對(duì)單個(gè)供應(yīng)商的依賴程度，“不能把雞蛋放在同一個(gè)籃子里”（摘自《唐吉坷德》），不要把所有的資本都投入到5G供應(yīng)商身上。

　　具體而言，該報(bào)告針對(duì)推出5G網(wǎng)絡(luò)作了如下預(yù)測：

　　● 遭受攻擊的風(fēng)險(xiǎn)增加，攻擊者將會(huì)有更多潛在的切入點(diǎn)：由于5G網(wǎng)絡(luò)對(duì)軟件的依賴程度越來越高，與重大安全漏洞相關(guān)的風(fēng)險(xiǎn)（例如，供應(yīng)商內(nèi)部軟件開發(fā)流程不佳所產(chǎn)生的風(fēng)險(xiǎn)）變得越來越重要。它們還可以使威脅行為者更容易惡意地在產(chǎn)品中插入后門，難以察覺。

　　● 由于5G網(wǎng)絡(luò)架構(gòu)的新特點(diǎn)和新功能，某些網(wǎng)絡(luò)設(shè)備或功能將變得越來越靈敏，如基站或網(wǎng)絡(luò)的關(guān)鍵技術(shù)管理功能。

　　●移動(dòng)網(wǎng)絡(luò)運(yùn)營商對(duì)供應(yīng)商的依賴相關(guān)的風(fēng)險(xiǎn)增加，這將導(dǎo)致更多的攻擊路徑可能被威脅者利用，增加這類攻擊的潛在嚴(yán)重性。在各種潛在的參與者中，非歐盟國家或國家支持的參與者被認(rèn)為是最危險(xiǎn)的參與者，也是最有可能針對(duì)5G網(wǎng)絡(luò)的對(duì)象。

　　● 在這種情況下，基礎(chǔ)設(shè)施供應(yīng)商增加了更多被攻擊的機(jī)會(huì)，單個(gè)供應(yīng)商的風(fēng)險(xiǎn)狀況將變得尤為重要，包括供應(yīng)商受到非歐盟國家干預(yù)的可能性。

　　● 對(duì)供應(yīng)商過度依賴所帶來的風(fēng)險(xiǎn)增加：對(duì)單個(gè)供應(yīng)商過度依賴增加了潛在供應(yīng)中斷的風(fēng)險(xiǎn)，例如由于供應(yīng)商破產(chǎn)所導(dǎo)致的供應(yīng)中斷。它還加劇了弱點(diǎn)或漏洞的潛在影響，以及威脅者可能會(huì)利用這些弱點(diǎn)的可能性，特別是在依賴關(guān)系中存在高度風(fēng)險(xiǎn)供應(yīng)商的情況下。

　　● 對(duì)網(wǎng)絡(luò)可用性和完整性的威脅將成為主要的安全問題：除了機(jī)密和隱私威脅外，5G網(wǎng)絡(luò)預(yù)計(jì)將成為許多關(guān)鍵信息技術(shù)應(yīng)用的支柱，這些網(wǎng)絡(luò)的完整性和可用性將成為國家安全的主要問題，從歐盟的角度來看，這也是一個(gè)重大的安全挑戰(zhàn)。

　　下一步計(jì)劃

　　歐盟的下一步計(jì)劃在12月31日前制定一套由網(wǎng)絡(luò)和信息系統(tǒng)合作小組商定的緩解措施工具箱，旨在應(yīng)對(duì)國家和聯(lián)盟層面已查明的風(fēng)險(xiǎn)。

　　到2020年10月1日，歐盟成員國將會(huì)與歐盟委員會(huì)合作，評(píng)估該建議的效果，從而確定是否需要采取進(jìn)一步行動(dòng)。這項(xiàng)評(píng)估應(yīng)考慮到統(tǒng)一的歐洲風(fēng)險(xiǎn)評(píng)估的結(jié)果，以及這些措施的有效性。

　　根據(jù)報(bào)告，該工具箱的各項(xiàng)措施由前幾代移動(dòng)網(wǎng)絡(luò)“應(yīng)急辦法”中的現(xiàn)有安全條例組成，這些“應(yīng)急辦法”均已通過移動(dòng)設(shè)備制造標(biāo)準(zhǔn)機(jī)構(gòu)3GPP的標(biāo)準(zhǔn)化定義，尤其針對(duì)5G網(wǎng)絡(luò)的核心和接入級(jí)別作了標(biāo)準(zhǔn)化定義。

　　報(bào)告還警告稱，“5G網(wǎng)絡(luò)運(yùn)行方式的根本差異同時(shí)意味著，目前部署在4G網(wǎng)絡(luò)上的安全措施可能不完全有效，也不足以減輕已查明的安全風(fēng)險(xiǎn)，其中一些風(fēng)險(xiǎn)需要特有的技術(shù)措施來應(yīng)對(duì)。”

　　“這些措施的評(píng)估將在委員會(huì)建議的后續(xù)執(zhí)行階段進(jìn)行。這將幫助形成一套均衡效的風(fēng)險(xiǎn)管理措施工具箱，以減輕成員國在此過程中確定的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?！?/font>

　　相關(guān)企業(yè)回應(yīng)

　　該報(bào)告并未直接點(diǎn)名任何一家公司，但數(shù)據(jù)觀記者發(fā)現(xiàn)，華為與其競爭對(duì)手——芬蘭的諾基亞（Nokia）和瑞典的愛立信（Ericsson）均進(jìn)行了及時(shí)回應(yīng)。

　　華為一位發(fā)言人表示：“我們很高興看到歐盟履行承諾，根據(jù)證據(jù)對(duì)風(fēng)險(xiǎn)進(jìn)行徹底的分析，而不是把目標(biāo)對(duì)準(zhǔn)具體的國家和企業(yè)。”

　　諾基亞發(fā)言人說：“5G安全要求網(wǎng)絡(luò)利用最先進(jìn)的安全功能進(jìn)行構(gòu)建，選擇可信和透明的供應(yīng)商。”并表示諾基亞是唯一一家能夠?yàn)榘踩?G網(wǎng)絡(luò)提供所有構(gòu)建模塊的全球供應(yīng)商。

　　愛立信表示正在密切關(guān)注歐盟的進(jìn)程，并可能為理解5G安全做出重要貢獻(xiàn)。一位發(fā)言人通過電子郵件表示：“愛立信承認(rèn)，運(yùn)營商和供應(yīng)商之間的依賴關(guān)系可能會(huì)受到網(wǎng)絡(luò)威脅的影響，從而影響已部署網(wǎng)絡(luò)的安全狀況?！?石煜倩)

　　報(bào)告原文如下：