文│中国信息通信研究院安全研究所 卢丹
欧盟作为5G设备供应商的市场争夺主战场,已进入5G网络建设招标的关键阶段,本文结合欧盟委员会于2019年3月发布的《欧盟-中国:战略展望》(EU-China: A Strategic Outlook)报告和相关动向,对欧盟在5G网络安全拟采取的主要举措进行阐述和分析,并提出建议。
一、欧盟的举措
《欧盟-中国:战略展望》报告认为,中国的经济实力和政治影响以前所未有的规模和速度增长,中国所带来的挑战和机遇之间的平衡已经发生了变化。因此,报告针对欧中关系建立新的平衡提出了十点行动建议,其中,针对“加强关键基础设施和基础技术的安全”部分,包括两点行动建议:第一,为了防止对欧盟关键数字基础设施可能产生的严重安全影响,欧盟需要对5G网络的安全采取共同的应对方法。为推动这一进程,欧盟委员会将在欧盟理事会之后提交一项建议。第二,为发现和提高外商投资对欧盟关键资产、技术和基础设施构成的安全风险的意识,成员国应确保迅速、充分和有效执行“外国直接投资筛选方案”。
围绕上述两项行动计划,欧盟委员会计划采取以下具体举措:
举措1:将5G网络纳入关键网络信息系统安全管理体系
欧盟认为,5G网络将成为欧盟社会和未来经济发展的重要支柱。该网络连接数十亿物体和系统,包括关键部门的敏感信息和通信技术系统,5G网络中的任何漏洞都可能危害相关系统和数据基础设施,从而可能造成重大破坏性影响。欧盟各成员国应遵从欧盟2017年发布的《网络与信息安全指令》(NIS Directive)和2018年发布的《欧洲电子通信守则》( European Electronic Communications Code)的统一指导,针对5G网络和相关基础技术的安全保障尽快制定国家战略,包括明确战略执行机构、风险评估计划、应急处置措施和部门协作机制等。后续,欧盟各成员国将在今年6月底之前开展5G网络安全风险评估,在10月1日前完成欧盟范围的评估,并于年底前就统一措施达成一致。
举措2:建立5G网络安全风险管理多层次联动合作机制
由于5G网络将可能在交通、能源、电力、医疗等多个行业催生更多应用形态,且推陈出新的速度越来越快,其安全风险未知大于已知,因此,欧盟正积极推动各成员国在应对5G网络攻击方面加强合作,进一步夯实联动合作机制,基于已建立的纵贯“成员国—欧盟—国际层面”的合作网络,要求网络安全主管机构、计算机应急响应小组、公私营企业等进一步强化安全战略协作、信息通报、标准研讨和事件处置等方面的协作,以应对难以准确预判的5G网络安全风险,提高应急响应速度。
举措3:加大对5G网络攻击行为的横向制裁力度
今年3月,欧盟委员会提议建立覆盖全球网络攻击行为的横向制裁制度(horizontal sanctions regime)。该制度将能够覆盖世界各地,不论网络攻击从何处发起,以及是国家行为还是非国家行为,都将使欧盟能针对威胁欧盟及其成员国和公民安全的网络攻击行为作出响应。由于5G网络引入全新架构和技术,包括网络功能虚拟化、边缘计算、网络功能开放等,打破了传统电信网的封闭特点,使网络模糊的设备安全边界、开放端口、集中控制器和边缘部署节点,都可能成为新的网络攻击目标。欧盟倡议建立的横向制裁制度,是针对5G网络安全威胁源的主动防御行为。
举措4:推动建立欧盟统一的网络安全认证制度
欧盟于今年3月批准生效的《网络安全法案》(Cybersecurity Act),赋予欧盟网络和信息安全局(ENISA)一项新的重要任务,即推动建立欧盟首个统一的网络安全认证制度。该认证将适用于欧盟市场的所有信息通信设备、服务和流程(包含5G)。认证可采用企业自评或第三方评估的方式,由认证机构依据公开、透明的技术标准,采用技术文档审查、生产流程检查、安全功能核验和模拟攻击测试等评估手段,将产品的网络安全能力划分为基础、坚实和高级三个等级,并以证书的方式告知消费者。
举措5:加强5G网络外商投资筛查和关键技术出口管制
2019年4月,欧盟《外商直接投资筛选框架法案》(Regulation on Screening of Foreign Direct Investment)生效。该法案是欧盟第一部针对外国直接投资审查的框架性条例。依据该法案,欧委会将有权对可能“影响欧盟利益”的特定外商直接投资发表意见,尽管不能直接否决相关交易或对其增加附加条件,成员国需“最大程度考虑”欧委会意见。此外,欧委会还提交了关于出口管制体系现代化的建议法案(Modernizing the Export Control Regulation)并呼吁尽快通过。新法案重点提出要加强对网络监控技术出口管制,并应根据技术发展重新修改出口管制的军民两用物项定义,确保欧盟相关技术不被滥用。
二、对举措的分析
欧盟针对5G网络安全采取的举措,反映出欧盟对5G网络安全问题的认知:
(一)强化欧盟着力提升5G网络安全保障能力的目标
欧盟将5G网络安全上升到国家战略,反映出欧盟对5G网络安全的高度重视。欧盟在现有关键基础设施安全保障能力基础上,进一步强化协同机制、横向制裁制度,旨在构建多方参与、全生命周期的5G网络安全体系,增强对网络攻击行为的震慑作用,有效应对5G网络在融合应用带来的安全风险范围扩大、涉及主体增多、风险难以把控等方面的挑战。
(二)通过网络安全认证制度统一5G设备安全基线
欧盟推出网络安全认证制度,一方面能够统一各成员国差异化的认证体系,避免设备的重复认证,实现“一次认证,全域通过”,降低对欧市场相关产品的认证成本;另一方面能够有效应对5G网络终端设备带来的安全挑战,避免由于设备(尤其是物联网设备)安全能力差异,削弱网络的整体安全等级,提高5G设备的整体安全基线。此外,该制度强调依据公开、透明的技术标准开展5G网络产品开展安全能力评估,说明欧盟对供应链安全问题持有较为理性的态度,通过可验证的安全能力与技术数据,确保5G网络安全。
(三)体现加强5G网络安全把控确保领先地位的意愿
欧盟加强关键资产、技术、基础设施的外商投资限制和有关技术的出口审查,原因可总结为两点:一方面是近年来欧盟的外商直接投资占比不断增长,特别是对欧盟高科技企业的并购和基础设施的购买,包括5G关键技术或基础设施并购,引发欧盟对外商投资给欧盟内部安全带来影响的担忧。另一方面是欧洲国家一直走在5G研发领域的前沿,由于5G及其相关基础设施有望给欧盟经济创造巨额经济利润,因此,欧盟希望通过控制外商投资和技术出口,保障欧盟5G竞争力,最大化欧盟的经济利益。欧盟的这一举措从侧面委婉地表达了对中国5G发展良好势头的安全威胁担忧,若未来将中国作为外商投资限制或出口管制对象,将可能使我国未来对欧盟一些领域的投资难度加大。
三、应对思考
基于对欧盟5G网络安全举措分析,可以看出,欧盟还将会通过5G网络安全评估工作,持续推出5G网络安全的相关细化要求。在当前各国争夺5G网络先发优势的背景下,5G网络安全已不再是单纯的技术问题,欧盟的部分举措也包含多种政治和经济因素,对我国来说,既是机遇,也是挑战。
一方面,5G网络安全是我国网络强国战略的重要组成部分,欧盟在5G网络安全风险的管控措施,值得我国借鉴和参考,通过识别5G网络新技术和新业务带来的安全风险点,进一步推动建立万物互联时代更紧密、高效的风险管控闭环。
另一方面,针对欧盟推出的设备安全认证、外商投资和出口管制相关政策可能对我国带来的挑战,应继续关注欧盟相关政策的实施进展和细化要求,加强与欧盟的对话与沟通,指导我国5G设备制造商做好设备安全合规,营造双方在5G网络合作共赢的生态格局,共同促进在5G网络安全标准研制、设备安全认证等方面的合作。
(本文刊登于《中国信息安全》杂志2019年第6期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
