『我的第一部5G手机』重磅：欧盟5G网络安全风险评估报告( 三 ) |网络安全|技术|运营商|

☆ 政府实体、执法部门、公共保护和救灾机构、军事部门;
☆ 网络安全法规未涵盖的关键部门/实体;
☆ 战略性私人公司;
☆ 在5G网络出现故障时没有备用解决方案的区域或实体。
(四) 各种脆弱点
1、硬件、软件、流程和策略相关
与任何其他数字基础设施一样， 5G网络可能会涉及一系列通用技术脆弱点，这些脆弱点可能由任何一个利益相关者安全流程中的潜在漏洞引起，也可能会对软件和硬件产生影响。由于5G网络主要建立在软件基础上，主要的安全脆弱点可能使威胁实施者更容易将恶意后门插入产品中，并使其更难被发现。
对于移动网络运营商及其供应商来说，以下与流程或配置相关的脆弱点特别值得关注：
☆ 缺乏专业、训练有素的人员来保护、监视和维护5G网络;
☆ 缺乏足够的内部安全控制、监视实践、安全管理系统以及风险管理实践;
☆ 安全性或操作维护程序(例如，软件更新/补丁程序等)管理不足;
☆ 不遵守或未正确执行3GPP标准;
☆ 不良的网络设计和架构;
☆ 网络和IT基础架构的物理安全性差;
☆ 针对本地和远程访问网络组件的策略不足;
☆ 采购过程中缺乏安全要求或安全要求不足;
☆ 不良的变更管理过程等。
2、供应商相关
在5G网络中，第三方供应商提供软件和服务的作用日益增强，导致更多的脆弱点暴露风险。各供应商的风险状况可以根据以下几个因素进行评估：
第一、供应商受到非欧盟国家干涉的可能性。以下因素的存在(包括但不限于)可能会加剧这类干涉的产生：
☆ 供应商与特定第三国政府之间的紧密联系;
☆ 第三国立法，尤其是没有立法、民主制衡，或者其与欧盟没有安全或数据保护协议的第三国;
☆ 供应商的公司所有权特征;
☆ 第三国对供应商施加各种形式压力的能力。
第二、供应商保证供应的能力。
第三、供应商的自身供应链的控制程度、产品整体质量和网络安全实践水平。
3、缺乏多样性
在单个网络中，高度依赖单个供应商会导致对特定解决方案的依赖，这将使从其他供应商获取解决方案变得更加困难，尤其是在解决方案无法完全互操作的情况下。在国家和欧盟层面，供应商缺乏多样性会增加5G基础设施的整体脆弱性。一个或多个网络的依赖关系也会显著影响各成员国和整个欧盟的弹性并造成单点故障。此外，如果市场上供应商的数量有限，那么供应商开发更安全产品的动力就会降低。
(五) 风险场景举例
根据前几节所列出的有关各种参数的调查结果，确定了许多战略性风险场景，这些风险场景的特征是：
☆ 风险与整个欧盟相关;
☆ 风险将导致非常高或潜在的系统性影响;
☆ 随着5G网络的发展，风险发生的可能性正在增加。
以下场景反映了不同参数(威胁、威胁实施者、资产和脆弱点)的组合，但并未涵盖所有风险。
1、安全措施不足
1) 网络配置错误：国家(或国家支持的)实施者利用配置不当的系统和架构，通过其外部接口渗透到5G网络中，导致网络核心功能受到损害，或者利用边缘计算节点来破坏信息保密性和分布式服务。
2) 缺少访问控制：具有网络管理员权限的分包商由于第三国法律要求或员工的恶意行为采取破坏行动，从而导致保密性、完整性、可用性遭到破坏。
2、供应链风险
1) 低质量的产品：由国家(或国家支持的)实施者利用恶意软件进行间谍活动，滥用质量低劣的网络组件，利用意外脆弱点影响核心网络中的敏感元素等。
2) 单一依赖性：MNO从单个供应商那里获取大量敏感的网络组件或服务。但由于该供应商的供应不足(例如，由于第三国的贸易制裁或其他商业环境)使其设备可用性、更新能力大大降低。