通过迈克·康拉迪基督教基奥&琼娜·桑托斯

在2020年2月5日,我们第一次发布有关技术咨询的国家网络安全中心(NCSC)公布,以电信运营商在他们使用的设备从高风险供应商(HRVS)英国电信网络 - 即电信安全要求。下载188金宝搏软件由于该博客文章中,NCSC有发布修改后的临时避难所,我们已经调整了我们原来的职位,也适用于今天的日期提供的TSR的跟上时代的总结。

原来的帖子的时候,华为被认为是由成都市HRV,这个评估的因素之一,包括华为的一些实体受到越来越多的限制他们与美国贸易的能力,这可能影响到产品质量。当时,还不知道这种对英国石油供应的长期限制,也不知道这些限制是会继续存在还是会改变。

从我们最初的博客帖子开始,美国已经对华为实施了额外的制裁,而对华为的现有限制已经持续了12个多月。对华为供应链的额外制裁和对华为限制的重新评估的总体情况,已经导致了非csc已经声明不再认为英国有能力管理在未来5G网络中使用受影响的华为技术带来的安全风险。修订准则的影响,是英国电信运营商:

  1. 2020年12月31日以后禁止购买新的华为5G设备;和
  2. 必须删除并于2027年从他们的网络替换所有现有的华为5G设备。

另外,国家安全委员会已经宣布禁止在2020年12月31日以后购买新的华为5G设备,并要求到2027年底,英国所有的5G网络都不得使用华为。

华为和使用高风险的供应商英国电信网络下载188金宝搏软件

2019年7月,英国文化、媒体和体育部(DCMS)结束了该项目下载188金宝搏软件电信供应链回顾,旨在为电信供应链创建一个基于证据的政策框架。下载188金宝搏软件作为审查的一部分,DCMS要求国家网络安全中心(NCSC)对英国电信网络中高风险供应商(HRVs)的使用情况进行审查。下载188金宝搏软件

应非csc的政府的要求发表的技术建议就其在下载188金宝搏软件电信安全要求的形式(TSR)设备的使用从HRVS电信运营商。这个建议正好与政府的宣布将把TSR框架纳入立法“尽早”通过全面的新的电信安全制度。下载188金宝搏软件自2020年1月28日首次发表,非公务员合约公布修订后的TSR7月14日2020年,特别是更新有关英国电信网络中使用的华为设备的风险缓解策略,以下对华为额外制裁对该行为的影响。

这篇博客文章阐述了您需要了解的关于NCSC和TSRs的内容,以及如何执行后者。

什么是国家网络安全中心?非公务员合约是一个政府机构,自2016年十月运作作为政府的国家网络安全战略2016至20年的一部分。其目的是为“在英国的网络安全环境的权威,”与角色“共享知识,解决系统性风险隐患,并在全国重点网络安全问题提供领导。”1

之后下载188金宝搏软件电信供应链回顾, NCSC就电信供应链的变化及英国运营商的现有做法对电信业所带来的潜在风险,为DCMS进行了安全分析;下载188金宝搏软件以及英国面临的剩余风险。应政府的要求,非csc就电信营办商使用hrv的设备,向他们发表非约束性的技术意见。

什么是电信安全要求?下载188金宝搏软件

TSRs是一套针对电信运营商的FTTP(即固定光纤宽带)和“遗留”固定接入(即铜)网络,以下载188金宝搏软件及4G和5G移动网络的指导方针。他们提出了非csc关于在电信网络中使用hrv的建议。下载188金宝搏软件

TSRs旨在降低hrv给电信网络带来的风险,并将供应商多样性引入电信供应链。下载188金宝搏软件TSRs试图通过识别什么是高风险供应商,以及通过列出几个方法来管理高风险供应商带来的安全风险来做到这一点:

  1. 所述的TSR载非穷尽条件的NCSC识别的供应商如HRVS时适用。这些标准决定是否在其网络中使用新的供应商,但我们鼓励经营者作出这一评估时下载188金宝搏软件从事与非公务员合约雇员时由电信运营商应用。
  2. 该技术支持代表介绍了建议,限制电信网络使用HRVS,包括在电信网络中使用的HRVS阈值,并在电信网络中的某些核心部分采用H下载188金宝搏软件RVS的完全禁止。具体而言,这些包括:
  • 对使用某些“核心”的网络功能,包括适用于所有网络功能的一般禁令,并适用于特定于4G和5G网络功能的具体禁令HRVS的完全禁止;
  • 对设备的禁令从HRVS接近那些对国家安全或敏感网络显著(例如那些直接涉及政府或在更广泛的关键国家基础设施的任何安全相关系统的操作)的网站;
  • 在FTTP和5G网络使用HRVS的硬帽(注:这些阈值不适用4G网络或传统网络),如下所示:
    • 就FTTP和其他千兆及更高能力接达网络而言,经由网络的处所中,最多有35%须由HRV的设备提供服务。
    • 对于5G网络,最大的通过HRV设备的任何特定网络上的预期的网络业务量的35%,并且在任何网络上全国性基站至多35%时,应通过设备从一个HRV服务。
    • 对于这两种FTTP和5G网络,最大的在任何特定的网络的特定设备类的所有网络元件的35%应该由HRV来提供。
  • in respect of 4G and legacy fixed access (i.e. copper) networks, an expectation that at least two vendors will be used in the access network, with a roughly 50/50 split between vendors in that case (though no hard cap, like the 35% for 5G and FTTP, applies); and
  • 上HRVS的数量在任何给定的网络到一个HRV的帽与设备的任何量的
  1. 该技术支持代表还规定,即使在HRV设备没有,原则上禁止,运营商应该只使用一个HRV如果HRV已到位具体的风险缓解战略,设计并通过了NCSC监督。

除了具体措施如上所述,NCSC指出,对于某些网络功能的情况下逐个分析,以确定哪些控制被置于HRVS。

如何将支持代表执行呢?

TSRs是正式的指南,列出了NCSC对于网络安全的期望。目前TSRs的遵守是自愿的,因此其应用和实施取决于电信运营商的采用。下载188金宝搏软件

在引进的TSR的时候,政府虽然提出通过它和监督机构Ofcom的新的综合电信安全制度给予立法为后盾,以技术支持代表。下载188金宝搏软件这一制度将出台“尽早”。2政府指出,在那之前,英国“希望英国的电信运营商对这个建议给予充分的考虑,就像他们与非csc的所有互动一样。”下载188金宝搏软件

截至本更新博客文章的日期,支持代表仍然没有被引入作为立法。不过,政府已经加强了其意图尽早指出,新电信安全条例草案将于到位的权力来实现TSR框架立法。下载188金宝搏软件3

因此,虽然目前没有TSRs强有力的执行支持,政府有一个明确和严肃的期望,电信运营商遵守TSRs的指导。下载188金宝搏软件

华为参与英国5G网络的应用推出

当在2020年一月首次推出非公务员合约缔结的技术支持代表,华为是基于一个HRV非详尽列明在的TSR的标准。这包括如下:

  • 华为在英国占有很大的市场份额,而且受中国法律的约束,因此它可能被责令采取对英国有害的行动;
  • 中国有实施网络攻击的历史;
  • 华为的网络安全和工程质量低;和
  • 几个华为的实体是对美国实体名单,它不清除这些实体是否会留在

如上所述,TSRs规定,只有在HRV具备由非csc设计和监督的特定风险缓解策略的情况下,运营商才应使用HRV。2020年1月,有一个风险缓解策略与华为和减轻风险的成都市确定参与使用华为在英国网络,和运营商的“华为地产“超出了HRV的推荐级别(tsr)出发,建议采取措施来减少这些数量的推荐水平尽快减少这样的切实的期望在3年内发生。

自2020年1月以来,成都市已经考虑这一事实我们实体的实体列表上仍为12个月,以及放置在华为的限制和制裁我们曾经紧缩在某种程度上影响未来的英国华为设备的可用性,使这类设备的监督更具有挑战性的和潜在的可能。NSCS认为,这显著增加了在英国电信网络中使用华为设备的风险。

NCSC对在英国电信网络中使用华为设备的重大风险增加的评估导致了以下后果:

  1. 非公务员合约已修订了“风险缓解策略”为英国电信网络中使用的华为设备,并指出,任何风险缓解策略只能适用于:
    1. 所有现有的设备(包括设备5G);
    2. 任何剩余的预制裁设备(包括预制裁5G设备);和
    3. 在过渡周期期间,这是将要经受与FTTP运营商协商光纤接入设备;
  2. 给定一个HRV只能用在缓解计划到位就该HRV,受美国制裁不能在所有英国电信网络中使用任何受影响的华为设备;和
  3. 运营商不应该促使受美国最新的制裁任何5G华为的设备。

国家安全委员会禁止在5G网络中使用的华为设备

根据国家安全委员会修订的指导方针,英国国家安全委员会于2020年7月14日分别作出了如下几个决定:

  • 购买新华为5G设备将2020年12月31日之后被禁止;
  • 到2027年底,所有华为设备都将从英国的5G网络中移除;和
  • 针对华为在英国5G网络敏感和关键部分的现有禁令将继续存在。4

在技​​术支持代表的实际应用

有来自技术支持代表提出的若干实际问题:

  1. TSRs在实际应用中的不确定性。目前还不清楚TSRs中的某些问题将如何实际实施,包括35%的阈值将如何在FTTP和5G网络的实践中应用。例如,什么才是一个特定类的“网络元素”?我们期望任何立法对此加以澄清。
  2. 处理合并及规则后成为法律,目前还不清楚如何当行业的变化发生,他们将被应用。如果,例如,HRV和其他供应商的合并,这是否意味着,无论从他们的所有旧设备落入HRV类别?或所有这些设备合并后出售?如果有什么的HRV荨麻疹关闭其业务的一部分,这意味着运营商将突然发现,违反规则,他们的设备从他们的网络中的两个HRVS?同样,我们希望立法会澄清这些问题。
  3. 补偿?目前还不清楚是否会对移除HRV设备的费用提供补偿。最有可能的情况是,不会提供此类补偿。在这种情况下,英国网络公司的外国投资者应该考虑,他们是否会根据任何相关的投资保护条约提出索赔。如果政府修改法律,要求对外资网络投入更多资金,这可能是一种选择。
  4. 应用电信运营商。目前还不清楚非公务员合约的建议是在消除其他HRVS从电信网络的存在(除了华为等)该存在将落入犯规新TSR阈值的东西,我们希望咨询特别对去除FTTP设备。下载188金宝搏软件

笔记:

  1. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/567242/national_cyber_security_strategy_2016.pdf
  2. https://www.gov.uk/government/speeches/foreign-secretary-statement-on-huawei
  3. https://www.gov.uk/government/news/huawei-to-be-removed-from-uk-5g-networks-by-2027
  4. https://www.gov.uk/government/news/huawei-to-be-removed-from-uk-5g-networks-by-2027