歐盟正式發(fā)布了一份5G網(wǎng)絡安全風險的評估報告

在歐盟委員會和歐洲網(wǎng)絡安全局的支持下，歐盟成員國發(fā)布了一份歐盟對5G網(wǎng)絡安全風險的評估報告。這一重大舉措是執(zhí)行歐盟委員會于2019年3月通過的安全建議的一部分，該建議旨在確保整個歐盟5G網(wǎng)絡的高水平網(wǎng)絡安全。

該報告基于所有歐盟成員國的國家網(wǎng)絡安全風險評估結果。報告確定了主要威脅和威脅行為者，最敏感的資產(chǎn)，主要漏洞（包括技術漏洞和其他類型的漏洞）以及許多戰(zhàn)略風險。

這一評估為確定可在國家和整個歐盟層面實施的緩解措施提供了基礎。

歐盟對5G網(wǎng)絡安全風險評估的主要洞察：

報告指出了一些重要的安全挑戰(zhàn)，與現(xiàn)有網(wǎng)絡的情況相比，這些挑戰(zhàn)很可能在5G網(wǎng)絡中出現(xiàn)或變得更加突出:

這些安全挑戰(zhàn)主要與以下方面有關：

5G技術的關鍵創(chuàng)新（這同時也帶來了許多特定的安全性改進），尤其是軟件的重要組成部分，以及由5G支持的廣泛的服務和應用程序；供應商在建設和運營5G網(wǎng)絡中的作用，以及對單個供應商的依賴程度。

具體而言，預計5G網(wǎng)絡的推出將產(chǎn)生以下影響：

·遭受攻擊的風險增加，并且攻擊者有更多潛在的切入點：由于5G網(wǎng)絡越來越基于軟件，與重大安全缺陷相關的風險越來越重要，比如供應商內部糟糕的軟件開發(fā)流程。這還將使威脅行為者更容易惡意地在產(chǎn)品中插入后門，并使其更難被發(fā)現(xiàn)。

·由于5G網(wǎng)絡架構的新特性和新功能，某些網(wǎng)絡設備或功能變得越來越敏感，例如基站和網(wǎng)絡的關鍵技術管理功能。

·與移動網(wǎng)絡運營商對供應商的依賴相關的風險增加。這也將導致更多的攻擊路徑可能被威脅行為者利用，并增加此類攻擊影響的潛在嚴重性。在各種潛在威脅行為者中，非歐盟國家或歐盟國家支持的行為者，被認為是最危險的行為者，也是最有可能瞄準5G網(wǎng)絡的對象。

·在這種由供應商導致的被攻擊風險增加的情況下，單個供應商的風險狀況將變得尤為重要，包括供應商受到非歐盟國家干預的可能性。

·對供應商的重度依賴關系帶來的風險增加：對單個供應商的重度依賴關系增加了潛在的供應中斷風險，例如由于商業(yè)破產(chǎn)及其后果導致的供應中斷。它還加劇了弱點或漏洞的潛在影響，同時威脅行為者可能會利用這些弱點，特別是在依賴關系涉及存在高度風險的供應商的情況下。

·對網(wǎng)絡可用性和完整性的威脅將成為主要的安全問題：除了機密性和隱私威脅外，5G網(wǎng)絡預計將成為許多關鍵IT應用的骨干，這些網(wǎng)絡的完整性和可用性將成為國家安全的主要問題，從歐盟的角度來看，這也是一個重大的安全挑戰(zhàn)。

所有這些挑戰(zhàn)共同創(chuàng)造了一個新的安全范式，因此有必要重新評估適用于該領域及其生態(tài)系統(tǒng)的當前政策和安全框架，這對于成員國采取必要的緩解措施至關重要。

同時，歐洲網(wǎng)絡安全局正在敲定一個與5G網(wǎng)絡相關的具體威脅分布圖，該分布圖將更詳細地分析報告中涉及的某些技術方面。

下一步

到2019年12月31日，合作小組將商定一個緩解措施工具箱，用以解決國家和整個歐盟層面已確定的網(wǎng)絡安全風險。

到2020年10月1日，歐盟成員國應與歐盟委員會合作，評估安全建議的效果，從而確定是否需要采取進一步行動。該評估應考慮到統(tǒng)一的歐洲風險評估的結果和各項措施的有效性。

報告背景

在獲得歐洲理事會的支持后，2019年3月26日，歐盟委員會通過了《5G網(wǎng)絡安全建議》，呼吁歐盟成員國完成國家風險評估并審查國家安全措施，并在整個歐盟層面共同開展統(tǒng)一風險評估工作，同時就一個通用的緩解措施工具箱進行商議。

在國家層面，每個成員國都完成了5G網(wǎng)絡基礎設施的國家風險評估，并將評估結果發(fā)送給了歐盟委員會和歐洲國家網(wǎng)絡安全委員會（ENISA）。國家風險評估特別審查了影響5G網(wǎng)絡、敏感5G資產(chǎn)以及相關漏洞的主要威脅和威脅行為者，這些漏洞包括技術漏洞和其他類型的漏洞，例如5G供應鏈中潛在產(chǎn)生的漏洞。
? ?來源：C114通信網(wǎng)