作者 林星辰 国家互联网应急中心;张 冰 国家互联网应急中心;董宏伟 江苏分中心

从全球战略布局看,5G争夺战已经成为世界主要大国在高新技术领域竞争的焦点,与军事、经济、政治等因素融合趋势明显。欧盟近期发布一系列旨在确保成员国5G基础设施处于安全状态的建议,同时也指出了各成员国对供应核心网络设备的供应商进行背景评估的责任,对我国5G发展产生了较大影响。

一、近期欧盟在5G上的政策动向

(一)欧盟出台“5G网络安全工具箱”

2020年1月29日,欧盟出台名为“5G网络安全工具箱”的指导性文件,要求欧盟成员国评估5G供应商的风险情况,对所谓“高风险”供应商设限。

1.主要内容

欧盟5G网络安全“工具箱”是根据欧委会2019年10月出炉的“5G网络安全评估报告”制定的,分为“战略”和“技术”两大方面。主要措施包括:加强针对网络运营商的安全要求;加强对设备供应商的风险评估,针对高风险供应商采取适当限制,包括将其排除在核心网之外;确保网络运营商采取分散风险战略,避免过度依赖单一供应商;维护多元且可持续的5G供应链,一方面充分利用外国投资审查、贸易防御及反不正当竞争等欧盟政策工具,另一方面通过加大项目资金投入增强欧盟在5G和未来电信科技领域的自主能力;统筹协调成员国制定统一的5G安全标准和认证机制。文件呼吁成员国利用欧盟项目和资金,进一步提升5G和后5G技术能力,同时欧盟将协调推动标准化进程,制定欧盟认证项目,推广“更安全的产品和流程”。值得一提的是,文件中并未指出将排除中国企业参与欧洲5G网络建设。此外,根据文件列出的时间表,欧盟委员会呼吁成员国在2020年4月30日前采取措施落实文件内容,今年6月30日前欧盟委员会准备就成员国落实情况起草一份报告,今年10月1日前成员国应进行评估,决定是否需要进一步采取行动。

2.主要看点

欧洲委员会公布的安全指南并未提及特定的国家和企业名称,但是从内容来看暗指中国和华为技术。该指南不具有强制约束力,各国也可利用各自的权限排除华为。但是,不希望排除已经在欧洲握有很高份额、价格也很便宜的华为产品是欧盟各国的真实想法。预计大多数国家将与指南保持一致步调。各国将基于这份指南提出的建议,决定本国的政策,并在6月之前向欧洲委员会报告。指南要求成员国评估5G设备供应商的风险状况。评估除了技术层面外,还要求从“非技术层面”的角度出发,敦促成员国调查国家政府是否参与了企业活动。该要求被认为是着眼中国政府与华为的关系而提出。为了分散风险,还建议欧盟企业从多个供应商采购,不要从1家供应商集中采购。对于可能存在高风险的供应商,将适用网络准入限制,将高风险供应商从“被定义为重要的设备”中排除。具体来看,对于传输重要信息的网络核心部分,将在引入严格限制的基础上进行排除,而对于天线等终端部分,将通过宽松的限制敞开大门。欧洲各国在通信基础设施领域,依赖从华为技术采购众多零部件。有观点担忧,如果将华为从5G网络中排除,欧洲的5G网络建设速度将放慢。在发展尖端技术层面,欧洲本来就比中国和美国慢一步,这也令欧盟感到焦虑。

欧盟发布《5G网络安全协调风险评估报告》

2019年10月9日,在欧盟委员会和欧洲网络安全局的支持下,欧盟成员国发布了一份欧盟对5G网络安全风险的评估报告。这一重大举措是执行欧盟委员会于2019年3月通过的安全建议的一部分,该建议旨在确保整个欧盟5G网络的高水平网络安全。该报告基于所有欧盟成员国的国家网络安全风险评估结果。报告确定了主要威胁和威胁行为者,最敏感的资产,主要漏洞(包括技术漏洞和其他类型的漏洞)以及许多战略风险。这一评估为确定可在国家和整个欧盟层面实施的缓解措施提供了基础。

1.主要内容

《报告》识别了大量重要的网络安全挑战,与现有网络相比,5G网络的主要安全挑战体现在:5G技术的关键创新;供应商在构建和运营5G网络中的角色,以及对单个供应商的依赖性。认为5G网络的发布将带来的主要影响有:一是增加攻击面和更多的潜在攻击入口。因为5G网络更多地依赖软件,因此产生了很多相关安全漏洞的风险。攻击者可以更容易地插入后门到产品中,并且更加难以检测。二是由于5G网络架构的新特点和功能,一些网络组件和功能变得更加敏感,比如基站和网络的关键技术管理功能。三是移动网络运营商对供应商的依赖相关的风险。这会引发大量攻击者可以利用的攻击路径,并增加此类攻击的潜在影响的严重程度。其中非欧盟成员国和有国家背景的风险是最严重的。四是网络可用性和完整性的威胁成为主要的安全考虑。除了机密性和完整性的威胁外,5G网络有望成为许多关键IT应用的骨干,这些网络的完整性和可用性将成为国家安全的主要威胁,以及欧盟的主要安全挑战。

2.主要看点

欧盟提出一个新的安全图谱,因此需要重新评估适用于相关机构和生态的当前政策和安全框架,欧盟成员国也需要采取必要的缓解措施。为完善欧盟成员国的安全评估报告,欧盟网络安全局正在制作与5G网络相关的威胁图谱映射。

(三)欧盟委员会通过《5G网络安全建议》

2019年3月26日,在获得欧洲理事会的支持后,欧盟委员会通过了《5G网络安全建议》,呼吁欧盟成员国完成国家风险评估并审查国家安全措施,并在整个欧盟层面共同开展统一风险评估工作,同时就一个通用的缓解措施工具箱进行商议。

1.主要内容

在国家层面,每个成员国都完成了5G网络基础设施的国家风险评估,并将评估结果发送给了欧盟委员会和欧洲国家网络安全委员会(ENISA)。国家风险评估特别审查了影响5G网络、敏感5G资产以及相关漏洞的主要威胁和威胁行为者,这些漏洞包括技术漏洞和其他类型的漏洞,例如5G供应链中潜在产生的漏洞。

2.主要看点

一是5G网络遭受攻击的风险增加,并且攻击者有更多潜在的切入点:由于5G网络越来越基于软件,与重大安全缺陷相关的风险越来越重要,比如供应商内部糟糕的软件开发流程。这还将使威胁行为者更容易恶意地在产品中插入后门,并使其更难被发现。二是由于5G网络架构的新特性和新功能,某些网络设备或功能变得越来越敏感,例如基站和网络的关键技术管理功能。三是与移动网络运营商对供应商的依赖相关的风险增加。这也将导致更多的攻击路径可能被威胁行为者利用,并增加此类攻击影响的潜在严重性。在各种潜在威胁行为者中,非欧盟国家或欧盟国家支持的行为者,被认为是最危险的行为者,也是最有可能瞄准5G网络的对象。四是在这种由供应商导致的被攻击风险增加的情况下,单个供应商的风险状况将变得尤为重要,包括供应商受到非欧盟国家干预的可能性。五是对供应商的重度依赖关系带来的风险增加:对单个供应商的重度依赖关系增加了潜在的供应中断风险,例如由于商业破产及其后果导致的供应中断。它还加剧了弱点或漏洞的潜在影响,同时威胁行为者可能会利用这些弱点,特别是在依赖关系涉及存在高度风险的供应商的情况下。六是对网络可用性和完整性的威胁将成为主要的安全问题:除了机密性和隐私威胁外,5G网络预计将成为许多关键IT应用的骨干,这些网络的完整性和可用性将成为国家安全的主要问题,从欧盟的角度来看,这也是一个重大的安全挑战。

从以上措施来看,欧洲国家一直走在5G领域的前沿,加上两家北欧公司(诺基亚和爱立信)是领先的5G技术制造商,欧盟有望成为5G的全球领导者。但就目前全球5G领域竞争的形势来看,欧盟似乎错过了成为领头羊的机会。如果在这个领域失去竞争力,欧洲经济将遭受重大负面影响,同时新兴技术发展也会滞后。欧洲各国对于中国科技巨头华为一直存在争议,美国也因国家安全问题积极引导其欧洲伙伴警惕中国5G技术。

二、欧盟在5G领域对华态度不一,执行效果存疑

(一)欧盟在5G领域无法与中国脱钩

英国、法国、德国和捷克共和国几个欧洲国家纷纷在2018年年末采取措施审查华为,为即将举行的频谱拍卖会做准备,并在2019年建立各自的5G网络。此前英国最大的电信提供商BT已经宣布计划将华为设备从现有网络中删除,然而英国国内第二大电信运营商对外发布消息称将联合华为正式在英国测试华为5G信号,同时电信公司还主动联系英国的EE公司,希望能够达成合作,一起将英国的5G网络发展起来。英国政府已确认,华为可继续与英国客户合作以确保5G顺利部署。德国方面的忧虑主要来源于情报界,有专家担心中国政府会借助华为的技术访问加密数据用于间谍或破坏目的。美国政府一直向德国施加“诱惑”,企图促使德国对华为采取限制行动。然而德国的态度似乎并不积极。2018年12月初,德国电信表示已在华为设备支持下于华沙建立起东欧第一个“完整运作”的5G网络,并向部分商业客户与合作伙伴开放服务。近日,德国联盟党议会党团就5G建设达成一致立场:不会将中国电信巨头华为自动排除在外。但排除华为的可能性继续存在。法国电信运营商已经排除华为作为其国内市场的5G设备供应商,但是不会对华为实施全面禁令。法国政府2月13日发布公告称,华为不会被排除在法国5G网路建设的设备供应商行列之外,但华为可能会受到限制,并且法国将优先选择欧洲营运商。

整体而言,虽然欧洲市场对中国5G的争论不断,但欧盟在5G领域无法与中国脱钩,许多欧洲供应商仍然选择与中国制造商(尤其是华为)合作和测试。迄今为止,至少8个欧洲国家的无线服务提供商与华为签署了谅解备忘录,并且在至少12个欧盟成员国中与当地供应商进行了测试。华为在欧洲市场的深度渗透性以及它极具竞争力的价格使其成为全球行业领导者已成为事实,因此,禁止华为向欧洲提供5G设备或将其从欧洲现有网络中移除是不太可能的。

(二)欧盟在数字领域的“战略自治”决定了对华相对谨慎

除去美国方面的压力,欧洲对中国5G采取严格态度,主要有两方面原因:一是国家安全问题。欧盟委员会确定,华为能够通过获得中国银行和其他金融公司的补贴在短时间内成为欧盟最大的电信供应商,欧洲国家利用中国技术建立的关键基础设施可能会让中国公司获得大量敏感数据和工业信息,这些数据可能会被移交给中国政府。此外,中国制造的基础设施可能使欧洲国家更容易受到中国间谍活动的影响,遭到网络攻击从而对整体国家安全造成威胁。二是经济问题。5G及其相关基础设施有望成为全球经济数字化的关键组成部分,应用于各个领域,如推进人工智能系统和物联网。5G能给欧洲经济复苏带来巨大希望,产生大量新工作岗位,创造巨额经济利润。欧盟委员会的一项研究估计,在5G网络中投资566亿欧元可以产生每年1133亿欧元的经济效益。同时,专利控股公司预计能创造数十亿美元的专利费,拥有大型可靠网络的国家也能够以更快的速度开发新技术。因此,欧洲迫切希望在5G时代能实现数字领域的“战略自治”。以上原因,决定了欧盟在5G领域对华的政策不会放开,而是持相对谨慎的态度。然而,目前欧洲关于如何加强数字领域“战略自治”的辩论过于狭隘,主要侧重于脱离特朗普政府的领导,保持自身外交政策的独立性。

(三)欧盟对华5G政策在成员国层面落地存在难度

虽然欧盟提出了一系列政策、法律及建议,但在成员国层面协调各国立场还是存在一定难度。而且,5G网络的推出主要取决于成员国的决策。某些成员国可能出台限制华为参与其5G网络发展的法规,但完全禁止华为进入欧洲市场很难做到。尽管欧洲对华为有很多担忧,但到目前为止没有哪个国家公开表示彻底禁止华为产品。英国华为网络安全评估中心监督委员会2019年3月份的一份报告指出,与华为部分设备相关的“重大技术问题”可能会给英国公司带来安全漏洞,然而该报告没有出示任何证据表明华为故意代表中国政府进行任何类型的间谍活动;比利时网络安全中心的一份报告也没有指出华为设备可用于间谍活动的证据;荷兰国家情报机构调查华为是否正在使用秘密后门来访问客户数据,但也没有完全限制华为;德国政府已表示要对外国电信供应商提出更高更严格的标准。为了在2020年推出商业5G网络,法国将于今年晚些时候举行频谱拍卖,并表示将根据安全性、价格和性能做出决定,不会将任何公司排除在流程之外。还有一些成员国,包括奥地利、波兰、拉脱维亚、立陶宛等表示愿意与欧盟协调立场。因此,受限于各成员国之间存在不同的声音,欧盟对华5G政策在成员国层面落地存在难度。

三、我国的破局之策

(一)强化规范治理,突出行业立法

5G技术是众多通信技术、标准的商用化集合。无论是何种类型的应用场景,最终的实现均依靠落地后的终端、基站、承载网、核心网等设备。目前以华为、中国移动等为代表的中国企业,从2012年起积极参与了5G标准规范的制定及产品基础研发。积累了一定数量的核心技术,掌握了部分标准话语权。应当在未来继续重视这些掌握核心技术企业的情况,确保我国的5G基础设备和技术的安全可控。我国应着重研究制定5G相关法规、监管等措施,对于新型应用场景,如VR、智能网联汽车、大规模工业传感器等,目前尚未有成型的法律法规及监管措施。面对新业态,会出现新的领域需要出台相关法律法规以规范使用情况,只有这样才能让5G这种新技术更好的服务广大人民群众的日常生活。

(二)强化标准制定,明晰监管尺度

作为一项前沿技术,5G监管的行业标准至关重要。目前部署在4G网络上的安全措施可能并不完全有效或不够全面,5G运行方式的根本差异还意味着无法缓解已确定的安全风险。5G网络将由大量的虚拟设备组成,这些虚拟设备可以在整个网络中进行远程访问。如果由第三方供应商进行网络维护,则该漏洞将变得更加严重。在企业方面,电信公司需要加强内部安全控制和补丁管理,同时还要加强网络安全人员的培训。在政府方面,建议尽快制定一揽子行业标准,加强对新一代网络安全风险的评估,制定网络防护的等级以及网络设备准入标准、网络数据保护协议,建立一套适应新的网络安全形势的应急防控体系和技术解决方案。此外,欧盟此次“工具箱”的出台可以看做是在5G网络安全防护、标准制定以及解决措施上都提出了规范性、统一性的规定。我国也可参考出台适用于我国的5G安全规范“工具箱”,对5G建设指明方向,提供有操作性的安全措施。另一方面,出台我国的“工具箱”也可与欧盟的“工具箱”进行接轨,使得我国的通信企业在中国开展5G项目建设的时候就提高5G安全保护标准,以更好地去适应欧盟的严标准和高要求。

(三)强化战略布局,破局国际封锁

正当全球主要国家聚焦5G技术主导权大战正酣的时刻,欧洲国家并没有听从并屈服于美国的游说与政治压力,这就证明了欧洲国家并不会单纯地“选边站”。相反,这恰恰证明了欧洲国家愿意在保证其国家安全的大前提下,接纳中国5G技术给其带来的巨大经济社会效应。欧洲国家在经历了冷战时代后已经意识到,如今美国的零和对抗思维并不能给欧洲带来生机,极不情愿被美国绑上对抗中国,走向新一轮冷战的战车。相反,从以上对欧盟及北约的几个官方文件的解读不难得出这样的结论:虽然欧洲国家在美国的游说下确实对中国5G发展产生了不少疑虑和担心,但是欧洲国家一致秉持务实原则,对和中国在未来5G领域的合作仍然抱有希望和信心。欧洲的务实原则可以作为中国进一步拓宽5G对外合作局面的突破口。中国需要向欧洲抛出更加透明、更加有保障、更加具有吸引力的5G橄榄枝,从更为宏观的视野布局我国5G发展战略,不断消除欧洲对华5G发展的恐慌,加深美国对欧洲施加的压力后二者在5G议题上的意见分歧,反向推进中国和欧洲的5G合作,从而实现破局。

声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。