編譯 | 賽迪智庫無線電管理研究所
【譯者按】 2019年10月歐盟委員會發布《歐盟5G網絡安全風險評估報告》。報告分析了5G網絡的主要威脅和威脅實施者、受威脅的資產、各種脆弱點以及許多戰略風險,確定了可在歐盟各國和整個歐盟層面實施的5G網絡安全風險緩解措施。報告指出,5G技術和環境的發展將帶來一系列新的挑戰,歐盟成員國應做好充分準備。賽迪智庫無線電管理研究所對該報告進行了編譯,期望對我國相關部門有所幫助。
簡介
(一) 政策背景和進度
2019年3月22日,歐盟理事會表示支持以統一的的方式對待5G網絡安全問題,26日,歐盟委員會通過了《5G網絡安全建議書》(以下簡稱「建議書」)。建議書支持歐盟制定統一的方法保障5G網絡安全,並要求歐盟成員國對5G網絡基礎設施進行國家風險評估。
2019年7月,歐盟成員國向歐盟委員會和歐洲國家網絡安全委員會(ENISA)提交了國家風險評估結果。根據評估結果,歐盟國家網絡安全(NIS)協作組於10月發布了《歐盟5G網絡安全風險評估報告》。隨著5G技術和相關應用的發展,並考慮到快速變化的威脅環境,可以每年在必要時對本報告進行更新。NIS協作組還將參考歐盟聯合風險評估結果來制定風險緩解措施工具箱,建議書呼籲各成員國在2019年12月31日之前就風險緩解措施工具箱達成一致。
(二) 5G網絡及相關應用
建議書定義5G網絡是用於移動和無線通信技術的所有相關網絡基礎架構元素的集合。該集合還可能包括基於上一代移動無線通信技術(4G或3G)的傳統網絡元素。這些元素應用於具有先進性能特徵(高數據速率和容量、低延遲、超高可靠性、支持大量設備連接等)的連接和增值服務。以上服務對於歐盟內部市場的運作、社會和經濟職能(能源、交通、銀行、衛生等)的維護和運行、工業控制系統都至關重要。
(三) 5G網絡的關鍵技術創新和挑戰
軟體定義網絡和網絡功能虛擬化(NFV)技術將使傳統網絡體系結構發生重大轉變。由於網絡功能無需建立在專用的硬體和軟體上,功能差異將主要體現在軟體中。從安全的角度來看,漏洞的更新和修補將變得簡便。但軟體依賴度的提高以及頻繁更新的需求將大大提升第三方供應商和補丁管理程序的地位。
網絡切片技術使同一物理網絡上不同服務層的高度分離,進而可在整個網絡上提供差異化服務。從安全的角度來看,每個網絡切片都有不同的安全要求,攻擊者的攻擊面增多。
移動邊緣計算技術減少了集中化的體系結構,允許網絡將流量引向終端用戶附近的計算資源和第三方服務,從而確保較短的響應時間。從安全的角度來看,邊緣計算將增加攻擊者的整體攻擊面和潛在入口點的數量,並為攻擊者創造了更多惡意假冒網絡部件和功能的機會。
此外,電信供應鏈的複雜性將更加突出。各種現有的或新的參與者(集成商、服務提供商、軟體供應商等)將更大程度地參與到網絡關鍵部門管理工作中去。第三代合作夥伴計劃(3GPP)的SA3工作組目前正在著手解決有關的5G安全問題。
(四) 歐盟的5G生態系統和部署
為促進歐盟部署5G基礎設施和服務,「歐盟5G行動計劃」為5G基礎設施的公共和私人投資制定了路線圖,計劃最晚到2020年底推出商用5G網絡。
運營商部署計劃將採用分階段的方式引入5G網絡的關鍵創新技術。在第一階段(極短期或短期),5G部署將主要在非獨立網絡中進行,其中僅將無線接入網絡升級到5G技術,核心網仍依賴現有的4G技術。在後續階段(中期到長期),需要部署獨立5G網絡,包括5G核心網和各類新功能。在此過程中,5G網絡基礎設施的主要利益相關者包括以下幾類:
行動網路運營商(MNO):為用戶提供行動網路服務的實體,在第三方的幫助下運營自己的網絡。行動網路運營商扮演著核心決策角色,能夠充分利用其網絡影響整體的安全運行。
MNO的供應商:為MNO提供設備或服務的實體,包括但不限於:電信設備製造商以及其他第三方供應商(例如,雲基礎架構提供商、系統集成商、安全和維護承包商、傳輸設備製造商等)。
設備和服務供應商的製造商:提供能夠接入5G網絡和組成5G控制平面中託管服務的物體和服務組件(例如智慧型手機、互聯車輛、電子醫療)的實體。
其他:包括5G行動網路的服務和內容提供商以及終端用戶。
在歐盟提供服務的MNO必須遵守歐盟和各成員國的法律。成員國有關主管部門有權執行一般性授權,以確保MNO獲得提供電信網絡或服務的權利並履行特定義務。目前,MNO的供應商公司屈指可數。從市場份額的角度來看,主要供應商包括華為、愛立信、諾基亞、中興、三星和思科。此外,MNO的其他重要第三方供應商還包括一系列提供各種服務(如網絡管理和維護、數據中心等)的分包商。這些分包商可能與MNO處於不同的國家。值得注意的是,全球電信供應鏈的複雜性和相互依存性,以及許多歐盟使用或建設的網絡系統的大部分製造商和第三方支持公司並未處於歐盟。
2 歐盟成員國對5G網絡安全風險的評估
報告遵循ISO / IEC:27005風險評估方法,基於有關用例和可能場景的假設,對以下參數進行評估,並在最後給出了一些風險場景和緩解措施。
(一) 威脅種類
☆ 本地或全球5G網絡中斷(可用性);
☆ 暗中監視5G網絡基礎設施中的流量/數據(保密性);
☆ 修改或重路由5G網絡基礎架構中的流量/數據(完整性、保密性);
☆ 通過5G網絡破壞或更改其他數字基礎架構或信息系統(完整性、可用性)。
與現有網絡相比,經濟和社會功能對5G網絡的依賴將更大,將可能會大大加劇5G網絡中斷帶來的潛在負面影響。5G網絡面臨的威脅的嚴重性主要取決於以下幾個因素:
☆ 受影響的用戶數量和類型;
☆ 事件發現或修復之前所需的時間;
☆ 受影響的服務類型(公共安全,緊急服務,衛生,政府活動,電力供應,水供應等)以及損害或經濟損失的程度;
☆ 被破壞的信息類別。
(二) 威脅實施者
表1列出了報告梳理的幾種主要威脅實施者。
以下對威脅實施者攻擊和企圖攻擊5G網絡基礎設施的能力(資源)和意圖(動機)進行評估:國家(或國家支持的)實施者構成的威脅最嚴重,其可對5G網絡進行持續、複雜的攻擊,具有充分的動機和意圖,也具有相對來說最強的能力。這些攻擊可能非常複雜,並對公眾基本服務產生重大影響,從而摧毀公眾對移動技術和運營商的信任。例如,國家(或國家支持的)實施者可能會利用未記錄在案的功能或攻擊關鍵基礎設施,從而導致電信服務的大規模中斷或對其造成嚴重干擾。部分成員國已經確定某些非歐盟國家的網絡進攻計劃對其國家利益構成了威脅。
在某些情況下,內部人員或分包商也可能成為潛在的威脅實施者,尤其是為成員國服務的人員或分包商,因為它們可以被其他國家視為獲取關鍵目標資產的渠道。
(三) 受威脅資產
對運營商而言,5G新功能的引入將需要對現有網絡進行重新設計。表2按照以下兩類標準對各類技術資產的敏感性進行了評估:
☆ 影響的類型,即保密性、可用性、完整性受到的損害程度;
☆ 影響的規模,即用戶、持續時間、受影響的基站或小區數量、被更改或訪問的信息量等。
在考慮關鍵資產時,以下非技術資產類別(包括用戶組、地理區域、關鍵基礎架構等)也需要特別關註:
☆ NIS指令下的基本服務運營商和關鍵基礎架構運營商;
☆ 政府實體、執法部門、公共保護和救災機構、軍事部門;
☆ 網絡安全法規未涵蓋的關鍵部門/實體;
☆ 戰略性私人公司;
☆ 在5G網絡出現故障時沒有備用解決方案的區域或實體。
(四) 各種脆弱點
1、硬體、軟體、流程和策略相關
與任何其他數字基礎設施一樣,5G網絡可能會涉及一系列通用技術脆弱點,這些脆弱點可能由任何一個利益相關者安全流程中的潛在漏洞引起,也可能會對軟體和硬體產生影響。由於5G網絡主要建立在軟體基礎上,主要的安全脆弱點可能使威脅實施者更容易將惡意後門插入產品中,並使其更難被發現。
對於行動網路運營商及其供應商來說,以下與流程或配置相關的脆弱點特別值得關註:
☆ 缺乏專業、訓練有素的人員來保護、監視和維護5G網絡;
☆ 缺乏足夠的內部安全控制、監視實踐、安全管理系統以及風險管理實踐;
☆ 安全性或操作維護程序(例如,軟體更新/補丁程序等)管理不足;
☆ 不遵守或未正確執行3GPP標準;
☆ 不良的網絡設計和架構;
☆ 網絡和IT基礎架構的物理安全性差;
☆ 針對本地和遠程訪問網絡組件的策略不足;
☆ 採購過程中缺乏安全要求或安全要求不足;
☆ 不良的變更管理過程等。
2、供應商相關
在5G網絡中,第三方供應商提供軟體和服務的作用日益增強,導致更多的脆弱點暴露風險。各供應商的風險狀況可以根據以下幾個因素進行評估:
第一、供應商受到非歐盟國家干涉的可能性。以下因素的存在(包括但不限於)可能會加劇這類干涉的產生:
☆ 供應商與特定第三國政府之間的緊密聯繫;
☆ 第三國立法,尤其是沒有立法、民主制衡,或者其與歐盟沒有安全或數據保護協議的第三國;
☆ 供應商的公司所有權特徵;
☆ 第三國對供應商施加各種形式壓力的能力。
第二、供應商保證供應的能力。
第三、供應商的自身供應鏈的控制程度、產品整體質量和網絡安全實踐水平。
3、缺乏多樣性
在單個網絡中,高度依賴單個供應商會導致對特定解決方案的依賴,這將使從其他供應商獲取解決方案變得更加困難,尤其是在解決方案無法完全互操作的情況下。在國家和歐盟層面,供應商缺乏多樣性會增加5G基礎設施的整體脆弱性。一個或多個網絡的依賴關係也會顯著影響各成員國和整個歐盟的彈性並造成單點故障。此外,如果市場上供應商的數量有限,那麼供應商開發更安全產品的動力就會降低。
(五) 風險場景舉例
根據前幾節所列出的有關各種參數的調查結果,確定了許多戰略性風險場景,這些風險場景的特徵是:
☆ 風險與整個歐盟相關;
☆ 風險將導致非常高或潛在的系統性影響;
☆ 隨著5G網絡的發展,風險發生的可能性正在增加。
以下場景反映了不同參數(威脅、威脅實施者、資產和脆弱點)的組合,但並未涵蓋所有風險。
1、安全措施不足
1) 網絡配置錯誤:國家(或國家支持的)實施者利用配置不當的系統和架構,通過其外部接口滲透到5G網絡中,導致網絡核心功能受到損害,或者利用邊緣計算節點來破壞信息保密性和分布式服務。
2) 缺少訪問控制:具有網絡管理員權限的分包商由於第三國法律要求或員工的惡意行為採取破壞行動,從而導致保密性、完整性、可用性遭到破壞。
2、供應鏈風險
1) 低質量的產品:由國家(或國家支持的)實施者利用惡意軟體進行間諜活動,濫用質量低劣的網絡組件,利用意外脆弱點影響核心網絡中的敏感元素等。
2) 單一依賴性:MNO從單個供應商那裡獲取大量敏感的網絡組件或服務。但由於該供應商的供應不足(例如,由於第三國的貿易制裁或其他商業環境)使其設備可用性、更新能力大大降低。
3、威脅實施手段
1) 通過5G供應鏈進行國家干預:敵對國家(或國家支持的)實施者對其管轄範圍內的供應商施加壓力,進而通過後台漏洞對敏感網絡資產進行訪問。
2) 有組織犯罪集團利用5G網絡:有組織犯罪集團通過控制5G網絡體系結構的關鍵部分,破壞各種服務,進而勒索依賴於該服務的企業或MNO來獲取利潤。例如,「網絡釣魚」、在線騙局、竊取用戶的隱私數據等。
4、關鍵系統依賴性
1) 關鍵基礎設施或服務被破壞:惡意黑客通過控制專用網絡切片來破壞信息/數據的完整性和應急服務。
2) 5G網絡大規模故障:自然災害、國家(或國家支持的)實施者、有組織犯罪集團對能源系統或其他支撐系統進行攻擊,導致大規模電力供應中斷等事件。
5、終端用戶設備
利用物聯網技術:黑客團體、國家(或國家支持的)實施者獲取物聯網等安全性較低的設備(例如工業自動化控制設備、運輸容器、傳感器、平板電腦和智慧型手機、家用電器等)的控制權,通過信令過載來攻擊物聯網絡。
(六) 現有的緩解措施
第一, 標準方面,3GPP SA3已經解決了一些與5G安全相關的問題,尤其是端到端加密技術。
第二, 根據歐盟電信法規,歐盟成員國可以要求在其境內提供服務的電信運營商承擔一定義務。
第三, NIS指令要求在能源、金融、醫療保健、運輸、供水等領域提供基本服務的運營商採取適當的安全措施,並將嚴重事件通報相關國家主管部門。NIS指令還包括在跨境風險和事件發生時各成員國之間的協調問題。
第四, 歐盟和國家層面的其他安全框架還包括數據保護和隱私規則(尤其是通用數據保護法規和電子隱私指令),以及適用於關鍵基礎架構的一些要求。
第五, 各MNO已採用各種安全措施,包括技術措施(例如,加密、身份驗證、自動化、異常檢測等)和與過程相關的措施(例如,脆弱點管理、事件和響應計劃、用戶權限管理、災難恢復計劃等)。
3 結論
5G技術和環境的不斷發展可能會加劇以上各類挑戰。5G網絡技術和標準雖然改進了安全性,但網絡架構中的新功能以及廣泛的服務和應用也將帶來一些新的重要挑戰。
(一) 5G將增加網絡整體攻擊面及潛在切入點的數量
5G網絡邊緣的增強功能和集中程度更低的體系結構意味著核心網絡的某些功能可以集成到網絡的其他部分,從而使相應設備的敏感性加劇;5G設備中軟體重要性的提升將導致與軟體開發和更新過程相關的風險增加,從而引起配置錯誤等新風險。
(二) 5G第三方供應商在供應鏈中的作用更加突出
由於5G第三方供應商在網絡或區域中占有重要地位,其也更容易成為攻擊目標。威脅實施者(尤其是非歐盟國家或非歐盟國家支持的實施者)具有對歐盟成員國電信網絡進行攻擊的動機和資源,其可用的攻擊路徑數量也會因第三方供應商的作用升高而增加。對單個供應商的依賴加劇了在該供應商出現潛在風險時所要面臨的風險。
(三) 5G廣泛服務和應用對網絡安全提出更高要求
未來,5G網絡會成為廣泛服務和諸多關鍵IT應用程式支撐環境的重要組成部分。5G廣泛服務和應用將進一步對5G網絡安全有關的性質(如保密性、隱私性、完整性、可用性等)提出更高要求。這也是對歐盟成員國國家安全能力的重大挑戰。
4
下一步工作
下一步工作
(一) 重新評估當前政策和安全框架
歐盟成員國採取必要緩解措施的重要一步是重新評估5G及其生態系統的當前政策和安全框架。找出現有框架和執行機制中的潛在問題,包括網絡安全法規的實施、公共機構的監督作用、運營商和供應商各自承擔義務和責任等。
(二) 充分利用現有網絡安全措施
現有網絡安全措施主要涉及適用於前幾代移動通信網絡並且對未來5G網絡的部署仍然有效的安全性要求。3GPP標準針對許多已識別的風險,尤其是那些影響核心網絡、設備或訪問級別的風險,也定義了一些應急措施。然而,5G與4G的根本性差異意味著在4G網絡上的安全措施可能無法有效緩解當前已確定的5G網絡安全風險。此外,某些5G網絡安全風險的性質和特徵決定了其無法僅通過技術措施來解決。
(三) 評估並建立風險管理措施工具箱
在實施建議書的後續階段可對各類緩解措施進行評估。同時,還會考慮歐洲工業能力在軟體開發、設備製造、實驗室測試、合格評定等方面的發展水平。最終,委員會將建立一個適當的、有效的、有針對性的通用風險管理措施工具箱,以緩解歐盟成員國在此過程中確定的5G網絡安全風險。
譯自:EU coordinated risk assessment of the cybersecurity of 5G networks, Report, October 9, 2019 by NIS Cooperation Group
譯文作者:賽迪工業和信息化研究院 周鈺哲
「賽迪譯叢」系列報導:重磅:6G的關鍵特徵與挑戰
「加快新基建」系列報導:
總編評論:攜手激發5G穩增長澎湃動力
加快新基建,網際網路巨頭不旁觀
「新基建」九人談:數據中心如何加速跑?怎樣才能贏?
加快新基建,數據中心如何加速跑?
八專家談5G「新基建」:如何加速跑?怎樣才能贏?
把2160億元電費降下來:地方硬核政策該如何助力5G快跑
加速5G新基建,60萬站「小目標」該如何煉成?
經受住新冠疫情衝擊:高技術產品、通信服務表現搶眼
又來了!電信聯通25萬站5G招標上路
來了!最大5G「新基建」集采發布
王曉初:五點建議加快5G發展
迎接新基建,光通信產業加速跑
工信部召開加快5G發展專題會:充分認識緊迫性,務實推動快發展
復工復產抗擊疫情系列報導:
對沖疫情影響:一大波通信採購正在路上
工信部:加快5G建設進度
疫情之下的電信流量激增:能否助力運營商走出低位?
運營商開年平淡:首月兩大支柱業務用戶增長乏力
疫情之下的5G建設:短期收緊,長期如何?
分批覆工,總部在武漢的全球最大光纖商保障供貨不中斷
一邊抗疫一邊復工,總部在武漢的中國信科很穩健
下沉網格化管理,中天科技有序復工
防疫生產兩手抓,亨通集團確保產品如期交付
三大運營商全力助力企業復工復產
「五到位」「九注意」,俊知集團全力穩生產保供應
中國廣電抗「疫」中的亮點與遺憾
總編輯展望:2020,這個行業會更好嗎?
總編評論:攜手激發5G穩增長澎湃動力
疫情影響:3GPP推遲R16、R17之5G標準發布
當5G遇上七大挑戰,AI能做什麼?
深讀三大運營商2019財報:5G投資占比增至五成,能否扮演「白衣騎士」
工信部:關於推動5G加快發展的通知
日本又一家運營商5G商用了:每月8650日元不限流量
中國移動5G用戶突破1500萬
GSMA:六年內中國運營商5G網絡開支約1600億美元
重磅:6G概念及願景白皮書
八專家談5G「新基建」:如何加速跑?怎樣才能贏?
把2160億元電費降下來:地方硬核政策該如何助力5G快跑