中國(guó)信通院林美玉等：歐盟5G安全監(jiān)管模式研究

（CWW）5G網(wǎng)絡(luò)已成為世界各國(guó)促進(jìn)經(jīng)濟(jì)發(fā)展和數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施，在經(jīng)濟(jì)和社會(huì)中扮演著至關(guān)重要的角色，5G網(wǎng)絡(luò)的重要性推動(dòng)世界各國(guó)將5G安全納入國(guó)家級(jí)戰(zhàn)略。從2019年3月26日，歐盟發(fā)布《5G網(wǎng)絡(luò)安全建議》（簡(jiǎn)稱《建議》）[1]開始，歐盟陸續(xù)采取有針對(duì)性的系列化措施，有序推進(jìn)5G安全監(jiān)管工作。歐盟首先推動(dòng)各成員國(guó)開展5G網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估，并發(fā)布《5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》（簡(jiǎn)稱《風(fēng)險(xiǎn)評(píng)估報(bào)告》）[2]。在評(píng)估5G安全風(fēng)險(xiǎn)的基礎(chǔ)上，歐盟細(xì)化了電信監(jiān)管框架中相關(guān)法律要求，制定和出臺(tái)了包括《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)消減措施工具箱》（簡(jiǎn)稱《工具箱》）[3]在內(nèi)的系列5G安全指導(dǎo)文件。歐盟5G安全監(jiān)管框架及系列指導(dǎo)文件為歐盟成員國(guó)確保5G網(wǎng)絡(luò)服務(wù)提供商、設(shè)備制造商采取適當(dāng)?shù)陌踩胧┍Ｕ?G網(wǎng)絡(luò)安全，提供了法律支撐和深入指導(dǎo)。

1 歐盟5G安全監(jiān)管框架

歐盟電信監(jiān)管框架一直在不斷地更新和完善，目前歐盟電信監(jiān)管框架以《網(wǎng)絡(luò)安全法》[4]、《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》（Directive on Security of Network and Information Systems，簡(jiǎn)稱《NIS指令》）[5]、《歐盟電子通信準(zhǔn)則》（European Electronic Communications Code，簡(jiǎn)稱《EECC》）[6]和《外國(guó)直接投資審查條例》[7]等監(jiān)管法律為主，已覆蓋電信設(shè)備認(rèn)證、安全事件跨境通報(bào)與協(xié)助、網(wǎng)絡(luò)安全要求、外商投資審查與監(jiān)控等多個(gè)方面，成為保障歐盟5G網(wǎng)絡(luò)安全發(fā)展的重要法律依據(jù)。在5G安全方面，歐盟發(fā)布的《5G網(wǎng)絡(luò)安全建議》[1]，從頂層對(duì)5G安全監(jiān)管工作的實(shí)施路徑進(jìn)行了規(guī)劃。為細(xì)化5G網(wǎng)絡(luò)監(jiān)管要求，落實(shí)《建議》中的推進(jìn)方案，加速5G網(wǎng)絡(luò)安全能力落地，網(wǎng)絡(luò)和信息安全協(xié)作小組（Cooperation Group on Network and Information Security，簡(jiǎn)稱“NIS協(xié)作小組”）、歐盟委員會(huì)網(wǎng)絡(luò)安全局（European Union Agency for Cybersecurity，ENISA）等組織先后發(fā)布《風(fēng)險(xiǎn)評(píng)估報(bào)告》[2]、《5G網(wǎng)絡(luò)威脅視圖》（簡(jiǎn)稱《威脅視圖》）[8]、《工具箱》《EECC安全措施指南》（簡(jiǎn)稱《EECC指南》）[9]及《EECC安全措施指南——5G補(bǔ)充說明》（簡(jiǎn)稱《5G補(bǔ)充說明》）[10]等指導(dǎo)性文件，為通信服務(wù)提供商、設(shè)備制造商緩解5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提供了更加明確的技術(shù)指導(dǎo)。目前，歐盟已經(jīng)基本構(gòu)建了較為完善的以“法律框架+指導(dǎo)性文件”為支撐的5G安全監(jiān)管框架，穩(wěn)步推進(jìn)5G安全監(jiān)管工作（見圖1）。

圖1 5G安全相關(guān)的法律框架及指導(dǎo)性文件

1.1 5G安全監(jiān)管相關(guān)法律

1.1.1 《NIS指令》《NIS指令》于2016年8月正式發(fā)布，是歐盟范圍內(nèi)有關(guān)網(wǎng)絡(luò)安全的第一部法律，對(duì)包括5G通信服務(wù)提供商在內(nèi)的所有ICT運(yùn)營(yíng)者和數(shù)字服務(wù)提供商提出了歐盟層面的統(tǒng)一安全要求?！禢IS指令》要求歐盟成員國(guó)要建立網(wǎng)絡(luò)安全事件應(yīng)急小組和統(tǒng)一應(yīng)急網(wǎng)絡(luò)以加強(qiáng)網(wǎng)絡(luò)安全事件運(yùn)營(yíng)合作，同時(shí)要強(qiáng)化ICT服務(wù)提供商及云計(jì)算等數(shù)字服務(wù)提供商的網(wǎng)絡(luò)事件上報(bào)機(jī)制。

考慮到網(wǎng)絡(luò)安全威脅的不斷擴(kuò)展，2020年12月16日，歐盟對(duì)《NIS指令》進(jìn)行了修訂，提出了一個(gè)更高級(jí)別的網(wǎng)絡(luò)與信息系統(tǒng)安全要求，目前該指令處于提案階段。修訂的《NIS指令》加強(qiáng)了風(fēng)險(xiǎn)管理，提出要設(shè)立網(wǎng)絡(luò)安全基線要求，同時(shí)要求積極應(yīng)對(duì)來自供應(yīng)鏈和供應(yīng)商的安全風(fēng)險(xiǎn)。修訂的《NIS指令》已將風(fēng)險(xiǎn)評(píng)估作為降低5G網(wǎng)絡(luò)供應(yīng)鏈安全風(fēng)險(xiǎn)的重要措施。

1.1.2 《EECC》《EECC》于2018年12月由歐盟正式發(fā)布，是規(guī)范電子通信網(wǎng)絡(luò)和服務(wù)的一項(xiàng)指令?！禘ECC》對(duì)原有電信監(jiān)管法律進(jìn)行了整合和更新，正式成為現(xiàn)行監(jiān)管模式的有效支撐法律?！禘ECC》要求歐盟成員國(guó)于2020年 12月21日前將相關(guān)指令轉(zhuǎn)化為本國(guó)立法。其中，在電信網(wǎng)絡(luò)安全方面詳細(xì)定義了網(wǎng)絡(luò)、服務(wù)安全以及安全事件，明確了通信服務(wù)提供商維護(hù)網(wǎng)絡(luò)安全性和完整性的職責(zé)以及監(jiān)管機(jī)構(gòu)的監(jiān)督權(quán)力?！禘ECC》并未直接對(duì)網(wǎng)絡(luò)設(shè)備制造商提出要求，而是通過對(duì)通信服務(wù)提供商提要求間接實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備制造商的監(jiān)管。在《EECC》下，5G網(wǎng)絡(luò)服務(wù)提供商將在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和安全能力建設(shè)方面接受當(dāng)局主管部門的監(jiān)督。

1.1.3 《5G網(wǎng)絡(luò)安全建議》2019年3月歐盟通過的《5G網(wǎng)絡(luò)安全建議》，可看作是歐盟關(guān)于5G安全工作的頂層規(guī)劃。提出了全面的 5G安全工作建議、歐盟和國(guó)家層面的行動(dòng)計(jì)劃，具體包括：首先，成員國(guó)要在規(guī)定時(shí)間內(nèi)完成風(fēng)險(xiǎn)評(píng)估并提交評(píng)估報(bào)告；其次，ENISA要基于評(píng)估報(bào)告進(jìn)一步細(xì)化并完成5G網(wǎng)絡(luò)威脅狀況調(diào)查分析；之后，NIS協(xié)作小組要制定《工具箱》以緩解可能存在的安全風(fēng)險(xiǎn)；此外，成員國(guó)與歐盟還將展開新一輪評(píng)估，以便確定推進(jìn)措施的效果，從而確定未來是否需要進(jìn)一步采取行動(dòng)。雖然2020年因?yàn)樾鹿诜窝滓咔樵?，原?jì)劃由各成員國(guó)完成的實(shí)施計(jì)劃和階段性報(bào)告出現(xiàn)了一定程度的延遲，但整體還是按照《5G網(wǎng)絡(luò)安全建議》有序推進(jìn)5G安全各項(xiàng)工作。

1.1.4 《外國(guó)直接投資審查條例》2019年4月，歐盟《外國(guó)直接投資審查條例》生效。依據(jù)《外國(guó)直接投資審查條例》，歐盟有權(quán)對(duì)參與5G網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施投資的外商進(jìn)行審查和定期監(jiān)控，以保障5G網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施的安全性，同時(shí)避免關(guān)鍵資產(chǎn)對(duì)外商的過度依賴。這也是歐盟保障5G供應(yīng)鏈安全的有效工具。

1.1.5 《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全法》于2019年6月生效，首次為歐洲產(chǎn)品、流程和服務(wù)的網(wǎng)絡(luò)安全認(rèn)證機(jī)制建立了全面的《歐盟網(wǎng)絡(luò)安全認(rèn)證框架》，并對(duì)ENISA進(jìn)行了永久授權(quán)?！毒W(wǎng)絡(luò)安全法》對(duì)ENISA賦予更多的資源和任務(wù)：一是支撐歐盟網(wǎng)絡(luò)安全認(rèn)證框架建設(shè)，為統(tǒng)一認(rèn)證構(gòu)建技術(shù)基礎(chǔ)；二是加強(qiáng)歐盟層面合作，協(xié)調(diào)處理歐盟成員國(guó)內(nèi)或跨區(qū)域的網(wǎng)絡(luò)安全事件。歐盟網(wǎng)絡(luò)安全認(rèn)證機(jī)制落地后，在歐盟開展業(yè)務(wù)的公司僅需要對(duì)其ICT產(chǎn)品、流程和服務(wù)進(jìn)行一次認(rèn)證，即可獲得在整個(gè)歐盟范圍內(nèi)認(rèn)可的證書。5G相關(guān)產(chǎn)品、流程和服務(wù)后續(xù)也將在“歐盟網(wǎng)絡(luò)安全認(rèn)證框架”下進(jìn)行認(rèn)證。

歐盟存在許多針對(duì)ICT產(chǎn)品的不同安全認(rèn)證方案，但此前尚未有適用于整個(gè)歐盟范圍內(nèi)的網(wǎng)絡(luò)安全通用框架。統(tǒng)一認(rèn)證框架將提供一套完整的規(guī)則，包括認(rèn)證產(chǎn)品、服務(wù)列表、網(wǎng)絡(luò)安全技術(shù)要求、安全技術(shù)標(biāo)準(zhǔn)，以及認(rèn)證程序。目前，“歐盟網(wǎng)絡(luò)安全認(rèn)證框架”下的認(rèn)證要求雖為非強(qiáng)制性要求，但歐盟計(jì)劃后續(xù)評(píng)估需強(qiáng)制認(rèn)證的產(chǎn)品和服務(wù)，并進(jìn)一步通過立法推動(dòng)強(qiáng)制性認(rèn)證。為保障《網(wǎng)絡(luò)安全法》的有效實(shí)施，有序推動(dòng)歐盟網(wǎng)絡(luò)安全認(rèn)證工作，歐盟專門成立了歐洲網(wǎng)絡(luò)安全認(rèn)證小組（European Cybersecurity Certification Group，ECCG）。該小組將監(jiān)督和協(xié)調(diào)歐盟范圍內(nèi)網(wǎng)絡(luò)安全認(rèn)證工作，并協(xié)助ENISA開展工作。

1.2 指導(dǎo)文件

在法律框架指導(dǎo)下，按照《建議》相關(guān)計(jì)劃和時(shí)間安排，NIS協(xié)作小組和ENISA分別發(fā)布了《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》和《5G網(wǎng)絡(luò)威脅視圖》；基于這兩份報(bào)告，ENISA梳理了緩解5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的相關(guān)舉措，形成了《工具箱》。在《EECC》轉(zhuǎn)換為成員國(guó)法律之后，為更好地指導(dǎo)成員國(guó)落實(shí)《EECC》要求，同時(shí)推動(dòng)《工具箱》安全措施的執(zhí)行，ENISA發(fā)布了《EECC安全措施指南》及《EECC安全措施指南——5G補(bǔ)充說明》。以下針對(duì)這幾個(gè)重點(diǎn)文件內(nèi)容進(jìn)行介紹。

1.2.1 《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》及《5G網(wǎng)絡(luò)威脅視圖》2019年10月9日，NIS協(xié)作小組發(fā)布了《歐盟5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》，定義了敏感資產(chǎn)及每類資產(chǎn)的風(fēng)險(xiǎn)程度，并對(duì)資產(chǎn)中存在的關(guān)鍵要素進(jìn)行了細(xì)化，同時(shí)列舉了關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，以及風(fēng)險(xiǎn)存在的主要場(chǎng)景（見表1、表2）。為應(yīng)對(duì)技術(shù)層面的5G網(wǎng)絡(luò)威脅，ENISA發(fā)布了《5G網(wǎng)絡(luò)威脅視圖》，該報(bào)告詳細(xì)將5G核心網(wǎng)架構(gòu)、切片、網(wǎng)絡(luò)管理與編排、接入網(wǎng)、網(wǎng)絡(luò)功能虛擬化（Network Function Virtualization，NFV）、軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）、 多接入邊緣計(jì)算（Multi-access Edge Computing，MEC）、安全架構(gòu)，及物理層架構(gòu)的每個(gè)組件和接口進(jìn)行了拆分，并深入分析了每部分威脅來源。2020年12月，ENISA對(duì)《5G網(wǎng)絡(luò)威脅視圖》進(jìn)行了更新[11]，詳細(xì)補(bǔ)充了5G網(wǎng)絡(luò)中組件和接口存在的安全漏洞。《5G網(wǎng)絡(luò)威脅視圖》將作為通信服務(wù)提供商和設(shè)備制造商增強(qiáng)5G安全能力的有力技術(shù)指導(dǎo)文件。

表1 敏感資產(chǎn)列表

表2 關(guān)鍵風(fēng)險(xiǎn)

1.2.2 《工具箱》
2020年1月，NIS協(xié)作小組發(fā)布了《工具箱》，通過制定一套通用安全措施，為國(guó)家和歐盟層面應(yīng)對(duì)風(fēng)險(xiǎn)，選擇風(fēng)險(xiǎn)消減措施提供指導(dǎo)意見?！豆ぞ呦洹分械娘L(fēng)險(xiǎn)消減措施包括8項(xiàng)戰(zhàn)略措施和11項(xiàng)技術(shù)措施，此外還包括10項(xiàng)支撐行動(dòng)，具體參見表3。

表3 《工具箱》措施

《工具箱》整體措施較為中立。在戰(zhàn)略措施中，提出了要評(píng)估供應(yīng)商的風(fēng)險(xiǎn)等級(jí)，對(duì)高風(fēng)險(xiǎn)供應(yīng)商進(jìn)行限制，降低單一供應(yīng)商產(chǎn)品的市場(chǎng)占有率，但并未針對(duì)特定國(guó)家及供應(yīng)商。在技術(shù)措施中，強(qiáng)調(diào)了要通過認(rèn)證和標(biāo)準(zhǔn)化等方式解決現(xiàn)存技術(shù)問題。在支撐行動(dòng)中，強(qiáng)調(diào)了通過推動(dòng)標(biāo)準(zhǔn)化、認(rèn)證以及最佳實(shí)踐等模式加速歐盟5G安全措施的落地。《工具箱》現(xiàn)已成為歐盟及成員國(guó)開展5G安全工作的宏觀性指導(dǎo)文件。

1.2.3 《EECC指南》及《5G補(bǔ)充說明》2020年12月，ENISA基于EECC發(fā)布了一份非約束性文件《EECC指南》，旨在指導(dǎo)成員國(guó)落實(shí)歐盟電信監(jiān)管框架下安全相關(guān)法規(guī)，為各國(guó)電信監(jiān)管機(jī)構(gòu)提供更加明確的技術(shù)指引。同時(shí)，針對(duì)5G網(wǎng)絡(luò)安全，單獨(dú)出臺(tái)了《5G補(bǔ)充說明》。

《EECC指南》列出了8個(gè)安全領(lǐng)域（治理和風(fēng)險(xiǎn)管理，人力資源安全，系統(tǒng)和設(shè)施安全，運(yùn)營(yíng)管理，事件管理，業(yè)務(wù)連續(xù)性管理，監(jiān)控、審計(jì)，測(cè)試、威脅態(tài)勢(shì)感知）的29個(gè)安全目標(biāo)。對(duì)于每個(gè)安全目標(biāo)，《EECC指南》均詳細(xì)列舉了通信服務(wù)提供商為達(dá)到目標(biāo)需采取的安全措施，并提供了用于評(píng)估安全措施是否到位所需出示的相關(guān)證明。《EECC指南》中的安全措施源自現(xiàn)有網(wǎng)絡(luò)和信息安全國(guó)際標(biāo)準(zhǔn)，且每類安全措施與標(biāo)準(zhǔn)均有對(duì)應(yīng)，標(biāo)準(zhǔn)包括ISO 27001、ISO 27001、ISO 27005和ISO 22301。

此外，《EECC指南》還從監(jiān)督的角度出發(fā)為監(jiān)管機(jī)構(gòu)提出了相關(guān)建議：一是將安全標(biāo)準(zhǔn)納入強(qiáng)制或推薦標(biāo)準(zhǔn)；二是評(píng)估全行業(yè)的安全性；三是將安全措施分為基礎(chǔ)級(jí)別、行業(yè)標(biāo)準(zhǔn)級(jí)別和先進(jìn)水平級(jí)別，使通信服務(wù)提供商可結(jié)合自身情況采取適當(dāng)?shù)陌踩胧┓蛛A段滿足監(jiān)管要求；四是可采用定期、隨機(jī)或事后的方式監(jiān)管通信服務(wù)提供商的安全措施落實(shí)情況?！禘ECC指南》將作為歐盟網(wǎng)絡(luò)安全監(jiān)管的主體框架，對(duì)包含5G網(wǎng)絡(luò)在內(nèi)的各系統(tǒng)安全措施部署均有指導(dǎo)作用。作為5G安全措施指導(dǎo)文件，《5G補(bǔ)充說明》結(jié)合了5G網(wǎng)絡(luò)情況，以前期在整個(gè)歐盟層面開展的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)消減措施工作為基礎(chǔ)，為監(jiān)管部門及通信服務(wù)提供商提供了確保5G網(wǎng)絡(luò)安全的措施指導(dǎo)?！?G補(bǔ)充說明》進(jìn)一步落實(shí)了歐盟5G《工具箱》支撐行動(dòng)SA01（審查或制定網(wǎng)絡(luò)安全方面的指導(dǎo)方針和最佳實(shí)踐），有效推動(dòng)《工具箱》中戰(zhàn)略措施和技術(shù)措施的執(zhí)行，并就《 工具箱》中的技術(shù)安全措施，特別是TM01（確保安全要求基線的實(shí)施，即安全網(wǎng)絡(luò)設(shè)計(jì)與架構(gòu)）向歐盟成員國(guó)提供進(jìn)一步的細(xì)化指導(dǎo)。

《5G補(bǔ)充說明》依據(jù)《EECC指南》重點(diǎn)對(duì)8個(gè)安全域中常規(guī)和特定的安全措施制定了專門適用于5G網(wǎng)絡(luò)的檢查列表。該檢查列表將作為歐盟各成員國(guó)監(jiān)管部門檢查通信服務(wù)商5G安全能力的重要參考文件。此外，針對(duì)網(wǎng)元，以及網(wǎng)絡(luò)虛擬化、網(wǎng)絡(luò)切片、邊緣計(jì)算等5G網(wǎng)絡(luò)關(guān)鍵技術(shù)，《5G補(bǔ)充說明》梳理了3GPP、ETSI相關(guān)國(guó)際標(biāo)準(zhǔn)和最佳實(shí)踐，為監(jiān)管機(jī)構(gòu)及通信服務(wù)提供商提供指導(dǎo)。其中，網(wǎng)元的安全要求，參考3GPP安全保障（Security Assurance Specification，SCAS）系列規(guī)范，包括TS 33.501、TS 33.511-TS 33.522等標(biāo)準(zhǔn)；NFV安全可參考ETSI NFV-SEC 001、ETSI NFV-SEC 003、ETSI NFV-SEC 021、3GPP TR 33. 848、NIST SP 800-125、NIST SP 800-125B、NIST SP 800-190等標(biāo)準(zhǔn)；網(wǎng)絡(luò)切片安全可參考TR 33. 811和TR 33.813；多接入邊緣計(jì)算安全可參考ETSI的GS MEC 002和GS MEC003系列標(biāo)準(zhǔn)。

2 分析解讀

2.1 歐盟5G安全監(jiān)管將向強(qiáng)制化方向發(fā)展

從歐盟目前的電信監(jiān)管框架來看，針對(duì)網(wǎng)絡(luò)安全問題，歐盟已經(jīng)形成一套較為完整的，對(duì)通信服務(wù)提供商、設(shè)備制造商、成員國(guó)電信監(jiān)管部門都具有約束力的監(jiān)管體系。歐盟出臺(tái)的一系列文件，已從戰(zhàn)略層面、技術(shù)管理層面及實(shí)施層面對(duì)5G安全工作進(jìn)行了細(xì)化和推進(jìn)，同時(shí)對(duì)各成員國(guó)提出了監(jiān)管建議?！禘ECC指南》建議監(jiān)管機(jī)構(gòu)與通信服務(wù)提供商等主體共同商議需要進(jìn)行強(qiáng)制性要求的安全措施，各成員國(guó)將根據(jù)EECC等相關(guān)法律規(guī)定各國(guó)的強(qiáng)制性安全技術(shù)規(guī)范。此外，根據(jù)當(dāng)前歐盟《網(wǎng)絡(luò)安全法》 等法律文件，歐盟網(wǎng)絡(luò)安全認(rèn)證機(jī)制（含5G安全認(rèn)證）將由自愿采用向強(qiáng)制性認(rèn)證要求過渡?？梢钥闯?，歐盟針對(duì)5G安全的監(jiān)管將逐漸向強(qiáng)制化方向發(fā)展，其中對(duì)5G設(shè)備、服務(wù)和流程的安全要求將通過歐盟網(wǎng)絡(luò)安全認(rèn)證機(jī)制統(tǒng)一推進(jìn)。

2.2 歐盟將分級(jí)分階段推動(dòng)5G網(wǎng)絡(luò)安全要求落地

《EECC指南》和《5G補(bǔ)充說明》中引入了ISO、3GPP、ETSI等組織的安全標(biāo)準(zhǔn)，由于安全措施紛繁，不同通信服務(wù)提供商、設(shè)備制造商的市場(chǎng)份額和安全保障能力也具有差異性，結(jié)合實(shí)際落實(shí)情況，歐盟建議將安全措施分為基礎(chǔ)級(jí)別、行業(yè)標(biāo)準(zhǔn)級(jí)別和先進(jìn)水平級(jí)別，并指出通信服務(wù)提供商應(yīng)根據(jù)其網(wǎng)絡(luò)和服務(wù)的風(fēng)險(xiǎn)評(píng)估情況采取適當(dāng)?shù)拇胧┍Ｕ暇W(wǎng)絡(luò)和服務(wù)安全。結(jié)合歐盟在《EECC指南》中的建議，歐盟各國(guó)的5G網(wǎng)絡(luò)安全要求將會(huì)結(jié)合網(wǎng)絡(luò)資產(chǎn)的重要性、運(yùn)營(yíng)主體水平的差異性分階段實(shí)施。同時(shí)，歐盟也會(huì)確保通信服務(wù)提供商、設(shè)備制造商在實(shí)施基礎(chǔ)級(jí)別安全措施的基礎(chǔ)上，根據(jù)網(wǎng)絡(luò)服務(wù)的重要性、提供商的規(guī)模大小和安全目標(biāo)的實(shí)施復(fù)雜性逐步提高安全措施級(jí)別。

2.3 5G供應(yīng)鏈安全被納入5G安全監(jiān)管范圍

在措施中，歐盟提出要加強(qiáng)評(píng)估供應(yīng)商風(fēng)險(xiǎn)等級(jí)，同時(shí)對(duì)高風(fēng)險(xiǎn)供應(yīng)商進(jìn)行限制，并將多供應(yīng)商策略納入歐盟5G供應(yīng)鏈安全的重要手段?！?G補(bǔ)充說明》對(duì)《工具箱》戰(zhàn)略措施進(jìn)行了細(xì)化，明確了供應(yīng)商風(fēng)險(xiǎn)評(píng)估的內(nèi)容，并提出了高風(fēng)險(xiǎn)供應(yīng)商需進(jìn)行定期安全測(cè)試、漏洞評(píng)估/掃描、滲透測(cè)試等。與美國(guó)將政治因素納入5G安全不同，歐盟更多是從技術(shù)的角度評(píng)估和管理5G供應(yīng)鏈安全。現(xiàn)有歐盟電信監(jiān)管框架已綜合考慮了5G網(wǎng)絡(luò)生命周期各環(huán)節(jié)的安全要求。其中，《網(wǎng)絡(luò)安全法》推動(dòng)采用認(rèn)證的模式保證5G設(shè)備、服務(wù)和流程在入網(wǎng)前滿足安全要求；《EECC指南》及《外國(guó)直接投資審查條例》推動(dòng)采用評(píng)估、定期審查等手段保障5G設(shè)備、服務(wù)和流程入網(wǎng)后的安全要求，多措并舉，最大程度減少5G供應(yīng)鏈的安全風(fēng)險(xiǎn)。

3 結(jié)束語

總體來看，歐盟建立了一套以“法律+指導(dǎo)文件”為支撐的較為完整的5G安全監(jiān)管體系，從風(fēng)險(xiǎn)評(píng)估、威脅分析，到措施指導(dǎo)、技術(shù)指引，并通過開展實(shí)施效果評(píng)估確定后續(xù)工作計(jì)劃。在具體實(shí)施路徑方面，歐盟以“委員會(huì)建議”這種法律文件的形式，對(duì)5G安全相關(guān)工作進(jìn)行了頂層規(guī)劃，以確保歐盟和其成員國(guó)能按照規(guī)劃有序推進(jìn)5G安全各項(xiàng)工作。參考?xì)W盟5G安全戰(zhàn)略和系列監(jiān)管措施，我國(guó)也應(yīng)積極研究分析，結(jié)合我國(guó)5G網(wǎng)絡(luò)發(fā)展模式，盡快構(gòu)建我國(guó)5G網(wǎng)絡(luò)安全保障體系。

參考文獻(xiàn)

[1] ENISA. Commission recommendation-cybersecurity of 5G networks[EB/OL]. [2020-11-20]. https://ec. europa.eu/digital-single-market/en/news/cybersecurity-5g-networks.

[2] ENISA. EU coordinated risk assessment of the cybersecurity of 5G networks[EB/OL]. [2020-11-20].https://ec.europa.eu/digital-single-market/en/news/euwide-coordinated-risk-assessment-5g-networks-security.

[3] ENISA. Cybersecurity of 5G networks EU toolbox of risk mitigating measures[EB/OL]. [2020-11-20].https://ec.europa.eu/digital-single-market/en/news/cybersecurity5g-networks-eu-toolbox-risk-mitigating-measures.

[4] European Parliament and of the Council. Cybersecurity act[EB/OL]. [2020-11-20].https://eur-lex.europa.eu/eli/reg/2019/881/oj.

[5] European Parliament and of the Council. Directive on security of network and information systems[EB/OL]. [2020-11-20]. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri= uriserv:OJ.L_.2016.194.01.0001.01.ENG&toc =OJ:L:2016:194:TOC.

[6] European Parliament and of the Council. European electronic communications code[EB/OL]. [2020-11-20]. https://eur-lex.europa. eu/legal-content/EN/TXT/?uri = uriserv%3AOJ.L_.2018.321.01.0036.01.ENG.

[7] European Parliament and of the Council. Foreign Direct Investment(FDI) screening regulation[EB/OL]. [2020-11-20].https://eur-lex.europa.eu/eli/reg/2019/452/oj.

[8] ENISA. ENISA threat landscape for 5G[EB/OL]. [2020-11-20].https://www.enisa.europa.eu/news/enisa-news/enisa-draws-threat-landscape-of-5gnetworks.

[9] ENISA. Guideline on security measures under the EECC[EB/OL]. [2020-11-20]. https://www.enisa. europa.eu/publications/guideline-on-security-measures-under-theeecc.

[10] ENISA. 5G supplement to the guideline on security measures under the EECC[EB/OL]. [2020-11-20].https://www.enisa.europa.eu/publications/5g-supplementsecurity-measures-under-eecc.

[11] ENISA. ENISA 5G threat landscape-update[EB/OL]. [2020-11-20]. https://www.enisa.europa.eu/news/enisa-news/updated-enisa-5g-threat-landscape-report-toenhance-5g-security.

本文刊于《信息通信技術(shù)與政策》2021年 第5期

關(guān)鍵詞： 通信世界網(wǎng) 安全監(jiān)管模式 網(wǎng)絡(luò)安全