智库观察：为什么5G网络安全需要新方法？

作者：汤姆·惠勒，大卫·辛普森

编译：CNCERT 张冰

( 2019年9月3日发表于布鲁金斯学会网站 ）

作者简介：汤姆·惠勒（Tom Wheeler），布鲁金斯学会技术创新中心高级学者，治理研究方向。大卫·辛普森（David Simpson），弗吉尼亚理工大学潘普林商学院教授，联邦通信委员会（FCC）公共安全和国土安全局前局长。

在部署5G时，我们必须“抢先打出第一枪”。借用第二次世界大战中一位富有哲理的海军上将阿利·伯克（Arleigh Burke）提出的观点：速度固然重要，但如果没有明确目标的解决方案，速度很可能会导致灾难性后果。^[1]

5G将引发对我们必不可少网络的一场彻底革命，其影响将长达数十年。由于5G未来将转型为接近全软件的网络，因此未来的网络升级将主要意味着软件更新，就像当前对智能手机升级一样。由于软件带来网络漏洞，因此真正的5G“竞赛”中比较难的部分是如何进行重新调整，以确保这一21世纪最重要的网络及其萌发出的设备和应用程序生态系统的安全。

从来没有一种必不可少的、能够定义我们的生活、经济和国家安全的网络和服务有如此众多的参与者，每个参与者都彼此依赖——然而却没有任何一个参与者对网络安全负有最终的责任。用“众人之事就是无人问津之事”来形容对5G网络安全的保护再恰当不过了，但也凸显5G网络安全的危险出境。

凭借5G网络驰骋的新应用程序将使新能力成为可能，带来广阔的发展前景。但是，我们在追求更加互联的未来的同时，必须同样地——如果不是更加——关注这些连接、设备和应用程序的安全性。在脆弱网络安全基础之上构建5G网络就如同在沙子上构建摩天大楼。这不仅关系到每个网络用户的安全，而且事关国家安全。

对华为的超级关注

当前，对美国网络中的华为设备理所当然的但已有些过分的担忧，妨碍了取得控制5G网络安全风险最低满意程度成果的有效进展。尽管特朗普政府延续了奥巴马时代的优先政策事项，将华为和中兴排除在国内网络之外，但这本身只是许多重要的5G安全风险因素之一。围绕中国设备问题的夸张言论冲淡了国家应将重点放在5G面临的全部网络安全风险因素上的正确声音。

本文的目的是跨过华为基础设施问题，以看到一些被华为引发激烈情绪所掩盖的真正问题。政策领导者应该进行更加平衡的风险评估，并更加关注网络风险方程式中广泛的漏洞、威胁概率以及影响因素等变量。这应该伴之以对必要监管进行的诚实评估，以确保5G美好前景不会因网络漏洞的存在而无法实现，这是匆忙部署而未能对降低网络风险进行充分投资造成的后果。

对降低5G网络威胁的此类评估应聚焦于商业和政府对5G安全发展的责任。这应该包括对当前基于市场的措施和激励政策是否能够化解5G网络风险因素及其不足之处进行评估，以及技术快速变化时代政府的针对性干预措施的适当性评估。现在，解决这些问题的时候到了，我们不能坐等依赖不安全的5G服务，不能没有如何确保网络就绪以支持构建更大的5G生态系统的有效计划。

错失主动确保5G网络安全的机会所面临的事后成本将比预先进行网络安全审查的成本高得多。2017年的NotPetya攻击造成100亿美元的企业损失。仅默克（Merck）、马士基（Maersk）和联邦快递（FedEx）的损失总额就超过了10亿美元。诚然，当时还没有5G网络，但是这场攻击说明了此类入侵造成的代价很高，但与可能导致人身伤害或生命损失的攻击相比，其就显得苍白无力。我们需要创造条件，使事先的基于风险的网络安全投资成为所有5G参与者的明智选择。

即使我们的网络中没有华为设备，中国也同样可能构成威胁。从被普遍认为与中国有关的人力资源管理办公室（Office of Personnel Management）的高度敏感安全背景数据泄露事件，到持续进行的与中国相关的针对托管服务提供商的威胁行动，许多来自中国的最成功的攻击都利用了非中文应用程序和硬件以及免疫状况不良网络中的安全漏洞。这一切都不会因禁止华为而消失。我们不能容忍对中国网络设备不断占据头条的宣传，这将使我们陷入对网络安全的错误认识。在网络、设备和应用程序日益互连的世界中，每项活动都可能成为潜在的攻击路径。网络漏洞的挑战会因为5G网络的天然属性及其高度可用的特征而变得更加严峻。正如刚刚结束的DEFCON 2019（年度道德的“黑客奥运”）所展示的那样，全球的黑客（无论是好的还是坏的）都已经开始转向5G生态系统。如今的黑客谷目标已开始包括5G生态系统的关键组成部分，例如：航空、汽车、基础设施控制系统，隐私、零售业呼叫中心和客户服务台、通用硬件、无人机，物联网和投票机等。

5G扩大了网络风险

与前几代网络相比，5G网络在5个方面更容易遭受网络攻击：

1．网络已经从集中式基于硬件的交换转向了分布式的、软件定义的数字路由。以往的网络是轮辐式设计，在其中所有内容都需要通过了实施网络免疫的硬件中心点。但是，在5G软件定义的网络中，该行为被扩展到整个网络中的一组数字路由器中，从而否决了中心点审查和控制的潜力。

2.5G网络通过虚拟化软件实现以前由物理设备执行的网络高级功能，进一步加剧了其网络漏洞。这些活动基于众所周知互联网协议和操作系统使用的通用语言。无论是民族国家还是犯罪分子都可以利用这些标准化的组成协议模块和系统，作为寻求入侵网络系统机会的宝贵工具。

3.即使可以锁定网络中的软件漏洞，但该网络也是由软件所管理——通常具有早期的人工智能——本身也是脆弱的。获得控制网络的管理软件控制权的攻击者也可以进一步控制网络。

4.使5G成为可能的带宽的急剧增长，也带来了更多的攻击途径。从物理层面讲，在城市地区广泛部署的低成本、短距离、小蜂窝天线已成为新的硬目标。从功能层面讲，这些蜂窝站点将使用5G的动态频谱共享能力，其中的多个信息流以所谓的“切片”——每个切片具有不同程度的网络风险——形式共享带宽。当软件允许网络功能动态迁移时，网络保护也必须是动态的，而不是依赖统一的最低公约数解决方案。

5.最后，当然是将数百亿可入侵的智能设备（实际上的小型计算机）连接到被俗称为物联网的网络上而引发的漏洞问题。黑客们正在制定计划，实施各种各样的、貌似取之不尽、用之不竭的物联网赋能的攻击活动，从公共安全到战场，从医疗到运输——所有这些都是精妙的且有独特的脆弱性。例如，微软在2019年7月的报告中说，俄罗斯黑客已经渗透了常规的物联网设备以获得网络访问权。以此为跳板，黑客可以继续挖掘其他不安全的物联网设备，以在其中植入漏洞利用软件。

第五代移动网络因此创建了一个被大为扩展的多维网络攻击漏洞体系。这种拥有重新定义天性的网络——一种新的网络“生态系统的生态系统”——需要类似地重新定义的网络安全战略。网络、设备和应用程序公司已经意识到这些漏洞，并有许多公司无疑正在作出其自认为真诚的努力以解决这些问题。本文的目的是提出一套实现网络自足的基本步骤。我们的断言是“把我们带到这里的东西不会把我们带到那里。”

5G服务提供商是首先告诉我们5G将带来的根本性和有益的转型以支持我们所能做的事以及如何处理事务。与此同时，这些公司公开担心其应对全部网络威胁的能力，并以令人不安的直言不讳地描述了未来的挑战。总统的国家安全电信咨询委员会（NSTAC）表示，“网络安全如今构成了对国家未来的生存威胁。”

5G网络的性质加剧了其带来的网络安全威胁。遍布全国的寻求应用5G的消费者、公司和城市都没有能力评估更不用说解决其带来的威胁。给用户增加安全负担是不切实际的期望，但这仍是当前网络安全活动的主要原则。放眼公司在5G生态系统之生态系统中承担的多重网络安全角色，整个就是一摊烂泥。随着5G极大地扩展其连接设备的数量，伴之以依赖5G的活动类别的增加，以当前的轨迹行事将不会消除面临的网络安全差距。随着中国对美国关键基础设施的技术影响成为不可忽视的网络安全挑战，这种不和谐的总体局面将会进一步被加剧。而事实是，这只是冰山中的一角。

如今我们究竟学到了什么？

5G挑战了关于网络及其连接的设备和应用程序安全性的传统假设。作为联邦通信委员会（FCC）的官员，作者努力应对这些挑战，但面对现实却是：

● 工业时代的程序法使规则制定活动变得繁琐冗长，而非规则制定活动却不尽人意。

● 对恶意行为者突破任何解决方案的激励通常大于对维持保护的激励。

● 行业利益相关方担心暴露其内部发现的风险因素，而错失了对于集体防御而言具有最大价值的及时的攻击信息共享。

同时，那些最了解网络的人——网络运营商——处于对于有效降低风险而言远非最佳的业务结构之中。正如3年前的FCC白皮书所得出的结论：

作为私有参与者，ISP（互联网服务提供商，例如5G网络）在对无法带来利润的投资施加巨大压力的经济环境中运营。一个ISP采取的积极保护行动可能会因其他ISP未能采取类似行动而遭到破坏。这削弱了所有ISP对此类保护进行投资的动力。因此，网络问责机制需要有机整合基于市场的激励措施和适当的法律监管措施，以防止市场无法或没有能力高效地完成这一工作。

FCC报告的发现——仅凭市场力量无法解决社会面临的网络风险利益——就凸显了该机构具有主要管辖权的ISP的重要性。该报告还分析了更大的生态系统，并得出结论，当消费者不将购买决策与网络风险的结果联系在一起考虑时，解决问题的动力通常会变差。但不幸的是，这经常就是我们面对的现实，因为服务提供商和设备、应用厂商没有公开有意义的安全区分码符，也没有在任何可验证的安全指标上进行竞争。

例如，在2016年，黑客通过控制视频监控摄像头和数字录像机主板中的数百万低成本芯片，关闭了互联网的主要部分。互联网可能以这种方式遭受攻击反映了数字供应链的现实：由于消费者在购买低成本联网设备的决策中并没有考虑网络安全性（这是攻击的手段，而不是攻击的目标），因此零售商在决定商品库存时也没有将安全放在首位。结果，制造商在购买组件时不强调网络保护，芯片和主板制造商因此也没有在其产品中提供网络保护。没有一家公司会因为要确保用户购买后产品的网络安全状态而为自己定义角色，并且总的来说，这种情况仍然没有改变。

新的垂直行业正在将基于5G的能力推向诚信努力不足的市场。没有证据表明设备和应用程序供应商的业务优先级与FCC报告中所描述的网络运营商的业务优先级有任何不同。例如，特朗普政府经济顾问委员会在2018年的一份报告中警告说：“相对于社会最优投资水平，私营部门对网络安全的投资不足。”

这些建议都没有任何意思表明我们应该暂停向5G带来的巨大利益迈进。但是，这些的确表明了我们目前应对5G网络安全的实际做法应该面临挑战。延续如今与网络风险不相适应的企业和政府政策对于面临不断扩大网络和数据攻击面的5G网络而言并不是好兆头。迫切需要协调化努力以实现期望的明确目标。

真正赢得“5G竞赛”的两个关键点

真正的“5G竞赛”是这一21世纪最重要的网络能否足够安全以确保实现其技术承诺。是的，快速部署5G固然重要，但是其安全性更为重要。要解决这个高于一切的问题，企业和政府均需要作出新的努力，并建立彼此间新的关系。

接下来的建议十分重要且不能轻轻松松毫无代价地推行。在正常时期，这些建议可能会被认为与传统做法相去甚远。但是，现在不再是正常时期。未来的前景是依赖5G网络和其他新数字途径定义的网络社会。我们的国家已进入充斥由民族国家及其代理人发起的非接触战争和犯罪活动的新时代。这一新的现实需要了公司和政府采取以下行动。

关键点1——公司必须认识并承担起新的网络责任

两项建议中的第一项是建立一种基于奖励的（而不是由惩罚驱动的）鼓励机制，以激励公司遵守“谨慎的网络职责”。传统上，通常的法律规定，提供产品和服务者有责任发现并降低其产品和服务可能带来的危害。需要倡导一种新的公司文化，在其中，网络风险被视为一项公司的基本职责，并通过财政的、监管的或其他形式的适当激励措施对公司在网络控制网络风险方面的良好表现予以奖励。此类激励措施应鼓励遵守网络免疫标准，如果符合该标准，公司则将获得与其他不符合标准实体差别化待遇。这种网络谨慎义务包括以下内容：

扭转对控制网络风险长期投资不足的局面。如今主动的网络安全投资是例外，而为成为规则。针对公开上市公司，美国证券交易委员会（SEC）和其他机构正在推动从公司董事会到管理层的变革。但是，规模较小的公司仍然是网络攻击者最青睐的入口，许多公司不在上述工作努力的范围内。更为不幸的是，SEC的努力仅影响了不到10%的美国上市公司。至少，如果一家公司在关键基础设施中扮演重要角色，或者提供的产品或服务一旦遭到攻击可能会危害公共安全，其必须更加主动的应对网络安全带来的风险。

实施机器学习和人工智能保护。针对5G的网络攻击将是软件攻击，必须使用软件保护来加以应对。在布鲁金斯召开的有关5G网络安全的讨论中，一位与会者指出，“我们正在与人进行一场软件化博弈”，而攻击者是机器。现在的方法就像“用苏打水吸管观察所处环境时只能看到分割的、离散部分”。而实际上需要的是能获得对整个环境全局性、一致性洞悉的方法。计算机驱动的网络攻击速度和广度要求在供应链各层面构建同样速度和广度的计算机驱动防护。

将网络预备状况的滞后指标（攻击后）转变为先进指标。2018年来自白宫的一份报告支出，对网络事件的报告普遍不足，这“阻碍了所有行动者采取有效、即时响应的能力”。5G网络领域需要采用基于先进指标的方法学，旨在相互依赖的商业公司以及负有监管责任的政府机构之间有效沟通网络预备状况。这方面有许多很好的案例可供借鉴。共享的网络风险评估日益成为网络安全方面措施成熟公司及其供应链的一种最佳实践。多家会计和保险公司已经开发了相关的先进指标，以为减少网络风险的投资和承保政策提供信息。国土安全部制定了网络弹性自我评估标准，以推动社区对长期灾害预备工作的改善。3此类模型应扩展到5G网络领域，以便对监管效果的评价从基于滞后指标转变为基于先进指标。

使用网络安全先进指标与董事会和监管者进行的定期程序化交流将有助于建立信任，加快缩小5G就绪度差距，并在网络攻击者成功攻击时带来更具建设性的结果。2018年白宫报告提出的滞后指标报告不足问题应该得到解决，但其主要目的是构建完整反馈回路，提高先进指标的质量并促进正确的投资决策。

网络安全应始于5G网络本身。虽然许多大型5G网络提供商正在为网络安全投入大量资源，但为农村社区提供服务的中小型无线ISP却在提供合理的强健网络安全措施方面承受严厉。其中的一些公司员工总数少于10人，负担不起专职的网络安全官或者24/7全天候的网络安全运营中心。但它们仍将提供5G服务并与其他5G网络互联。这些公司中约有三分之一忽略了政府关于使用华为设备的警告，目前正在请国会为其错误的决定埋单，以更换成非中国产设备。任何的替换努力都必须包括对公司建立足够的网络安全流程以提供安全保护的期望。所有提供5G网络服务的运营商——无论是大品牌公司、本地化小公司、无线ISP还是市政宽带提供商——都必须制定主动的网络保护计划。

将安全性纳入开发和运营周期。对于许多应用程序开发者而言，敏捷开发的一项核心原则是加速冲刺以部署最低可行度的产品，承担其网络安全风险，并承诺一旦产品获得用户认可，将在后续不断地提供基于消费者反馈驱动的升级。软件公司以及提供基于软件的创新产品和服务的公司已开始在每个新项目设计、部署和维护考量过程中纳入网络安全。在新兴的5G网络环境下，这种通过设计获得安全性应该是整个商业创新空间最低的谨行义务。

最佳实务。美国国家标准技术研究院（NIST）建立的网络安全框架提供了最佳网络安全管理实践的五个领域，可以成为行业最佳实践的基础：识别、保护、检测、响应和恢复。例如，NIST的“识别”领域计划重点在于确定公司的网络范围、威胁和漏洞，以确定减少网络风险所需的投资。最佳实践也不仅局限于NIST的框架，国会也应该建立包含预期的效能指标和各种公司可采用激励措施的网络安全标准。虽然行业制定的最佳实践是朝正确方向迈出的一步，但它们却仅能与行业中最薄弱的环节一样强大，并继续给不明就里的消费者带来负担，而后者并不知道最佳实践是否真的得以落实。消费者技术协会（CTA）——代表3770亿美元的美国消费技术行业——帮助制定了反僵尸网络指南，概述了针对设备制造商的最佳做法，但消费者却无法轻易判断制造商是否遵循该指南。

不幸的是，发布可选择实施的网络安全最佳实践而没有行业的全力支持，可能仅仅是体现负责任行为和良好公共关系的一种尝试，但通常并不能改变网络风险。虽然CTA还发布了可供采用的购买者指南以解释网络风险问题并改善家庭网络健康状况，但人们很想知道有多少使用低价网络连接技术的消费者知道它的存在。将网络风险负担转移给缺乏信息的消费者，其作用十分有限。5G商业部门需要认识到基于消费者行动的局限性，承担起剩余风险，并与政府监管者一道承担跨部门清除网络风险的责任。

关键2——政府必须建立反映新现实的新网络监管范式

当前政府机构的程序性规则是在工业环境下制定的，在其中创新和变革——更不用说安全威胁——发展较为缓慢。数字创新和安全威胁的快速发展需要构建企业与政府关系的新方式。

与监管对象建立更有效的网络安全监管关系。网络安全的困难性不容否认。在当前技术和敌手的网络活动如此迅速变化的形势下，目前的组织架构中政府未能处于一个良好地位，可以超前威胁并制定详细的标准或合规性措施。应该寻求建立一种新的网络安全监管范式，以降低监管机构与其监管的公司之间可能形成的对抗性关系。这将摒弃工业时代遗留下来的详细合规性指令，代之以监管机构和供应商之间定期与周密的网络安全合作，来共同承担围绕网络谨慎职责由关键性、规模（影响）或已证明问题（漏洞）等确定最大网络安全风险。该方案应当鼓励那些有效组织参与企业为解决风险因素明确持续投资的行业。

相反地，如果行业部门忽视网络风险因素，渐进式的监管激励措施能够改变公司的风险计算公式，以反映消费者和社区的担忧。这些活动应具有可负担的机密性，不会被行业自身用来发现违规行为，相反其目的应是帮助监管者和被监管者更好地发现趋势、最佳做法，并协同地、系统地改善行业部门应对网络风险的方法。国土安全部可以为此提供支持，但归根结底，安全性、创新性、公司手段和市场因素之间的平衡本质上要靠法规。缺乏贯彻决定的能力，政府的介入只能是徒劳的。

认识市场缺陷。经济力量驱动企业行为。当然，存在与网络安全相关的底线成本。但是，即使此类成本自愿产生的，其带来的收益也可能因另一家公司不付出努力而抵消。本文两项建议中的第一项有关公司可以采取哪些措施来实现其网络谨慎职责。然而，历史经验表明，这种胡萝卜努力通常需要一根有说服力备用棍棒的相伴。只有这样才是对那些坚守责任公司的公平，它不应因那些不遵守责任公司在市场上受到惩罚。基于奖励的政策将放大积极参与承担网络谨慎职责的价值观，尤其是在其他方面存在不足的情况下。它还将提供降低风险的前瞻性激励，以及在不可避免的疏漏发生时有用的反馈机制。

消费者透明度。消费者几乎没有意识，也没有洞察力来作出明智的市场决策。这种情况类似于曾导致建立食品营养标签的力量。应当为消费者提供作出明智决定的工具。有关网络风险“营养标签”或网络版本的保险商实验室（Underwriters Laboratories）自我认证的将有助于使所有各方将注意力集中在问题的重要方面。

检查和认证连接的设备。多年来，FCC一直监督着一项计划，以认证无线电信号发射设备不会干扰国家授权的其他无线电波使用。无论是手机、婴儿监护器、电子电源还是Tickle Me Elmo（一种玩具），FCC均确保其发射装置的设计和组装符合相应的标准。该行业还在其内部建立了一种以成本有效方式对设备进行自我认证的机制，并将其融入了生产和分销过程。在2016年DYN攻击控制了数百万台摄像机时，作者提出了一种类似的方案来审查所连网设备的络安全性。如果我们能保护无线电网络免受有害设备的侵扰，为什么我们不能使5G网络远离网络脆弱设备？

依靠合同还不够。行政和立法部门都致力于利用政府采购标准和方案探索合同来施加网络安全要求，以政府合同来促使商业行为改变。这是一种重要的、经过实践检验的做法，但并不能走得更远。联邦采购政策并未覆盖非政府供应商，后者只需接入互联网络便可能造成严重破坏。而大多数中小型5G网络提供商根本不受任何政府合同的约束。

激励缩小5G供应链差距。多年来，政府对并购的审查通常未能考虑对关键供应链的潜在负面影响。将公司和生产程转移到境外或由加入由外国拥有/控制的合资企业，遭成了关键5G组件供应的批发缺口和国内采购选项的缺失。对原产国/所有权的担忧必须纳入关于离岸采购决策的公司考虑，以及更首要导致国家能力破坏的市场条件考虑。关于5G供应链市场分析必须持续进行，监管机构、行业以及行政和立法部门之间应定期接触，以正确地激励具有全球竞争力的国内采购替代方案。

重新参与国际机构。目前，5G的标准制定过程由第三代合作伙伴计划（3GPP）主导，该组织是一个基于其成员（包括中国5G设备公司）的意见达成共识、作出决策的行业组织。据报道，华为对5G标准作出了最大贡献。奥巴马政府的FCC与3GPP直接合作，确定了适用于美国市场的公共安全和网络安全风险考虑因素。此外，它还发起了调查，向美国最优秀的技术人才征求建议，如何在开发和部署周期中有效降低网络安全。此举遭到了一些行业协会和共和党委员的反对。特朗普政府成立后不久，新的FCC取消了奥巴马FCC的网络计划。

为了提高网络安全的优先级，需要在5G行业的设计和部署周期的早期就公开进行第三方监督。国家、我们的社区和我们的公民应——通过其政府——在此过程中需要一定程度的代理权。FCC和商务部应以观察员的相关方身份参与3GPP和美国代表团。这将有利于较早地确定问题，并有机会提出担忧，而无需更改标准制定的基本治理过程。美国公民的代表应可以选择在涉及国家安全和公共安全问题上更深入地参与。

结论

当前由共和党领导的美国参议院认为有必要引入立法指示特朗普政府“制定一项确保下一代移动电信系统和基础设施安全的战略”，这是令人惊讶的事件。5G网络安全威胁是整个国家面临的危险。我们不应该错误地自鸣得意，因为网络的新颖性掩饰了其威胁。我们决不能将5G网络安全与国际贸易政策相混淆。国会不必通过来指示特朗普政府对5G网络安全采取行动。整个国家面临的危险需要基于信息时代的现实，动用整个经济和整个政府的力量来加以应对，而不能延延续公式化的自由放任的政治哲学或工业时代的结构化举措。

参加布鲁金斯5G网络安全圆桌会议的一位专家提出了严厉警告：“随着我们越来越多地将维持生命的设备连接到互联网，人们将面临巨大的风险甚至可能是死亡威胁。”这种冷酷的现实是因为人和物所依赖的互联网连接将越来越多地通过脆弱的5G网络来实现。消费者意识表面之下涌动的网络冷战加剧了这种风险的暴露。

早期的网络攻击主要针对知识产权、勒索和被黑的数据库。如今，随着民族国家行为者及其代理人在我们国家关键基础设施中得以立足并建立随时可以发起攻击的平台，所面临的风险变得更高了。任何合理的基于风险的评估都表明，我们的商业部门是最受敌手青睐的目标。提供关键网络基础设施或提供与其连接的产品或服务的公司，最可能遭致潜在的、进行中的网络冷战中最危险的敌人行动。

“如果被问道，我们是否已在战争中，我想我会说是的，”海军陆战队前司令罗伯特·内勒（Robert Neller）将军在2月份告诉听众。“我们现在处于网络空间中的战争状态……他们每天都在城堡的墙壁向外倾泻着弹药。”毫无疑问，我们的对手看到了引人关注目的直接攻击的积极成果，但他们也通过持续不断的低等级攻击取得完美的低风险的积极成果，旨在削弱美国公众对网络关键基础设施及其所承载的数字经济的信心撑。低强度的网络战争已经在持续进行中，因为我们的对手在这些攻击中冒着很小的风险，并有望从中大为受益。

网络攻击的环境已经进化为基于软件的分布式体系结构。软件操作本身充满脆弱性，而分布式拓扑结构又进一步消除了早期网络所具有的集中阻塞点，这些都使5G网络将很容易受到攻击。鉴于国家面临的网络威胁主要来自商业网络、设备和应用，我们的5G网络安全必须首先聚焦于确保那些参与建设新网络、提供设备和应用的公司切实承担起责任。让参与5G服务的人员承担网络谨慎义务是这种主动负责行动的开始。

“是的，5G‘竞赛’已经开始——这是确保我们的国家、我们的经济和我们的公民安全的竞赛。”

与此同时，联邦政府有责任为5G公司提供激励措施，使其专注于解决自己所创造的网络漏洞。当公司或市场力量缺乏动力将最大化网络安全努力作为优先事项时尤其如此。如本文所述，这需要将工业时代政府与企业之间的僵化关系替换成更具创新性和敏捷性的方法来解决共同问题。

是的，5G的“竞赛”已经开始——这是一场确保我们的国家、我们的经济和我们的公民安全的竞赛。

现在是时候由两党共同呼吁采取行动了，不仅要解决当前暴露的5G安全问题，还要解决导致网络就绪度差距持续扩大的结构性缺陷。让我们来到这里的努力不能确保我们走向安全的5G赋能的未来。

汤姆·惠勒（Tom Wheeler）于2013—2017年期间担任FCC第31任主席。目前，他是布鲁金斯学会（Brookings Institution）的客座研究员。退休海军少将戴维·辛普森曾在同一时期担任FCC公共安全和国土安全局局长。目前，他是弗吉尼亚理工大学潘普林商学院教授。

布鲁金斯学会是一家致力于独立研究和政策解决方案的非营利组织。它的使命是进行高质量的独立研究，并在此基础上为决策者和公众提供创新、实用的建议。任何布鲁金斯出版物的结论和建议仅是其作者的观点，并不反映该机构、其管理层或其他学者的观点。

微软公司向布鲁金斯学会提供主要的不限制用途的支持。本文中的发现、解释和结论不受任何捐赠的影响。布鲁金斯意识到其工作的价值在于对质量、独立性和影响力的绝对承诺。捐助者支持的活动反映了这一承诺。

[1] 阿利·阿尔伯特·伯克（Arleigh Albert Burke）是美国海军上将（1901—1996），在第二次世界大战和朝鲜战争期间表现突出，在艾森豪威尔（Eisenhower）和肯尼迪（Kennedy）政府期间担任海军作战部长。

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。