美国国家安全机构联合发布《5G基础设施潜在威胁载体》文件

美国国家情报总监办公室（ODNI）、美国国家安全局（NSA）、美国国土安全部网络安全与基础设施安全局（CISA）联合发布《5G基础设施潜在威胁载体》文件。

文件为评估5G基础设施的网络安全风险，将5G网络建设及应用过程中的主要威胁载体归为政策与标准、供应链、系统架构，列举了三类威胁载体的具体表现及设想的威胁场景。

这份文件提出，5G威胁载体包括：

①政策与标准

· 开放标准：（美西方的）对手国家参与5G技术标准制定后，将引入其独有、不可信任的技术和设备，令可信厂商无法在5G市场上与之竞争。

· 可选控制：（对手国家）会影响移动电信标准机构对必需和可选安全控制的确定，没有应用可选安全控制的运营商将可能面临更高的网络安全风险，且其网络也更脆弱。

②供应链

· 伪劣组件：（由非美西方厂商生产的）伪劣组件更容易受网络攻击影响，进而影响在其上及之后在网络中其他敏感位置传输之数据的保密性、完整性和可用性。

· 继承组件：研发生产交付各环节安全控制较差的（非美西方的）第三方供应商，其生产的部件容易被（对手国家）植入难以检测的后门或恶意软件。

③5G系统架构

·  软件/配置：（对手国家等）恶意行为者可通过对软件或网络组件的篡改，削弱系统中的安全控制、安装恶意软件或识别产品的脆弱之处。

·  网络安全：恶意行为者可通过网络层入侵渗透5G网络，并可能阻断网络正常服务，监听、篡改或损毁数据。

·  网络切片：不恰当的网络切片将允许恶意行为者从不同切片访问数据或阻断合法用户的使用。

·  老旧通信基础设施：在5G网络与4G等老旧通信基础设施共存期间，恶意行为者可能会借由老旧设施所固有的漏洞入侵5G网络。

·  多路访问边缘计算：将（非美西方厂商生产的）不可信任5G组件引入多路访问边缘计算（MEC）中，将导致核心网络暴露在这些不可信任组件软件或硬件漏洞所带来的风险中。

·  频段共享：恶意行为者可能利用频段共享来阻断或干扰非关键通信路径，进而影响更关键的通信网络。

· 软件定义网络：恶意行为者可能在软件定义网络控制器设备中植入恶意代码，对通信网络运行造成负面影响。