5G供应链安全风险分析与对策研究

韩晓露 段伟伦 吕 欣 李 阳 张祺琪

1(中国信息通信科技集团有限公司战略规划部 北京 100191) 2(国家信息中心博士后工作站 北京 100045) 3(中国信息通信科技集团有限公司武汉虹旭信息技术有限责任公司 武汉 430205)

1 5G及5G供应链的特点

第五代移动通信(5G)是新一代信息通信技术演进的重要方向，是数字经济时代实现万物互联互通的关键信息基础设施之一，对促进经济社会数字化转型具有重要支撑引领作用.因此，5G技术日益成为赢得国家长期竞争优势的战略制高点，世界各国已普遍认识到加强5G供应链安全管理的重要性，并逐步将5G供应链安全列入其国家战略.

5G供应链围绕核心企业，从原材料、元器件开始，制成模组等中间产品，生产出最终产品，最后由销售网络把产品提供给公共网络和垂直行业的运营商，并向消费者提供各种服务，这样各级供应商、制造商、分销商、运营商、服务提供商等被连成一个整体的功能网链结构，依据特定的逻辑关系和时空布局关系形成一定的技术经济关联，形成5G供应链生态.5G供应链的特点包括：

1)全球分布性.5G移动通信网络供应链具有全球分布性特点，5G网络设备和系统中的产品均由全球分布的供应方开发、集成和交付.例如5G的芯片可能在一个国家或者地区设计，在另一个地方制造，为5G网络设备进行产品供应.

2)全生命周期特性.5G移动通信网络供应链覆盖了5G产品、系统或者服务从无到有再到废弃的整个生命周期，不仅包括供应链的计划、获取、制造、交付和返回等流程，还延伸到系统开发的生命周期以及产品和服务交付后的运营维护过程.

3)产品服务复杂性.5G的系统、产品和服务的类型多样，构成复杂.5G产品涉及复杂的整机及系统设计、先进的通信协议和通信算法、高性能的通信芯片等等.

4)供应方多样性.在5G设备和系统的设计、开发、采购、制造、集成、仓储、退回等多个环境中，不同类型的供应方均参与其中，具备供应方多样性的特点.

2 5G供应链安全风险分析模型

5G供应链风险分析模型主要从5G供应链安全资产识别、5G供应链安全威胁分析、5G供应链安全脆弱性分析等方面识别和分析5G供应链风险，支撑5G供应链安全风险评估与风险处理，如图1所示.

图1 5G供应链安全风险分析模型

2.1 5G供应链安全风险资产识别

一般ICT供应链风险资产识别主要为其产品、关键组件或服务等.5G供应链风险需要识别5G信息通信系统组成的多个产品、硬件、软件、数据库、中间件、固件、关键元器件、测试仪器仪表、核心生产装备、原材料、关键备品备件、升级换代核心模块、应用服务等，供应链风险识别涉及的范围比一般ICT供应链广，具有更深的穿透性，也是ICT供应链的典型代表.

5G作为关键信息基础设施，关键技术需要长期的积累，涉及较多的知识产权，对应的关键核心元器件需要大量投入.如果不加强对5G供应链关键资产的识别和分级分类管理，当面临诸如疫情等不可控的因素时会导致5G供应链断供的风险.

2.2 5G供应链安全威胁分析

1)供应中断

一般ICT设备供应链层级少，供应商分布少数在全球，供应链中断造成的影响一般通过简单的措施就能弥补，对国家整个经济、社会或企业生产经营不会产生较大的影响.5G作为数字经济发展支撑的关键信息基础设施之一，覆盖通信、金融、能源、交通等重要行业，渗透到社会生活的方方面面.5G网络产品和服务供应链通常由分布在全球各地、多个层级的供应方组成，随着异地供应方、供应方层级的增多，5G网络产品和服务供应链的透明性和安全风险控制能力都在下降，由于自然的、管理的或不正当竞争行为等原因，5G网络产品或服务供应链面临中断或终止的安全威胁.

5G技术门槛高，产业链长，应用领域广泛，产业链涵盖系统设备、芯片、终端、应用软件、操作系统等[1]，其技术和产品的产业支撑能力需要持续的创新性和全球性的协同.如果不能在基础性、通用性和前瞻性技术方面加强创新，协同产业链各环节同步更新完善5G技术，提供更为安全可靠的5G技术产品，将增加5G供应链安全风险，影响5G安全.5G供应链安全威胁可能导致5G网络产品和服务中断，在较短时间内难以通过采购、生产、备货、国产替代等措施解决，严重影响组织的正常经营，将对经济和社会产生较大影响，甚至影响国家安全.

5G高频段、大带宽、多天线对产品的研发提出挑战，同时也对产业链的支撑能力提出更高的要求.我国企业在5G核心元器件、设备精密仪器仪表、关键的生产装备、上游半导体原材料等方面与发达国家相比还存在差距，进口依赖性较强，且国内上游元器件、原材料等产品缺乏大规模应用机会，迭代升级进度缓慢，供应链存在较高风险.

2)恶意篡改

一般ICT设备在供应链环节可能存在对产品或上游组件进行恶意篡改的风险[2].5G网络由于引入的网络功能虚拟化、网络切片、边缘计算、网络能力开放等关键技术，一定程度上带来了新的安全威胁和风险，对数据保护、安全防护和运营部署等方面提出了更高要求，如果不采取适当供应链安全分级分类的措施，将危害产品和数据的保密性、完整性和可用性.5G网络切片目前基于虚拟化技术，根据不同的网络需求在共享资源的基础上实现逻辑隔离，面临各种安全威胁[3].如果没有采取安全的隔离机制，当某个低防护能力的网络切片受到恶意篡改将影响其他切片，进而影响整体网络基础设施安全.

3)假冒伪劣

一般ICT设备产品或上游组件存在质量低劣等问题.5G网络由多个网元构成，网络设备由于布网数量多，工作环境多样化，对于器件的成本、功耗和性能要求较高，核心技术需要更多的知识产权保护，供应链安全形势更为严峻.5G网元安全也相互作用，相互影响，如果其中一个网元或组件在供应上出现假冒伪劣也会给其他网元带来安全方面的影响.

4)信息泄露

由于5G网络虚拟化大量采用开源和第三方软件，比一般ICT设备引入安全漏洞的可能性更大，在虚拟环境下管理控制功能高度集中，多个虚拟网络功能(VNF)共享下层基础资源，若某个虚拟网络功能被攻击将会波及其他功能，一旦敏感信息泄露造成的影响巨大.5G在边缘计算平台上可部署多个应用，由不同的供应商提供，这些应用可能共享多个资源，如果某个应用的供应商违规收集或使用敏感信息，将影响边缘计算平台上其他应用安全，容易造成敏感信息泄露.5G网络能力将用户个人信息、网络数据和业务数据等从网络运营商内部的封闭平台中开放出来，网络运营商对数据的管理控制能力减弱，可能会带来供应链数据泄露的风险.

2.3 5G供应链安全脆弱性分析

1)研发阶段脆弱性

由于5G网络的开放性和复杂性，5G产品比一般ICT设备在设计阶段对权限管理、安全域划分隔离、内部风险评估控制、应急处置等方面提出更高的安全要求，安全需求分析和安全威胁分析以及安全开发流程也比一般ICT设备复杂.5G网络安全、应用安全、终端安全问题相互交织，互相影响，需要需求阶段和开发阶段加强协同.5G网络产品设计开发阶段使用的核心方案属于专利性保护产品，而且没有其他的非风险性产品可以替代，对产品需求的功能性要求又不能降低.

2)供应阶段脆弱性

5G供应阶段如果供应链安全管理制度和流程不完善或者在选择供应商时未考虑供应链安全要求，可能造成供应阶段的脆弱性，例如：在采购环节可能存在被供应商篡改、替换或伪造的组件；在仓储环节可能存在雇用不可靠或不安全的仓储商；在运输环节可能存在被植入、篡改或替换的产品；在销售环节可能存在经销商未经授权私自预装程序等.5G网络产品、核心元器件、精密仪器仪表、核心生产装备、上游半导体原材料供应商由于具有一定的独立市场地位，也存在采购单一来源风险.5G网络产品、元器件、原材料供应商多为全球分布，且只有几家供货，疫情时期交通运输也受影响，导致交付不及时、成本增加，严重影响产品交付.

3)运维阶段脆弱性

由于5G具有运维粒度细和运营角色多的特点，相对其他ICT设备5G运维阶段有更高的细粒度的运维要求，运维角色也更多样化，这意味着5G运维配置错误的风险提升，错误的安全配置可能导致5G网络遭受不必要的安全攻击.5G运营维护要求高，对从业人员操作规范性、业务素养等带来挑战，也会影响5G网络的安全性.5G网络产品、元器件核心技术被为数不多的供应商掌控，如果供应商分布在国外，产品维修不能在国内原厂解决，将增加运维阶段的脆弱性.

4)供应链管理脆弱性

由于5G网络的集中部署，如果通信功能失效将导致多个地区通信业务异常或中断，安全事件的影响范围也比一般ICT设备更大，因此5G的供应链安全保障比一般ICT设备要求更高.如果5G产品、备品备件和服务供应链管理不能快速响应，有效处置应急情况，将会带来严重的安全风险.5G供应链管理系统如果被黑客攻击或内部人员泄密，可能会出现5G供应商信息泄露，订单信息、招投标标书等信息泄露，将对企业带来严重的经济损失，甚至影响国家安全.

5)供应链生态脆弱性

由于供应链或生态圈的供应商安全能力参差不齐，ICT供应链整体安全水平不高.5G供应链整体安全水平如果不能做到分级管理，对核心产品的风险预估可能不够完善，将影响整体的安全.5G技术与行业应用结合，涉及端到端安全、通信网络安全、应用安全、终端安全等问题，导致相关方安全责任界定困难[4].如果不能充分考虑各主体不同层次的安全责任和要求，5G网络将面临严重的生态安全风险.此外，5G供应链安全风险在整个供应链生态中不仅需要从网络运营商、设备供应商的角度考虑，还需要从垂直行业应用服务提供商角度考虑.在特殊情况下，例如新冠疫情比较严重时，5G核心元器件、关键原材料受国际关系、产地等影响，采购成本上升，运输受限，生产供给不足，返修延迟，给整个供应链带来严重的影响.

6)不同应用场景供应链脆弱性

5G与行业应用结合，包括工业互联网、车联网、智慧电网、智慧校园、远程医疗以及其他智慧城市应用等等.不同垂直行业5G应用存在较大差别，供应链安全诉求存在差异，安全能力水平不一，难以采用单一化、通用化的安全解决方案来确保各垂直行业安全应用[5].5G网络承载了不同的行业应用，由于不同供应商提供的行业应用产品存在安全漏洞和安全配置错误风险，也对5G网络传导造成各种应用场景下的安全风险，例如业务数据篡改、泄露、伪造或重放[6]、个人隐私泄露等.

3 5G供应链安全风险对策研究

5G是我国制造强国和网络强国战略的核心组成部分，关系到我国网络安全和信息化发展的国家战略，目前我国正加快推进5G产业的发展.面对5G供应链安全风险对策建议如下：

1)加强5G供应链安全风险评估.目前，以5G技术为代表的新一代移动通信技术引领全球科技革命.5G作为通信基础设施是关键信息基础设施的重要组成，其供应链风险不同于一般ICT设备，5G供应链安全面临更为复杂的国际合规性挑战、全球化外包管理挑战、全球化的供应链管理组织和流程挑战，以及来自运营商、设备商、垂直行业服务提供商的生态安全挑战，如果5G供应链断供事件发生，将在一定范围给国家和社会带来严重影响，甚至影响国家安全.因此，5G风险是全局性而非局部性风险，更为复杂.准确评估5G产品和服务的供应链风险显得愈发重要、迫切，需在加快推进5G网络建设和运营的同时，系统加强5G供应链安全风险评估，针对性地采取措施.

2)建立和完善5G供应链安全标准.通过对国内外的5G供应链安全标准化现状进行梳理及对比分析，本文认为当前我国关键信息基础设施标准中供应链安全标准缺乏，ICT供应链安全相关标准还需要在关键信息基础设施领域进一步应用和实践.5G作为数字经济发展关键支撑，其供应链的复杂性不同于一般的ICT设施，随着5G商用进程不断深化和产业发展的不断完善，在5G安全领域更需要出台5G供应链安全标准，明确5G供应链安全要求、评估模型、评估指标和方法[7]，填补5G供应链安全的网络安全评估无标准可依的空白.同时，推动评估技术与工具研制，加强在元器件、原材料、服务等方面的供应链安全风险评估，推动相关信创产品、元器件、原材料研发，促使5G供应链更加安全可控.

3)加快建立5G安全可靠的产业供应链.在当今的数字经济时代，为了保持在5G的长期竞争优势和在全球的主导地位，发达国家均在推进5G发展，加强5G安全战略[8]，布局5G产业链和供应链.针对我国5G供应链安全风险，应加快补齐5G产业链供应链短板，突破5G核心技术和供应链上的“卡脖子”难题，坚持自主可控、安全高效，推动全产业链优化升级，加大重要硬件、软件、关键元器件、仪器仪表、装备/原材料的核心技术攻关力度，优化5G产业链供应链发展环境，加强国际产业安全合作，形成具有更强创新力、更高附加值、更安全可靠的5G产业链供应链[9].

4)加强国际交流与合作，推动5G供应链的创新与完善.5G技术是国际社会共同的高科技创新成果，是5G全球产业链、供应链、价值链高度融合技术.我国需抓住5G技术发展机遇，加强与ISO，ISO/IEC JTC1，ITU-T等国际标准化组织的交流与合作[10]，充分消化、吸收、借鉴国际国内已有的5G标准化技术成果，支持鼓励我国企业、高等院校、研究机构、政府部门和业界专家积极参与5G及其演进技术国际标准的制定工作.此外，在国际频率、技术研发、全球部署上我国应进一步加强国际交流与合作，坚持自主创新与开放合作相结合的原则，共同推进5G价值链、产业链、供应链的创新与完善，推动5G及其演进技术的发展.