《5g網絡安全標準：網絡安全策略的標準化要求分析》

1、5G網絡平安標準：網絡平安策略的標準化要求分析【譯者按】2022年3月，歐盟網絡平安局發(fā)布5G網絡平安標準：網 絡平安策略的標準化要求分析報告。報告通過評估現有5G生態(tài)系統網 絡平安相關標準、規(guī)范和準那么（2021年9月前發(fā)布）對實現5G網絡平安 可靠性和彈性的作用，認為現有5G平安標準、規(guī)范和準那么過于寬泛，適 用性有待提升，涵蓋范圍缺乏，建議循序漸進地推動5G標準化，增加5G 標準制定的針對性以及各相關方行動一致性，注重提升標準化、彈性和信 任。賽迪智庫網絡平安研究所對該報告進行了編譯，期望對我國主管部門、 研究機構、相關企業(yè)等提供參考?！娟P鍵詞】5G網絡平安 標準化*注：對于研究和創(chuàng)新機

2、構，差距指的是這些機構需要進一步完善的領域。*注：該領域可實施軟措施而非標準。上表（表5）中確定的平安領域差距總結如下:平安領域一定差距較大差距D1治理和 風險管理特定行業(yè)治理和風險管理特定行業(yè)風險登記冊特定行業(yè)信息平安管理體系和隱私信息 管理體系的實施情況第三方5G風險評估用于共享治理和風險管理方面成熟做法 的跨境信息交流流程D2人力資 源平安特定垂直行業(yè)教育的平安內容，指定認知 計劃和培訓內容，例如慕課，嚴肅游戲服 務（注：該領域可實施軟措施而非標準）人力資源管理流程的評估方法用于人力資源平安信息交換（例如成熟做 法）的跨境流程D3系統和 設施平安5G垂直行業(yè)用例的可靠性配置和部署微服務和

3、自動化的可靠配置無線接入網、開放無線接入網、開放網絡 自動化平臺的平安性5G垂直行業(yè)平安性的評估方法5G微服務和自動化配置可靠性評估方法適用于5G解決方案采購合同 中的供應商的信息平安要求可靠配置和部署的自動化編排和微服務的平安性審查 （注：該領域可實施軟措施而非標準）D4運營管 理關于5G特定云原生和邊緣部署的高要求固件、數據聚合和相關組件的操作和平安 工作5G運營第三方風險評估 5G特定云原生和邊緣部署完整 生命周期的實施要求，例如：證 書集中管理、可互操作的自動化 和編排、無服務器環(huán)境工業(yè)物聯網自動化平安評估D5一事件管 理 5G特定端到端事件管理的場景類型，包 括5G環(huán)境中的事件嚴重程

4、度標準和閾值 5G環(huán)境中自動化事件響應平安領域一定差距較大差距事件調查和證據監(jiān)管鏈的評估方法用于共享成熟做法的跨境信息交流流程自動化事件響應性能的評估方 法D6業(yè)務連 續(xù)性管理5G特定業(yè)務影響分析信息與通信技術準備情況的評估方法5G特定災難恢復用于共享業(yè)務連續(xù)性方面成熟做法的跨 境信息交換流程 5G功能和編排的技術災難恢復 計戈IJ業(yè)務連續(xù)性方面的信息與通信 技術準備情況的評估方法D7一監(jiān)控、 審查和測試監(jiān)控能力的評估方法自動化測試平臺能力的評估方法用于共享監(jiān)測、審查和測試方面成熟做法 的跨行業(yè)信息交換流程5G特定日志源5G端到端服務和漫游方面的事 件關聯D8威脅意 識適用于無線接入網/開放無

5、線接入網、應 用程序編程接口、開放網絡自動化平臺和 云原生技術的5G垂直行業(yè)威脅類型威脅情報有效性和威脅追蹤能力的評估 方法用于共享威脅情報的跨行業(yè)信息交換流 程自動修復手冊通過評估5G平安標準化水平，本報告得出如下主要結論：.治理和風險管理領域、人力資源平安方面存在一定差距。.現有標準、規(guī)范和準那么都過于寬泛。經過調整后，才能適 用于5G技術和功能領域及相關生命周期流程。. 5G特定標準、規(guī)范和準那么更適用于電信行業(yè)的各相關方 （例如，連接設備行業(yè)的審查機構和各相關方）。. 5G特定標準、規(guī)范和準那么基本涵蓋了技術生命周期的“運行”階段，其他階段相關標準、規(guī)范和準那么需要調整。.網絡平安威脅

6、和IT平安準那么方面現有知識庫可用于5G云 原生架構和基于應用程序編程接口（API）的架構，電信行業(yè)已 開始利用這些軟件推動“云化”。五、有關建議（-）循序漸進地推動5G標準化，首先需完善現有標準文 件。（二）制定新標準應考慮實用性和必要性，及與戰(zhàn)略目標間 的聯系。1.實用性和必要性?？紤]對于特定平安措施、特定5G領域、 生命周期特定階段的相關方而言，創(chuàng)立標準、規(guī)范和準那么是否必 要、實用。2與戰(zhàn)略目標的聯系。確保所有新的參考標準文件與應實現 的戰(zhàn)略目標之間保持一致。假如新的參考標準文件旨在統一歐洲 各相關方的做法，那么應當考慮到當地法規(guī)的適用性。.衡量有效性。有助于從端到端服務的角度持續(xù)衡量

7、平安措 施的有效性。.考慮新技術。例如，制定5G事件檢測策略時，不僅考慮 移動網絡運營商、托管服務提供商和B2B垂直行業(yè)，還應考慮人工智能的開發(fā)和運營。.考慮標準實施的外部因素。在某些情況下，標準、規(guī)范準 那么的有效性取決于外部因素。例如，免費開源軟件（FOSS）的開 發(fā)具有開放性，因此平安準那么和建議中應包含資源開發(fā)與審查方 面的規(guī)定，鼓勵依賴開源軟件的行業(yè)參與者和公共管理部門積極 行動，不斷提高和維護免費開源軟件解決方案的平安性。（三）提高風險判斷與評估的成熟度和完整性本報告在標準化完整性局部指出了現有標準局部涵蓋、涵蓋 較少或沒有涵蓋的平安領域。其中風險評估相關標準并非專門針 對5G,各

8、相關方沒有采取一致方法評估風險，平安管理各自為政， 不利于保障5G整體平安。因此，5G生態(tài)系統中的所有相關方在 評估風險的方法上協調一致，是提升風險判斷與評估的成熟度和 完整性的關鍵所在。歐盟網絡平安局發(fā)布的行業(yè)網絡平安評估方法中概述了 網絡平安風險判斷方法：歐洲網絡平安法案（CSA）要求針對預 期用途的相關風險，制定信息與通信技術產品、服務和流程的安 全認證方法。為此，歐盟網絡平安局提出了行業(yè)網絡平安評估（SCSA）方法，以判斷各種業(yè)務服務流程中，與系統預期用途 有關的網絡平安風險，垂直行業(yè)用戶和網絡基礎設施提供商等所 有相關方均可參與。行業(yè)網絡平安評估聚焦于行業(yè)業(yè)務層面，涵 蓋了 5G領域

9、各相關方、業(yè)務目標以及信息與通信技術子系統和 流程。根據業(yè)務目標判斷網絡平安風險，提出特定信息與通信技 術產品、服務和流程平安、認證和保障要求，有助于5G領域各 相關方權衡平安保障費用與業(yè)務目標收益。一、概要本報告旨在闡述標準化在減少5G生態(tài)系統的技術風險，提 升信任度和彈性方面的作用。概括分析了 2021年9月前發(fā)布的 5G生態(tài)系統網絡平安相關標準、規(guī)范和準那么，評估了上述標準文 件對5G平安環(huán)境所具有的價值以及標準的適用性，并針對提升 5G平安標準化水平提出建議。本報告建議要循序漸進地推動5G標準化，考慮新標準的實 用性和必要性及與戰(zhàn)略目標間的聯系，強調5G生態(tài)系統中的所 有相關方需要在評

10、估風險方法上協調一致，以提高風險判斷與評 估的成熟度和完整性。二、5G生態(tài)系統范圍5G生態(tài)系統包含以下幾個維度（表1）。表1 ： 5G生態(tài)系統的維度5G生態(tài)系統的組成局部定義5G技術和功能領域5G網絡的基本功能及相關的支持資產類別，代表5G技 術組件及其交互范圍。技術生命周期流程適用于5G服務和依賴5G垂直行業(yè)的生命周期流程。 包括：設計、構建、測試、運行、更新、生命周期結束。5G各相關方5G平安領域、目標和措施與5G網絡和垂直行業(yè)相關的（公共或私人）實體。包 括：5G服務客戶或消費者、電信行業(yè)（簡稱電信）、 數據中心服務提供商（DCSP）、連接設備行業(yè)、網絡 平安評估、網絡平安信息交換、標準

11、制定組織（SDO） 協會聯盟、研究和創(chuàng)新機構。5G生態(tài)系統的平安維度，內容包括歐盟網絡平安局在 歐洲電子通信規(guī)范平安措施準那么及5G補充平安措 施中提出的平安領域、目標和措施。包括：治理和風險 管理、人力資源平安、系統和設施平安、運營管理、事 件管理、業(yè)務連續(xù)性管理、監(jiān)控、審查和測試、威脅意 識。三、5G生態(tài)系統標準文件的作用與評估本報告從現有標準中選出140多份文件和150多項平安措施, 詳細分析并評估其對5G生態(tài)系統平安的涵蓋程度，相關結果見 表2o表2：按平安領域劃分的現有標準文件涵蓋范圍匯總平安領域適用文 件分類5G生態(tài)系統維度涵蓋范圍術和技術生各相關方 鮑圾期領域流程,結果D1 一

12、治理 和風 險管 理標準全部全部全部現有標準文件與5G生態(tài)系統各個 維度有一定關系,但并非專用于5G。 為充分利用這些文件，各相關方應 根據相關的5G技術和功能領域及 技術生命周期流程，對其進行大幅 調整。一力源 全D2人資安標準全部全部全部現有標準文件與5G生態(tài)系統各個 維度有一定關系,但并非專用于5Go 為充分利用這些文件，各相關方應 根據相關的5G技術和功能領域以 及技術生命周期流程，對其進行大平安 領域適用文 件分類5G生態(tài)系統維度涵蓋范圍|需技術生 各相矢方藉瞿期 領域和程結果幅調整。D3一 系統 和設 施安全準范那么 標規(guī)準電信行業(yè) 數據中心 服務提供 商全部運行雖然這些標準文件是

13、通用的，但與 電信行業(yè)和數據中心服務提供商的 相關度較高。在5G環(huán)境中，“運行” 階段進行調整較為容易，“設計” 和“構建”階段進行調整那么需要各 相關方付出很大努力。D4 運營 管理規(guī)范電信行業(yè)全部運行現有標準文件并非專用于5G,但與 電信行業(yè)的相關度較高。為充分利 用這些文件，各相關方應在“設計” 和“構建”階段，根據相關的5G技 術和功能領域以及技術生命周期流 程，對其進行大幅調整。現有標準文件并非專用于5G,但與 電信行業(yè)的相關度較高。為充分利 用這些文件，各相關方應在“設計” 和“構建”階段，根據相關的5G技 術和功能領域以及技術生命周期流 程，對其進行大幅調整?，F有標準文件并非專用

14、于5G,但與 電信行業(yè)的相關度較高。為充分利 用這些文件，各相關方應在“設計” 和“構建”階段，根據相關的5G技 術和功能領域以及技術生命周期流 程，對其進行大幅調整。D5 一 事件 管理標準電信行業(yè)全部運行一務續(xù)管D6業(yè)連性理標準電信行業(yè)全部運行D7 監(jiān)控、 審查 和測 試標準電信行業(yè)全部運行現有標準文件并非專用于5G,但與 電信行業(yè)的相關度較高。為充分利 用這些文件，各相關方應在“設計” 和“構建”階段，根據相關的5G技 術和功能領域以及技術生命周期流 程，對其進行大幅調整。D8 威脅準那么電信行業(yè)全部 運行現有標準文件并非專用于5G,但與 電信行業(yè)的相關度較高。為充分利 用這些文件，各相

15、關方應在“設計”5G生態(tài)系統維度涵蓋范圍結果平安適用文技術生領域件分類各相關方O命周期 領域和程和“構建”階段，根據相關的5G技 術和功能領域以及技術生命周期流 程，對其進行大幅調整。四、5G平安標準化的缺乏和差距針對5G平安各領域現有標準文件，梳理現有標準文件中部 分涵蓋、涵蓋較少或沒有涵蓋的領域，評估現有標準文件實現“理 想情況”的程度，以及在實施中可用的標準、規(guī)范和準那么，減少 了 5G技術和機構網絡平安風險，并提供了充分的平安保障。專 家組以此作為參照，確定了標準化完整性水平，如表5所示。其 中顏色代碼規(guī)那么如表3所示。表3：標準化完整性的顏色代碼現有標準文件綠色單元格表示對所涉及的相

16、關方而言，現有標準文件涵蓋了所 有平安領域。一定差距黃色單元格表示這些領域存在一定的標準化差距。假設現有標準文件僅局部涵蓋該領域，那么存在“一定”差距，需要 一定努力以彌合差距。較大差距粉色單元格表示這些領域存在較大的標準化差距。假設現有標準文件沒有涵蓋該領域（或涵蓋較少），那么存在“較大” 差距，需要特別努力以彌合差距。定義定義顏色代碼沒有差距/不相關沒有顏色的單元格表示這些區(qū)域沒有差距，或者與相關方不相關。表5的括號內標明了各個領域的相關標準文件，并對現有標準文件參考的簡寫方式進行了分組。如表4：表4：參考標準文件簡寫：簡寫表示所選文件的涵蓋領域簡寫所選文件涵蓋ISOIEC27KISO/I

17、EC 27000 系列ISOIEC20KIT服務流程圖SUPPLSEC供應商平安POLTEMPLATES構建平安策略RM網絡平安風險管理ENISATL歐盟網絡平安局威脅工作SP800HR人力資源平安IAM身份和訪問管理DEVSECOPSIT生命周期平安3GPP-AII第三代合作伙伴計劃技術規(guī)范NFVSEC網絡功能虛擬化的平安性eUlCC嵌入式通用集成電路卡(eUlCC)領域的平安性CRYPTOTECH使用密碼技術PHYSEC物理和環(huán)境平安HARDEN技術可靠性VULN漏洞管理THREATMOD威脅建模和平安監(jiān)控SECASSUR平安保障和相關準那么P 簡寫所選文件涵蓋AUDIT審查計劃和評估BC

18、M機構和技術彈性表5：評估標準涵蓋范圍和差距缺乏各相關方5G服務 客戶或 消費者電信 行業(yè)數據中 心服務 提供商接備業(yè) 連設行網絡平安評 估各相關方網絡平安 信息交換 各相關方研究和創(chuàng)新 機構在標準化中 的作用通過實施標準、規(guī)范和準那么，實現安 全使用、部署和運營5G網絡和/或服 務等平安目標審查標準、 規(guī)范和準那么 的實施情況通過實施 標準、規(guī)范 和準那么，安 全交換網 絡情報通過制定新 的標準、規(guī)范 和準那么，揭示 標準缺漏，并 利用創(chuàng)新推 動標準化D1 治 理 和 風 險 管 理涵蓋該領域 的現有標準 文件ISOIEC27K. ISO20KB RM、SP800HR ENISATL、ISO

19、IECSUPPL、POLTEMPLATESSECASSURRMRM NFVSEC DEVSECOPS. HARDEN一定差距：現有標準文 件局部涵蓋 的領域特定行業(yè)的治理和風險管理特定行業(yè)風險登記冊特定行業(yè)信息平安管理體系（ISMS） 和隱私信息管理體系（PIMS）的實施 情況第三方5G 風險評估享風方做境流 共和理熟跨交 于理管成的息程 用治險面法信流D2人力資源平安涵蓋該領域 的現有標準 文件SP800HR, IAMSP800HRSP800HRISOIEC27K.SP800HRIAM一定差距：現有標準文 件局部涵蓋 的領域特定垂直行業(yè)教育平安內容，指定認 知計劃和培訓內容，例如慕課 （MO

20、OC）,嚴肅游戲服務（注：該領域可實施軟措施而非標準）人力資源管 理流程的評 估方法用于人力 資源平安 信息交換（例如成 熟做法）的 跨境流程特定垂直行 業(yè)教育的安 全內容，指定 認知計劃和 培訓內容，例 如慕課、嚴肅 游戲服務D3系統和設施安涵蓋該領域 的現有標準 文件PHYSEC、1AM、3GPP-AII.SECASSUR、CRYPTOTECH、NFVSEC、 eUlCCAUDIT,SECASSURDEVSCOPS、 eUlCC CRYPTOTECH一定差距：現有標準文 件局部涵蓋的領域5G垂直行業(yè)可靠配置和部署5G微服務和自動化的可靠配置無線接入網、開放無線接入網、開5G垂直行 業(yè)平安性

21、的 評估方法5G微服務測試平臺環(huán) 境和工具全放網絡自動化平臺（ONAP）的平安性和自動化配 置可靠性的 評估方法較大差距： 現有標準文 件沒有涵蓋 （或涵蓋較少）的領域適用于5G解決方案采購合同中的供 應商的信息平安要求可靠配置和部署的自動化編排和微服 務的平安性 審查（注： 該領域可實 施軟措施而 非標準）M運營管理涵蓋該領域 的現有標準 文件ISO20K, RM NFVSECJ 標準ISO20K、 RM、AUDIT標準DEVSECOPS一定差距： 現有標準文 件局部涵蓋 的領域關于5G特定云原生和 邊緣部署的高要求固件、數據 聚合和相關 組件的操作 和平安工作5G運營第三 方風險評估較大差

22、距： 現有標準文 件沒有涵蓋（或涵蓋較 少）的領域5G特定云原生和邊緣 部署完整生命周期的 實施要求，例如：證書 集中管理、可互操作的 自動化和編排、無服務 器環(huán)境工業(yè)物聯網 的自動化安 全評估測試平臺環(huán) 境和工具D5事件管理涵蓋該領域 的現有標準 文件ISOIEC20K. ISOIEC27K BCM。 AUDITTHREATMOD、NFVSECISOIEC20K,ISOIEC27K、 BCM、 AUDITISOIEC20K、 ISOIEC27K 、BCM、AUDITDEVSECOPS一定差距：現有標準文 件局部涵蓋 的領域5G特定端到端事件管理的場景類型， 包括5G環(huán)境中的事件嚴重程度標準 和閾值事件調查和 證據監(jiān)管鏈 的評估方法 5G特定 端到端事 件管理的 場景類型， 包括5G環(huán) 境中的事 件嚴重程 度標準和 閾值用于共享 事件響應 方面成熟 做法的跨 境信息交 換流程較大差距： 現有標準文 件沒有涵蓋5G環(huán)境中的自動化事件響應自動化事件 響應性能的 評估方法（或涵蓋較 少）的領域D6業(yè)務連續(xù)性管理涵蓋