【按】 2019年10月欧盟委员会发布《欧盟5G网络安全风险评估报告》。报告分析了5G网络的主要和实施者、受的资产、各种脆弱点以及许多战略风险,确定了可在欧盟和整个欧盟层面实施的5G网络安全风险缓解措施。报告指出,5G技术和的发展将带来一系列新的挑战,欧盟国应做好充分准备。赛迪智库无线电管理研究所对该报告进行了编译,期望对我国相关部门有所帮助。
2019年3月22日,欧盟理事会表示支持以统一的的方式对待5G网络安全问题,26日,欧盟委员会通过了《5G网络安全书》(以下简称“书”)。书支持欧盟制定统一的方法保障5G网络安全,并要求欧盟国对5G网络基础设施进行国家风险评估。
2019年7月,欧盟国向欧盟委员会和欧洲国家网络安全委员会(ENISA)提交了国家风险评估结果。根据评估结果,欧盟国家网络安全(NIS)协作组于10月发布了《欧盟5G网络安全风险评估报告》。随着5G技术和相关应用的发展,并考虑到快速变化的,可以每年在必要时对本报告进行更新。NIS协作组还将参考欧盟联合风险评估结果来制定风险缓解措施工具箱,书呼吁各国在2019年12月31日之前就风险缓解措施工具箱达成一致。
书定义5G网络是用于移动和无线通信技术的所有相关网络基础架构元素的集合。该集合还可能包括基于上一代移动无线G)的传统网络元素。这些元素应用于具有先进性能特征(高数据速率和容量、低延迟、超高可靠性、支持大量设备连接等)的连接和增值服务。以上服务对于欧盟内部市场的运作、社会和经济职能(能源、交通、银行、卫生等)的和运行、工业控制系统都至关重要。
一位女士的推油经历
软件定义网络和网络功能虚拟化(NFV)技术将使传统网络体系结构发生重大转变。由于网络功能无需建立在专用的硬件和软件上,功能差异将主要体现在软件中。从安全的角度来看,漏洞的更新和修补将变得简便。但软件依赖度的提高以及频繁更新的需求将大大提升第三方供应商和补丁管理程序的地位。
网络切片技术使同一物理网络上不同服务层的高度分离,进而可在整个网络上提供差异化服务。从安全的角度来看,每个网络切片都有不同的安全要求,者的面增多。
移动边缘计算技术减少了集中化的体系结构,允许网络将流量引向终端用户附近的计算资源和第三方服务,从而确保较短的响应时间。从安全的角度来看,边缘计算将增加者的整体面和潜在入口点的数量,并为者创造了更多恶意假冒网络部件和功能的机会。
此外,电信供应链的复杂性将更加突出。各种现有的或新的参与者(集成商、服务提供商、软件供应商等)将更大程度地参与到网络关键部门管理工作中去。第三代合作伙伴计划(3GPP)的SA3工作组目前正在着手解决有关的5G安全问题。
为促进欧盟部署5G基础设施和服务,“欧盟5G行动计划”为5G基础设施的公私人投资制定了线G网络。
运营商部署计划将采用分阶段的方式引入5G网络的关键创新技术。在第一阶段(极短期或短期),5G部署将主要在非网络中进行,其中仅将无线G技术,核心网仍依赖现有的4G技术。在后续阶段(中期到长期),需要部署5G网络,包括5G核心网和各类新功能。在此过程中,5G网络基础设施的主要利益相关者包括以下几类:
移动网络运营商(MNO):为用户提供移动网络服务的实体,在第三方的帮助下运营自己的网络。移动网络运营商扮演着核心决策角色,能够充分利用其网络影响整体的安全运行。
MNO的供应商:为MNO提供设备或服务的实体,包括但不限于:电信设备制造商以及其他第三方供应商(例如,云基础架构提供商、系统集成商、安全和承包商、传输设备制造商等)。
设备和服务供应商的制造商:提供能够接入5G网络和组成5G控制平面中托管服务的物体和服务组件(例如智能手机、互联车辆、电子医疗)的实体。
在欧盟提供服务的MNO必须遵守欧盟和各国的法律。国有关主管部门有权执行一般性授权,以确保MNO获得提供电信网络或服务的并履行特定义务。目前,MNO的供应商公司屈指可数。从市场份额的角度来看,主要供应商包括华为、爱立信、诺基亚、中兴、三星和思科。此外,MNO的其他重要第三方供应商还包括一系列提供各种服务(如网络管理和、数据中心等)的分包商。这些分包商可能与MNO处于不同的国家。值得注意的是,全球电信供应链的复杂性和相互依存性,以及许多欧盟使用或建设的网络系统的大部分制造商和第三方支持公司并未处于欧盟。
报告遵循ISO / IEC: 27005风险评估方法,基于有关用例和可能场景的假设,对以下参数进行评估,并在最后给出了一些风险场景和缓解措施。
与现有网络相比,经济和社会功能对5G网络的依赖将更大,将可能会大大加剧5G网络中断带来的潜在负面影响。5G网络面临的的严重性主要取决于以下几个因素:
☆受影响的服务类型(公共安全,紧急服务,卫生,活动,电力供应,水供应等)以及损害或经济损失的程度;
以下对实施者和5G网络基础设施的能力(资源)和意图(动机)进行评估:国家(或国家支持的)实施者构成的最严重,其可对5G网络进行持续、复杂的,具有充分的动机和意图,也具有相对来说最强的能力。这些可能非常复杂,并对基本服务产生重大影响,从而摧毁对移动技术和运营商的信任。例如,国家(或国家支持的)实施者可能会利用未记录在案的功能或关键基础设施,从而导致电信服务的大规模中断或对其造成严重干扰。部分国已经确定某些非欧盟国家的网络进攻计划对其国家利益构成了。
在某些情况下,内部人员或分包商也可能成为潜在的实施者,尤其是为国服务的人员或分包商,因为它们可以被其他国家视为获取关键目标资产的渠道。
对运营商而言,5G新功能的引入将需要对现有网络进行重新设计。表2按照以下两类标准对各类技术资产的性进行了评估:
与任何其他数字基础设施一样,5G网络可能会涉及一系列通用技术脆弱点,这些脆弱点可能由任何一个利益相关者安全流程中的潜在漏洞引起,也可能会对软件和硬件产生影响。由于5G网络主要建立在软件基础上,主要的安全脆弱点可能使实施者更容易将恶意后门插入产品中,并使其更难被发现。
在5G网络中,第三方供应商提供软件和服务的作用日益增强,导致更多的脆弱点风险。各供应商的风险状况可以根据以下几个因素进行评估:
第一、供应商受到非欧盟国家的可能性。 以下因素的存在(包括但不限于)可能会加剧这类的产生:
在单个网络中,高度依赖单个供应商会导致对特定解决方案的依赖,这将使从其他供应商获取解决方案变得更加困难,尤其是在解决方案无法完全互操作的情况下。在国家和欧盟层面,供应商缺乏多样性会增加5G基础设施的整体脆弱性。一个或多个网络的依赖关系也会显著影响各国和整个欧盟的弹性并造成单点故障。此外,如果市场上供应商的数量有限,那么供应商开发更安全产品的动力就会降低。
1) 网络配置错误:国家(或国家支持的)实施者利用配置不当的系统和架构,通过其外部接口渗透到5G网络中,导致网络核心功能受到损害,或者利用边缘计算节点来信息保密性和分布式服务。
2) 缺少访问控制:具有网络管理员权限的分包商由于第三国法律要求或员工的恶意行为采取行动,从而导致保密性、完整性、可用性遭到。
1) 低质量的产品:由国家(或国家支持的)实施者利用恶意软件进行间谍活动,质量的网络组件,利用意外脆弱点影响核心网络中的元素等。
2) 单一依赖性:MNO从单个供应商那里获取大量的网络组件或服务。但由于该供应商的供应不足(例如,由于第三国的贸易制裁或其他商业)使其设备可用性、更新能力大大降低。
1) 通过5G供应链进行国家干预:敌对国家(或国家支持的)实施者对其管辖范围内的供应商压力,进而通过后台漏洞对网络资产进行访问。
2) 有组织犯罪集团利用5G网络:有组织犯罪集团通过控制5G网络体系结构的关键部分,各种服务,进而依赖于该服务的企业或MNO来获取利润。例如,“网络钓鱼”、在线、窃取用户的隐私数据等。
1) 关键基础设施或服务被:恶意黑客通过控制专用网络切片来信息/数据的完整性和应急服务。
2) 5G网络大规模故障:自然灾害、国家(或国家支持的)实施者、有组织犯罪集团对能源系统或其他支撑系统进行,导致大规模电力供应中断等事件。
利用物联网技术:黑客团体、国家(或国家支持的)实施者获取物联网等安全性较低的设备(例如工业自动化控制设备、运输容器、传感器、平板电脑和智能手机、家用电器等)的控制权,通过信令过载来物联网络。
第一, 标准方面,3GPP SA3已经解决了一些与5G安全相关的问题,尤其是端到端加密技术。
第三, NIS指令要求在能源、金融、医疗保健、运输、供水等领域提供基本服务的运营商采取适当的安全措施,并将严重事件通报相关国家主管部门。NIS指令还包括在跨境风险和事件发生时各国之间的协调问题。
第四, 欧盟和国家层面的其他安全框架还包括数据和隐私规则(尤其是通用数据保规和电子隐私指令),以及适用于关键基础架构的一些要求。
第五, 各MNO已采用各种安全措施,包括技术措施(例如,加密、身份验证、自动化、异常检测等)和与过程相关的措施(例如,脆弱点管理、事件和响应计划、用户权限管理、灾难恢复计划等)。
5G技术和的不断发展可能会加剧以上各类挑战。5G网络技术和标准虽然改进了安全性,但网络架构中的新功能以及广泛的服务和应用也将带来一些新的重要挑战。
5G网络边缘的增强功能和集中程度更低的体系结构意味着核心网络的某些功能可以集成到网络的其他部分,从而使相应设备的性加剧;5G设备中软件重要性的提升将导致与软件开发和更新过程相关的风险增加,从而引起配置错误等新风险。
由于5G第三方供应商在网络或区域中占有重要地位,其也更容易成为目标。实施者(尤其欧盟国家或非欧盟国家支持的实施者)具有对欧盟国电信网络进行的动机和资源,其可用的径数量也会因第三方供应商的作用升高而增加。对单个供应商的依赖加剧了在该供应商出现潜在风险时所要面临的风险。
未来,5G网络会成为广泛服务和诸多关键IT应用程序支撑的重要组成部分。5G广泛服务和应用将进一步对5G网络安全有关的性质(如保密性、隐私性、完整性、可用性等)提出更高要求。这也是对欧盟国能力的重大挑战。
欧盟国采取必要缓解措施的重要一步是重新评估5G及其生态系统的当前政策和安全框架。找出现有框架和执行机制中的潜在问题,包括网络安全法规的实施、公共机构的监督作用、运营商和供应商各自承担义务和责任等。
现有网络安全措施主要涉及适用于前几代移动通信网络并且对未来5G网络的部署仍然有效的安全性要求。3GPP标准针对许多已识别的风险,尤其是那些影响核心网络、设备或访问级别的风险,也定义了一些应急措施。然而,5G与4G的根本性差异意味着在4G网络上的安全措施可能无法有效缓解当前已确定的5G网络安全风险。此外,某些5G网络安全风险的性质和特征决定了其无法仅通过技术措施来解决。
在实施书的后续阶段可对各类缓解措施进行评估。同时,还会考虑欧洲工业能力在软件开发、设备制造、实验室测试、合格评定等方面的发展水平。最终,委员会将建立一个适当的、有效的、有针对性的通用风险管理措施工具箱,以缓解欧盟国在此过程中确定的5G网络安全风险。北京爬山去哪里好_北京爬山的好地方http://www.uzai.com/gotour/lygl/9338.html