?。?/p>

　　引　言

　　2021年5 月10 日，美國國家安全局（NSA）與國家情報總監辦公室（ODNI）、國土安全部網絡安全和基礎設施安全局（CISA）聯合發布《5G基礎設施的潛在威脅要素分析報告》，本報告的發布正是在落實2020 年《國家 5G 戰略》第二項工作的成果。美國這三大職能機構首次就5G基礎設施威脅發布報告，說明美國已經將 5G 安全放在重要地位，表明了美國既要維護在全球的情報能力、網絡空間作戰、關鍵信息基礎設施保護的領先優勢，又要遏制中國這樣對手發展的意圖。

　?。?/p>

　　5G 基礎設施安全的主要威脅要素

　　報告將 5G 基礎設施的主要威脅要素分為三大類——政策標準、供應鏈和5G系統架構，并將 11 個子威脅確定為攻擊者可利用的漏洞，同時描述了5G威脅的示例場景， 評估了5G 應用所帶來的風險和漏洞，報告的發布標志著美國已經在開始著力思考5G 應用所帶來的風險，也說明5G 的部署和應用將構成了新的挑戰，其未來發展充滿了新的不確定性。

　　2.1　政策和標準將直接影響新興技術的設計和架構體系

　　5G 政策和標準的制定是保障未來 5G 通信基礎設施的基礎。目前，全球標準制定機構——互聯網工程特別工作組、國際電信聯盟和電信標準制定組織正在制定 5G 技術標準和安全控制， 這些標準和安全控制將對自動駕駛、邊緣計算和遠程醫療等新技術的設計和體系架構產生影響。政策標準方面的威脅主要涉及兩個子威脅，開放標準和控制選項。

　　開放標準：由于某些敵對國家也參與了技術標準的制定，標準中可能規定系統必須采用某些不可信的技術和設備，這些技術和設備可能會限制競爭，迫使用戶按照標準規定采用不可信的新技術，這些不可信的專利技術往往不具備互操作性，進一步限制公司在 5G 市場上的競爭能力。此外，不具備互操作性的 5G 技術難以被更新、修復和更換，導致產品的生命周期成本增加、5G 設備更換時間延遲。

　　控制選項：標準機構制定了移動通信協議， 這些協議包含必需或可選的安全控制。未實施安全控制選項的網絡運營商可能擁有更易受攻擊的網絡，并面臨更高的網絡攻擊風險。

　　2.2　供應鏈將不可避免地帶來系統性風險

　　5G 供應鏈容易受到惡意軟件和硬件、假冒組件、粗糙設計等風險的影響，5G 技術特有的吸引力及其倉促部署更是加劇了這種風險，導致數據和知識產權被盜，5G 網絡的完整性被破壞，或被利用造成系統和網絡故障等負面后果。

　　5G 能夠連接數以十億計的設備，使得 5G 供應鏈中引入不可信或假冒組件的風險加劇， 這種風險包括破壞 5G 設備或基礎設施，最終影響終端用戶設備（如計算機、電話和其他設備）。不可信公司，特別是那些在國際電信網絡市場份額中占有重要地位的公司，或背后有政府支持的供應商也會加劇供應鏈風險，例如如果某個國家從供應鏈遭到破壞的公司購買5G 設備，那么這個國家的數據極易被惡意攻擊者攔截、操縱或破壞，當它向國際合作伙伴發送數據時，有可能帶來更多風險，因為一個國家的安全網絡可能容易受到另一個國家不可信的電信網絡威脅。

　　假冒零部件

　　假冒部件更容易受到網絡攻擊，而且由于質量低劣，更容易被損壞。遭受攻擊的假冒組件使得惡意攻擊者進一步破壞數據的機密性、完整性或可用性，并影響網絡其他更敏感的部件。

　　繼承的組件

　　繼承的組件可能來自第三方供應商、供應商和服務提供商組成的擴展型供應鏈。供應鏈會因為供應商遭受攻擊， 包括供應商的供應商，他們缺乏強有力的安全控制以及對研發、生產或交付渠道的審計。如果是在開發階段早期就存在缺陷或嵌入了惡意軟件則更難檢測，開發人員采用數字簽名等方法有可能將組件標記為合法的，隨后這些漏洞可能被惡意攻擊者利用。

　　2.3　5G 系統架構帶來新的風險將使網絡攻擊事件頻發

　　設計和開發 5G 系統架構是為了滿足不斷增長的數據、容量和通信需求。盡管 5G 組件制造商和服務提供商正在通過技術改進提高安全性， 但傳統漏洞和新漏洞都可能被惡意攻擊者利用。此外，5G 網絡將比前幾代無線網絡使用更多的 ICT 組件，為惡意攻擊者提供了攔截、操縱、擾亂和破壞關鍵數據的途徑。5G 容量的增加促進了物聯網的普及，但也給 5G 網絡增添了大量的不安全設備， 這些設備的多樣性可能會導致 5G 架構的復雜性， 并引入不可預見的系統性弱點或漏洞。

　　隨著 5G 新組件和技術開發和部署，新的弱點將被發現。未來的 5G系統架構會使攻擊面加大，增加被惡意行為者利用的概率。如果不持續關注5G威脅主要要素， 及早識別系統架構中的脆弱性， 新漏洞將使網絡攻擊事件增多。

　　目前 5G系統架構涉及軟件/配置、網絡安全、網絡切片、傳統通信基礎設施、多址邊緣計算、頻譜共享、軟件定義網絡七個子威脅。

　　軟件/配置

　　未經授權地訪問軟件或網絡組件為惡意攻擊者提供了修改配置，減少安全控制、在系統上安裝惡意軟件或識別漏洞的機會。攻擊者可以利用這些漏洞對系統或網絡進行持久性和特權訪問。

　　網絡安全

　　5G設備和基礎設施功能為惡意攻擊者提供了攻擊的機會。如果網絡設備因網絡層攻擊受到破壞，惡意攻擊者就能獲得對 5G 網絡的未經授權的訪問，從而可能中斷操作，并對關鍵數據進行攔截、操縱和銷毀。

　　網絡切片

　　網絡切片允許用戶只對某個網絡區域進行身份驗證，從而實現數據和安全隔離。然而，網絡切片可能難以管理，并且切片增加了網絡的復雜性。不正確的網絡切片管理使得惡意攻擊者能夠訪問不同切片的數據，或拒絕優先用戶的訪問。

　　傳統通信基礎設施

　　雖然 5G 網絡基礎設施的設計更加安全，但 4G 傳統通信基礎設施的許多安全規范和協議仍然在 5G 網絡中應用， 使得傳統的通信基礎設施包含固有的漏洞，如果不加以解決，可能會被惡意攻擊者利用。

　　多址邊緣計算

　　多址邊緣計算通過將核心網絡功能移近網絡邊緣的最終用戶來改變數據的處理和存儲方式。將不受信任的 5G 組件引入 MEC 可能會使核心網絡元件遭受由于軟件和硬件漏洞、假冒組件以及不良制造過程等帶來的風險。

　　頻譜共享

　　為了發揮 5G 的潛力， 5G 系統需要補充包括低、中、高頻譜在內的各種頻率。隨著越來越多的設備競相接入同一頻譜，頻譜共享變得越來越普遍。頻譜共享可能為惡意攻擊者提供干擾非關鍵通信信道的機會，從而對更關鍵的通信網絡產生不利影響。

　　軟件定義的網絡

　　軟件定義網絡（SDN）雖然提高了網絡靈活性使管理簡化，但惡意攻擊者可能會在 SDN 控制器應用程序中嵌入代碼， 使帶寬受到限制并對網絡運行產生負面影響。

　　３

　　5G 安全態勢的發展現狀

　　2021 年 4 月，全球移動供應商協會（GSA）宣布，已經有 133 個國家和地區在進行試驗、收購評估、網絡部署等方面的 5G 投資，其中 68 個國家已經擁有實時 5G 商業網絡。從全球戰略布局看， 5G 爭奪戰已經成為世界主要大國在高新技術領域競爭的焦點，與軍事、經濟、政治等因素融合趨勢明顯。尤其在當前中美摩擦大背景下，各國家對 5G 產業的標準、話語權及市場份額的爭奪戰， 已經進入熾熱化程度，5G 全球產業鏈將面臨諸多不確定因素?？梢灶A計，各國在 5G 安全方面的博弈也將會進一步加劇。

　　3.1　美國竭力提升在 5G 安全的國際領導力

　　美國對 5G 安全高度重視， 把保障 5G 網絡安全并重新領導 5G 產業提升到國家戰略層面，動員國家力量，通過立法和行政命令保障執行，積極消減 5G 網絡安全風險。

　　2020 年 3 月，美國白宮發布了《國家 5G 安全戰略》，詳細闡述了美國政府將如何確保國內外 5G 基礎設施的安全， 指出國家 5G 安全戰略應與國家網絡戰略保持一致。同時，通過了《5G 安全保障法》， 確保美國國內 5G安全并推動盟友 5G 安全。4 月，眾議院提案美國電信法案，通過美國國家電信和信息管理局提供 7.5 億美元的撥款，以支持在全美范圍內OpenRan5G網絡的部署和使用并加入安全特性；9 月，CISA 發布了《CISA 5G 安全戰略》，提出 5 項戰略舉措， 促進安全和具有網絡彈性的 5G 基礎設施的開發和部署，進而為美國及盟友創造更大的價值；12 月，國防部發布《5G 技術實施方案》報告，從技術、安全、標準、政策以及應用合作方面提供 5G安全路線圖， 擴大其在標準制定組織中的活動力度；2021 年 2 月， NIST 設立了 5G 安全演進項目，發布了《5G 網絡安全實踐指南》，旨在幫助 5G 網絡的組織以及運營商和設備供應商提高安全能力。在國際合作方面，美國宣傳使用中國的硬件會帶來潛在國際安全風險，大肆鼓吹“5G 安全威脅論”，以“零和思維”看待 5G 競爭，對中國 5G 實施技術封堵， 試圖建立排華聯盟。在其主導下的《布拉格提案》，以事關國家安全、經濟安全、其他國家利益和全球穩定為由，提出需要對 5G 網絡結構和系統功能進行重點的安全考量。2020 年 8 月，美國國務卿蓬佩奧宣布，  為保護美國關鍵電信和技術基礎設施，將對中國開展新一輪擴展版的“凈網計劃”?！皟艟W計劃”是美國對華 5G 競爭戰略的升級版本，是美國冷戰思維和意識形態競爭的延續。目前， 已有 30 多個志同道合的國家和地區加入美國凈網計劃，并承諾保護5G 網絡， 排除不可信的供應商，且承諾其電信運營商已同意只使用可信供應商（的產品）。此外，美國聯邦通訊委員會（FCC）還將華為與中興公司列入國家安全威脅名單，借助美國國際開發局（USAID）對發展中國家的技術援助， 推動發展中國家禁用中國 5G 供應商 （產品）。美國一系列的 5G安全戰略實際是對中國 5G 網絡技術崛起的害怕，打壓中國企業，這種霸權主義注定只會漸行漸遠。

　　3.2　歐盟注重 5G 安全的戰略自主權

　　對于歐盟來說，在數字時代掌握核心技術已成為其實現“戰略自治”不可或缺的因素， 歐盟把 5G 網絡的建設成為建設數字歐洲的重點領域， 高度重視 5G  技術的戰略自主權和網絡安全，出臺了一系列旨在解決本地區5G 網絡安全問題的政策文件，這些文件特別強調對非歐盟國家 5G 供應商的風險，評估中國 5G 企業在歐盟開展業務面臨嚴峻挑戰。

　　2019 年 10 月，歐盟國家網絡安全協作組發布《5G 網絡安全統一風險評估報告》， 對 5G 資產敏感度威脅漏洞風險進行了評估；11 月， 歐洲網絡和信息安全局發布《5G 網絡安全威脅全景圖》， 對 5G 網絡存在的安全威脅進行分析， 描述了 5G 網絡安全威脅圖譜和5G網絡在安全方面的挑戰，加入了創建綜合 5G 架構、識別重要資產、對影響5G的威脅進行評估、識別資產暴露的程度以及威脅源動機的評估。2020 年 1 月， 歐盟國家網絡安全協作組發布《5G  網絡安全風險消減措施工具箱》，該文件全面梳理了歐盟面臨的5G網絡安全風險， 并提出一套推動歐盟成員國協調一致應對5G網絡信息安全的可行措施。7 月，歐盟國家網絡安全協作組發布 《歐盟成員國關于實施5G網絡安全工具箱的進展報告》 ,分析了歐盟成員國在國家一級實施5G安全工具箱的進展。目前歐盟對5G 安全的理解已不局限在技術層面，而是站在歐盟整體利益區域安全和國際關系的戰略高度來思考。歐盟發布工具箱的目的是想通過歐盟統一的方法評估和消減 5G網絡安全風險，在保障5G網絡安全的情況下加速5G部署，確保技術主權。

　　3.3　英國從5G安全平衡戰略開始轉向

　　英國原本在 5G 安全領域采取平衡戰略，但是在美國施壓下逐步倒向美國。2020 年 1 月，英國國家網絡安全中心發布正式報告，將華為定為高風險供應商，  禁止中國華為核心網， 份額小于 35％，并通過風險消減措施使得網絡安全風險可控。5 月， 英國政府與 G7、澳大利亞、韓國和印度等10個國家建立了 D10 5G俱樂部， 扶持 5G 設備的替代供應商，欲排脫對中國5G的依賴。7  月， 英國國家網絡安全中心表示無法保證中國華為公司5G安全，將華為定位為高風險供應商， 2020 年底停止華為 5G 設備采購和部署， 2027年要求華為從英國 5G 網絡中完全消失。11 月，英國議會公布了《電信（安全）法案》，從法律層面確認了政府監督和評估運營商的權力。法案規定，政府有權向公共電信服務商發出指令，管理高風險供應商帶來的網絡安全風險。雖然高風險供應商已經被禁止進入網絡中最敏感的核心部分，但是法案將允許政府對電信服務商使用高風險供應商提供的商品、服務或設施進行管制。

　　3.4　其他國家積極跟進

　　早在 2018 年， 澳大利亞政府就發布禁令，多次以“國家安全”為由將華為排除在該國 5G 網絡建設之外。受政府 5G 禁令影響，2019 年，華為在澳大利亞的運營商業務下降了 21％。2020 年年初， 澳大利亞政府內政部長彼得？達頓反對對華為禁令進行重新討論，并強調“他們是高風險的供應商”。

　　加拿大遲遲未就禁止或限制華為設備作出正式決定。盡管加拿大政府并未明確禁止華為，其本土電信運營商紛紛選擇與華為競爭對手合作建設5G 網絡。2020 年 6 月，加拿大電信運營商 Telus 宣布，與諾基亞、愛立信、三星簽署協議。

　　日本仍拒絕華為進入本土市場，與美加強協調。作為美國盟友，日本在反華為政策上與美國協同，選擇愛立信等歐洲供應商參與 5G 網絡建設。2018 年，日本宣布政府合約禁用華為與中興，日本企業也宣稱除了試驗不會從這兩家供應商購買 5G 設備。2020 年 3 月， 日本三大電信運營商 NTTDoCoMo 、KDDI 和軟銀相繼推出 5G 商用服務，標志日本開始進入 5G 時代。5 月 20 日，日本與美國就 5G、外資公司投資的控制等經濟安全問題展開新的雙邊對話， 加強協調。日本放送協會（NHK）6 月 29 日稱，日本政府決定提供 700 億日元（約合人民幣 46.2 億）支撐國內 5G 技術研發，認為此舉意在與領先的中國 5G 制造商抗衡。

　　韓國把 5G 定義為國家戰略，希望借機做大。2019 年 6 月，韓國官員表示華為 5G 設備與國防網絡隔離， 威脅很小， 只有小于 10%使用華為 5G，其他均采用三星等廠商。韓國通過快速推進頻譜發放、物理站點共享、國家比拼測試等方式驅動運營商加速 5G 應用， 意圖是通過韓國本土催熟 E2E5G 產業， 從而提升包括終端、半導體網絡設備等 ICT 產業出口， 打造韓國經濟增長新引擎。

　　４

　　5G 網絡面臨的安全挑戰

　　5G 以強大的連接、超低延遲和超大的網絡容量，首次將通信服務對象擴展至人與物、物與物，開啟萬物互聯的新時代，并將實現新的創新、新市場和經濟增長模式，然而 5G的這些發展勢必會帶來新的安全挑戰，5G基礎設施將成為犯罪分子和外國對手獲取寶貴信息和情報的誘人目標，威脅國家安全、經濟安全，影響國家乃至全球利益。因此，5G 網絡將比以前更容易遭受攻擊。目前，5G 面臨的挑戰主要有如下：

　　終端的多樣化使攻擊面擴大

　　5G 網絡接入終端的種類繁多、數量巨大，終端的計算能力和安全防護措施差異明顯。伴隨終端的大量接入，偽造的、被劫持的、包含病毒或惡意程序的、缺少基本安全防護能力的終端可能將終端安全風險通過 5G 網絡進行傳播和擴大。同時，隨著5G 網絡在工業互聯網、車聯網等行業中廣泛應用，各類行業終端使用的非通用協議的安全風險也被引入5G 網絡。

　　虛擬化技術的廣泛使用使傳統防御措施失效

　　網絡功能通過云計算服務部署，通信網絡邊界變得模糊，傳統通過物理隔離部署的網絡安全措施不再適用。同時， 虛擬化技術的廣泛使用，安全漏洞、虛擬機逃逸攻擊、針對虛擬化平臺的惡意攻擊等安全風險也被引入 5G 網絡。

　　服務化架構使訪問控制面臨風險

　　5G網絡的服務化架構使網絡功能以通用接口對外呈現，可以實現靈活的網絡部署和管理， 伴隨接口開放，通用接口在身份認證、訪問控制、通信加密等方面都面臨潛在的風險，安全方案設計的缺陷會導致泛洪攻擊、資源濫用等風險。此外，邊緣計算節點的安全機制缺失或策略錯誤配置可能導致非授權的邊緣計算網關接入、邊緣節點過載、邊界開放 API 接口濫用等風險；網絡切片技術的使用可能面臨非授權用戶接入網絡切片等安全風險。

　　保護數據安全的難度增加

　　隨著 5G 網絡的大規模推廣應用，數據安全風險不斷多樣化。邊緣計算造成網絡及用戶數據下沉至網絡邊緣，網絡邊緣數據隔離與保護的挑戰明顯；虛擬化技術帶來的網絡邊界模糊增加了數據保護的難度；網絡切片技術對數據的安全隔離與保護提出更高要求；接入設備數量的快速增長和防護措施能力的差異導致數據泄漏風險點增多、違法有害信息管控難度增大。

　　網絡運維更加復雜化

　　5G 網絡架構的演進帶來安全運維的問題，包括：網絡功能安全缺陷定位難度增大， 網絡缺陷可能來源于硬件、虛擬化技術、網絡功能軟件及編排器；5G 網絡的集中化部署增加了運維復雜性， 安全事件、系統故障的影響范圍更大，網絡功能失效可能導致多個地區通信業務異常或中斷；運維人員對網絡功能虛擬化、軟件定義網絡等知識、 技能和運維經驗的缺乏可能導致安全風險難以及時有效處置。

　?。?/p>

　　解決 5G 網絡威脅的主要措施

　　隨著 5G 網絡應用的持續深入， 與各行業緊密性日益強化，任何一個節點的失守，都可能造成網絡災難。加之當前網絡攻擊事件頻繁，網絡安全的威脅和攻擊手段不斷變化，使得 5G 基礎設施面臨異常嚴峻的安全問題。美國等信息大國為確保 5G 安全性，搶占規則制定權，從政府和企業層面多措并舉地解決 5G 基礎設施面臨的安全威脅。

　　5.1　政府層面

　　積極參與并主導標準制定過程  5G 標準對于規劃技術的未來至關重要，對國家安全和競爭力具有重大意義?？梢灶A計，今后各國政府將大力支持相關機構和公司全面加入標準制定機構， 在制定 5G 技術標準方面發揮更積極的作用，促進 5G 技術安全部署和商業化。同時為防止威脅主體影響 5G安全，還應該在制定政策和標準的過程中充分考慮安全和網絡彈性因素，與可信的市場領導者、國際盟友合作， 推動 5G 標準的制定， 消除 5G 技術潛在安全風險，使威脅主體無法惡意影響 5G 網絡的頂層設計和技術架構。

　　定期評估 5G 基礎設施相關風險  定期評估 5G 基礎設施帶來的經濟和國家安全及其他風險， 推動安全可靠的 5G 基礎設施部署。包括定義和維護5G 基礎設施的核心安全原則，評估 5G 基礎設施網絡威脅和漏洞對經濟、國家安全所帶來的風險，制定 5G 基礎設施的安全原則。

　　積極解決 5G 基礎設施供應鏈風險 制定供應鏈風險管理標準，方便執行機構評估和減輕供應鏈風險。積極加強與盟國的合作，就多層安全保障體系達成一致。允許使用來自可信供應商的蜂窩基礎設施的國家之間進行安全合作和數據交換，同時在可能沒有安裝可信供應商硬件和軟件的國家提供額外的安全性，加強關鍵組件和軟件供應鏈安全的通用方法。

　　5.2　企業層面

　　加強保護現有基礎設施，支持未來 5G 部署 解決降低網絡風險的長期投資不足的問題， 全力支持 5G 技術創新，提供安全和具有網絡彈性的 5G技術；利用機器學習和人工智能保護網絡；對網絡完備度的監管從事后指標轉變為事前指標；制定主動的網絡保護計劃，保證 5G 網絡本身的安全；將安全性納入開發和營運周期；發布最佳實踐。

　　致力于實現開放和模塊化的架構 為避免目前 5G 市場的單一供應商模式，擺脫對其的依賴性， 積極推行更多樣化、可互操作的生態系統（稱為開放無線接入網絡，或“Open RAN”）。從而擺脫任何一家 5G 基礎設施供應商的依賴。加快不同參與者對網絡功能和創新終端應用的設計和擴展。其次，積極開發基于“云計算”的服務器系統，將網絡的許多命令和控制功能轉移到云計算，指導網絡如何滿足當前已有任務的需求，包括路由和安全策略的指導。

　?。?/p>

　　結束語

　　加強 5G 關鍵信息基礎設施安全是增強 5G 技術應用安全性、加強國家網絡安全防護能力、持續優化網絡生態環境的需要， 更是推動5G 技術快速發展的保障。近期，我國也相繼出臺了網絡安全等級保護和關鍵信息基礎設施安全保護等制度和標準，對 5G 等關鍵信息基礎設施保護提出加快構建網絡安全保障體系、全面加強網絡安全檢查、建立健全網絡安全事件應急工作機制、提高應對網絡安全事件的能力等要求。但是，面對美國大肆鼓吹 5G 安全中國威脅論，迫使盟友選邊站隊， 對中國 5G 實施技術封堵的態勢，我們感到還任重道遠。