(CWW)5G網絡已成為世界各國促進經濟發展和數字化轉型的重要基礎設施,在經濟和社會中扮演著至關重要的角色,5G網絡的重要性推動世界各國將5G安全納入國家級戰略。從2019年3月26日,歐盟發布《5G網絡安全建議》(簡稱《建議》)[1]開始,歐盟陸續采取有針對性的系列化措施,有序推進5G安全監管工作。歐盟首先推動各成員國開展5G網絡風險評估,并發布《5G網絡安全風險評估報告》(簡稱《風險評估報告》)[2]。在評估5G安全風險的基礎上,歐盟細化了電信監管框架中相關法律要求,制定和出臺了包括《歐盟5G網絡安全風險消減措施工具箱》(簡稱《工具箱》)[3]在內的系列5G安全指導文件。歐盟5G安全監管框架及系列指導文件為歐盟成員國確保5G網絡服務提供商、設備制造商采取適當的安全措施保障5G網絡安全,提供了法律支撐和深入指導。
1 歐盟5G安全監管框架
歐盟電信監管框架一直在不斷地更新和完善,目前歐盟電信監管框架以《網絡安全法》[4]、《網絡與信息系統安全指令》(Directive on Security of Network and Information Systems,簡稱《NIS指令》)[5]、《歐盟電子通信準則》(European Electronic Communications Code,簡稱《EECC》)[6]和《外國直接投資審查條例》[7]等監管法律為主,已覆蓋電信設備認證、安全事件跨境通報與協助、網絡安全要求、外商投資審查與監控等多個方面,成為保障歐盟5G網絡安全發展的重要法律依據。在5G安全方面,歐盟發布的《5G網絡安全建議》[1],從頂層對5G安全監管工作的實施路徑進行了規劃。為細化5G網絡監管要求,落實《建議》中的推進方案,加速5G網絡安全能力落地,網絡和信息安全協作小組(Cooperation Group on Network and Information Security,簡稱“NIS協作小組”)、歐盟委員會網絡安全局(European Union Agency for Cybersecurity,ENISA)等組織先后發布《風險評估報告》[2]、《5G網絡威脅視圖》(簡稱《威脅視圖》)[8]、《工具箱》《EECC安全措施指南》(簡稱《EECC指南》)[9]及《EECC安全措施指南——5G補充說明》(簡稱《5G補充說明》)[10]等指導性文件,為通信服務提供商、設備制造商緩解5G網絡安全風險提供了更加明確的技術指導。目前,歐盟已經基本構建了較為完善的以“法律框架+指導性文件”為支撐的5G安全監管框架,穩步推進5G安全監管工作(見圖1)。
圖1 5G安全相關的法律框架及指導性文件
1.1 5G安全監管相關法律
1.1.1 《NIS指令》《NIS指令》于2016年8月正式發布,是歐盟范圍內有關網絡安全的第一部法律,對包括5G通信服務提供商在內的所有ICT運營者和數字服務提供商提出了歐盟層面的統一安全要求。《NIS指令》要求歐盟成員國要建立網絡安全事件應急小組和統一應急網絡以加強網絡安全事件運營合作,同時要強化ICT服務提供商及云計算等數字服務提供商的網絡事件上報機制。
考慮到網絡安全威脅的不斷擴展,2020年12月16日,歐盟對《NIS指令》進行了修訂,提出了一個更高級別的網絡與信息系統安全要求,目前該指令處于提案階段。修訂的《NIS指令》加強了風險管理,提出要設立網絡安全基線要求,同時要求積極應對來自供應鏈和供應商的安全風險。修訂的《NIS指令》已將風險評估作為降低5G網絡供應鏈安全風險的重要措施。
1.1.2 《EECC》《EECC》于2018年12月由歐盟正式發布,是規范電子通信網絡和服務的一項指令。《EECC》對原有電信監管法律進行了整合和更新,正式成為現行監管模式的有效支撐法律。《EECC》要求歐盟成員國于2020年 12月21日前將相關指令轉化為本國立法。其中,在電信網絡安全方面詳細定義了網絡、服務安全以及安全事件,明確了通信服務提供商維護網絡安全性和完整性的職責以及監管機構的監督權力。《EECC》并未直接對網絡設備制造商提出要求,而是通過對通信服務提供商提要求間接實現對網絡設備制造商的監管。在《EECC》下,5G網絡服務提供商將在網絡安全風險評估和安全能力建設方面接受當局主管部門的監督。
1.1.3 《5G網絡安全建議》2019年3月歐盟通過的《5G網絡安全建議》,可看作是歐盟關于5G安全工作的頂層規劃。提出了全面的 5G安全工作建議、歐盟和國家層面的行動計劃,具體包括:首先,成員國要在規定時間內完成風險評估并提交評估報告;其次,ENISA要基于評估報告進一步細化并完成5G網絡威脅狀況調查分析;之后,NIS協作小組要制定《工具箱》以緩解可能存在的安全風險;此外,成員國與歐盟還將展開新一輪評估,以便確定推進措施的效果,從而確定未來是否需要進一步采取行動。雖然2020年因為新冠肺炎疫情原因,原計劃由各成員國完成的實施計劃和階段性報告出現了一定程度的延遲,但整體還是按照《5G網絡安全建議》有序推進5G安全各項工作。
1.1.4 《外國直接投資審查條例》2019年4月,歐盟《外國直接投資審查條例》生效。依據《外國直接投資審查條例》,歐盟有權對參與5G網絡等關鍵基礎設施投資的外商進行審查和定期監控,以保障5G網絡等關鍵基礎設施的安全性,同時避免關鍵資產對外商的過度依賴。這也是歐盟保障5G供應鏈安全的有效工具。
1.1.5 《網絡安全法》《網絡安全法》于2019年6月生效,首次為歐洲產品、流程和服務的網絡安全認證機制建立了全面的《歐盟網絡安全認證框架》,并對ENISA進行了永久授權。《網絡安全法》對ENISA賦予更多的資源和任務:一是支撐歐盟網絡安全認證框架建設,為統一認證構建技術基礎;二是加強歐盟層面合作,協調處理歐盟成員國內或跨區域的網絡安全事件。歐盟網絡安全認證機制落地后,在歐盟開展業務的公司僅需要對其ICT產品、流程和服務進行一次認證,即可獲得在整個歐盟范圍內認可的證書。5G相關產品、流程和服務后續也將在“歐盟網絡安全認證框架”下進行認證。
歐盟存在許多針對ICT產品的不同安全認證方案,但此前尚未有適用于整個歐盟范圍內的網絡安全通用框架。統一認證框架將提供一套完整的規則,包括認證產品、服務列表、網絡安全技術要求、安全技術標準,以及認證程序。目前,“歐盟網絡安全認證框架”下的認證要求雖為非強制性要求,但歐盟計劃后續評估需強制認證的產品和服務,并進一步通過立法推動強制性認證。為保障《網絡安全法》的有效實施,有序推動歐盟網絡安全認證工作,歐盟專門成立了歐洲網絡安全認證小組(European Cybersecurity Certification Group,ECCG)。該小組將監督和協調歐盟范圍內網絡安全認證工作,并協助ENISA開展工作。
1.2 指導文件
在法律框架指導下,按照《建議》相關計劃和時間安排,NIS協作小組和ENISA分別發布了《歐盟5G網絡安全風險評估報告》和《5G網絡威脅視圖》;基于這兩份報告,ENISA梳理了緩解5G網絡安全風險的相關舉措,形成了《工具箱》。在《EECC》轉換為成員國法律之后,為更好地指導成員國落實《EECC》要求,同時推動《工具箱》安全措施的執行,ENISA發布了《EECC安全措施指南》及《EECC安全措施指南——5G補充說明》。以下針對這幾個重點文件內容進行介紹。
1.2.1 《歐盟5G網絡安全風險評估報告》及《5G網絡威脅視圖》2019年10月9日,NIS協作小組發布了《歐盟5G網絡安全風險評估報告》,定義了敏感資產及每類資產的風險程度,并對資產中存在的關鍵要素進行了細化,同時列舉了關鍵風險點,以及風險存在的主要場景(見表1、表2)。為應對技術層面的5G網絡威脅,ENISA發布了《5G網絡威脅視圖》,該報告詳細將5G核心網架構、切片、網絡管理與編排、接入網、網絡功能虛擬化(Network Function Virtualization,NFV)、軟件定義網絡(Software Defined Network,SDN)、 多接入邊緣計算(Multi-access Edge Computing,MEC)、安全架構,及物理層架構的每個組件和接口進行了拆分,并深入分析了每部分威脅來源。2020年12月,ENISA對《5G網絡威脅視圖》進行了更新[11],詳細補充了5G網絡中組件和接口存在的安全漏洞。《5G網絡威脅視圖》將作為通信服務提供商和設備制造商增強5G安全能力的有力技術指導文件。
表1 敏感資產列表
表2 關鍵風險
1.2.2 《工具箱》2020年1月,NIS協作小組發布了《工具箱》,通過制定一套通用安全措施,為國家和歐盟層面應對風險,選擇風險消減措施提供指導意見。《工具箱》中的風險消減措施包括8項戰略措施和11項技術措施,此外還包括10項支撐行動,具體參見表3。
表3 《工具箱》措施
《工具箱》整體措施較為中立。在戰略措施中,提出了要評估供應商的風險等級,對高風險供應商進行限制,降低單一供應商產品的市場占有率,但并未針對特定國家及供應商。在技術措施中,強調了要通過認證和標準化等方式解決現存技術問題。在支撐行動中,強調了通過推動標準化、認證以及最佳實踐等模式加速歐盟5G安全措施的落地。《工具箱》現已成為歐盟及成員國開展5G安全工作的宏觀性指導文件。
1.2.3 《EECC指南》及《5G補充說明》2020年12月,ENISA基于EECC發布了一份非約束性文件《EECC指南》,旨在指導成員國落實歐盟電信監管框架下安全相關法規,為各國電信監管機構提供更加明確的技術指引。同時,針對5G網絡安全,單獨出臺了《5G補充說明》。
《EECC指南》列出了8個安全領域(治理和風險管理,人力資源安全,系統和設施安全,運營管理,事件管理,業務連續性管理,監控、審計,測試、威脅態勢感知)的29個安全目標。對于每個安全目標,《EECC指南》均詳細列舉了通信服務提供商為達到目標需采取的安全措施,并提供了用于評估安全措施是否到位所需出示的相關證明。《EECC指南》中的安全措施源自現有網絡和信息安全國際標準,且每類安全措施與標準均有對應,標準包括ISO 27001、ISO 27001、ISO 27005和ISO 22301。
此外,《EECC指南》還從監督的角度出發為監管機構提出了相關建議:一是將安全標準納入強制或推薦標準;二是評估全行業的安全性;三是將安全措施分為基礎級別、行業標準級別和先進水平級別,使通信服務提供商可結合自身情況采取適當的安全措施分階段滿足監管要求;四是可采用定期、隨機或事后的方式監管通信服務提供商的安全措施落實情況。《EECC指南》將作為歐盟網絡安全監管的主體框架,對包含5G網絡在內的各系統安全措施部署均有指導作用。作為5G安全措施指導文件,《5G補充說明》結合了5G網絡情況,以前期在整個歐盟層面開展的風險評估和風險消減措施工作為基礎,為監管部門及通信服務提供商提供了確保5G網絡安全的措施指導。《5G補充說明》進一步落實了歐盟5G《工具箱》支撐行動SA01(審查或制定網絡安全方面的指導方針和最佳實踐),有效推動《工具箱》中戰略措施和技術措施的執行,并就《 工具箱》中的技術安全措施,特別是TM01(確保安全要求基線的實施,即安全網絡設計與架構)向歐盟成員國提供進一步的細化指導。
《5G補充說明》依據《EECC指南》重點對8個安全域中常規和特定的安全措施制定了專門適用于5G網絡的檢查列表。該檢查列表將作為歐盟各成員國監管部門檢查通信服務商5G安全能力的重要參考文件。此外,針對網元,以及網絡虛擬化、網絡切片、邊緣計算等5G網絡關鍵技術,《5G補充說明》梳理了3GPP、ETSI相關國際標準和最佳實踐,為監管機構及通信服務提供商提供指導。其中,網元的安全要求,參考3GPP安全保障(Security Assurance Specification,SCAS)系列規范,包括TS 33.501、TS 33.511-TS 33.522等標準;NFV安全可參考ETSI NFV-SEC 001、ETSI NFV-SEC 003、ETSI NFV-SEC 021、3GPP TR 33. 848、NIST SP 800-125、NIST SP 800-125B、NIST SP 800-190等標準;網絡切片安全可參考TR 33. 811和TR 33.813;多接入邊緣計算安全可參考ETSI的GS MEC 002和GS MEC003系列標準。
2 分析解讀
2.1 歐盟5G安全監管將向強制化方向發展
從歐盟目前的電信監管框架來看,針對網絡安全問題,歐盟已經形成一套較為完整的,對通信服務提供商、設備制造商、成員國電信監管部門都具有約束力的監管體系。歐盟出臺的一系列文件,已從戰略層面、技術管理層面及實施層面對5G安全工作進行了細化和推進,同時對各成員國提出了監管建議。《EECC指南》建議監管機構與通信服務提供商等主體共同商議需要進行強制性要求的安全措施,各成員國將根據EECC等相關法律規定各國的強制性安全技術規范。此外,根據當前歐盟《網絡安全法》 等法律文件,歐盟網絡安全認證機制(含5G安全認證)將由自愿采用向強制性認證要求過渡。可以看出,歐盟針對5G安全的監管將逐漸向強制化方向發展,其中對5G設備、服務和流程的安全要求將通過歐盟網絡安全認證機制統一推進。
2.2 歐盟將分級分階段推動5G網絡安全要求落地
《EECC指南》和《5G補充說明》中引入了ISO、3GPP、ETSI等組織的安全標準,由于安全措施紛繁,不同通信服務提供商、設備制造商的市場份額和安全保障能力也具有差異性,結合實際落實情況,歐盟建議將安全措施分為基礎級別、行業標準級別和先進水平級別,并指出通信服務提供商應根據其網絡和服務的風險評估情況采取適當的措施保障網絡和服務安全。結合歐盟在《EECC指南》中的建議,歐盟各國的5G網絡安全要求將會結合網絡資產的重要性、運營主體水平的差異性分階段實施。同時,歐盟也會確保通信服務提供商、設備制造商在實施基礎級別安全措施的基礎上,根據網絡服務的重要性、提供商的規模大小和安全目標的實施復雜性逐步提高安全措施級別。
2.3 5G供應鏈安全被納入5G安全監管范圍
在措施中,歐盟提出要加強評估供應商風險等級,同時對高風險供應商進行限制,并將多供應商策略納入歐盟5G供應鏈安全的重要手段。《5G補充說明》對《工具箱》戰略措施進行了細化,明確了供應商風險評估的內容,并提出了高風險供應商需進行定期安全測試、漏洞評估/掃描、滲透測試等。與美國將政治因素納入5G安全不同,歐盟更多是從技術的角度評估和管理5G供應鏈安全。現有歐盟電信監管框架已綜合考慮了5G網絡生命周期各環節的安全要求。其中,《網絡安全法》推動采用認證的模式保證5G設備、服務和流程在入網前滿足安全要求;《EECC指南》及《外國直接投資審查條例》推動采用評估、定期審查等手段保障5G設備、服務和流程入網后的安全要求,多措并舉,最大程度減少5G供應鏈的安全風險。
3 結束語
總體來看,歐盟建立了一套以“法律+指導文件”為支撐的較為完整的5G安全監管體系,從風險評估、威脅分析,到措施指導、技術指引,并通過開展實施效果評估確定后續工作計劃。在具體實施路徑方面,歐盟以“委員會建議”這種法律文件的形式,對5G安全相關工作進行了頂層規劃,以確保歐盟和其成員國能按照規劃有序推進5G安全各項工作。參考歐盟5G安全戰略和系列監管措施,我國也應積極研究分析,結合我國5G網絡發展模式,盡快構建我國5G網絡安全保障體系。
參考文獻
[1] ENISA. Commission recommendation-cybersecurity of 5G networks[EB/OL]. [2020-11-20]. https://ec. europa.eu/digital-single-market/en/news/cybersecurity-5g-networks.
[2] ENISA. EU coordinated risk assessment of the cybersecurity of 5G networks[EB/OL]. [2020-11-20].https://ec.europa.eu/digital-single-market/en/news/euwide-coordinated-risk-assessment-5g-networks-security.
[3] ENISA. Cybersecurity of 5G networks EU toolbox of risk mitigating measures[EB/OL]. [2020-11-20].https://ec.europa.eu/digital-single-market/en/news/cybersecurity5g-networks-eu-toolbox-risk-mitigating-measures.
[4] European Parliament and of the Council. Cybersecurity act[EB/OL]. [2020-11-20].https://eur-lex.europa.eu/eli/reg/2019/881/oj.
[5] European Parliament and of the Council. Directive on security of network and information systems[EB/OL]. [2020-11-20]. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri= uriserv:OJ.L_.2016.194.01.0001.01.ENG&toc =OJ:L:2016:194:TOC.
[6] European Parliament and of the Council. European electronic communications code[EB/OL]. [2020-11-20]. https://eur-lex.europa. eu/legal-content/EN/TXT/?uri = uriserv%3AOJ.L_.2018.321.01.0036.01.ENG.
[7] European Parliament and of the Council. Foreign Direct Investment(FDI) screening regulation[EB/OL]. [2020-11-20].https://eur-lex.europa.eu/eli/reg/2019/452/oj.
[8] ENISA. ENISA threat landscape for 5G[EB/OL]. [2020-11-20].https://www.enisa.europa.eu/news/enisa-news/enisa-draws-threat-landscape-of-5gnetworks.
[9] ENISA. Guideline on security measures under the EECC[EB/OL]. [2020-11-20]. https://www.enisa. europa.eu/publications/guideline-on-security-measures-under-theeecc.
[10] ENISA. 5G supplement to the guideline on security measures under the EECC[EB/OL]. [2020-11-20].https://www.enisa.europa.eu/publications/5g-supplementsecurity-measures-under-eecc.
[11] ENISA. ENISA 5G threat landscape-update[EB/OL]. [2020-11-20]. https://www.enisa.europa.eu/news/enisa-news/updated-enisa-5g-threat-landscape-report-toenhance-5g-security.
本文刊于《信息通信技術與政策》2021年 第5期