5G供应链安全风险的分析研究

2024-03-09冯恺文谢群

物流科技 2024年3期

冯恺文谢群

文章编号：1002-3100（2024）03-0122-03

摘要：作为新基础设施建设的典型代表，5G技术加速发展，涵盖了金融、交通、通信、能源等主要产业，并渗透到社会生活的各个方面。在加速5G网络发展的同时，5G供应链的安全问题日益凸显。如何有效评估和防范5G供应链安全风险是5G大规模商用前面临的一项紧迫任务。文章在分析5G和5G供应链安全特性的基础上，构建了5G供应链安全风险评价模型，并将其与一般的ICT供应链安全风险进行比较，并提出了相应的对策，对进一步促进我国5G发展及加强5G供需双方、5G供应链安全能力建设具有借鉴意义。

关键词：5G；供应链；安全风险

中图分类号：F274 文献标志码：A

DOI：10.13714/j.cnki.1002-3100.2024.03.029

Abstract： As a typical representative of new infrastructure construction， 5G technology has accelerated its development， covering finance， transportation， communications， energy and other major industries， and permeated all aspects of social life. While accelerating the development of 5G network， the security problem of 5G supply chain has become increasingly prominent. How to effectively assess and prevent the security risks of 5G supply chain is an urgent task before large-scale commercial use of 5G. Based on the analysis of the security characteristics of 5G and 5G supply chains， this paper constructs a 5G supply chain security risk evaluation model， compares it with the general ICT supply chain security risks， and puts forward the corresponding countermeasures， which has reference significance for further promoting China's 5G development and strengthening the 5G supply chain security capacity construction of both the 5G supply chain and the 5G supply chain.

Key words： 5G; supply chain; safety risk

中國移动通信经历了2G后续、3G介入、4G赶超到5G同步的发展历程。移动通信技术历经30余年的积累与努力，创新能力明显增强。国家非常重视5G网络对行业发展所起到的巨大作用。5G，作为一种巨大的革命性科技，所产生的影响已超越科技自身。5G开启了万物互联、智能化的新时代，是一个国家经济和社会整体数字转换的重要基础，它对社会变革起着不可替代的作用，在物联网和工业互联网这类重要行业发展中处于关键驱动力地位。

1 5G供应链及其特征

5G供应链围绕核心企业，首先是原材料及零部件，其次是模块及其他中间产品的制造，最后是生产成品。最终销售网络将产品供应给公用网络和垂直行业经营者，并为用户提供各种服务。整个供应链包括上游（即原材料）到下游（即终端）的各个环节。在每个环节中都有不同的节点，并且这些节点之间是相互连接的。在这个基础上，形成相应的价值链。从而把不同层次的供应商、制造商、分销商、运营商、服务提供商联结成为一个整体功能网络链。5G供应链有如下特征：

（1）全球分布。这个系统的5G网络装置和产品都是供应商在世界范围内开发、收集和交付的。例如，某一国家或区域设计了5G芯片，然后在其他地方制造，以此来满足5G网络装置的需求。

（2）完整生命周期特质。5G网络供应链覆盖了5G产品、系统或服务的全过程，不只涵盖供应链的设计、采购、制造、交付和退货，也包括系统的研发和交付后的运行和维修。

（3）复杂的产品服务。5G包含了多种构成复杂的系统、产品和服务。5G产品主要包括：复杂的机械与系统设计、先进的通讯协议与算法、高性能的通讯芯片。

（4）供应商多元化。在设计、研发、采购、制造、集合、储存、退货等5G设备和系统的环境中，存在着不同类型的供应商，有供应商多元化的特性。

2 5G供应链安全风险分析模型

5G供应链的风险分析模型包括5G供应链安全资产的识别、5G供应链的安全威胁分析、5G供应链的安全脆弱性分析，本文将分别从这三个方面对5G供应链风险进行识别并分析，如图１所示。

2.1 5G供应链安全风险资产识别

在ICT供应链中，识别风险资产包括其产品、关键部件或服务。识别5G供应链的风险包括：多个产品、硬件、软件、中间件、固件、关键组件、测试仪器、核心制造设备、原材料、关键零部件、升级核心组件、应用服务等。

5G是我国重要的信息基础设施，它的技术储备是一个长期的过程，它的主要技术是知识产权的重要组成部分。在5G供应链中，若不加强对核心资产进行有效的辨识与分类，将面临突发事件等不可控因素的影响，从而可能造成5G供应链的供应中断。

2.2 5G供应链安全威胁分析

2.2.1 供应中断

总的来说，ICT装备供应链中没有多个层级，只有少数供应商分布在世界各地。在不影响国家经济、社会、企业生产、运营的前提下，通过各种手段来弥补这种损失。5G是支持数字经济发展的重要信息基础设施，涵盖了通信、金融、能源、交通等重要领域，并深入到了人们的生活中。5G网络的产品及服务供应链一般是遍布全球的多层次供应商。5G的技术要求很高，产业链条很长，而且用途也很广。该产业链涉及到系统设备、终端、芯片、应用软件、操作系统等^[1]，这就要求企业持续的创新与全球合作。若不加强基础性、普适性、前瞻性的技术创新，加强产业链各个环节的协作，必然增加5G供应链的安全风险，将导致5G网络的产品与服务出现故障，通过采购、生产、库存、国内替代等手段短期内无法得到有效的解决，将会对企业的经营造成巨大的冲击，对经济、社会乃至国家的安全造成巨大的影响。

2.2.2 恶意篡改

一般ICT设备存在被恶意篡改的风险，或被原供应商在供应链中做手脚^[2]。网络功能虚拟化、网络切片、网络能力开放、边缘计算等新技术的涌现，给网络的安全构成了新的威胁，这对数据保护、安全保护以及商业部署都有很大的挑战。若不正确地将供应链的安全归类，将会威胁到产品及资料的保密，也就是完整性与可用性。当前，5G网络切片是以虚拟技术为基础的，针对不同的网络需要，在资源共享的情况下，通过逻辑隔离来解决各种安全问题^[3]。在没有使用安全隔离机制的情况下，一旦一个具有较弱防护性能的芯片造成严重的影响，从而影响到整个系统的安全性。

2.2.3 假冒伪劣

ICT设备和上游的部件经常出现一些问题，比如质量不高。5G网是一个包含多个网元的系统。由于大量的网络组态和不同的工作环境，使得网络设备的成本、功耗和性能都变得越来越高。我国的核心技术亟待加强知识产权的保护，而我国的供应链的安全状况也日益恶化。5G网络单元的安全性也会相互影响，如果网络单元或部件在供应过程中存在虚假信息，则会影响到其他网络单元的安全性。

2.2.4 信息泄露

由于5G网络的虚拟化需要大量的开源和第三方软件，所以相比普通的ICT设备，它更容易出现安全问题。虚拟环境的管理和控制能力很强，几个虚拟网络的功能可以实现资源的共享。如果网络的虚拟功能受到了攻击，那么它的其他功能就会受到影响。如果泄露出去，后果不堪设想。5G可以在不同的供应商的边缘计算平台上部署多种应用，实现多个资源的共享。若厂商不遵守规则，搜集或利用敏感资讯，将会危及边缘计算机平台上其他程序的安全，并可能导致机密资讯泄露。

2.3 5G供应链安全脆弱性分析

2.3.1 研发阶段脆弱性

5G网络的开放性和复杂性使5G产品在安全管理、安全域划分和隔离、内部风险评估和控制以及突发事件的处理等方面有着很大的要求。安全需求分析、安全威胁分析以及安全开发等过程要比一般ICT设备复杂得多。5G的网络安全、应用安全、终端安全相互交织、相互影响，需要进一步加强发展与需求的协作。5G网络产品的核心技术是以专利为中心的，没有其他无风险产品可以替代，所以不能降低产品的功能需求。

2.3.2 供应阶段脆弱性

若供应链的安全管理制度与程序不健全，或供应商在挑选时未考虑到供应链的安全性需求，将会导致5G供货阶段的漏洞。在储存期间，可能雇佣不可靠或不安全的仓库操作人员；在运送时可能植入、篡改或替换的物品；分销商在销售期间有可能执行未经许可的预先安装。5G网络产品，核心部件，精密仪器，核心生产设备和上游半导体原材料的供应商，因其自身的市场地位，存在向单一渠道采购的风险。5G网络产品、组件及原材料的供应商遍布全球，仅有少量供应商提供。在疫情爆发期间，也会影响到运输，从而造成延误和费用的上升，对产品的交付造成了很大的影响。

2.3.3 运维阶段脆弱性

5G操作维护粒度細，操作角色多，因此与其他ICT设备相比，5G在运营和维护上的细粒度要求更高，操作维护角色也较多，存在较大的5G运维人员配置失误的危险。5G运行管理的高要求，对员工的操作标准化、业务素质提出了新的挑战，同时也对5G网络的安全性产生了一定的影响。5G网络产品及部件的关键技术掌握在少数供应商手中。如果供应商分散在海外，而不能在本地进行维修，将会增强运维阶段的易损性。

2.3.4 供应链管理和系统脆弱性

在集中部署5G网络时，一旦出现故障，它将在多个地区造成通讯服务的不正常或中断，其波及范围远大于普通ICT设备。所以，5G在供应链中的安全性要比一般ICT设备要高。在5G供应链中，若不能对产品、零部件和服务进行及时的反应，将会给5G供应链的安全带来极大的威胁。如果5G供应链管理系统被黑客入侵或被公司内部人员泄漏，会有5G供应商信息、订单信息、招标文件等信息泄漏现象的发生，造成重大的经济损失，甚至危及国家安全。

2.3.5 供应链生态脆弱性

供应商在供应链和生态环境中的安全能力并不统一，使得整个ICT供应链的安全性都很低。5G技术应用于工业领域，将带来端到端安全、通信网络安全、应用安全和终端安全等诸多问题，因此很难对各有关方面的安全责任进行明确^[4]。另外，5G供应链在整个供应链生态中的安全性问题，这需要从运营商和设备厂商以及垂直产业的应用服务提供者的角度来考虑。在特定情况下，例如2019年冠状病毒爆发，5G的核心部件和主要原材料由于受到国际关系和原产地的限制，导致了采购费用的上升，运输的受限，生产供应的短缺以及返工的延误，对整个供应链造成了很大影响。

2.3.6 不同应用场景供应链脆弱性

5G技术与工业领域结合，包括工业互联网、汽车网络、智能电网、智能校园、远程医疗以及其它智能城市的应用。5G在垂直产业中的应用有很大差别，供应链的安全性要求与安全能力的等级不同，要在不同的垂直产业中使用一个公益的安全解决方案是非常困难的^[5]。5G网络支持多种工业应用，5G网络的传输还可能导致商业数据被篡改、泄露、伪造或重播^[6]、个人隐私泄露等安全隐患。

3 5G供应链安全风险对策研究

5G作为中国“制造力量”、“网络强国”的重要内容，与中国“互联网+”的建设有着密切的联系。当前，5G工业正处于加速发展阶段。针对5G供应链的安全性问题提出了相应的对策与建议：

（1）加强5G网络的供应链安全风险评价。5G供应链的安全问题，包括国际合规、全球外包管理、供应链管理、运营商、设备制造商等各方面的挑战。所以，5G的风险不仅是一个复杂的局部风险，而且是一个全球性的风险。因此，对5G产品及服务的供应链风险机型正确的评价显得尤为重要和紧迫。在加速5G网络建设和运行的过程中，必须对5G供应链进行系统的风险评价，并制定相应的对策。

（2）制订并完善5G的供应链的安全标准。随着5G业务流程的深入和行业发展的日益成熟，5G供应链安全标准的制定、评估模型、评估指标和方法更加迫切^[7]。同时，大力发展评价技术与手段，加强供应链组件、原材料、服务等供应链的安全性风险评价，促进信息创新产品、组件和原材料的开发，促动5G供应链的安全可控。

（3）加速5G的安全、可靠的供应链建设。在建设数字经济的今天，全球正在大力推进5G技术，强化5G安全战略^[8]、5G产业链和供应链的布局，以维持5G的长期竞争优势。必须尽快补齐5G产业链的薄弱环节，打破“瓶颈”，坚持自控、安全、高效的原则，推动产业链整体优化，加强研究关键硬件、软件、关键零部件等一些核心技术，使5G供应链创新性更强、附加值更高，以及更高的安全性和可靠性^[9]。

（4）加强国际间的交流合作，促进5G供应链的发展和创新。5G技术是全球科技创新的产物，是5G供应链、产业链和价值链的高度整合。中国应把握5G技术发展的契机，与国际标准化组织加强交流与合作^[10]，支持和鼓励中国企业、高校、科研机构和行业专家等共同努力制订5G国际标准，不断创新和完善5G价值链、产业链和供应链。

4 结束语

5G网络是信息化社会的重要基础设施，必须对其供应链安全给予足够的关注。5G供应链的安全风险评估模型能够为5G行业监管机构、5G运营单位、装备制造企业、第三方机构等部门提供可靠的评价依据。因此，必须进一步完善5G产业链，將各类资源引入到产业的薄弱环节，并对其进行监管与执行，从而提升其供应链的安全性，增强5G关键信息基础设施的安全性。

参考文献：

[1] 冯泽冰，司培培. 面向5G资产的统一安全评测模型与体系构建[J]. 信息安全研究，2021，7（5）：436-442.

[2] 陈晓桦，严绍文. ICT供应链安全管理政策研究与建议[J]. 信息安全与通信保密，2019（11）：36-45.

[3] 王海燚，林燕飞. 面向网络切片的安全策略框架研究[J]. 广东通信技术，2021，41（7）：17-20，27.

[4] 全国信息安全标准化技术委员会通信安全标准组. 5G网络安全标准化白皮书[R]. 北京：全国信息安全标准化技术委员会，2021.

[5] 杨海霞. 5G应用的多重挑战——专访中国国际工程咨询有限公司高技术部张瀛瀚[J]. 中国投资，2020（Z7）：39-41.

[6] 邱勤，刘胜兰，韩晓露，等. 5G应用安全参考架构与解决方案研究[J]. 信息安全研究，2020，6（8）：680-687.

[7] 林星辰，段伟伦，韩晓露. 5G供应链安全评估模型和指标体系研究[J]. 信息安全与通信保密，2020（5）：72-77.

[8] 段伟伦，韩晓露，吕欣，等. 美国5G安全战略分析及启示[J]. 信息安全研究，2020，6（8）：688-693.

[9] 苗圩. 提升产业链供应链现代化水平[N]. 经济日报，2020-12-09（11）.

[10] 段伟伦，韩晓露. 全球数字经济战略博弈下的5G供应链安全研究[J]. 信息安全研究，2020，6（1）：46-51.

收稿日期：2023-05-13