欧盟发布5G网络安全风险评估报告

近日，欧盟成员国发布了一份关于5G技术的联合风险评估报告，该报告不仅强调了安全风险的日益增加，也强调了需要用新的方法来确保电信基础设施的安全。

截止目前，欧盟顶住了来自美国的压力，拒绝以国家安全为由抵制中国科技巨头华为作为5G供应商，英国等个别成员国也在仔细考虑这个问题。

但这份报告指出，5G面临的风险来自于它所谓的“非欧盟国家或国家支持的行为体”——这可以解读为华为的外交信号。不过，正如一些业内专家指出的那样，如果英国脱欧成为现实，那么在不久的将来，该标签可能会在不久的将来被应用到离英国更近的地方。

早在今年3月，当欧洲电信行业担忧如何应对美国封锁华为的压力时，欧盟委员会就介入发布了一系列安全建议——敦促成员国在推出5G网络时，加强个人和集体关注，以减轻潜在的安全风险。

该5G网络安全风险评估报告就是在此基础上形成的。

报告指出了一些“安全挑战”，与现有的网络情况相比，这些挑战“可能在5G网络中出现或变得更加突出”，这与大规模使用软件来运行5G网络有关。

供应商在建立和运营5G网络中的作用也被视为一项安全挑战。报告指出，要把握好对单个供应商的依赖程度，“不能把鸡蛋放在同一个篮子里”（摘自《唐吉坷德》），不要把所有的资本都投入到5G供应商身上。

具体而言，该报告针对推出5G网络作了如下预测：

● 遭受攻击的风险增加，攻击者将会有更多潜在的切入点：由于5G网络对软件的依赖程度越来越高，与重大安全漏洞相关的风险（例如，供应商内部软件开发流程不佳所产生的风险）变得越来越重要。它们还可以使威胁行为者更容易恶意地在产品中插入后门，难以察觉。

● 由于5G网络架构的新特点和新功能，某些网络设备或功能将变得越来越灵敏，如基站或网络的关键技术管理功能。

●移动网络运营商对供应商的依赖相关的风险增加，这将导致更多的攻击路径可能被威胁者利用，增加这类攻击的潜在严重性。在各种潜在的参与者中，非欧盟国家或国家支持的参与者被认为是最危险的参与者，也是最有可能针对5G网络的对象。

● 在这种情况下，基础设施供应商增加了更多被攻击的机会，单个供应商的风险状况将变得尤为重要，包括供应商受到非欧盟国家干预的可能性。

● 对供应商过度依赖所带来的风险增加：对单个供应商过度依赖增加了潜在供应中断的风险，例如由于供应商破产所导致的供应中断。它还加剧了弱点或漏洞的潜在影响，以及威胁者可能会利用这些弱点的可能性，特别是在依赖关系中存在高度风险供应商的情况下。

● 对网络可用性和完整性的威胁将成为主要的安全问题：除了机密和隐私威胁外，5G网络预计将成为许多关键信息技术应用的支柱，这些网络的完整性和可用性将成为国家安全的主要问题，从欧盟的角度来看，这也是一个重大的安全挑战。

下一步计划

欧盟的下一步计划在12月31日前制定一套由网络和信息系统合作小组商定的缓解措施工具箱，旨在应对国家和联盟层面已查明的风险。

到2020年10月1日，欧盟成员国将会与欧盟委员会合作，评估该建议的效果，从而确定是否需要采取进一步行动。这项评估应考虑到统一的欧洲风险评估的结果，以及这些措施的有效性。

根据报告，该工具箱的各项措施由前几代移动网络“应急办法”中的现有安全条例组成，这些“应急办法”均已通过移动设备制造标准机构3GPP的标准化定义，尤其针对5G网络的核心和接入级别作了标准化定义。

报告还警告称，“5G网络运行方式的根本差异同时意味着，目前部署在4G网络上的安全措施可能不完全有效，也不足以减轻已查明的安全风险，其中一些风险需要特有的技术措施来应对。”

“这些措施的评估将在委员会建议的后续执行阶段进行。这将帮助形成一套均衡效的风险管理措施工具箱，以减轻成员国在此过程中确定的网络安全风险。”

相关企业回应

该报告并未直接点名任何一家公司，但数据观记者发现，华为与其竞争对手——芬兰的诺基亚(Nokia)和瑞典的爱立信(Ericsson)均进行了及时回应。

华为一位发言人表示：“我们很高兴看到欧盟履行承诺，根据证据对风险进行彻底的分析，而不是把目标对准具体的国家和企业。”

诺基亚发言人说：“5G安全要求网络利用最先进的安全功能进行构建，选择可信和透明的供应商。”并表示诺基亚是唯一一家能够为安全5G网络提供所有构建模块的全球供应商。

爱立信表示正在密切关注欧盟的进程，并可能为理解5G安全做出重要贡献。一位发言人通过电子邮件表示：“爱立信承认，运营商和供应商之间的依赖关系可能会受到网络威胁的影响，从而影响已部署网络的安全状况。”