獲取《軟件與服務行業深度報告：國產操作系統誰主沉浮 》完整版，請關注綠信公號：vrsina，後臺回覆“5G報告及白皮書”，該報告編號爲20bg0086 。

2019年10月，歐盟國家網絡安全協作組發佈《歐盟5G網絡安全風險評估報告》，在最新一期《賽迪譯叢》中，賽迪智庫無線電管理研究所對該報告進行了編譯。

報告分析了5G網絡的主要威脅和威脅實施者、受威脅的資產、各種脆弱點以及許多戰略風險，確定了可在歐盟各國和整個歐盟層面實施的5G網絡安全風險緩解措施。

目 錄

一、簡介

二、歐盟成員國對5G網絡安全風險的評估

三、結論

四、下一步工作

一 簡 介

♦5G網絡是用於移動和無線通信技術的所有相關網絡基礎架構元素的集合。該集合還可能包括基於上一代移動無線通信技術（4G或3G）的傳統網絡元素。

♦ 2025年，估計全球5G收入將達到2250億歐元，5G技術和服務將成爲歐洲參與全球市場競爭的重要資產。

♦5G網絡的關鍵技術包括軟件定義網絡和網絡功能虛擬化技術、網絡切片技術、移動邊緣計算技術。

♦ 爲促進歐盟部署5G基礎設施和服務，“歐盟5G行動計劃” 爲5G基礎設施的公共和私人投資制定了路線圖，計劃最晚到2020年底推出商用5G網絡。

二 歐盟成員國對5G網絡安全風險的評估

威脅種類

本地或全球5G網絡中斷（可用性）；

暗中監視5G網絡基礎設施中的流量/數據（保密性）；

修改或重路由5G網絡基礎架構中的流量/數據（完整性、保密性）；

通過5G網絡破壞或更改其他數字基礎架構或信息系統（完整性、可用性）。

威脅實施者

推廣血糖降不下來的原因找到了，在線諮詢你是哪一種原因，輕鬆降血糖

受威脅資產

受威脅資產包括技術資產和非技術資產。

♦ 下表按照以下兩類標準對各類技術資產的敏感性進行了評估：

影響的類型，即保密性、可用性、完整性受到的損害程度；

影響的規模，即用戶、持續時間、受影響的基站或小區數量、被更改或訪問的信息量等。

▼

♦ 以下非技術資產類別也需要特別關注：

NIS指令下的基本服務運營商和關鍵基礎架構運營商；

政府實體、執法部門、公共保護和救災機構、軍事部門；

網絡安全法規未涵蓋的關鍵部門/實體；

戰略性私人公司；

在5G網絡出現故障時沒有備用解決方案的區域或實體。

各種脆弱點

硬件、軟件、流程和策略相關

對於移動網絡運營商及其供應商來說，以下與流程或配置相關的脆弱點特別值得關注：

♦ 缺乏專業、訓練有素的人員來保護、監視和維護5G網絡；

♦ 缺乏足夠的內部安全控制、監視實踐、安全管理系統以及風險管理實踐；

♦ 安全性或操作維護程序（例如，軟件更新/補丁程序等） 管理不足；

♦ 不遵守或未正確執行3GPP標準；

♦ 不良的網絡設計和架構；

♦ 網絡和IT基礎架構的物理安全性差；

♦ 針對本地和遠程訪問網絡組件的策略不足；

♦ 採購過程中缺乏安全要求或安全要求不足；

♦ 不良的變更管理過程等。

供應商相關

各供應商的風險狀況可以根據以下幾個因素進行評估：

♦ 第一、供應商受到非歐盟國家干涉的可能性。

♦ 第二、供應商保證供應的能力。

♦ 第三、供應商的自身供應鏈的控制程度、產品整體質量和網絡安全實踐水平。

缺乏多樣性

在單個網絡中，高度依賴單個供應商會導致對特定解決方案的依賴，這將使從其他供應商獲取解決方案變得更加困難，尤其是在解決方案無法完全互操作的情況下。

在國家和歐盟層面，供應商缺乏多樣性會增加5G基礎設施的整體脆弱性。

風險場景舉例

安全措施不足、供應鏈風險、威脅實施手段、關鍵系統依賴性、終端用戶設備。

現有的緩解措施

♦ 第一， 標準方面，3GPP SA3已經解決了一些與5G安全相關的問題，尤其是端到端加密技術。

♦ 第二， 根據歐盟電信法規，歐盟成員國可以要求在其境內提供服務的電信運營商承擔一定義務。

♦ 第三， NIS指令要求在能源、金融、醫療保健、運輸、供水等領域提供基本服務的運營商採取適當的安全措施，並將嚴重事件通報相關國家主管部門。NIS指令還包括在跨境風險和事件發生時各成員國之間的協調問題。

♦ 第四， 歐盟和國家層面的其他安全框架還包括數據保護和隱私規則（尤其是通用數據保護法規和電子隱私指令），以及適用於關鍵基礎架構的一些要求。

♦ 第五， 各MNO已採用各種安全措施，包括技術措施（例如，加密、身份驗證、自動化、異常檢測等）和與過程相關的措施（例如，脆弱點管理、事件和響應計劃、用戶權限管理、災難恢復計劃等）。

三 結 論

5G將增加網絡整體攻擊面及潛在切入點的數量；

5G第三方供應商在供應鏈中的作用更加突出 ；

5G廣泛服務和應用對網絡安全提出更高要求。

四 下一步工作

重新評估當前政策和安全框架；

充分利用現有網絡安全措施；

評估並建立風險管理措施工具箱。