获取《软件与服务行业深度报告:国产操作系统谁主沉浮》完整版,请关注绿信公号:vrsina,后台回复“5G报告及白皮书”,该报告编号为20bg0086。
2019年10月,欧盟国家网络安全协作组发布《欧盟5G网络安全风险评估报告》,在最新一期《赛迪译丛》中,赛迪智库无线电管理研究所对该报告进行了编译。
报告分析了5G网络的主要威胁和威胁实施者、受威胁的资产、各种脆弱点以及许多战略风险,确定了可在欧盟各国和整个欧盟层面实施的5G网络安全风险缓解措施。
目 录
一、简介
二、欧盟成员国对5G网络安全风险的评估
三、结论
四、下一步工作
一 简 介
5G网络是用于移动和无线通信技术的所有相关网络基础架构元素的集合。该集合还可能包括基于上一代移动无线通信技术(4G或3G)的传统网络元素。
2025年,估计全球5G收入将达到2250亿欧元,5G技术和服务将成为欧洲参与全球市场竞争的重要资产。
5G网络的关键技术包括软件定义网络和网络功能虚拟化技术、网络切片技术、移动边缘计算技术。
为促进欧盟部署5G基础设施和服务,“欧盟5G行动计划” 为5G基础设施的公共和私人投资制定了路线图,计划最晚到2020年底推出商用5G网络。
二 欧盟成员国对5G网络安全风险的评估
威胁种类
本地或全球5G网络中断(可用性);
暗中监视5G网络基础设施中的流量/数据(保密性);
修改或重路由5G网络基础架构中的流量/数据(完整性、保密性);
通过5G网络破坏或更改其他数字基础架构或信息系统(完整性、可用性)。
威胁实施者
推广血糖降不下来的原因找到了,在线咨询你是哪一种原因,轻松降血糖
受威胁资产
受威胁资产包括技术资产和非技术资产。
下表按照以下两类标准对各类技术资产的敏感性进行了评估:
影响的类型,即保密性、可用性、完整性受到的损害程度;
影响的规模,即用户、持续时间、受影响的基站或小区数量、被更改或访问的信息量等。
▼
以下非技术资产类别也需要特别关注:
NIS指令下的基本服务运营商和关键基础架构运营商;
政府实体、执法部门、公共保护和救灾机构、军事部门;
网络安全法规未涵盖的关键部门/实体;
战略性私人公司;
在5G网络出现故障时没有备用解决方案的区域或实体。
各种脆弱点
硬件、软件、流程和策略相关
对于移动网络运营商及其供应商来说,以下与流程或配置相关的脆弱点特别值得关注:
缺乏专业、训练有素的人员来保护、监视和维护5G网络;
缺乏足够的内部安全控制、监视实践、安全管理系统以及风险管理实践;
安全性或操作维护程序(例如,软件更新/补丁程序等) 管理不足;
不遵守或未正确执行3GPP标准;
不良的网络设计和架构;
网络和IT基础架构的物理安全性差;
针对本地和远程访问网络组件的策略不足;
采购过程中缺乏安全要求或安全要求不足;
不良的变更管理过程等。
供应商相关
各供应商的风险状况可以根据以下几个因素进行评估:
第一、供应商受到非欧盟国家干涉的可能性。
第二、供应商保证供应的能力。
第三、供应商的自身供应链的控制程度、产品整体质量和网络安全实践水平。
缺乏多样性
在单个网络中,高度依赖单个供应商会导致对特定解决方案的依赖,这将使从其他供应商获取解决方案变得更加困难,尤其是在解决方案无法完全互操作的情况下。
在国家和欧盟层面,供应商缺乏多样性会增加5G基础设施的整体脆弱性。
风险场景举例
安全措施不足、供应链风险、威胁实施手段、关键系统依赖性、终端用户设备。
现有的缓解措施
第一, 标准方面,3GPP SA3已经解决了一些与5G安全相关的问题,尤其是端到端加密技术。
第二, 根据欧盟电信法规,欧盟成员国可以要求在其境内提供服务的电信运营商承担一定义务。
第三, NIS指令要求在能源、金融、医疗保健、运输、供水等领域提供基本服务的运营商采取适当的安全措施,并将严重事件通报相关国家主管部门。NIS指令还包括在跨境风险和事件发生时各成员国之间的协调问题。
第四, 欧盟和国家层面的其他安全框架还包括数据保护和隐私规则(尤其是通用数据保护法规和电子隐私指令),以及适用于关键基础架构的一些要求。
第五, 各MNO已采用各种安全措施,包括技术措施(例如,加密、身份验证、自动化、异常检测等)和与过程相关的措施(例如,脆弱点管理、事件和响应计划、用户权限管理、灾难恢复计划等)。
三 结 论
5G将增加网络整体攻击面及潜在切入点的数量;
5G第三方供应商在供应链中的作用更加突出 ;
5G广泛服务和应用对网络安全提出更高要求。
四 下一步工作
重新评估当前政策和安全框架;
充分利用现有网络安全措施;
评估并建立风险管理措施工具箱。