歐盟正式發(fā)布了一份5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估報(bào)告

在歐盟委員會(huì)和歐洲網(wǎng)絡(luò)安全局的支持下，歐盟成員國(guó)發(fā)布了一份歐盟對(duì)5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估報(bào)告。這一重大舉措是執(zhí)行歐盟委員會(huì)于2019年3月通過(guò)的安全建議的一部分，該建議旨在確保整個(gè)歐盟5G網(wǎng)絡(luò)的高水平網(wǎng)絡(luò)安全。

該報(bào)告基于所有歐盟成員國(guó)的國(guó)家網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估結(jié)果。報(bào)告確定了主要威脅和威脅行為者，最敏感的資產(chǎn)，主要漏洞（包括技術(shù)漏洞和其他類型的漏洞）以及許多戰(zhàn)略風(fēng)險(xiǎn)。

這一評(píng)估為確定可在國(guó)家和整個(gè)歐盟層面實(shí)施的緩解措施提供了基礎(chǔ)。

歐盟對(duì)5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的主要洞察：

報(bào)告指出了一些重要的安全挑戰(zhàn)，與現(xiàn)有網(wǎng)絡(luò)的情況相比，這些挑戰(zhàn)很可能在5G網(wǎng)絡(luò)中出現(xiàn)或變得更加突出:

這些安全挑戰(zhàn)主要與以下方面有關(guān)：

5G技術(shù)的關(guān)鍵創(chuàng)新（這同時(shí)也帶來(lái)了許多特定的安全性改進(jìn)），尤其是軟件的重要組成部分，以及由5G支持的廣泛的服務(wù)和應(yīng)用程序；供應(yīng)商在建設(shè)和運(yùn)營(yíng)5G網(wǎng)絡(luò)中的作用，以及對(duì)單個(gè)供應(yīng)商的依賴程度。

具體而言，預(yù)計(jì)5G網(wǎng)絡(luò)的推出將產(chǎn)生以下影響：

·遭受攻擊的風(fēng)險(xiǎn)增加，并且攻擊者有更多潛在的切入點(diǎn)：由于5G網(wǎng)絡(luò)越來(lái)越基于軟件，與重大安全缺陷相關(guān)的風(fēng)險(xiǎn)越來(lái)越重要，比如供應(yīng)商內(nèi)部糟糕的軟件開(kāi)發(fā)流程。這還將使威脅行為者更容易惡意地在產(chǎn)品中插入后門，并使其更難被發(fā)現(xiàn)。

·由于5G網(wǎng)絡(luò)架構(gòu)的新特性和新功能，某些網(wǎng)絡(luò)設(shè)備或功能變得越來(lái)越敏感，例如基站和網(wǎng)絡(luò)的關(guān)鍵技術(shù)管理功能。

·與移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)供應(yīng)商的依賴相關(guān)的風(fēng)險(xiǎn)增加。這也將導(dǎo)致更多的攻擊路徑可能被威脅行為者利用，并增加此類攻擊影響的潛在嚴(yán)重性。在各種潛在威脅行為者中，非歐盟國(guó)家或歐盟國(guó)家支持的行為者，被認(rèn)為是最危險(xiǎn)的行為者，也是最有可能瞄準(zhǔn)5G網(wǎng)絡(luò)的對(duì)象。

·在這種由供應(yīng)商導(dǎo)致的被攻擊風(fēng)險(xiǎn)增加的情況下，單個(gè)供應(yīng)商的風(fēng)險(xiǎn)狀況將變得尤為重要，包括供應(yīng)商受到非歐盟國(guó)家干預(yù)的可能性。

·對(duì)供應(yīng)商的重度依賴關(guān)系帶來(lái)的風(fēng)險(xiǎn)增加：對(duì)單個(gè)供應(yīng)商的重度依賴關(guān)系增加了潛在的供應(yīng)中斷風(fēng)險(xiǎn)，例如由于商業(yè)破產(chǎn)及其后果導(dǎo)致的供應(yīng)中斷。它還加劇了弱點(diǎn)或漏洞的潛在影響，同時(shí)威脅行為者可能會(huì)利用這些弱點(diǎn)，特別是在依賴關(guān)系涉及存在高度風(fēng)險(xiǎn)的供應(yīng)商的情況下。

·對(duì)網(wǎng)絡(luò)可用性和完整性的威脅將成為主要的安全問(wèn)題：除了機(jī)密性和隱私威脅外，5G網(wǎng)絡(luò)預(yù)計(jì)將成為許多關(guān)鍵IT應(yīng)用的骨干，這些網(wǎng)絡(luò)的完整性和可用性將成為國(guó)家安全的主要問(wèn)題，從歐盟的角度來(lái)看，這也是一個(gè)重大的安全挑戰(zhàn)。

所有這些挑戰(zhàn)共同創(chuàng)造了一個(gè)新的安全范式，因此有必要重新評(píng)估適用于該領(lǐng)域及其生態(tài)系統(tǒng)的當(dāng)前政策和安全框架，這對(duì)于成員國(guó)采取必要的緩解措施至關(guān)重要。

同時(shí)，歐洲網(wǎng)絡(luò)安全局正在敲定一個(gè)與5G網(wǎng)絡(luò)相關(guān)的具體威脅分布圖，該分布圖將更詳細(xì)地分析報(bào)告中涉及的某些技術(shù)方面。

下一步

到2019年12月31日，合作小組將商定一個(gè)緩解措施工具箱，用以解決國(guó)家和整個(gè)歐盟層面已確定的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

到2020年10月1日，歐盟成員國(guó)應(yīng)與歐盟委員會(huì)合作，評(píng)估安全建議的效果，從而確定是否需要采取進(jìn)一步行動(dòng)。該評(píng)估應(yīng)考慮到統(tǒng)一的歐洲風(fēng)險(xiǎn)評(píng)估的結(jié)果和各項(xiàng)措施的有效性。

報(bào)告背景

在獲得歐洲理事會(huì)的支持后，2019年3月26日，歐盟委員會(huì)通過(guò)了《5G網(wǎng)絡(luò)安全建議》，呼吁歐盟成員國(guó)完成國(guó)家風(fēng)險(xiǎn)評(píng)估并審查國(guó)家安全措施，并在整個(gè)歐盟層面共同開(kāi)展統(tǒng)一風(fēng)險(xiǎn)評(píng)估工作，同時(shí)就一個(gè)通用的緩解措施工具箱進(jìn)行商議。

在國(guó)家層面，每個(gè)成員國(guó)都完成了5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施的國(guó)家風(fēng)險(xiǎn)評(píng)估，并將評(píng)估結(jié)果發(fā)送給了歐盟委員會(huì)和歐洲國(guó)家網(wǎng)絡(luò)安全委員會(huì)（ENISA）。國(guó)家風(fēng)險(xiǎn)評(píng)估特別審查了影響5G網(wǎng)絡(luò)、敏感5G資產(chǎn)以及相關(guān)漏洞的主要威脅和威脅行為者，這些漏洞包括技術(shù)漏洞和其他類型的漏洞，例如5G供應(yīng)鏈中潛在產(chǎn)生的漏洞。
? ?來(lái)源：C114通信網(wǎng)