全球新能源乘用车扭转下滑趋势

2019年10月，欧盟国家网络安全协作组发布《欧盟5G网络安全风险评估报告》，在最新一期《赛迪译丛》中，赛迪智库无线电管理研究所对该报告进行了编译。X l b s I

报告分析了5G { ; r /网络的主要威胁和威胁实施者、受威胁的资产、各种脆弱点以及许多战略风险，确定了可在欧盟各国和整个欧盟层面实施的5G网络安全风险缓解措施。

目 录

一、简Z 0 :介

二、欧盟成员国对5G网络安全风险的 } t p F q w e评估

三、结论

四、, y v @ } n下一步工作

一 简 介

♦ 5G网络是用于移动和无U i { b m a Y t线通V I 9 F 0 $ N &信技术的所有相关W ? : 5 ,网络基础架( 1 [ `构元素的集合。该集合还可能包括基于上一代移动无线通信技术（4G或3G）的传统网络元素。

♦ 2025年，估计全球5G收入将达到& I w2250亿欧元，5G技术和服务将成为欧洲参与全球市场竞争的重要资产。

♦ 5G网络的关键l y J d技术包括软件定? f . f R 5义网络和网络功能虚拟化技术、网络切片技术、移动边缘计算技术。

♦ 为促进欧盟部署5G基础设施和服务，“欧盟5GE 9 /行动计划” 为5G基础设施的公共和私人投资制定了路Q 9 ~ a 3线图，计划最晚到2020年底推出商用5G网络。

二 欧盟成员国对5G网络安全风C J f /险的评估 d :

威胁种类

本地或全球5G网络中断（可用性）；

暗中监视5, u B _G网络基础设施中的流量/数据（保密性）；

修改或重: D [ M { ^ 9路由5G网络基础架构中的流量/数据（完整性、保密性）；

通过5G网络破坏或更改其他数字基础架构或信息系统（完整性、可用性）。

威胁实施者

受威胁0 % G & 8 J资产

受威胁资产包括技术资产和非技术资产。

♦ 下表按照以下两类标准对各类技术资产P ^ } U / 1的敏感性进行了评估：

影响的类型，即l O ~保密性、可用性、完整性受到的损害程度；

影响的规模，即用户、持续时间、受影响的基站或小区数量、被更改或访问的信息量等。

▼

♦ 以下非技术资产类别也需要特别关注：

NIS指令下的基本服务运营商和关键基础架构运营商；

政府实体、执法部门、公共保护和救灾机构、军事部门；

网络安全法规未涵盖的关键部门/实体；

战略性私人公司；

在5G网络出现故障时没有备用解决方案的区域或实体。

各种脆弱点

硬件、软件、流程和策略^ * G ; q 2 y相关

对Q T _ k | E j于移动网络运营商n n R ? 3 + 3及其供应商来说，以下与流程或配置相关的脆弱点特别N N = U ? ` F _值得关注：

♦ 缺乏专业、训练有素的人员来保护、监视和维护5G网络；

♦ 缺乏足够的内部安全控制、监视实践、安全管理系统以及风险管理实践；

♦ 安全性或操作维护程序（例如，软件更新/补丁程序等） 管理不足；

♦ 不遵守或未正确执行3GPP标准；

♦ 不良的网= m T M络设计和架构；

♦ 网络和IT基础架构的物理安全性差；

♦ 针对本地和远程访问网络组件的策略不足；

♦ 采购过程中缺乏安全要求或安全要求不足；

♦ 不良的变更管理过程等。

供应商相关

各供应商的风险状况可以根据以下几个因素进行评估：

♦ 第一、供应商受到非欧盟国家干涉的可能性。

♦ 第二、供应商保证供应的能力。

♦ 第三、供应商的自身供应链的控制程度、产品整体质量和网络安全实践水平。

缺乏多样性

在单个网络中，高度依赖单个供应商会导致对特定解决方案的依赖，这将使从其他供应商获取解决方案变得更加困难，尤其是在解决方案无法完全互操作的情况下。

在国家和m s 7 x欧盟层面，供应商缺乏多样性会增加5G基础设施的整体脆弱性。

风险场景举例

安全措施不足、供应链风险、威胁实施手段、关键系统& K J |依赖性、终端用户设备s h g Q ;。

现有的缓解措施

♦ 第一， 标准方面，3GPP SA3已经解决了一些与5G安全相关的 u x Q V 3 A y P问题，尤其是端到端加密技术。

♦ 第二， 根a 5 0 p , g g L (据欧盟电信法规，欧盟成员国可以要求在其境内提供服务的电信运营商承Z ; s i V 0 v 0担一定义务。

♦ 第F Q O b三， NIS指令要求在能源、金融、医疗保健、运输、供水等领域提供8 s e k V ] o O 基本服务的运营商采取适当的安全措施，并将严重事件通报相关国家u ^ G主管部S A J o 1 B 5门。NIS指令还包括在跨境风险u q } . # ` , F和事件发生时各成员国之间的协调问题。

♦ 第四， 欧盟和国家层面的其他安全框架还包% ~ O [ C Q 3 q I括数据保护和隐私规则（尤其是通用数据保护法规和电子隐私指令），以及适用于关键基础架构的一些要求。

♦ 第五， 各MNO已采用各种安全措施，包括技术措施（例如，加密、身份验证、自动化、异常检测等）和与过程相关的措施（例如，脆弱点管理、g D a ^ 2 N w事件和响应计划、用户权限管理、灾难恢复计划等）。

三 结 论

5G将增加网络整体攻击面及潜在切入点的数量；

5G第三方供应商在供应链中的作用更加突出 ；

5G广泛服务和应用对网络安全提出更高要求。

四 下一步工作

重新评估当前政策和安全框架；

充分利用现有网络安全措施；

评估并建立风险管理措施工具箱。

声明

转载b T b、添加白名单以及商务合作请在公众号s ? w * [文章留言，未经许可、不得转载，不得随意修改及盗用原文。

中国信息化周报（信息化时代）

官网：www.cio360.net