(CWW)5G網(wǎng)絡(luò)已成為世界各國(guó)促進(jìn)經(jīng)濟(jì)發(fā)展和數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施,在經(jīng)濟(jì)和社會(huì)中扮演著至關(guān)重要的角色,5G網(wǎng)絡(luò)的重要性推動(dòng)世界各國(guó)將5G安全納入國(guó)家級(jí)戰(zhàn)略。從2019年3月26日,歐盟發(fā)布《5G網(wǎng)絡(luò)安全建議》(簡(jiǎn)稱《建議》)[1]開始,歐盟陸續(xù)采取有針對(duì)性的系列化措施,有序推進(jìn)5G安全監(jiān)管工作。歐盟首先推動(dòng)各成員國(guó)開展5G網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估,并發(fā)布《5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》(簡(jiǎn)稱《風(fēng)險(xiǎn)評(píng)估報(bào)告》)[2]。在評(píng)估5G安全風(fēng)險(xiǎn)的基礎(chǔ)上,歐盟細(xì)化了電信監(jiān)管框架中相關(guān)法律要求,制定和出臺(tái)了包括《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)消減措施工具箱》(簡(jiǎn)稱《工具箱》)[3]在內(nèi)的系列5G安全指導(dǎo)文件。歐盟5G安全監(jiān)管框架及系列指導(dǎo)文件為歐盟成員國(guó)確保5G網(wǎng)絡(luò)服務(wù)提供商、設(shè)備制造商采取適當(dāng)?shù)陌踩胧┍U?G網(wǎng)絡(luò)安全,提供了法律支撐和深入指導(dǎo)。
1 歐盟5G安全監(jiān)管框架
歐盟電信監(jiān)管框架一直在不斷地更新和完善,目前歐盟電信監(jiān)管框架以《網(wǎng)絡(luò)安全法》[4]、《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》(Directive on Security of Network and Information Systems,簡(jiǎn)稱《NIS指令》)[5]、《歐盟電子通信準(zhǔn)則》(European Electronic Communications Code,簡(jiǎn)稱《EECC》)[6]和《外國(guó)直接投資審查條例》[7]等監(jiān)管法律為主,已覆蓋電信設(shè)備認(rèn)證、安全事件跨境通報(bào)與協(xié)助、網(wǎng)絡(luò)安全要求、外商投資審查與監(jiān)控等多個(gè)方面,成為保障歐盟5G網(wǎng)絡(luò)安全發(fā)展的重要法律依據(jù)。在5G安全方面,歐盟發(fā)布的《5G網(wǎng)絡(luò)安全建議》[1],從頂層對(duì)5G安全監(jiān)管工作的實(shí)施路徑進(jìn)行了規(guī)劃。為細(xì)化5G網(wǎng)絡(luò)監(jiān)管要求,落實(shí)《建議》中的推進(jìn)方案,加速5G網(wǎng)絡(luò)安全能力落地,網(wǎng)絡(luò)和信息安全協(xié)作小組(Cooperation Group on Network and Information Security,簡(jiǎn)稱“NIS協(xié)作小組”)、歐盟委員會(huì)網(wǎng)絡(luò)安全局(European Union Agency for Cybersecurity,ENISA)等組織先后發(fā)布《風(fēng)險(xiǎn)評(píng)估報(bào)告》[2]、《5G網(wǎng)絡(luò)威脅視圖》(簡(jiǎn)稱《威脅視圖》)[8]、《工具箱》《EECC安全措施指南》(簡(jiǎn)稱《EECC指南》)[9]及《EECC安全措施指南——5G補(bǔ)充說明》(簡(jiǎn)稱《5G補(bǔ)充說明》)[10]等指導(dǎo)性文件,為通信服務(wù)提供商、設(shè)備制造商緩解5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提供了更加明確的技術(shù)指導(dǎo)。目前,歐盟已經(jīng)基本構(gòu)建了較為完善的以“法律框架+指導(dǎo)性文件”為支撐的5G安全監(jiān)管框架,穩(wěn)步推進(jìn)5G安全監(jiān)管工作(見圖1)。
圖1 5G安全相關(guān)的法律框架及指導(dǎo)性文件
1.1 5G安全監(jiān)管相關(guān)法律
1.1.1 《NIS指令》《NIS指令》于2016年8月正式發(fā)布,是歐盟范圍內(nèi)有關(guān)網(wǎng)絡(luò)安全的第一部法律,對(duì)包括5G通信服務(wù)提供商在內(nèi)的所有ICT運(yùn)營(yíng)者和數(shù)字服務(wù)提供商提出了歐盟層面的統(tǒng)一安全要求?!禢IS指令》要求歐盟成員國(guó)要建立網(wǎng)絡(luò)安全事件應(yīng)急小組和統(tǒng)一應(yīng)急網(wǎng)絡(luò)以加強(qiáng)網(wǎng)絡(luò)安全事件運(yùn)營(yíng)合作,同時(shí)要強(qiáng)化ICT服務(wù)提供商及云計(jì)算等數(shù)字服務(wù)提供商的網(wǎng)絡(luò)事件上報(bào)機(jī)制。
考慮到網(wǎng)絡(luò)安全威脅的不斷擴(kuò)展,2020年12月16日,歐盟對(duì)《NIS指令》進(jìn)行了修訂,提出了一個(gè)更高級(jí)別的網(wǎng)絡(luò)與信息系統(tǒng)安全要求,目前該指令處于提案階段。修訂的《NIS指令》加強(qiáng)了風(fēng)險(xiǎn)管理,提出要設(shè)立網(wǎng)絡(luò)安全基線要求,同時(shí)要求積極應(yīng)對(duì)來自供應(yīng)鏈和供應(yīng)商的安全風(fēng)險(xiǎn)。修訂的《NIS指令》已將風(fēng)險(xiǎn)評(píng)估作為降低5G網(wǎng)絡(luò)供應(yīng)鏈安全風(fēng)險(xiǎn)的重要措施。
1.1.2 《EECC》《EECC》于2018年12月由歐盟正式發(fā)布,是規(guī)范電子通信網(wǎng)絡(luò)和服務(wù)的一項(xiàng)指令?!禘ECC》對(duì)原有電信監(jiān)管法律進(jìn)行了整合和更新,正式成為現(xiàn)行監(jiān)管模式的有效支撐法律?!禘ECC》要求歐盟成員國(guó)于2020年 12月21日前將相關(guān)指令轉(zhuǎn)化為本國(guó)立法。其中,在電信網(wǎng)絡(luò)安全方面詳細(xì)定義了網(wǎng)絡(luò)、服務(wù)安全以及安全事件,明確了通信服務(wù)提供商維護(hù)網(wǎng)絡(luò)安全性和完整性的職責(zé)以及監(jiān)管機(jī)構(gòu)的監(jiān)督權(quán)力?!禘ECC》并未直接對(duì)網(wǎng)絡(luò)設(shè)備制造商提出要求,而是通過對(duì)通信服務(wù)提供商提要求間接實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備制造商的監(jiān)管。在《EECC》下,5G網(wǎng)絡(luò)服務(wù)提供商將在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和安全能力建設(shè)方面接受當(dāng)局主管部門的監(jiān)督。
1.1.3 《5G網(wǎng)絡(luò)安全建議》2019年3月歐盟通過的《5G網(wǎng)絡(luò)安全建議》,可看作是歐盟關(guān)于5G安全工作的頂層規(guī)劃。提出了全面的 5G安全工作建議、歐盟和國(guó)家層面的行動(dòng)計(jì)劃,具體包括:首先,成員國(guó)要在規(guī)定時(shí)間內(nèi)完成風(fēng)險(xiǎn)評(píng)估并提交評(píng)估報(bào)告;其次,ENISA要基于評(píng)估報(bào)告進(jìn)一步細(xì)化并完成5G網(wǎng)絡(luò)威脅狀況調(diào)查分析;之后,NIS協(xié)作小組要制定《工具箱》以緩解可能存在的安全風(fēng)險(xiǎn);此外,成員國(guó)與歐盟還將展開新一輪評(píng)估,以便確定推進(jìn)措施的效果,從而確定未來是否需要進(jìn)一步采取行動(dòng)。雖然2020年因?yàn)樾鹿诜窝滓咔樵?,原?jì)劃由各成員國(guó)完成的實(shí)施計(jì)劃和階段性報(bào)告出現(xiàn)了一定程度的延遲,但整體還是按照《5G網(wǎng)絡(luò)安全建議》有序推進(jìn)5G安全各項(xiàng)工作。
1.1.4 《外國(guó)直接投資審查條例》2019年4月,歐盟《外國(guó)直接投資審查條例》生效。依據(jù)《外國(guó)直接投資審查條例》,歐盟有權(quán)對(duì)參與5G網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施投資的外商進(jìn)行審查和定期監(jiān)控,以保障5G網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施的安全性,同時(shí)避免關(guān)鍵資產(chǎn)對(duì)外商的過度依賴。這也是歐盟保障5G供應(yīng)鏈安全的有效工具。
1.1.5 《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全法》于2019年6月生效,首次為歐洲產(chǎn)品、流程和服務(wù)的網(wǎng)絡(luò)安全認(rèn)證機(jī)制建立了全面的《歐盟網(wǎng)絡(luò)安全認(rèn)證框架》,并對(duì)ENISA進(jìn)行了永久授權(quán)?!毒W(wǎng)絡(luò)安全法》對(duì)ENISA賦予更多的資源和任務(wù):一是支撐歐盟網(wǎng)絡(luò)安全認(rèn)證框架建設(shè),為統(tǒng)一認(rèn)證構(gòu)建技術(shù)基礎(chǔ);二是加強(qiáng)歐盟層面合作,協(xié)調(diào)處理歐盟成員國(guó)內(nèi)或跨區(qū)域的網(wǎng)絡(luò)安全事件。歐盟網(wǎng)絡(luò)安全認(rèn)證機(jī)制落地后,在歐盟開展業(yè)務(wù)的公司僅需要對(duì)其ICT產(chǎn)品、流程和服務(wù)進(jìn)行一次認(rèn)證,即可獲得在整個(gè)歐盟范圍內(nèi)認(rèn)可的證書。5G相關(guān)產(chǎn)品、流程和服務(wù)后續(xù)也將在“歐盟網(wǎng)絡(luò)安全認(rèn)證框架”下進(jìn)行認(rèn)證。
歐盟存在許多針對(duì)ICT產(chǎn)品的不同安全認(rèn)證方案,但此前尚未有適用于整個(gè)歐盟范圍內(nèi)的網(wǎng)絡(luò)安全通用框架。統(tǒng)一認(rèn)證框架將提供一套完整的規(guī)則,包括認(rèn)證產(chǎn)品、服務(wù)列表、網(wǎng)絡(luò)安全技術(shù)要求、安全技術(shù)標(biāo)準(zhǔn),以及認(rèn)證程序。目前,“歐盟網(wǎng)絡(luò)安全認(rèn)證框架”下的認(rèn)證要求雖為非強(qiáng)制性要求,但歐盟計(jì)劃后續(xù)評(píng)估需強(qiáng)制認(rèn)證的產(chǎn)品和服務(wù),并進(jìn)一步通過立法推動(dòng)強(qiáng)制性認(rèn)證。為保障《網(wǎng)絡(luò)安全法》的有效實(shí)施,有序推動(dòng)歐盟網(wǎng)絡(luò)安全認(rèn)證工作,歐盟專門成立了歐洲網(wǎng)絡(luò)安全認(rèn)證小組(European Cybersecurity Certification Group,ECCG)。該小組將監(jiān)督和協(xié)調(diào)歐盟范圍內(nèi)網(wǎng)絡(luò)安全認(rèn)證工作,并協(xié)助ENISA開展工作。
1.2 指導(dǎo)文件
在法律框架指導(dǎo)下,按照《建議》相關(guān)計(jì)劃和時(shí)間安排,NIS協(xié)作小組和ENISA分別發(fā)布了《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》和《5G網(wǎng)絡(luò)威脅視圖》;基于這兩份報(bào)告,ENISA梳理了緩解5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的相關(guān)舉措,形成了《工具箱》。在《EECC》轉(zhuǎn)換為成員國(guó)法律之后,為更好地指導(dǎo)成員國(guó)落實(shí)《EECC》要求,同時(shí)推動(dòng)《工具箱》安全措施的執(zhí)行,ENISA發(fā)布了《EECC安全措施指南》及《EECC安全措施指南——5G補(bǔ)充說明》。以下針對(duì)這幾個(gè)重點(diǎn)文件內(nèi)容進(jìn)行介紹。
1.2.1 《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》及《5G網(wǎng)絡(luò)威脅視圖》2019年10月9日,NIS協(xié)作小組發(fā)布了《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》,定義了敏感資產(chǎn)及每類資產(chǎn)的風(fēng)險(xiǎn)程度,并對(duì)資產(chǎn)中存在的關(guān)鍵要素進(jìn)行了細(xì)化,同時(shí)列舉了關(guān)鍵風(fēng)險(xiǎn)點(diǎn),以及風(fēng)險(xiǎn)存在的主要場(chǎng)景(見表1、表2)。為應(yīng)對(duì)技術(shù)層面的5G網(wǎng)絡(luò)威脅,ENISA發(fā)布了《5G網(wǎng)絡(luò)威脅視圖》,該報(bào)告詳細(xì)將5G核心網(wǎng)架構(gòu)、切片、網(wǎng)絡(luò)管理與編排、接入網(wǎng)、網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization,NFV)、軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)、 多接入邊緣計(jì)算(Multi-access Edge Computing,MEC)、安全架構(gòu),及物理層架構(gòu)的每個(gè)組件和接口進(jìn)行了拆分,并深入分析了每部分威脅來源。2020年12月,ENISA對(duì)《5G網(wǎng)絡(luò)威脅視圖》進(jìn)行了更新[11],詳細(xì)補(bǔ)充了5G網(wǎng)絡(luò)中組件和接口存在的安全漏洞。《5G網(wǎng)絡(luò)威脅視圖》將作為通信服務(wù)提供商和設(shè)備制造商增強(qiáng)5G安全能力的有力技術(shù)指導(dǎo)文件。
表1 敏感資產(chǎn)列表
表2 關(guān)鍵風(fēng)險(xiǎn)
1.2.2 《工具箱》
2020年1月,NIS協(xié)作小組發(fā)布了《工具箱》,通過制定一套通用安全措施,為國(guó)家和歐盟層面應(yīng)對(duì)風(fēng)險(xiǎn),選擇風(fēng)險(xiǎn)消減措施提供指導(dǎo)意見?!豆ぞ呦洹分械娘L(fēng)險(xiǎn)消減措施包括8項(xiàng)戰(zhàn)略措施和11項(xiàng)技術(shù)措施,此外還包括10項(xiàng)支撐行動(dòng),具體參見表3。
表3 《工具箱》措施
《工具箱》整體措施較為中立。在戰(zhàn)略措施中,提出了要評(píng)估供應(yīng)商的風(fēng)險(xiǎn)等級(jí),對(duì)高風(fēng)險(xiǎn)供應(yīng)商進(jìn)行限制,降低單一供應(yīng)商產(chǎn)品的市場(chǎng)占有率,但并未針對(duì)特定國(guó)家及供應(yīng)商。在技術(shù)措施中,強(qiáng)調(diào)了要通過認(rèn)證和標(biāo)準(zhǔn)化等方式解決現(xiàn)存技術(shù)問題。在支撐行動(dòng)中,強(qiáng)調(diào)了通過推動(dòng)標(biāo)準(zhǔn)化、認(rèn)證以及最佳實(shí)踐等模式加速歐盟5G安全措施的落地。《工具箱》現(xiàn)已成為歐盟及成員國(guó)開展5G安全工作的宏觀性指導(dǎo)文件。
1.2.3 《EECC指南》及《5G補(bǔ)充說明》2020年12月,ENISA基于EECC發(fā)布了一份非約束性文件《EECC指南》,旨在指導(dǎo)成員國(guó)落實(shí)歐盟電信監(jiān)管框架下安全相關(guān)法規(guī),為各國(guó)電信監(jiān)管機(jī)構(gòu)提供更加明確的技術(shù)指引。同時(shí),針對(duì)5G網(wǎng)絡(luò)安全,單獨(dú)出臺(tái)了《5G補(bǔ)充說明》。
《EECC指南》列出了8個(gè)安全領(lǐng)域(治理和風(fēng)險(xiǎn)管理,人力資源安全,系統(tǒng)和設(shè)施安全,運(yùn)營(yíng)管理,事件管理,業(yè)務(wù)連續(xù)性管理,監(jiān)控、審計(jì),測(cè)試、威脅態(tài)勢(shì)感知)的29個(gè)安全目標(biāo)。對(duì)于每個(gè)安全目標(biāo),《EECC指南》均詳細(xì)列舉了通信服務(wù)提供商為達(dá)到目標(biāo)需采取的安全措施,并提供了用于評(píng)估安全措施是否到位所需出示的相關(guān)證明。《EECC指南》中的安全措施源自現(xiàn)有網(wǎng)絡(luò)和信息安全國(guó)際標(biāo)準(zhǔn),且每類安全措施與標(biāo)準(zhǔn)均有對(duì)應(yīng),標(biāo)準(zhǔn)包括ISO 27001、ISO 27001、ISO 27005和ISO 22301。
此外,《EECC指南》還從監(jiān)督的角度出發(fā)為監(jiān)管機(jī)構(gòu)提出了相關(guān)建議:一是將安全標(biāo)準(zhǔn)納入強(qiáng)制或推薦標(biāo)準(zhǔn);二是評(píng)估全行業(yè)的安全性;三是將安全措施分為基礎(chǔ)級(jí)別、行業(yè)標(biāo)準(zhǔn)級(jí)別和先進(jìn)水平級(jí)別,使通信服務(wù)提供商可結(jié)合自身情況采取適當(dāng)?shù)陌踩胧┓蛛A段滿足監(jiān)管要求;四是可采用定期、隨機(jī)或事后的方式監(jiān)管通信服務(wù)提供商的安全措施落實(shí)情況?!禘ECC指南》將作為歐盟網(wǎng)絡(luò)安全監(jiān)管的主體框架,對(duì)包含5G網(wǎng)絡(luò)在內(nèi)的各系統(tǒng)安全措施部署均有指導(dǎo)作用。作為5G安全措施指導(dǎo)文件,《5G補(bǔ)充說明》結(jié)合了5G網(wǎng)絡(luò)情況,以前期在整個(gè)歐盟層面開展的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)消減措施工作為基礎(chǔ),為監(jiān)管部門及通信服務(wù)提供商提供了確保5G網(wǎng)絡(luò)安全的措施指導(dǎo)?!?G補(bǔ)充說明》進(jìn)一步落實(shí)了歐盟5G《工具箱》支撐行動(dòng)SA01(審查或制定網(wǎng)絡(luò)安全方面的指導(dǎo)方針和最佳實(shí)踐),有效推動(dòng)《工具箱》中戰(zhàn)略措施和技術(shù)措施的執(zhí)行,并就《 工具箱》中的技術(shù)安全措施,特別是TM01(確保安全要求基線的實(shí)施,即安全網(wǎng)絡(luò)設(shè)計(jì)與架構(gòu))向歐盟成員國(guó)提供進(jìn)一步的細(xì)化指導(dǎo)。
《5G補(bǔ)充說明》依據(jù)《EECC指南》重點(diǎn)對(duì)8個(gè)安全域中常規(guī)和特定的安全措施制定了專門適用于5G網(wǎng)絡(luò)的檢查列表。該檢查列表將作為歐盟各成員國(guó)監(jiān)管部門檢查通信服務(wù)商5G安全能力的重要參考文件。此外,針對(duì)網(wǎng)元,以及網(wǎng)絡(luò)虛擬化、網(wǎng)絡(luò)切片、邊緣計(jì)算等5G網(wǎng)絡(luò)關(guān)鍵技術(shù),《5G補(bǔ)充說明》梳理了3GPP、ETSI相關(guān)國(guó)際標(biāo)準(zhǔn)和最佳實(shí)踐,為監(jiān)管機(jī)構(gòu)及通信服務(wù)提供商提供指導(dǎo)。其中,網(wǎng)元的安全要求,參考3GPP安全保障(Security Assurance Specification,SCAS)系列規(guī)范,包括TS 33.501、TS 33.511-TS 33.522等標(biāo)準(zhǔn);NFV安全可參考ETSI NFV-SEC 001、ETSI NFV-SEC 003、ETSI NFV-SEC 021、3GPP TR 33. 848、NIST SP 800-125、NIST SP 800-125B、NIST SP 800-190等標(biāo)準(zhǔn);網(wǎng)絡(luò)切片安全可參考TR 33. 811和TR 33.813;多接入邊緣計(jì)算安全可參考ETSI的GS MEC 002和GS MEC003系列標(biāo)準(zhǔn)。
2 分析解讀
2.1 歐盟5G安全監(jiān)管將向強(qiáng)制化方向發(fā)展
從歐盟目前的電信監(jiān)管框架來看,針對(duì)網(wǎng)絡(luò)安全問題,歐盟已經(jīng)形成一套較為完整的,對(duì)通信服務(wù)提供商、設(shè)備制造商、成員國(guó)電信監(jiān)管部門都具有約束力的監(jiān)管體系。歐盟出臺(tái)的一系列文件,已從戰(zhàn)略層面、技術(shù)管理層面及實(shí)施層面對(duì)5G安全工作進(jìn)行了細(xì)化和推進(jìn),同時(shí)對(duì)各成員國(guó)提出了監(jiān)管建議?!禘ECC指南》建議監(jiān)管機(jī)構(gòu)與通信服務(wù)提供商等主體共同商議需要進(jìn)行強(qiáng)制性要求的安全措施,各成員國(guó)將根據(jù)EECC等相關(guān)法律規(guī)定各國(guó)的強(qiáng)制性安全技術(shù)規(guī)范。此外,根據(jù)當(dāng)前歐盟《網(wǎng)絡(luò)安全法》 等法律文件,歐盟網(wǎng)絡(luò)安全認(rèn)證機(jī)制(含5G安全認(rèn)證)將由自愿采用向強(qiáng)制性認(rèn)證要求過渡??梢钥闯?,歐盟針對(duì)5G安全的監(jiān)管將逐漸向強(qiáng)制化方向發(fā)展,其中對(duì)5G設(shè)備、服務(wù)和流程的安全要求將通過歐盟網(wǎng)絡(luò)安全認(rèn)證機(jī)制統(tǒng)一推進(jìn)。
2.2 歐盟將分級(jí)分階段推動(dòng)5G網(wǎng)絡(luò)安全要求落地
《EECC指南》和《5G補(bǔ)充說明》中引入了ISO、3GPP、ETSI等組織的安全標(biāo)準(zhǔn),由于安全措施紛繁,不同通信服務(wù)提供商、設(shè)備制造商的市場(chǎng)份額和安全保障能力也具有差異性,結(jié)合實(shí)際落實(shí)情況,歐盟建議將安全措施分為基礎(chǔ)級(jí)別、行業(yè)標(biāo)準(zhǔn)級(jí)別和先進(jìn)水平級(jí)別,并指出通信服務(wù)提供商應(yīng)根據(jù)其網(wǎng)絡(luò)和服務(wù)的風(fēng)險(xiǎn)評(píng)估情況采取適當(dāng)?shù)拇胧┍U暇W(wǎng)絡(luò)和服務(wù)安全。結(jié)合歐盟在《EECC指南》中的建議,歐盟各國(guó)的5G網(wǎng)絡(luò)安全要求將會(huì)結(jié)合網(wǎng)絡(luò)資產(chǎn)的重要性、運(yùn)營(yíng)主體水平的差異性分階段實(shí)施。同時(shí),歐盟也會(huì)確保通信服務(wù)提供商、設(shè)備制造商在實(shí)施基礎(chǔ)級(jí)別安全措施的基礎(chǔ)上,根據(jù)網(wǎng)絡(luò)服務(wù)的重要性、提供商的規(guī)模大小和安全目標(biāo)的實(shí)施復(fù)雜性逐步提高安全措施級(jí)別。
2.3 5G供應(yīng)鏈安全被納入5G安全監(jiān)管范圍
在措施中,歐盟提出要加強(qiáng)評(píng)估供應(yīng)商風(fēng)險(xiǎn)等級(jí),同時(shí)對(duì)高風(fēng)險(xiǎn)供應(yīng)商進(jìn)行限制,并將多供應(yīng)商策略納入歐盟5G供應(yīng)鏈安全的重要手段?!?G補(bǔ)充說明》對(duì)《工具箱》戰(zhàn)略措施進(jìn)行了細(xì)化,明確了供應(yīng)商風(fēng)險(xiǎn)評(píng)估的內(nèi)容,并提出了高風(fēng)險(xiǎn)供應(yīng)商需進(jìn)行定期安全測(cè)試、漏洞評(píng)估/掃描、滲透測(cè)試等。與美國(guó)將政治因素納入5G安全不同,歐盟更多是從技術(shù)的角度評(píng)估和管理5G供應(yīng)鏈安全。現(xiàn)有歐盟電信監(jiān)管框架已綜合考慮了5G網(wǎng)絡(luò)生命周期各環(huán)節(jié)的安全要求。其中,《網(wǎng)絡(luò)安全法》推動(dòng)采用認(rèn)證的模式保證5G設(shè)備、服務(wù)和流程在入網(wǎng)前滿足安全要求;《EECC指南》及《外國(guó)直接投資審查條例》推動(dòng)采用評(píng)估、定期審查等手段保障5G設(shè)備、服務(wù)和流程入網(wǎng)后的安全要求,多措并舉,最大程度減少5G供應(yīng)鏈的安全風(fēng)險(xiǎn)。
3 結(jié)束語
總體來看,歐盟建立了一套以“法律+指導(dǎo)文件”為支撐的較為完整的5G安全監(jiān)管體系,從風(fēng)險(xiǎn)評(píng)估、威脅分析,到措施指導(dǎo)、技術(shù)指引,并通過開展實(shí)施效果評(píng)估確定后續(xù)工作計(jì)劃。在具體實(shí)施路徑方面,歐盟以“委員會(huì)建議”這種法律文件的形式,對(duì)5G安全相關(guān)工作進(jìn)行了頂層規(guī)劃,以確保歐盟和其成員國(guó)能按照規(guī)劃有序推進(jìn)5G安全各項(xiàng)工作。參考?xì)W盟5G安全戰(zhàn)略和系列監(jiān)管措施,我國(guó)也應(yīng)積極研究分析,結(jié)合我國(guó)5G網(wǎng)絡(luò)發(fā)展模式,盡快構(gòu)建我國(guó)5G網(wǎng)絡(luò)安全保障體系。
參考文獻(xiàn)
[1] ENISA. Commission recommendation-cybersecurity of 5G networks[EB/OL]. [2020-11-20]. https://ec. europa.eu/digital-single-market/en/news/cybersecurity-5g-networks.
[2] ENISA. EU coordinated risk assessment of the cybersecurity of 5G networks[EB/OL]. [2020-11-20].https://ec.europa.eu/digital-single-market/en/news/euwide-coordinated-risk-assessment-5g-networks-security.
[3] ENISA. Cybersecurity of 5G networks EU toolbox of risk mitigating measures[EB/OL]. [2020-11-20].https://ec.europa.eu/digital-single-market/en/news/cybersecurity5g-networks-eu-toolbox-risk-mitigating-measures.
[4] European Parliament and of the Council. Cybersecurity act[EB/OL]. [2020-11-20].https://eur-lex.europa.eu/eli/reg/2019/881/oj.
[5] European Parliament and of the Council. Directive on security of network and information systems[EB/OL]. [2020-11-20]. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri= uriserv:OJ.L_.2016.194.01.0001.01.ENG&toc =OJ:L:2016:194:TOC.
[6] European Parliament and of the Council. European electronic communications code[EB/OL]. [2020-11-20]. https://eur-lex.europa. eu/legal-content/EN/TXT/?uri = uriserv%3AOJ.L_.2018.321.01.0036.01.ENG.
[7] European Parliament and of the Council. Foreign Direct Investment(FDI) screening regulation[EB/OL]. [2020-11-20].https://eur-lex.europa.eu/eli/reg/2019/452/oj.
[8] ENISA. ENISA threat landscape for 5G[EB/OL]. [2020-11-20].https://www.enisa.europa.eu/news/enisa-news/enisa-draws-threat-landscape-of-5gnetworks.
[9] ENISA. Guideline on security measures under the EECC[EB/OL]. [2020-11-20]. https://www.enisa. europa.eu/publications/guideline-on-security-measures-under-theeecc.
[10] ENISA. 5G supplement to the guideline on security measures under the EECC[EB/OL]. [2020-11-20].https://www.enisa.europa.eu/publications/5g-supplementsecurity-measures-under-eecc.
[11] ENISA. ENISA 5G threat landscape-update[EB/OL]. [2020-11-20]. https://www.enisa.europa.eu/news/enisa-news/updated-enisa-5g-threat-landscape-report-toenhance-5g-security.
本文刊于《信息通信技術(shù)與政策》2021年 第5期
關(guān)鍵詞: 通信世界網(wǎng) 安全監(jiān)管模式 網(wǎng)絡(luò)安全