2021 5GEECC安全措施指南

5G補充EECC安全措施指南第二版15G補充

2021年7月目錄紹 5圍 5景 6構 6景G施 7調5G法 7義 7產 8險 85G施 10EECC南 12介 13域D1理 域D2全 域D3全 域D4理 域D5理 域D6理 域D7控試 域D8識 定5G性 23全 24全 26全 2635G補充

2021年7月一表 29件P表 三射 3245G補充

2021年7月介紹本文檔包含5G技術簡介，它補充了安全指南EECC1 ,南。安（即C（C）密第a）GSG圖1：EECC下的ENISA安全措施指南的結構5GENISA5GEECC5GMNO2。\hhttps://www.enisa.europa.eu/publications/guideline?on?security?measures?under?the?eecc5G5.655G補充

2021年7月該指南和本補充文件是負責執(zhí)行《EECC》第40條的國家主管部門的指南。G（本文檔的結構如下：25G5G5G35G5G8最后，在第4節(jié)中，我們簡要討論5G網絡的一些具體技術方面，這些方面ENISA會在必要時經主管當局同意定期更新指南和本補充材料。20201210（第二版補充的主要變化：4性”1426表3“域D6單”65G補充2021年7月G5G5G（ENISA5G3（”）2.22.3本文件中使用的術語和定義遵循協(xié)調風險評估第1.12和1.24段中的術語和定義。為了方便參考，我們將它們列在這里。表期 義5G網絡

（G或統(tǒng)網絡元件。5G網絡應理解為包括網絡的所有相關部分移動網絡4

向用戶提供移動網絡服務5、運營自己的網絡[或]在第三方6的幫助下的實體。?電信設備制造商；? 聯(lián)網設備制造商和相關服務提供商

5G（5G（）3\hhttps://ec.europa.eu/digital?single?market/en/news/eu?wide?cooperative?risk?assessment?5g?networks?security在CMNO5在本文件中，移動網絡服務指的是5G網絡，因此相應的術語MNO用于表示提供5G移動網絡服務的實體“或75G補充

2021年7月2.21為了便于參考，我們復制了下面引用的第2.21段中的表格。表（）

關鍵性

關鍵要素示例

批判的

用戶設備認證、漫游和會話NFV（數(shù)千）

批判的（MANO）無線接入網絡

中/高安全管理系統(tǒng)；計費和其他支持網絡性能等系統(tǒng)的 站

中/高

（）（互聯(lián)網絡交換

中/高

MNO場所外部的IP網絡；第三方提供的網絡服務有關所列資產類別的更多詳細信息，請參閱協(xié)調風險的第2.22?2.27段評估。5G（4.1）5G（3）85G補充

2021年7月表（）危險人群

個別風險/風險情景G安全措施不足

性和（（）G（

GG（5G依賴性相關的風險場景

（（備注：上述協(xié)調風險評估中確定的風險列表可被視為通用的、高級別的風險列表，被認為與整個歐盟的MS相關。實際上，移動網絡運營商應遵循《指（4.1節(jié)）5GG（3）AG5G網絡威脅概述。7有關5G網絡ENISA威脅態(tài)勢的信息，請參閱第4節(jié)和表15。95G補充

2021年7月5G0年1月9S8（“箱”）（G?9我們在下表中總結了工具箱中的戰(zhàn)略和技術措施。表戰(zhàn)略措施SM01加強國家當局的作用SM02對操作員進行審核并索取信息

評估供應商的風險狀況并對被視為高風險的供應商施加限制

控制托管服務提供商(MSP)和設備供應商第三線支持的使用

通過適當?shù)亩喙滩呗源_保各個移動網絡運營商的供應商多樣性SM06加強國家層面的抵御能力

確定關鍵資產并培育多元化和可持續(xù)的5G生態(tài)系統(tǒng)\hhttps://ec.europa.eu/digital?single?market/en/news/cybersecurity?5g?networks?eu?toolbox?risk?mitigating?measures9nnMG?0年1月9日，document.cfmdoc_id=64481105G補充

2021年7月表技術措施TM01

確?；€安全要求的應用（安全網絡、設計和架構）TM02

確保和評估現(xiàn)有5G標準中安全措施的實施TM03確保嚴格的訪問控制TM04提高虛擬化網絡功能的安全性TM05確保安全的5G網絡管理、運營和監(jiān)控TM06加強物理安全TM07加強軟件完整性、更新和補丁管理TM08

通過健全的采購條件提高供應商流程的安全標準TM09

使用歐盟5G網絡認證。組件、客戶設備和/或供應商流程TM10對其他非5G特定ICT產品和服務使用歐盟認證10表支持行動SA01審查或制定網絡安全指南和最佳實踐SA02加強國家和歐盟層面的測試和審核能力SA03支持和塑造5G標準化SA04

制定現(xiàn)有5G標準中安全措施實施指南SA05

通過特定的歐盟范圍認證計劃確保標準技術和組織安全措施的應用SA06

交流實施戰(zhàn)略措施的最佳實踐，特別是評估供應商風險狀況的國家框架SA07改善事件響應和危機管理的協(xié)調SA08

對5G網絡與其他關鍵服務之間的相互依賴性進行審計SA09加強合作、協(xié)調和信息共享機制SA10

確保公共資金支持的5G部署項目考慮網絡安全風險10互聯(lián)設備、云服務115G補充

2021年7月EECC《ENISAEECC（EECC4041298該指南分為8個安全域：D1D2D3D4D5D6D7D8該指南是技術中立的，安全措施適用于不同類型的網絡和服務以及不同類型的電子通信提供商。11\hhttps://www.enisa.europa.eu/publications/guideline?on?security?measures?under?the?eecc125G補充

2021年7月5G技術簡介（5G5G5G在監(jiān)管提供5G網絡的移動網絡運營商時，主管部門應提出一些高層次的一般性問題：MNOMNO3GPP125GMNO（）在本節(jié)的其余部分中，我們?yōu)橹鞴墚斁痔峁┝?個安全域中每個域的詳細指導，如下所示：對于每個域，我們首先列出所有底層安全目標；5G對于每個突出的目標，我們還提供了一份清單，其中包含主管當局可能考慮的其他要素；Toolbox13?3（24.2（12在評估3GPP標準安全控制的實施情況時，主管當局可能會發(fā)現(xiàn)參考本補充附錄II中提供的參考列表很有用。（TM01135G補充

2021年7月D1OOOO該安全域對于確保移動網絡運營商采取適當?shù)拇胧┖土鞒虂沓掷m(xù)、充分地管理信息安全風險非常重要。特別重要的是，確5GG（MNO14O（O（）ToolboxTM08TM10表D1＃所以

需要考慮的檢查

參考號151SO2

5G

]六]2SO2

（

]六]3SO24SO4

在評估網絡和服務安全的主要風險時，是否考慮了對單一5G設備供應商的潛在依賴？MNO

]六][e][vi]SO4

MNO5G/5GICT（16？

[e][vi]SO4

MNO?

[e][vi]SO4

MNO

[e][vi]14此外，主管當局也可能希望在適當?shù)那闆r下探索和利用供應商的概念\hMS2(https://ec.europa.eu/growth/tools?databases/tris/de/index.cfm/search/?\htrisaction=search.detail&year=2020&num=496&mLang=EN),特別要求公共電信網絡運營商和日益重要的公共電信服務提供商在（（（））。15在這里，以及本節(jié)中，清單表最后一列中的引用是指指南中與建議的檢查最相關的相應措施和相關證據(jù)，并以以下格式提供:[措施ID][證據(jù)ID]16145G補充

2021年7月＃所以SO4

需要考慮的檢查MNO是否要求供應商為其產品的定期安全和滲透測試提供支持？

[e][vi]SO4

MNO17？

[e][vi]SO4

18？

[e][vi]SO4

MNO（

[e][vi]SO4MNOMNO19？

[e][vi]MNO（O4?）ICTENISA檔 年 述 址ICT

ICT

\hhttps://www.enisa.europa.eu/pu\hICT安全指南

實用工具，供個體提供商在與ICT產品和外包服務供應商打交道網絡和服務核心運營的ICT產品和外包服務供應商。

\hhttps://www.enisa.europa.eu/pu信息/信息通信技術\h采購安全指南D2OOOO5G（）評估中發(fā)現(xiàn)的重要脆弱性之一至關重要，該評估特別適用于

如果供應商披露了漏洞，主管當局可能還希望確保移動網絡運營商向他們披露此類漏洞18包括與5G網絡安全直接相關的所有3GPP可選安全功能理想情況下，安全應該是移動網絡運營商和供應商之間的共同責任。155G補充

2021年7月5GO（O（）ToolboxTM06。表D2＃所以

參考號1SO5

[b][二]2SO5

（5G（ToolboxTM06）？

[b][二]3SO6的5G題？ [d][四]4SO6

5G

[d][v]5SO6

（（按照ToolboxTM06）？

[d][v]D3域OOOOOOD3因此，主管當局應密切關注目標SO9（物理和環(huán)境安全）、SO11（網絡和信息系統(tǒng)的訪問控制）、SO12（網絡和信息系統(tǒng)的完整性）、O（O（）ToolboxTM03工具箱測量TM02和TM04。165G補充

2021年7月表D3＃以 查

參考號1SO9

MEC

[d][二、四]2SO9

是否有記錄在案的額外的、充分的物理基礎設施控制（例如基礎設施和行政場所的周邊安全、用于檢測和記錄事件的警報和閉路電視），置？ [d][二四]3SO9

（和/

[d][二、四]4SO9

[d][二、四]5SO9SO11

（5G

[b[fSO11

（）？

[f][你]SO11

[f][你]SO11

[c,h][iii,xi]SO11

（/

[chSO11

[d][三、四、七]SO11

/（）？

[d][三、四、七]SO11(PAM20？（）？

[d14SO1215SO1216SO1217SO1218SO13

是否有針對易受攻擊組件交付和實施安全補丁的記錄和測試流程？（22？23？

[d[cd[dSO1324？

SO1325？

20此類解決方案應通過單一管理?臺控制、監(jiān)控和審核對所有關鍵或敏感網絡組件或功能的特權訪問，從而保護物理或虛擬網絡功能和資源的安全21請注意，如果此安全目標被解釋為，此檢查可能會被視為不直接屬于SO12的范圍僅與軟件完整性有關。如果從更廣泛的意義上解釋，即涉及網絡和信息系統(tǒng)的一般完整性，那么可以在范圍內考慮保護包含數(shù)據(jù)或最SO10–供應安全相關（）SO4（SO9（）。22例如CVSS分數(shù)7.0–10.023通過SUCI和SIDF進行SUPI隱藏和解除隱藏24例如TLS1.2或1.3或PRINS5S2或5G補充

2021年7月SO13SO14SO14

（或6(SUPI

SO14

27？

[一，二][二]SO14SO14

是否有適當?shù)目刂拼胧﹣肀ＷoVNF私鑰以驗證5G核心網絡中的NF交換？

D4D4（OOO5GO（O（）表D4SO16

需要考慮的檢查

參考號[全部][二、四]SO16

[全部][二、四]SO16

（

[bd[iiiv]SO16

GMNO成)和DevSecOps？

[bd[iiiv]SO17

資產重要性評估是否與協(xié)調風險評估中確定的關鍵資產列表一致？[bc[iiv]6SO17

MNO/（例）？

[bc[iiv]7SO17

/（

[bc[iiv]即使從UICC制造商轉移到MNO27（SIMN32SIP185G補充

2021年7月＃所以

需要考慮的檢查

參考號8SO17

策GF（

[bc[iiv]D5OOO新一代移動網絡的技術復雜性、對提供設備和/或服務的供應商和/或托管服務提供商的潛在依賴（有時使用來自第三5GO（O（）TM05。表D5SO19

需要考慮的檢查是否按照預定義程序定期審查與遠程網絡訪問相關的相關日志？

參考號[d][v]SO193SO19

4SO19

MNO

[b][二]5SO20MNO定？ [三][四]D6OO（NOC和（SOC）5MS195G補充

2021年7月MNO5G5G9O（O（）ToolboxTM11。表D6＃所以

參考號SO21

（30）？

[b][二]SO21

G（

[b][二]SO21SO215SO22

5G是否制定了書面計劃，以應對影響MNO網絡持續(xù)運營的災難？

[d][v][d][v][bD7域D7OOOOO如前所述，除了擁有強大的事件檢測和管理功能之外，擁有復雜的監(jiān)控和日志記錄功能對于檢測和分析安全事件也非常重要。這可能特別與預期遠程訪問關鍵或敏感網絡組件或功能的環(huán)境相關，尤其是當從第三國和/或被認為是高風險的供應商或服務提供商建立此類訪問時。x53同時，考慮到虛擬化和軟件化的增加，測試和安全評估在5G網絡中的重要性可能會更高。雖然沒有明確表示30比如說，由于貿易制裁、市場狀況或類似情況205G補充

2021年7月工具箱中提到，這與一些技術措施隱含相關，特別是技術措施TM0731。G（5GSO））SOSO這涉及工具箱測量TM03、TM05和TM07，并與工具箱測量TM02和TM04相關。表D7＃以 查

參考號1SO23

TM055G

[bc2SO23 VPN5G32？

[bc3SO23

（SIEM）？

[bcSO25

（

[ad[iiii]SO26

（

[ad[iiii]6SO27

G（I

]D8域D8OO5G5G（SO295G整體安全性。O（O（）312019年6ToolboxMS\h全Tget_pdf.cfmpub_id=152164這可能包括安裝適當?shù)谋O(jiān)控技術解決方案，例如用于遠程連接的錄制跳線盒33對3GPP和ETSINFV標準相關技術規(guī)范的引用可分別參見本補充文件的附件II和第4節(jié)215G補充

2021年7月TM05SA09相關3）。表15：D8域的附加指導清單＃所以1SO282SO28

需要考慮的檢查5G和35

參考號SO29 （

[二][四]SO29

（SS736、和Diameter38SMSSMS

[二][四]AG\hsI織和機構的其他相關報告35除了商業(yè)產品和服務之外，還可以考慮使用開源解決方案。示例包括MISP\h(https://www.misp?/)、OpenCTI\h(https://www.opencti.io/en/)和別的。（SS7在同一網絡的不同元素之間或網絡之間交換信息（呼叫路由、漫游信息、用戶可用的功能等）。37GPRS(GTPIPGSMUMTSLTE(GPRS)Diameter3GIP(IMSLTE/4G(AAA5G網絡225G補充

2021年7月特定5G的安全性技術5G在網絡的不同位置引入或利用了多種新技術，例如：網絡切片（）DDoS（主管當局確保實施和審核相應指南安全目標的相關措施，并在適用的情況下考慮本補充文件中提供的其他指南。（5GENISA39（“ETL5G”）（表16：5G網絡的ENISA威脅態(tài)勢檔 述 址ENISA威脅景觀為5G網絡2019

埃尼薩

20195G5G架構

\hhttps://www.enisa.europa.eu/publications/enisa?threat?landscape?for?5g?\h網絡ENISA脅 2020（中了5G新括5G選項程從5G圖。

ENISA://\hwww.enisa.europa.eu/publicat景觀為5G網絡2020

埃尼薩

ions/enisa?threat?landscape?report?\hfor?5g?networks/39表15中提供的參考235G補充

2021年7月（NFV40NFVNFV架構的主要元素包括：虛擬網絡功能(VNF)；NFV基礎設施(NFVI)；?管理、自動化和網絡編排(MANO)層。后者MANO也被確定為歐盟協(xié)調風險評估中的關鍵資產。NFVETL5G(DCI密切相關的技術是軟件定義網絡（SDN）。它通過將網絡控制?面與數(shù)據(jù)?面分離來允許動態(tài)管理網絡資源。這使得可直接編程的網絡控制以及應用程序和網絡服務的抽象底層基礎設施成為可能。邏輯上集中的控制?面允許ETL5GAPISDN。另一個相關的相關概念是容器化。容器化本質上是虛擬化的簡化形式，實際上不是運行整個操作系統(tǒng)，而是主機操作系統(tǒng)的用（））3MNOETSINFV最相關的41ETSI技術規(guī)范以及其他相關技術報告和文檔，包括兩份有關SDN和虛擬化安全的ENISA出版物。40\h/definition/network?functions?virtualization?NFV41ETSINFV?SECNFV\h詳https///\h\h1&=0&&&=0&=&TB=799&stdType=&&&=&\h排序=1245G補充

2021年7月表檔 體 述 址技術規(guī)格/標準NFV?SEC001

義NFV范護NFV索 域網絡功能虛擬化技術

\h/deliver/etsi_gs\h/NFV?SEC/001_099/001/01.01.01_60/\hgs_NFV?SEC001v010101p.pdfNFV?SEC003

索 述NFV發(fā)南

\h/deliver/etsi_gs\h/NFV?SEC/001_099/003/01.01.01_60/gs_NFV?\hSEC003v010101p.pdfNFV?SEC021

索 了VNF求

\h/deliver/etsi_gs\h/NFV?SEC/001_099/021/02.06.01_60/gs_NFV?\hSEC021v020601p.pdf技術報告及其他文件TR33.848

3GPP

3GPP3GPP24ETSINFVSEC

\h/desktopmod\hules/規(guī)格/\hSpecificationDetails.aspx?\hspecificationId=3574威脅景觀和

埃尼薩

SDN

\hhttps://www.enisa.europa.eu/publi\h陽離子/SDN?威脅景觀

埃尼薩

\hhttps://www.enisa.europa.eu/publi陽離子/\h虛擬化的安全方面SP800?125

全虛擬化技術安全指南。本指南的目的是討論與服務

\h/nistpubs/L\hegacy/\hSP/nistspecialpublication800?\h125.pdfSP800?125B

NIST(VM

\h/nistpubs/S\h特別出版物/NIST.SP.800?\h125B.pdfSP800?190

\hSpecialPublications/NIST.SP.800?\h190.pdf降低虛擬化環(huán)境風險的最佳實踐

CSA

\hhttps://downloads.cloudsecurityalli\h/whitepapers/Best_Practic\hes_for%20_Mitigating_Risks_Virtu\hal_Environments_April2015_4?1?\h15_GLM5.pdf255G補充

2021年7月（（（NFVMECSDN（），有關網絡切片架構的詳細技術信息可以在ETL5G中找到。），3MNO表文件正文

述 址技術報告及其他文件(TR33.811（2018615

\h/desktopmodulTR33.8113GPP

施。 \h是/\h規(guī)格/規(guī)格詳情.a\hspx?規(guī)格ID=3358TR33.8133GPP

)（第60年7月）15進行中，包括幾個關鍵問題和建議的解決方案。

\h/desktopmodul\hes/規(guī)格/規(guī)格詳細信息\hs.aspx?規(guī)格ID=3541（MEC43MECIT優(yōu)點是減少網絡擁塞并提高低延遲應用程序的性能。無需本地存儲、處理和交付內容的能力回程和集中式核心網是該技術的主要特點。MECVMEC42漏洞分析僅包含在2020年報告版本的ETL5G中（目前正在準備中）43基于：https://\h/edge/definitions/what?multi?access?edge?computing?mec/265G補充

2021年7月NFV安全框架。包括數(shù)據(jù)加密、網絡可見性、基于最小權限原則的自動監(jiān)控和訪問控制以及入侵防御和檢測支持的安全基礎都適用（）（）（中的信息存儲）。有關MEC架構的更詳細技術信息可以在ETL5G中找到。這MEC（MECAPI的44（API3MNOMNOMECETSI的相關技術規(guī)范和報告45。我們在表中列出了一些最相關的技術規(guī)范以及其他相關技術報告和文件以下。表ME檔 體 述 址技術規(guī)格/標準GSMEC002 GSMEC003

多接入邊緣計算（MEC）；第2階段：用例和要求多接入邊緣計算（MEC）；

\h/deliver/etsi_gs\h/MEC/001_099/002/02.01.01_60/g\hs_MEC002v020101p.pdf\h/deliver/etsi_gs構 \h/MEC/001_099/003/02.01.01_60/g\hs_MEC003v020101p.pdf技術報告及其他文件ETSI書#20 索

開發(fā)多路訪問軟件

\h/images/files/E\hTSI白皮書/etsi_wp20ed2_M\hEC_軟件開發(fā).pdfETSI書#36 索

ETSIISGMEC3GPP

\h/images/files/E\hTSI白皮書/ETSI_wp36_Har邊緣\h計算貨幣化標準.pdf漏洞分析僅在2020年報告版本中包含在ETL5G中（目前正在準備中）https://\h/technologies/multi?access?edge?computing/mec275G補充

2021年7月此外，主管當局還可能發(fā)現(xiàn)注意以下與MEC46相關的其他安全方面很有用：MECMECMEC環(huán)境（MECMEC?臺距離接入網比核心網更近。關鍵問題是如何為所有MEC元素建立統(tǒng)一級別的安全策略，以最大程度地降低風險。MECMECMEC46https://\h/images/files/ETSIWhitePapers/etsi_wp20ed2_MEC_SoftwareDevelopment.pdf，\hhttps://\h/futurenetworks/wp?content/MEC:\hinnovationatwork.ieee.org/edge?computing?security?issues?and?trends?to?watch?in?2020/URL（202010月GSMA285G補充

2021年7月附件一：縮略語列表5GC

5G核心網5G無線接入網

5G無線接入網絡

應用程序接口中央電視臺

閉路電視

網絡威脅情報搜索

分布式拒絕服務（攻擊）歐洲電信標準協(xié)會站 B電子UICCgNB

嵌入式通用集成電路卡NR節(jié)點B

衛(wèi)星全球定位GTPLTEMEC

全球移動通信系統(tǒng)協(xié)會GPRS隧道協(xié)議長期進化NFV管理和網絡編排多接入邊緣計算

網絡功能虛擬化晚 心

非獨立捕捉

權限訪問管理N32互連安全協(xié)議

公鑰基礎設施

基于服務的架構SIDFSIEM圣湯

軟件定義網絡UE

傳輸層安全用戶設備

通用移動電訊服務UICC URLLCVPN

超可靠的低延遲通信虛擬專用網絡295G補充

2021年7月P5G3GPPTS33.501SCAS（（GP項NSA（）。表20：3GPP安全規(guī)范參考列表標準/規(guī)格/文檔

述 址技術規(guī)范5G安全要求TS33.501

3GPP5G

\h/DynaRe\h端口/33501.htm技術規(guī)格5G保障TS33.5113GPPTS33.512技術規(guī)格5G保障TS33.5113GPPTS33.5123GPPTS33.5133GPPTS33.5143GPPTS33.5153GPPTS33.5163GPPTS33.5173GPPTS33.5183GPPTS33.5193GPPTS33.5203GPPTS