中国信通院林美玉等：欧盟5G安全监管模式研究

溯溪而上

0  引言
5G网络已成为世界各国促进经济发展和数字化转型的重要基础设施，在经济和社会中扮演着至关重要的角色，5G网络的重要性推动世界各国将5G安全纳入国家级战略。从2019年3月26日，欧盟发布《5G网络安全建议》（简称《建议》）[1]开始，欧盟陆续采取有针对性的系列化措施，有序推进5G安全监管工作。欧盟首先推动各成员国开展5G网络风险评估，并发布《5G网络安全风险评估报告》（简称《风险评估报告》）[2]。在评估5G安全风险的基础上，欧盟细化了电信监管框架中相关法律要求，制定和出台了包括《欧盟5G网络安全风险消减措施工具箱》（简称《工具箱》）[3]在内的系列5G安全指导文件。欧盟5G安全监管框架及系列指导文件为欧盟成员国确保5G网络服务提供商、设备制造商采取适当的安全措施保障5G网络安全，提供了法律支撑和深入指导。

1  欧盟5G安全监管框架

欧盟电信监管框架一直在不断地更新和完善，目前欧盟电信监管框架以《网络安全法》[4]、《网络与信息系统安全指令》（Directive on Security of Network and Information Systems，简称《NIS指令》）[5]、《欧盟电子通信准则》（European Electronic Communications Code，简称《EECC》）[6]和《外国直接投资审查条例》[7]等监管法律为主，已覆盖电信设备认证、安全事件跨境通报与协助、网络安全要求、外商投资审查与监控等多个方面，成为保障欧盟5G网络安全发展的重要法律依据。在5G安全方面，欧盟发布的《5G网络安全建议》[1]，从顶层对5G安全监管工作的实施路径进行了规划。为细化5G网络监管要求，落实《建议》中的推进方案，加速5G网络安全能力落地，网络和信息安全协作小组（Cooperation Group on Network and Information Security，简称“NIS协作小组”）、欧盟委员会网络安全局（European Union Agency for Cybersecurity，ENISA）等组织先后发布《风险评估报告》[2]、《5G网络威胁视图》（简称《威胁视图》）[8]、《工具箱》《EECC安全措施指南》（简称《EECC指南》）[9]及《EECC安全措施指南——5G补充说明》（简称《5G补充说明》）[10]等指导性文件，为通信服务提供商、设备制造商缓解5G网络安全风险提供了更加明确的技术指导。目前，欧盟已经基本构建了较为完善的以“法律框架+指导性文件”为支撑的5G安全监管框架，稳步推进5G安全监管工作（见图1）。


图1  5G安全相关的法律框架及指导性文件

1.1  5G安全监管相关法律1.1.1  《NIS指令》《NIS指令》于2016年8月正式发布，是欧盟范围内有关网络安全的第一部法律，对包括5G通信服务提供商在内的所有ICT运营者和数字服务提供商提出了欧盟层面的统一安全要求。《NIS指令》要求欧盟成员国要建立网络安全事件应急小组和统一应急网络以加强网络安全事件运营合作，同时要强化ICT服务提供商及云计算等数字服务提供商的网络事件上报机制。

考虑到网络安全威胁的不断扩展，2020年12月16日，欧盟对《NIS指令》进行了修订，提出了一个更高级别的网络与信息系统安全要求，目前该指令处于提案阶段。修订的《NIS指令》加强了风险管理，提出要设立网络安全基线要求，同时要求积极应对来自供应链和供应商的安全风险。修订的《NIS指令》已将风险评估作为降低5G网络供应链安全风险的重要措施。

1.1.2  《EECC》《EECC》于2018年12月由欧盟正式发布，是规范电子通信网络和服务的一项指令。《EECC》对原有电信监管法律进行了整合和更新，正式成为现行监管模式的有效支撑法律。《EECC》要求欧盟成员国于2020年 12月21日前将相关指令转化为本国立法。其中，在电信网络安全方面详细定义了网络、服务安全以及安全事件，明确了通信服务提供商维护网络安全性和完整性的职责以及监管机构的监督权力。《EECC》并未直接对网络设备制造商提出要求，而是通过对通信服务提供商提要求间接实现对网络设备制造商的监管。在《EECC》下，5G网络服务提供商将在网络安全风险评估和安全能力建设方面接受当局主管部门的监督。

1.1.3  《5G网络安全建议》2019年3月欧盟通过的《5G网络安全建议》，可看作是欧盟关于5G安全工作的顶层规划。提出了全面的 5G安全工作建议、欧盟和国家层面的行动计划，具体包括：首先，成员国要在规定时间内完成风险评估并提交评估报告；其次，ENISA要基于评估报告进一步细化并完成5G网络威胁状况调查分析；之后，NIS协作小组要制定《工具箱》以缓解可能存在的安全风险；此外，成员国与欧盟还将展开新一轮评估，以便确定推进措施的效果，从而确定未来是否需要进一步采取行动。虽然2020年因为新冠肺炎疫情原因，原计划由各成员国完成的实施计划和阶段性报告出现了一定程度的延迟，但整体还是按照《5G网络安全建议》有序推进5G安全各项工作。

1.1.4  《外国直接投资审查条例》2019年4月，欧盟《外国直接投资审查条例》生效。依据《外国直接投资审查条例》，欧盟有权对参与5G网络等关键基础设施投资的外商进行审查和定期监控，以保障5G网络等关键基础设施的安全性，同时避免关键资产对外商的过度依赖。这也是欧盟保障5G供应链安全的有效工具。

1.1.5  《网络安全法》《网络安全法》于2019年6月生效，首次为欧洲产品、流程和服务的网络安全认证机制建立了全面的《欧盟网络安全认证框架》，并对ENISA进行了永久授权。《网络安全法》对ENISA赋予更多的资源和任务：一是支撑欧盟网络安全认证框架建设，为统一认证构建技术基础；二是加强欧盟层面合作，协调处理欧盟成员国内或跨区域的网络安全事件。欧盟网络安全认证机制落地后，在欧盟开展业务的公司仅需要对其ICT产品、流程和服务进行一次认证，即可获得在整个欧盟范围内认可的证书。5G相关产品、流程和服务后续也将在“欧盟网络安全认证框架”下进行认证。

欧盟存在许多针对ICT产品的不同安全认证方案，但此前尚未有适用于整个欧盟范围内的网络安全通用框架。统一认证框架将提供一套完整的规则，包括认证产品、服务列表、网络安全技术要求、安全技术标准，以及认证程序。目前，“欧盟网络安全认证框架”下的认证要求虽为非强制性要求，但欧盟计划后续评估需强制认证的产品和服务，并进一步通过立法推动强制性认证。为保障《网络安全法》的有效实施，有序推动欧盟网络安全认证工作，欧盟专门成立了欧洲网络安全认证小组（European Cybersecurity Certification Group，ECCG）。该小组将监督和协调欧盟范围内网络安全认证工作，并协助ENISA开展工作。

1.2  指导文件在法律框架指导下，按照《建议》相关计划和时间安排，NIS协作小组和ENISA分别发布了《欧盟5G网络安全风险评估报告》和《5G网络威胁视图》；基于这两份报告，ENISA梳理了缓解5G网络安全风险的相关举措，形成了《工具箱》。在《EECC》转换为成员国法律之后，为更好地指导成员国落实《EECC》要求，同时推动《工具箱》安全措施的执行，ENISA发布了《EECC安全措施指南》及《EECC安全措施指南——5G补充说明》。以下针对这几个重点文件内容进行介绍。

1.2.1  《欧盟5G网络安全风险评估报告》及《5G网络威胁视图》2019年10月9日，NIS协作小组发布了《欧盟5G网络安全风险评估报告》，定义了敏感资产及每类资产的风险程度，并对资产中存在的关键要素进行了细化，同时列举了关键风险点，以及风险存在的主要场景（见表1、表2）。为应对技术层面的5G网络威胁，ENISA发布了《5G网络威胁视图》，该报告详细将5G核心网架构、切片、网络管理与编排、接入网、网络功能虚拟化（Network Function Virtualization，NFV）、软件定义网络（Software Defined Network，SDN）、 多接入边缘计算（Multi-access Edge Computing，MEC）、安全架构，及物理层架构的每个组件和接口进行了拆分，并深入分析了每部分威胁来源。2020年12月，ENISA对《5G网络威胁视图》进行了更新[11]，详细补充了5G网络中组件和接口存在的安全漏洞。《5G网络威胁视图》将作为通信服务提供商和设备制造商增强5G安全能力的有力技术指导文件。

表1  敏感资产列表



表2  关键风险



1.2.2  《工具箱》
2020年1月，NIS协作小组发布了《工具箱》，通过制定一套通用安全措施，为国家和欧盟层面应对风险，选择风险消减措施提供指导意见。《工具箱》中的风险消减措施包括8项战略措施和11项技术措施，此外还包括10项支撑行动，具体参见表3。

表3  《工具箱》措施



《工具箱》整体措施较为中立。在战略措施中，提出了要评估供应商的风险等级，对高风险供应商进行限制，降低单一供应商产品的市场占有率，但并未针对特定国家及供应商。在技术措施中，强调了要通过认证和标准化等方式解决现存技术问题。在支撑行动中，强调了通过推动标准化、认证以及最佳实践等模式加速欧盟5G安全措施的落地。《工具箱》现已成为欧盟及成员国开展5G安全工作的宏观性指导文件。

1.2.3  《EECC指南》及《5G补充说明》2020年12月，ENISA基于EECC发布了一份非约束性文件《EECC指南》，旨在指导成员国落实欧盟电信监管框架下安全相关法规，为各国电信监管机构提供更加明确的技术指引。同时，针对5G网络安全，单独出台了《5G补充说明》。

《EECC指南》列出了8个安全领域（治理和风险管理，人力资源安全，系统和设施安全，运营管理，事件管理，业务连续性管理，监控、审计，测试、威胁态势感知）的29个安全目标。对于每个安全目标，《EECC指南》均详细列举了通信服务提供商为达到目标需采取的安全措施，并提供了用于评估安全措施是否到位所需出示的相关证明。《EECC指南》中的安全措施源自现有网络和信息安全国际标准，且每类安全措施与标准均有对应，标准包括ISO 27001、ISO 27001、ISO 27005和ISO 22301。

此外，《EECC指南》还从监督的角度出发为监管机构提出了相关建议：一是将安全标准纳入强制或推荐标准；二是评估全行业的安全性；三是将安全措施分为基础级别、行业标准级别和先进水平级别，使通信服务提供商可结合自身情况采取适当的安全措施分阶段满足监管要求；四是可采用定期、随机或事后的方式监管通信服务提供商的安全措施落实情况。《EECC指南》将作为欧盟网络安全监管的主体框架，对包含5G网络在内的各系统安全措施部署均有指导作用。作为5G安全措施指导文件，《5G补充说明》结合了5G网络情况，以前期在整个欧盟层面开展的风险评估和风险消减措施工作为基础，为监管部门及通信服务提供商提供了确保5G网络安全的措施指导。《5G补充说明》进一步落实了欧盟5G《工具箱》支撑行动SA01（审查或制定网络安全方面的指导方针和最佳实践），有效推动《工具箱》中战略措施和技术措施的执行，并就《 工具箱》中的技术安全措施，特别是TM01（确保安全要求基线的实施，即安全网络设计与架构）向欧盟成员国提供进一步的细化指导。

《5G补充说明》依据《EECC指南》重点对8个安全域中常规和特定的安全措施制定了专门适用于5G网络的检查列表。该检查列表将作为欧盟各成员国监管部门检查通信服务商5G安全能力的重要参考文件。此外，针对网元，以及网络虚拟化、网络切片、边缘计算等5G网络关键技术，《5G补充说明》梳理了3GPP、ETSI相关国际标准和最佳实践，为监管机构及通信服务提供商提供指导。其中，网元的安全要求，参考3GPP安全保障（Security Assurance Specification，SCAS）系列规范，包括TS 33.501、TS 33.511-TS 33.522等标准；NFV安全可参考ETSI NFV-SEC 001、ETSI NFV-SEC 003、ETSI NFV-SEC 021、3GPP TR 33. 848、NIST SP 800-125、NIST SP 800-125B、NIST SP 800-190等标准；网络切片安全可参考TR 33. 811和TR 33.813；多接入边缘计算安全可参考ETSI的GS MEC 002和GS MEC003系列标准。

2  分析解读

2.1  欧盟5G安全监管将向强制化方向发展从欧盟目前的电信监管框架来看，针对网络安全问题，欧盟已经形成一套较为完整的，对通信服务提供商、设备制造商、成员国电信监管部门都具有约束力的监管体系。欧盟出台的一系列文件，已从战略层面、技术管理层面及实施层面对5G安全工作进行了细化和推进，同时对各成员国提出了监管建议。《EECC指南》建议监管机构与通信服务提供商等主体共同商议需要进行强制性要求的安全措施，各成员国将根据EECC等相关法律规定各国的强制性安全技术规范。此外，根据当前欧盟《网络安全法》 等法律文件，欧盟网络安全认证机制（含5G安全认证）将由自愿采用向强制性认证要求过渡。可以看出，欧盟针对5G安全的监管将逐渐向强制化方向发展，其中对5G设备、服务和流程的安全要求将通过欧盟网络安全认证机制统一推进。

2.2  欧盟将分级分阶段推动5G网络安全要求落地《EECC指南》和《5G补充说明》中引入了ISO、3GPP、ETSI等组织的安全标准，由于安全措施纷繁，不同通信服务提供商、设备制造商的市场份额和安全保障能力也具有差异性，结合实际落实情况，欧盟建议将安全措施分为基础级别、行业标准级别和先进水平级别，并指出通信服务提供商应根据其网络和服务的风险评估情况采取适当的措施保障网络和服务安全。结合欧盟在《EECC指南》中的建议，欧盟各国的5G网络安全要求将会结合网络资产的重要性、运营主体水平的差异性分阶段实施。同时，欧盟也会确保通信服务提供商、设备制造商在实施基础级别安全措施的基础上，根据网络服务的重要性、提供商的规模大小和安全目标的实施复杂性逐步提高安全措施级别。

2.3  5G供应链安全被纳入5G安全监管范围在措施中，欧盟提出要加强评估供应商风险等级，同时对高风险供应商进行限制，并将多供应商策略纳入欧盟5G供应链安全的重要手段。《5G补充说明》对《工具箱》战略措施进行了细化，明确了供应商风险评估的内容，并提出了高风险供应商需进行定期安全测试、漏洞评估/扫描、渗透测试等。与美国将政治因素纳入5G安全不同，欧盟更多是从技术的角度评估和管理5G供应链安全。现有欧盟电信监管框架已综合考虑了5G网络生命周期各环节的安全要求。其中，《网络安全法》推动采用认证的模式保证5G设备、服务和流程在入网前满足安全要求；《EECC指南》及《外国直接投资审查条例》推动采用评估、定期审查等手段保障5G设备、服务和流程入网后的安全要求，多措并举，最大程度减少5G供应链的安全风险。

3  结束语

总体来看，欧盟建立了一套以“法律+指导文件”为支撑的较为完整的5G安全监管体系，从风险评估、威胁分析，到措施指导、技术指引，并通过开展实施效果评估确定后续工作计划。在具体实施路径方面，欧盟以“委员会建议”这种法律文件的形式，对5G安全相关工作进行了顶层规划，以确保欧盟和其成员国能按照规划有序推进5G安全各项工作。参考欧盟5G安全战略和系列监管措施，我国也应积极研究分析，结合我国5G网络发展模式，尽快构建我国5G网络安全保障体系。