余曉光 翟亞紅 余瀅鑫 陽(yáng)陳錦劍 解曉青

1(華為技術(shù)有限公司松山湖研究所 廣東東莞 523808)

2(華為技術(shù)有限公司西安研究所 西安 710075)

3(中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 北京 100020)

(sean.yuxg@huawei.com)

1 全球5G整體安全形勢(shì)綜述

隨著5G技術(shù)在全球范圍內(nèi)的逐漸商用和相關(guān)產(chǎn)業(yè)鏈的不斷成熟、應(yīng)用場(chǎng)景的不斷拓展，在全球范圍內(nèi)已經(jīng)進(jìn)入了商用部署的關(guān)鍵時(shí)期，5G安全已成為全球各國(guó)競(jìng)爭(zhēng)的戰(zhàn)略高地，決定各國(guó)在5G上的話語(yǔ)權(quán)和競(jìng)合關(guān)系.

5G自身帶來(lái)的新的網(wǎng)絡(luò)特性，如高帶寬、低時(shí)延、廣連接，勢(shì)必帶來(lái)新的安全挑戰(zhàn)，萬(wàn)物互聯(lián)的未來(lái)也為攻擊者提供了更多的入侵可能.各國(guó)出于自身地緣政治、經(jīng)濟(jì)、技術(shù)等方面的考慮，在5G安全方面表現(xiàn)出各自不同的策略.

美國(guó)把5G網(wǎng)絡(luò)安全和5G產(chǎn)業(yè)領(lǐng)先作為國(guó)家戰(zhàn)略，動(dòng)員國(guó)家的力量，從法律、市場(chǎng)、技術(shù)、產(chǎn)業(yè)上全面出擊，意圖實(shí)現(xiàn)美國(guó)主導(dǎo)的5/6G標(biāo)準(zhǔn).美國(guó)利用他們?cè)诜珊凸?yīng)鏈等方面的優(yōu)勢(shì)，加大對(duì)非美5G設(shè)備提供商的市場(chǎng)遏制，以“清潔網(wǎng)絡(luò)”等口號(hào)對(duì)5G網(wǎng)絡(luò)安全持續(xù)施加影響并將會(huì)不斷加大.

歐盟發(fā)布工具箱(toolbox)是想通過(guò)歐盟統(tǒng)一的安全評(píng)估消減5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，在保障5G網(wǎng)絡(luò)安全的情況下加速5G部署，確保技術(shù)主權(quán).歐洲強(qiáng)調(diào)對(duì)非歐盟國(guó)家5G供應(yīng)商的風(fēng)險(xiǎn)評(píng)估，在美國(guó)的壓力下對(duì)中國(guó)5G供應(yīng)商采取各種限制措施.歐盟推出工具箱后負(fù)面影響加大，影響范圍從歐洲擴(kuò)大到亞太和拉美.

英國(guó)原本采取平衡戰(zhàn)略，在美國(guó)施壓下，逐步倒向美國(guó).從禁止中國(guó)5G企業(yè)核心網(wǎng)到禁止無(wú)線基站部分，并將中國(guó)企業(yè)列入高風(fēng)險(xiǎn)供應(yīng)商(HRV).

日韓在5G安全方面的政策緊跟美國(guó)和歐盟，也將5G作為重大戰(zhàn)略機(jī)遇，公布了禁止中國(guó)5G企業(yè)的禁令，利用中國(guó)企業(yè)被打壓的契機(jī)，不斷扶植本國(guó)企業(yè)，想要將5G作為未來(lái)新的經(jīng)濟(jì)引擎.

總體來(lái)說(shuō)，全球在5G安全形勢(shì)方面復(fù)雜多變，5G安全并不僅僅是技術(shù)問(wèn)題，而是上升到一個(gè)包含了國(guó)家戰(zhàn)略、法律、產(chǎn)業(yè)、技術(shù)各方面的綜合體，中國(guó)企業(yè)的5G自研能力、業(yè)務(wù)連續(xù)性等方面受到嚴(yán)峻挑戰(zhàn).在這個(gè)過(guò)程中，中國(guó)必須堅(jiān)持自立自強(qiáng)的道路，盡快實(shí)現(xiàn)國(guó)內(nèi)的5G商業(yè)成功，加快推出自主知識(shí)產(chǎn)權(quán)的5G安全標(biāo)準(zhǔn)、解決方案等，持續(xù)保持在5G方面的引領(lǐng)地位.

2 國(guó)外5G安全形勢(shì)與政策介紹

2.1 美國(guó)5G安全形勢(shì)與政策

美國(guó)對(duì)5G高度重視，認(rèn)為5G是21世紀(jì)美國(guó)繁榮與安全的主要驅(qū)動(dòng)力，是國(guó)家繁榮和安全的重要因素.美國(guó)把保障5G安全并重新領(lǐng)導(dǎo)5G產(chǎn)業(yè)，提升到國(guó)家戰(zhàn)略層面，而且通過(guò)立法和行政命令保障執(zhí)行.另外，美國(guó)擔(dān)心5G特別是外國(guó)設(shè)備商會(huì)給國(guó)家安全帶來(lái)風(fēng)險(xiǎn)，所以在大力推動(dòng)5G的同時(shí)，積極消減5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn).

2020年3月12日，美國(guó)通過(guò)《安全可信通信網(wǎng)絡(luò)法案》(Safe and Trusted Communications Networks Act)，禁止聯(lián)邦基金購(gòu)買中國(guó)企業(yè)華為、中興的設(shè)備，并提供10億美金補(bǔ)償替代產(chǎn)生的費(fèi)用.

2020年3月23日，美國(guó)通過(guò)《2020年5G安全保障法》(The Secure 5G and Beyond Act of 2020, S.893)[1]，以確保美國(guó)國(guó)內(nèi)5G安全，并推動(dòng)盟友5G安全.采用政策扶持手段補(bǔ)齊美國(guó)及盟友在5G和未來(lái)網(wǎng)絡(luò)安全領(lǐng)域中的不足，提升美國(guó)在5G和未來(lái)網(wǎng)絡(luò)的標(biāo)準(zhǔn)與產(chǎn)業(yè)領(lǐng)導(dǎo)力，推進(jìn)美國(guó)和盟友聯(lián)合研發(fā)和測(cè)試，確保中長(zhǎng)期研發(fā)和創(chuàng)新領(lǐng)導(dǎo)力.

2020年3月23日，白宮發(fā)布《美國(guó)5G安全國(guó)家戰(zhàn)略》(National Strategy To Secure 5G of the United States of America)[2]，承接S.893加速5G在國(guó)內(nèi)推廣，內(nèi)容包括頻譜規(guī)劃、簡(jiǎn)化審批、評(píng)估5G漏洞、制定安全原則等方面，協(xié)同盟友制定國(guó)際5G安全原則，推動(dòng)全球安全5G的開(kāi)發(fā)和部署，引領(lǐng)5G未來(lái)方向.

2020年4月24日，眾議院提案《美國(guó)電信法案》(USA Telecommunications Act，H.R.6624)[3]，通過(guò)美國(guó)國(guó)家電信和信息管理局(NTIA)提供7.5億美元的撥款，以支持在全美范圍內(nèi)Open RAN 5G網(wǎng)絡(luò)的部署和使用，并加入安全特性.

在5G安全方面，美國(guó)國(guó)防部(Department of Defense, DoD)也動(dòng)作頻頻.2019年4月，DoD發(fā)布由國(guó)防創(chuàng)新委員會(huì)(Defense Innovation Board)撰寫的《5G生態(tài)：國(guó)防部的風(fēng)險(xiǎn)和機(jī)遇》(The 5G Ecosystem: Risks & Opportunities for DoD)報(bào)告[4]，介紹了5G發(fā)展歷程和現(xiàn)狀，分析了5G的機(jī)會(huì)、風(fēng)險(xiǎn)和應(yīng)對(duì)建議，認(rèn)識(shí)到美國(guó)在5G的落后，給出了一定的應(yīng)對(duì)建議，包括轉(zhuǎn)向Sub-6G，制定Sub-6G計(jì)劃，塑造5G生態(tài)；制定戰(zhàn)略級(jí)和工程級(jí)的安全計(jì)劃(如采用零信任、減少數(shù)據(jù)流動(dòng)、冗余層、供應(yīng)鏈分析、出口管制遏制、5G/6G研究、毫米波改進(jìn))；調(diào)整貿(mào)易策略，懲罰漏洞代碼，聯(lián)合遏制中企.

2020年5月DoD發(fā)布《國(guó)防部5G戰(zhàn)略》(Department of Defense 5G Strategy)[5]，目標(biāo)是在頻譜、技術(shù)和生態(tài)落后的情況下加速5G部署，利用美國(guó)芯片和IT優(yōu)勢(shì)，推進(jìn)美國(guó)和盟國(guó)5G能力，保護(hù)美國(guó)及盟國(guó)5G安全，并提出明確的工作路線：一是推動(dòng)5G技術(shù)發(fā)展，如承辦5G演示、測(cè)試床、毫米波、頻譜動(dòng)態(tài)共享、開(kāi)放架構(gòu)和虛擬化、人員培養(yǎng)等；二是5G漏洞評(píng)估和消減，如威脅分析、供應(yīng)鏈風(fēng)險(xiǎn)管理、安全評(píng)估、零信任、全球運(yùn)營(yíng)；三是影響標(biāo)準(zhǔn)和政策，如影響3GPP等標(biāo)準(zhǔn)機(jī)構(gòu)、頻譜管理政策、出口管制政策等；四是聯(lián)合盟國(guó)和伙伴，如聯(lián)合盟國(guó)推行國(guó)家安全理念、聯(lián)合行業(yè)提升5G能力、聯(lián)合國(guó)會(huì)立法等.

2020年12月15日，DoD發(fā)布題為《5G技術(shù)實(shí)施方案》(5G Strategy Implementation Plan)[6]的報(bào)告.該報(bào)告作為《國(guó)防部5G戰(zhàn)略》的附錄，描述了國(guó)防部5G戰(zhàn)略的實(shí)施細(xì)節(jié).此外，報(bào)告還為《國(guó)防部5G戰(zhàn)略》提供了路線圖，以解決5G的技術(shù)、安全、標(biāo)準(zhǔn)、政策以及應(yīng)用與合作的問(wèn)題.

美國(guó)不僅在本國(guó)實(shí)施5G安全的準(zhǔn)入壁壘，在美國(guó)之外北約以5G網(wǎng)絡(luò)安全和供應(yīng)鏈安全為借口，施壓盟友共同抵制中企.2019年5月2—3日，以美國(guó)為首的32個(gè)國(guó)家在捷克布拉格召開(kāi)安全大會(huì)，就5G網(wǎng)絡(luò)安全的挑戰(zhàn)與對(duì)策舉行閉門會(huì)議，中國(guó)沒(méi)有參會(huì).會(huì)議發(fā)布了非約束性政策建議“布拉格提案”：網(wǎng)絡(luò)安全不僅是技術(shù)問(wèn)題，保護(hù)通信設(shè)施網(wǎng)絡(luò)安全不僅是商業(yè)問(wèn)題，需要適當(dāng)?shù)膰?guó)家戰(zhàn)略、健全的政策、全面的法律框架等.系統(tǒng)的風(fēng)險(xiǎn)評(píng)估非常重要，網(wǎng)絡(luò)安全威脅不僅要考慮技術(shù)性質(zhì)，還要考慮惡意行為的政治、經(jīng)濟(jì)行為以及供應(yīng)鏈安全.

2020年5月13日，應(yīng)美國(guó)國(guó)務(wù)院要求，美國(guó)國(guó)際戰(zhàn)略研究中心(Center for Strategic and International Studies，CSIS)組織來(lái)自亞洲、歐洲、美國(guó)的25名專家，制定供應(yīng)商的可信評(píng)估標(biāo)準(zhǔn)、政府行動(dòng)建議，發(fā)布《電信網(wǎng)絡(luò)與服務(wù)安全可信標(biāo)準(zhǔn)》(Criteria for Security and Trust in Telecommunications Networks and Services)[7]，該標(biāo)準(zhǔn)目的是助推盟友國(guó)家制定政策，遏制中企.他們認(rèn)為電信網(wǎng)絡(luò)影響國(guó)家安全，只能來(lái)自可信供應(yīng)商，而可信供應(yīng)商重點(diǎn)基于國(guó)家政策、公司治理、風(fēng)險(xiǎn)消減措施來(lái)評(píng)估，有明顯的傾向性.

在產(chǎn)業(yè)上，美國(guó)鼓勵(lì)私營(yíng)企業(yè)以多種方式進(jìn)入電信5G領(lǐng)域，以安全切入，以IT和芯片優(yōu)勢(shì)重新領(lǐng)導(dǎo)5G產(chǎn)業(yè).通過(guò)產(chǎn)業(yè)和開(kāi)源組織實(shí)現(xiàn)開(kāi)放、解耦、開(kāi)源、白盒，如TIP OpenRAN/OCN(Open Core Network)，O-RAN，Open RAN政策聯(lián)盟等.

2020年5月5日，美日歐31家企業(yè)，包括5G Startup、美日歐運(yùn)營(yíng)商、美日韓設(shè)備商、美國(guó)IT/云/OTT廠商等，組成OpenRAN政策聯(lián)盟.

2020年1月30日，美國(guó)國(guó)防高級(jí)研究計(jì)劃局(Defense Advanced Research Projects Agency，DARPA)發(fā)布OPS-5G項(xiàng)目，希望以安全為由切入重新領(lǐng)導(dǎo)5G/6G產(chǎn)業(yè).OPS-5G目標(biāo)是建立美國(guó)主導(dǎo)的、兼容標(biāo)準(zhǔn)的、不依賴于硬件的、安全的開(kāi)源軟件，解決5G帶來(lái)的安全風(fēng)險(xiǎn).OPS-5G項(xiàng)目計(jì)劃通過(guò)4年達(dá)成目標(biāo)，至少在1個(gè)美國(guó)運(yùn)營(yíng)商商用分為4個(gè)TA(technical area)，重點(diǎn)在AI自動(dòng)生成代碼(TA1)和網(wǎng)絡(luò)安全(TA2/3/4)上構(gòu)筑領(lǐng)先優(yōu)勢(shì).

2.2 歐盟5G安全形勢(shì)與政策

2019年以來(lái)，歐盟高度重視5G技術(shù)的戰(zhàn)略自主權(quán)和網(wǎng)絡(luò)安全，出臺(tái)了一系列旨在解決本地區(qū)5G網(wǎng)絡(luò)安全問(wèn)題的政策文件[8].這些文件特別強(qiáng)調(diào)對(duì)非歐盟國(guó)家5G供應(yīng)商的風(fēng)險(xiǎn)評(píng)估，中國(guó)5G企業(yè)在歐盟開(kāi)展業(yè)務(wù)面臨嚴(yán)峻挑戰(zhàn).

2019年3月歐盟委員會(huì)通過(guò)《5G網(wǎng)絡(luò)安全建議》(Commission Recommendation—Cybersecurity of 5G networks)[9].歐盟在建議中提出了要通過(guò)制定適當(dāng)?shù)娘L(fēng)險(xiǎn)分析指南來(lái)解決5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，特別是在歐盟層面要制定具有協(xié)調(diào)性的風(fēng)險(xiǎn)評(píng)估機(jī)制，并建立最佳風(fēng)險(xiǎn)管理措施的工具箱流程.具體包括以下步驟：1)成員國(guó)進(jìn)行5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估；2)歐盟形成統(tǒng)一5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告；3)歐盟制定統(tǒng)一5G網(wǎng)絡(luò)風(fēng)險(xiǎn)消減措施工具箱；4)評(píng)估工具箱實(shí)施效果[9].

2019年7月歐盟成員國(guó)完成本國(guó)5G網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估報(bào)告，提交到歐盟.

2019年10月歐盟國(guó)家網(wǎng)絡(luò)安全協(xié)作組(NIS Corporation Group )發(fā)布《5G網(wǎng)絡(luò)安全統(tǒng)一風(fēng)險(xiǎn)評(píng)估報(bào)告》(EU Coordinated Risk Assessment of the CyberSecurity of 5G Networks)[10]，對(duì)5G資產(chǎn)敏感度、威脅、漏洞、風(fēng)險(xiǎn)進(jìn)行了評(píng)估.

2019年11月歐洲網(wǎng)絡(luò)和信息安全局(ENISA)發(fā)布《5G網(wǎng)絡(luò)安全威脅全景圖》(Threat Landscape of 5G Networks)[11]，對(duì)5G網(wǎng)絡(luò)所存在的安全威脅進(jìn)行分析，描述了5G網(wǎng)絡(luò)安全威脅圖譜和5G網(wǎng)絡(luò)在安全方面的挑戰(zhàn)，加入了創(chuàng)建綜合5G架構(gòu)、識(shí)別重要資產(chǎn)、對(duì)影響5G的威脅進(jìn)行評(píng)估、識(shí)別資產(chǎn)暴露的程度以及威脅源動(dòng)機(jī)的評(píng)估.

2020年1月歐盟國(guó)家網(wǎng)絡(luò)安全協(xié)作組(NIS Corporation Group)發(fā)布《5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)消減措施工具箱》(Cybersecurity of 5G networks EU Toolbox of Risk Mitigating Measures)[12]，為成員國(guó)消減5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提供指導(dǎo).包括8條戰(zhàn)略措施(SM)和11條技術(shù)措施(TM)，其中SM03要求成員國(guó)評(píng)估供應(yīng)商風(fēng)險(xiǎn)，高風(fēng)險(xiǎn)供應(yīng)商要排除高敏感部件,TM09定義歐盟統(tǒng)一認(rèn)證框架.

2020年7月24日歐盟國(guó)家網(wǎng)絡(luò)安全協(xié)作組輸出《歐盟成員國(guó)關(guān)于實(shí)施5G網(wǎng)絡(luò)安全工具箱的進(jìn)展報(bào)告》(Report on Member State’s Progress in Implementing the EU Toolbox on 5G Cybersecurity)[13].該報(bào)告分析了歐盟成員國(guó)在國(guó)家一級(jí)實(shí)施5G安全工具箱的進(jìn)展.2020年10月成員國(guó)與歐盟共同評(píng)估工具箱實(shí)施效果，并決定是否采取進(jìn)一步措施.因疫情原因延遲.

目前歐盟對(duì)5G安全的理解，已不局限在技術(shù)層面，而是站在歐盟整體利益、區(qū)域安全和國(guó)際關(guān)系的戰(zhàn)略高度來(lái)思考.歐盟發(fā)布工具箱的目的，是想通過(guò)歐盟統(tǒng)一的方法評(píng)估和消減5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，在保障5G網(wǎng)絡(luò)安全的情況下加速5G部署，確保技術(shù)主權(quán).歐盟在工具箱中定義了九大風(fēng)險(xiǎn)、8個(gè)戰(zhàn)略措施、11個(gè)技術(shù)措施、10個(gè)支撐行動(dòng)，核心是供應(yīng)商風(fēng)險(xiǎn)評(píng)估和統(tǒng)一認(rèn)證，這對(duì)于中國(guó)供應(yīng)商提出了更高的要求.

歐盟認(rèn)為的5G面臨的TOP9風(fēng)險(xiǎn)如表1所示，其中R5條款針對(duì)的是國(guó)外5G設(shè)備提供商.

表1 歐盟工具箱的TOP9風(fēng)險(xiǎn)

歐盟工具箱提出的8個(gè)戰(zhàn)略措施如表2所示，基本所有國(guó)家都在執(zhí)行或者計(jì)劃執(zhí)行SM03，14個(gè)國(guó)家已經(jīng)表明會(huì)考慮非技術(shù)因素，如第三國(guó)干預(yù)、供應(yīng)商來(lái)源、情報(bào)威脅等.

表2 歐盟工具箱的8個(gè)戰(zhàn)略措施

歐盟工具箱提出保障5G安全的11個(gè)技術(shù)措施如表3所示，技術(shù)措施TM09,TM10提出了針對(duì)5G組件和非5G組件要通過(guò)歐盟安全認(rèn)證.

表3 歐盟工具箱的11個(gè)技術(shù)措施

歐盟工具箱提出保障5G安全的10個(gè)支撐行動(dòng)如表4所示，在SA03中提出要形成5G標(biāo)準(zhǔn)，在SA05中提出要在歐盟層面進(jìn)行安全認(rèn)證，在SA06中提出要對(duì)供應(yīng)商進(jìn)行風(fēng)險(xiǎn)畫像.

表4 歐盟工具箱的10個(gè)支撐行動(dòng)

歐盟工具箱中涉及到的技術(shù)措施TM09,TM10對(duì)于安全認(rèn)證的要求，觸發(fā)5G認(rèn)證組的成立.歐盟網(wǎng)絡(luò)安全認(rèn)證組負(fù)責(zé)成立相關(guān)技術(shù)認(rèn)證組制定認(rèn)證標(biāo)準(zhǔn)，5G認(rèn)證組是其中之一.

2019年6月《網(wǎng)絡(luò)安全法案》(EU Cybersecurity Act)出臺(tái)，建立統(tǒng)一認(rèn)證框架.

2019年H1歐盟網(wǎng)絡(luò)安全認(rèn)證組(ECCG)成立.

2020年H2歐洲網(wǎng)絡(luò)和信息安全局(ENISA)5G認(rèn)證組成立，制定歐盟5G認(rèn)證規(guī)范.

2021—2022歐盟批準(zhǔn)ENISA 5G認(rèn)證標(biāo)準(zhǔn).

歐盟通過(guò)一系列在5G安全方面的政策發(fā)布，旨在降低歐盟及其成員國(guó)在地區(qū)層面的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，在歐盟層面形成一致性的行動(dòng)和檢測(cè)標(biāo)準(zhǔn).對(duì)歐盟各國(guó)認(rèn)為的高風(fēng)險(xiǎn)供應(yīng)商實(shí)施相關(guān)限制，將它們排除在“關(guān)鍵、敏感”的核心網(wǎng)絡(luò)功能之外，這對(duì)于中國(guó)供應(yīng)商增大了準(zhǔn)入難度.

2.3 英國(guó)5G安全形勢(shì)與政策

英國(guó)在1998年頒布新版《數(shù)據(jù)保護(hù)法》，明確了數(shù)據(jù)控制者在個(gè)人數(shù)據(jù)處理中的權(quán)利、義務(wù)及責(zé)任，提出公民擁有獲取與自身相關(guān)數(shù)據(jù)的權(quán)利.英國(guó)信息公開(kāi)領(lǐng)域的基礎(chǔ)性法律包括2000年頒布的《信息自由法》(Freedom of Information Act, FOIA)和2012年頒布的《自由保護(hù)法》(Protection of Freedom, PFA).為加強(qiáng)網(wǎng)絡(luò)與信息安全，英國(guó)政府分別于2009年、2011年和2016年頒布3部《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》(National Cyber Security Strategy)[14].英國(guó)原本采取平衡戰(zhàn)略，在美國(guó)施壓下逐步倒向美國(guó).

2018年12月5日英國(guó)運(yùn)營(yíng)商BT宣布不用中國(guó)企業(yè)華為的5G核心網(wǎng)，并替換現(xiàn)網(wǎng)2/3/4G核心網(wǎng).

2019年7月22日英國(guó)DCMS(數(shù)字、文化、傳媒和體育部)、NCSC(英國(guó)國(guó)家網(wǎng)絡(luò)安全中心)、OFCOM(通信管理局)聯(lián)合發(fā)布電信安全要求(Telecoms Security Requirements, TSR)，作為法規(guī)管理所有運(yùn)營(yíng)商，由OFCOM監(jiān)管[15-16].

2020年5月29日英國(guó)政府與G7、澳大利亞、韓國(guó)和印度等10個(gè)國(guó)家，建立了D10 5G俱樂(lè)部，扶持5G設(shè)備的替代供應(yīng)商，欲擺脫對(duì)中國(guó)5G的依賴[17-18].

2020年1月28日，英國(guó)NCSC(英國(guó)國(guó)家網(wǎng)絡(luò)安全中心)發(fā)布正式報(bào)告，華為被定為高風(fēng)險(xiǎn)供應(yīng)商(HRV)，禁止中國(guó)華為核心網(wǎng)，允許無(wú)線參與，份額小于35%，并通過(guò)風(fēng)險(xiǎn)消減措施使得網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可控[19-21].

2020年7月14日，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NSSC)表示無(wú)法保證中國(guó)公司華為5G安全，2020年底停止華為5G設(shè)備采購(gòu)和部署，2027年要求華為從英國(guó)5G網(wǎng)絡(luò)中完全消失[19-21].

英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)定義了高風(fēng)險(xiǎn)供應(yīng)商(HRV)標(biāo)準(zhǔn)，并將華為定位HRV[19-21].評(píng)估標(biāo)準(zhǔn)如下：

1) 供應(yīng)商在英國(guó)網(wǎng)絡(luò)的戰(zhàn)略地位/規(guī)模；

2) 供應(yīng)商在其他電信網(wǎng)絡(luò)的戰(zhàn)略地位/規(guī)模，特別是如果該供應(yīng)商是新進(jìn)入英國(guó)市場(chǎng)的供應(yīng)商；

3) 供應(yīng)商工程實(shí)踐的質(zhì)量和透明度、網(wǎng)絡(luò)安全管控；

4) 供應(yīng)商過(guò)去的行為和做法；

5) 供應(yīng)商在技術(shù)方面和向英國(guó)運(yùn)營(yíng)商供應(yīng)連續(xù)性方面的韌性；

6) 與供應(yīng)商相關(guān)的所有權(quán)和經(jīng)營(yíng)地點(diǎn)有關(guān)的若干考慮因素.包括：

① 供應(yīng)商受歸屬國(guó)家機(jī)器的影響(正式和非正式)；

② 供應(yīng)商受歸屬國(guó)家機(jī)器和關(guān)聯(lián)行為者是否擁有攻擊性網(wǎng)絡(luò)能力，可能被用來(lái)針對(duì)英國(guó)的利益；

③ 業(yè)務(wù)運(yùn)營(yíng)的重要組成部分是否受供應(yīng)商國(guó)內(nèi)安全法律的約束，這些法律允許以與英國(guó)法律相沖突的方式向外部發(fā)出指示.

英國(guó)政府制定了5類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)消減措施，包括技術(shù)和非技術(shù)措施如表5所示：

表5 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)消減措施

2.4 日韓5G安全形勢(shì)與政策

日本政府建立了由首相親自掛帥的IT戰(zhàn)略本部會(huì)議，針對(duì)Society5.0及未來(lái)5G，IoT，AI等方面制定戰(zhàn)略決策:

2018年12月6日，日本要求其政府及公共事業(yè)不得采購(gòu)華為的5G設(shè)備[22-23].

2018年12月10日，日本四大運(yùn)營(yíng)商(NTT DoCoMo，KDDI，SoftBank，Rakuten)均表態(tài)不會(huì)使用華為5G設(shè)備[22-23].

2019年12月12日，日本政府正式宣布，若電信公司采購(gòu)的設(shè)備是來(lái)自“不會(huì)對(duì)日本構(gòu)成安全風(fēng)險(xiǎn)的國(guó)家”的設(shè)備，將可享有15%的減稅優(yōu)惠.

2020年2月18日，政府批準(zhǔn)法案，通過(guò)一系列減稅措施鼓勵(lì)國(guó)內(nèi)企業(yè)發(fā)展5G技術(shù)，NEC、富士通占全球通信設(shè)備份額1%～2%，主要在日本國(guó)內(nèi)，希望借5G和Open RAN發(fā)展壯大.日本廠商積極參與TIP Open RAN、O-RAN聯(lián)盟、美國(guó)Open-RAN政策聯(lián)盟等，NTT DoCoMo將諾基亞BBU與富士通和NEC的RRU集成在一起，符合O-RAN(open radio access network).NEC與Rakuten合作，計(jì)劃5年時(shí)間完成16 000面低成本5G天線部署.

韓國(guó)把5G定義為國(guó)家戰(zhàn)略，希望趁機(jī)做大：

2019年6月17日，韓國(guó)官員表示，華為5G設(shè)備與國(guó)防網(wǎng)絡(luò)隔離，威脅很小，只有小于10%使用華為5G，其他均采用三星等廠商[24-27].

通過(guò)快速推進(jìn)頻譜發(fā)放、物理站點(diǎn)共享、國(guó)家比拼測(cè)試等方式驅(qū)動(dòng)運(yùn)營(yíng)商加速5G商用，意圖是通過(guò)韓國(guó)本土催熟E2E 5G產(chǎn)業(yè)，從而提升包括終端、半導(dǎo)體、網(wǎng)絡(luò)設(shè)備等ICT產(chǎn)業(yè)出口，打造韓國(guó)經(jīng)濟(jì)增長(zhǎng)新引擎.

3 我國(guó)5G安全進(jìn)展簡(jiǎn)介

在我國(guó)國(guó)家政策層面，2018年12月中央經(jīng)濟(jì)工作會(huì)議將5G與人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)定義為“新基建”，并把其定為2019年的重點(diǎn)工作.《中國(guó)制造2025》提出全面突破5G技術(shù)，突破“未來(lái)網(wǎng)絡(luò)”核心技術(shù)和體系架構(gòu).《十三五規(guī)劃綱要》提出要積極推進(jìn)5G發(fā)展，布局未來(lái)網(wǎng)絡(luò)架構(gòu)[28].

2020年是5G元年，各部委針對(duì)5G單獨(dú)發(fā)文，要求加強(qiáng)5G安全保障，體現(xiàn)了國(guó)家在5G安全方面的高度重視.

2020年8月25日，國(guó)家發(fā)展和改革委員會(huì)發(fā)布《推動(dòng)5G安全體系建設(shè)》指出：5G技術(shù)發(fā)展與業(yè)務(wù)應(yīng)用面臨安全挑戰(zhàn)，使得基于垂直行業(yè)個(gè)人隱私泄露風(fēng)險(xiǎn)增加，個(gè)人隱私信息轉(zhuǎn)移到開(kāi)放平臺(tái).該發(fā)文要求加大5G技術(shù)研發(fā)力度和資金支持.加大對(duì)5G安全技術(shù)研發(fā)的投入，推動(dòng)漏洞挖掘、數(shù)據(jù)保護(hù)、入侵防御、追蹤溯源等安全產(chǎn)品的研發(fā)，構(gòu)建全局感知、聯(lián)動(dòng)處置、預(yù)警防護(hù)、威脅監(jiān)測(cè)的5G安全保障框架，通過(guò)技術(shù)創(chuàng)新不斷化解5G發(fā)展中面臨的安全風(fēng)險(xiǎn)[29].

2020年3月24日工業(yè)和信息化部發(fā)布《關(guān)于推動(dòng)5G加快發(fā)展的通知》.該通知要求加強(qiáng)5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全保障，加快構(gòu)建5G關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，加強(qiáng)5G核心系統(tǒng)、網(wǎng)絡(luò)切片、移動(dòng)邊緣計(jì)算平臺(tái)等新對(duì)象的網(wǎng)絡(luò)安全防護(hù)，建立風(fēng)險(xiǎn)動(dòng)態(tài)評(píng)估、關(guān)鍵設(shè)備檢測(cè)認(rèn)證等制度和機(jī)制，強(qiáng)化5G網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù).圍繞5G各類典型技術(shù)和車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等典型應(yīng)用場(chǎng)景，健全完善數(shù)據(jù)安全管理制度與標(biāo)準(zhǔn)規(guī)范.建立5G典型場(chǎng)景數(shù)據(jù)安全風(fēng)險(xiǎn)動(dòng)態(tài)評(píng)估評(píng)測(cè)機(jī)制，強(qiáng)化評(píng)估結(jié)果運(yùn)用.培育5G網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài).加強(qiáng)5G網(wǎng)絡(luò)安全核心技術(shù)攻關(guān)和成果轉(zhuǎn)化，強(qiáng)化安全服務(wù)供給.大力推進(jìn)國(guó)家網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)建設(shè)和試點(diǎn)示范，加快培育5G安全產(chǎn)業(yè)鏈關(guān)鍵環(huán)節(jié)領(lǐng)軍企業(yè)，促進(jìn)產(chǎn)業(yè)上下游中小企業(yè)發(fā)展，形成關(guān)鍵技術(shù)、產(chǎn)品和服務(wù)的一體化保障能力.

2019年11月26日，IMT-2020(5G)推進(jìn)組安全工作組在北京召開(kāi)啟動(dòng)大會(huì).會(huì)議進(jìn)行了5G安全關(guān)鍵技術(shù)及產(chǎn)業(yè)發(fā)展研討.安全工作組應(yīng)開(kāi)展以下工作：一是5G安全關(guān)鍵技術(shù)及檢測(cè)評(píng)估方法研究，推進(jìn)國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)化；二是5G設(shè)備安全相關(guān)測(cè)試，提升5G設(shè)備安全性和可靠性；三是加強(qiáng)交流與合作，增進(jìn)5G安全國(guó)際共識(shí)；四是推進(jìn)5G行業(yè)應(yīng)用安全相關(guān)研究

2020年2月4日，中國(guó)信通院發(fā)布《5G安全報(bào)告》.報(bào)告分析了5G主要場(chǎng)景的安全威脅，超大流量下傳統(tǒng)安全設(shè)備的性能成為業(yè)務(wù)瓶頸，由于低延時(shí)互聯(lián)網(wǎng)應(yīng)用達(dá)到5G邊緣，因此存在用戶邊緣應(yīng)用安全的新場(chǎng)景.低時(shí)延需求導(dǎo)致安全部署受限，接入認(rèn)證、數(shù)據(jù)加密會(huì)增加時(shí)延，需要有合理的解決方案在低延時(shí)的情況下保證uRLLC的安全.物聯(lián)網(wǎng)設(shè)備的低可靠性，包括難以部署復(fù)雜的安全策略，容易被攻擊，成為跳板.因此物聯(lián)網(wǎng)安全，尤其是工業(yè)物聯(lián)網(wǎng)安全，是5G安全解決方案關(guān)注的重點(diǎn)[30].

2020年2月，安全公司360發(fā)布了《5G網(wǎng)絡(luò)安全研究報(bào)告》.報(bào)告指出5G在網(wǎng)絡(luò)安全方面最大的挑戰(zhàn)在于它構(gòu)筑了萬(wàn)物互聯(lián)的基礎(chǔ)，海量IoT設(shè)備的普及和數(shù)據(jù)的傳輸成為可能.網(wǎng)絡(luò)切片技術(shù)使得網(wǎng)絡(luò)邊界模糊，5G對(duì)用戶位置隱私的保護(hù)提出更高要求，低時(shí)延業(yè)務(wù)擴(kuò)大了網(wǎng)絡(luò)安全的攻擊面，5G在促進(jìn)物聯(lián)網(wǎng)發(fā)展的同時(shí)，也會(huì)成為黑客攻擊的重點(diǎn)目標(biāo).

2020年5月，中國(guó)電信發(fā)布《5G SA安全增強(qiáng)SIM卡白皮書》，主要面向終端安全方向.SUCI計(jì)算方案利用高安全等級(jí)算法對(duì)用戶身份加密后再傳輸，可保護(hù)接入連接設(shè)備用戶的身份隱私，避免被跟蹤攻擊；5G SA安全增強(qiáng)SIM卡新增的GBA功能則為行業(yè)合作伙伴應(yīng)用提供統(tǒng)一的業(yè)務(wù)接入認(rèn)證能力，可創(chuàng)建安全數(shù)據(jù)通道，滿足差異化安全需求.

中國(guó)在5G應(yīng)用和5G安全方面目前正在不斷推進(jìn)過(guò)程中，2020年中國(guó)5G基站數(shù)量達(dá)70萬(wàn)，占全球近七成.在進(jìn)入千行百業(yè)的垂直領(lǐng)域，5G安全是保障業(yè)務(wù)的重要一環(huán)，目前中國(guó)在該領(lǐng)域具有一定的領(lǐng)先優(yōu)勢(shì)，在推進(jìn)過(guò)程中，有希望保持并率先實(shí)現(xiàn)安全方面的突破.

4 總結(jié)和應(yīng)對(duì)建議

縱觀5G安全國(guó)際國(guó)內(nèi)發(fā)展態(tài)勢(shì)，雖然中國(guó)面臨世界頭號(hào)強(qiáng)國(guó)的打壓，但中國(guó)5G仍實(shí)現(xiàn)了快速發(fā)展，5G安全技術(shù)標(biāo)準(zhǔn)和產(chǎn)業(yè)布局方面發(fā)展迅速.隨著各國(guó)建設(shè)5G網(wǎng)絡(luò)和5G商用推廣，5G的政治屬性越來(lái)越強(qiáng)，5G安全形勢(shì)變得更加緊迫.美國(guó)已經(jīng)動(dòng)用國(guó)家力量，對(duì)中國(guó)5G企業(yè)展開(kāi)一場(chǎng)公開(kāi)的或秘密的全球運(yùn)動(dòng)，以阻止華為等中國(guó)公司在5G領(lǐng)域的發(fā)展.

未來(lái)10年，5G將作為全面構(gòu)筑經(jīng)濟(jì)社會(huì)數(shù)字化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)設(shè)施對(duì)推動(dòng)我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展具有重要意義.未來(lái)5G將更多走向工業(yè)化的應(yīng)用，包括車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等在內(nèi)的場(chǎng)景應(yīng)用將迎來(lái)蓬勃發(fā)展.在這種情況下，我國(guó)5G產(chǎn)業(yè)必須解決卡脖子的戰(zhàn)略風(fēng)險(xiǎn).

在5G安全方面，建議從以下方面展開(kāi)行動(dòng)：

1) 明確國(guó)家5G安全戰(zhàn)略.我國(guó)需研究制定頻譜戰(zhàn)略，完善我國(guó)5G安全發(fā)展法規(guī)與政策，加快我國(guó)5G新基建建設(shè)，形成成功的5G安全樣板點(diǎn).

2) 開(kāi)放合作，主導(dǎo)5G安全技術(shù).進(jìn)一步加強(qiáng)5G國(guó)際開(kāi)放與合作等，積極應(yīng)對(duì)外部打壓，以保持我國(guó)在全球5G安全的主導(dǎo)地位.

3) 構(gòu)建統(tǒng)一的5G安全標(biāo)準(zhǔn).打造領(lǐng)先的安全理念和解決方案，借3GPP/GSMA推動(dòng)全球5G安全統(tǒng)一認(rèn)證，打造安全共識(shí)，消除疑慮.

4) 進(jìn)行關(guān)鍵技術(shù)攻關(guān)，確保業(yè)務(wù)連續(xù)性.通過(guò)對(duì)芯片、架構(gòu)等方面的技術(shù)攻關(guān)，構(gòu)建多元化戰(zhàn)略和引入戰(zhàn)略合作伙伴，保障在極端場(chǎng)景下的業(yè)務(wù)連續(xù)性.

5) 做實(shí)5G布局6G，持續(xù)引領(lǐng)未來(lái).實(shí)現(xiàn)5G遍地開(kāi)花，全面領(lǐng)先，提前布局5.5/6G，持續(xù)引領(lǐng)標(biāo)準(zhǔn)與產(chǎn)業(yè).

我國(guó)需要抓住網(wǎng)絡(luò)空間發(fā)展的重大機(jī)遇，占領(lǐng)5G安全的制高點(diǎn)，加強(qiáng)5G商用與相關(guān)網(wǎng)絡(luò)安全防護(hù)的標(biāo)準(zhǔn)化工作，運(yùn)用標(biāo)準(zhǔn)來(lái)指導(dǎo)網(wǎng)絡(luò)安全、規(guī)范引領(lǐng)信息技術(shù)應(yīng)用，形成5G命運(yùn)共同體，推動(dòng)5G價(jià)值鏈、供應(yīng)鏈、產(chǎn)業(yè)鏈的創(chuàng)新與合作，共享5G發(fā)展機(jī)遇，為全球數(shù)字經(jīng)濟(jì)的發(fā)展作出新的貢獻(xiàn).