5g网络安全标准：网络安全策略的标准化要求分析

-1-2022年5月23日第20期总第539期5G网络安全标准：网络安全策略的标准化要求分析【译者按】2022年3月,欧盟网络安全局发布《5G网络安全标准：网络安全策略的标准化要求分析》报告。报告通过评估现有5G生态系统网络安全相关标准、规范和准则（2021年9月前发布）对实现5G网络安全可靠性和弹性的作用，认为现有5G安全标准、规范和准则过于宽泛，适用性有待提升，涵盖范围不足，建议循序渐进地推动5G标准化，增加5G标准制定的针对性以及各相关方行动一致性，注重提升标准化、弹性和信任。赛迪智库网络安全研究所对该报告进行了编译，期望对我国主管部门、研究机构、相关企业等提供参考。【关键词】5G网络安全标准化 -2-一、概要本报告旨在阐述标准化在减少5G生态系统的技术风险，提升信任度和弹性方面的作用。概括分析了2021年9月前发布的5G生态系统网络安全相关标准、规范和准则，评估了上述标准文件对5G安全环境所具有的价值以及标准的适用性，并针对提升5G安全标准化水平提出建议。本报告建议要循序渐进地推动5G标准化，考虑新标准的实用性和必要性及与战略目标间的联系，强调5G生态系统中的所有相关方需要在评估风险方法上协调一致，以提高风险判断与评估的成熟度和完整性。二、5G生态系统范围5G生态系统包含以下几个维度（表1）。表1：5G生态系统的维度5G生态系统的组成部分定义5G技术和功能领域5G网络的基本功能及相关的支持资产类别，代表5G技术组件及其交互范围。技术生命周期流程适用于5G服务和依赖5G垂直行业的生命周期流程。包括：设计、构建、测试、运行、更新、生命周期结束。 -3-5G各相关方与5G网络和垂直行业相关的（公共或私人）实体。包括：5G服务客户或消费者、电信行业（简称电信）、数据中心服务提供商（DCSP）、连接设备行业、网络安全评估、网络安全信息交换、标准制定组织（SDO）、协会联盟、研究和创新机构。5G安全领域、目标和措施5G生态系统的安全维度，内容包括欧盟网络安全局在《欧洲电子通信规范》安全措施准则及5G补充安全措施中提出的安全领域、目标和措施。包括：治理和风险管理、人力资源安全、系统和设施安全、运营管理、事件管理、业务连续性管理、监控、审查和测试、威胁意识。三、5G生态系统标准文件的作用与评估本报告从现有标准中选出140多份文件和150多项安全措施，详细分析并评估其对5G生态系统安全的涵盖程度，相关结果见表2。表2：按安全领域划分的现有标准文件涵盖范围汇总安全领域适用文件分类5G生态系统维度涵盖范围结果各相关方5G技术和功能领域技术生命周期流程D1—治理和风险管理标准全部全部全部现有标准文件与5G生态系统各个维度有一定关系，但并非专用于5G。为充分利用这些文件，各相关方应根据相关的5G技术和功能领域及技术生命周期流程，对其进行大幅调整。D2—人力资源安全标准全部全部全部现有标准文件与5G生态系统各个维度有一定关系，但并非专用于5G。为充分利用这些文件，各相关方应根据相关的5G技术和功能领域以及技术生命周期流程，对其进行大 -4-安全领域适用文件分类5G生态系统维度涵盖范围结果各相关方5G技术和功能领域技术生命周期流程幅调整。D3—系统和设施安全标准规范准则电信行业数据中心服务提供商全部运行虽然这些标准文件是通用的，但与电信行业和数据中心服务提供商的相关度较高。在5G环境中，“运行”阶段进行调整较为容易，“设计”和“构建”阶段进行调整则需要各相关方付出很大努力。D4—运营管理规范电信行业全部运行现有标准文件并非专用于5G，但与电信行业的相关度较高。为充分利用这些文件，各相关方应在“设计”和“构建”阶段，根据相关的5G技术和功能领域以及技术生命周期流程，对其进行大幅调整。D5—事件管理标准电信行业全部运行现有标准文件并非专用于5G，但与电信行业的相关度较高。为充分利用这些文件，各相关方应在“设计”和“构建”阶段，根据相关的5G技术和功能领域以及技术生命周期流程，对其进行大幅调整。D6—业务连续性管理标准电信行业全部运行现有标准文件并非专用于5G，但与电信行业的相关度较高。为充分利用这些文件，各相关方应在“设计”和“构建”阶段，根据相关的5G技术和功能领域以及技术生命周期流程，对其进行大幅调整。D7—监控、审查和测试标准电信行业全部运行现有标准文件并非专用于5G，但与电信行业的相关度较高。为充分利用这些文件，各相关方应在“设计”和“构建”阶段，根据相关的5G技术和功能领域以及技术生命周期流程，对其进行大幅调整。D8—威胁准则电信行业全部运行现有标准文件并非专用于5G，但与电信行业的相关度较高。为充分利用这些文件，各相关方应在“设计” -5-安全领域适用文件分类5G生态系统维度涵盖范围结果各相关方5G技术和功能领域技术生命周期流程意识和“构建”阶段，根据相关的5G技术和功能领域以及技术生命周期流程，对其进行大幅调整。四、5G安全标准化的不足和差距针对5G安全各领域现有标准文件，梳理现有标准文件中部分涵盖、涵盖较少或没有涵盖的领域，评估现有标准文件实现“理想情况”的程度，以及在实施中可用的标准、规范和准则，减少了5G技术和机构网络安全风险，并提供了充分的安全保障。专家组以此作为参照，确定了标准化完整性水平，如表5所示。其中颜色代码规则如表3所示。表3：标准化完整性的颜色代码颜色代码定义现有标准文件绿色单元格表示对所涉及的相关方而言，现有标准文件涵盖了所有安全领域。一定差距黄色单元格表示这些领域存在一定的标准化差距。若现有标准文件仅部分涵盖该领域，则存在“一定”差距，需要一定努力以弥合差距。较大差距粉色单元格表示这些领域存在较大的标准化差距。若现有标准文件没有涵盖该领域（或涵盖较少），则存在“较大”差距，需要特别努力以弥合差距。 -6-颜色代码定义没有差距/不相关没有颜色的单元格表示这些区域没有差距，或者与相关方不相关。表5的括号内标明了各个领域的相关标准文件，并对现有标准文件参考的简写方式进行了分组。如表4：表4：参考标准文件简写：简写表示所选文件的涵盖领域简写所选文件涵盖ISOIEC27KISO/IEC27000系列ISOIEC20KIT服务流程图SUPPLSEC供应商安全POLTEMPLATES构建安全策略RM网络安全风险管理ENISATL欧盟网络安全局威胁工作SP800HR人力资源安全IAM身份和访问管理DEVSECOPSIT生命周期安全3GPP-All第三代合作伙伴计划技术规范NFVSEC网络功能虚拟化的安全性eUICC嵌入式通用集成电路卡（eUICC）领域的安全性CRYPTOTECH使用密码技术PHYSEC物理和环境安全HARDEN技术可靠性VULN漏洞管理THREATMOD威胁建模和安全监控SECASSUR安全保障和相关准则 -7-简写所选文件涵盖AUDIT审查计划和评估BCM机构和技术弹性表5：评估标准涵盖范围和差距不足各相关方5G服务客户或消费者电信行业数据中心服务提供商连接设备行业网络安全评估各相关方网络安全信息交换各相关方研究和创新机构在标准化中的作用通过实施标准、规范和准则，实现安全使用、部署和运营5G网络和/或服务等安全目标审查标准、规范和准则的实施情况通过实施标准、规范和准则，安全交换网络情报通过制定新的标准、规范和准则，揭示标准缺漏，并利用创新推动标准化D1治理和风险管理涵盖该领域的现有标准文件[ISOIEC27K]、[ISO20K]、[RM]、[SP800HR]、[ENISATL]、[ISOIECSUPPL]、[POLTEMPLATES][SECASSUR][RM][RM][NFVSEC][DEVSECOPS]、[HARDEN]一定差距：现有标准文件部分涵盖的领域·特定行业的治理和风险管理·特定行业风险登记册·特定行业信息安全管理体系（ISMS）和隐私信息管理体系（PIMS）的实施情况第三方5G风险评估用于共享治理和风险管理方面成熟做法的跨境信息交流流程D2人力资源安全涵盖该领域的现有标准文件[SP800HR]、[IAM][SP800HR][SP800HR][ISOIEC27K]、[SP800HR]、[IAM]一定差距：现有标准文件部分涵盖的领域特定垂直行业教育安全内容，指定认知计划和培训内容，例如慕课（MOOC），严肃游戏服务（注：该领域可实施软措施而非标准）人力资源管理流程的评估方法用于人力资源安全信息交换（例如成熟做法）的跨境流程特定垂直行业教育的安全内容，指定认知计划和培训内容，例如慕课、严肃游戏服务D3系统和设施安涵盖该领域的现有标准文件[PHYSEC]、[IAM]、[3GPP-All]、[SECASSUR]、[CRYPTOTECH]、[NFVSEC]、[eUICC][AUDIT]、[SECASSUR][DEVSCOPS]、[eUICC]、[CRYPTOTECH]一定差距：现有标准文件部分涵盖的领域·5G垂直行业可靠配置和部署·5G微服务和自动化的可靠配置·无线接入网、开放无线接入网、开·5G垂直行业安全性的评估方法·5G微服务测试平台环境和工具 -8-全放网络自动化平台（ONAP）的安全性和自动化配置可靠性的评估方法较大差距：现有标准文件没有涵盖（或涵盖较少）的领域·适用于5G解决方案采购合同中的供应商的信息安全要求·可靠配置和部署的自动化编排和微服务的安全性审查（注：该领域可实施软措施而非标准）D4运营管理涵盖该领域的现有标准文件[ISO20K]、[RM]、[NFVSEC]标准[ISO20K]、[RM]、[AUDIT]标准[DEVSECOPS]一定差距：现有标准文件部分涵盖的领域关于5G特定云原生和边缘部署的高要求固件、数据聚合和相关组件的操作和安全工作5G运营第三方风险评估较大差距：现有标准文件没有涵盖（或涵盖较少）的领域5G特定云原生和边缘部署完整生命周期的实施要求，例如：证书集中管理、可互操作的自动化和编排、无服务器环境工业物联网的自动化安全评估测试平台环境和工具D5事件管理涵盖该领域的现有标准文件[ISOIEC20K]、[ISOIEC27K]、[BCM]、[AUDIT][THREATMOD]、[NFVSEC][ISOIEC20K]、[ISOIEC27K]、[BCM]、[AUDIT][ISOIEC20K]、[ISOIEC27K]、[BCM]、[AUDIT][DEVSECOPS]一定差距：现有标准文件部分涵盖的领域5G特定端到端事件管理的场景类型，包括5G环境中的事件严重程度标准和阈值事件调查和证据监管链的评估方法·5G特定端到端事件管理的场景类型，包括5G环境中的事件严重程度标准和阈值·用于共享事件响应方面成熟做法的跨境信息交换流程较大差距：现有标准文件没有涵盖5G环境中的自动化事件响应自动化事件响应性能的评估方法 -9-（或涵盖较少）的领域D6业务连续性管理涵盖该领域的现有标准文件[ISOIEC27K]、[VULN]、[BCM][ISOIEC27K]、[VULN]、[BCM]、[AUDIT][ISOIEC27K]、[BCM]、[AUDIT]一定差距：现有标准文件部分涵盖的领域·5G特定业务影响分析·信息与通信技术准备情况的评估方法·5G特定灾难恢复用于共享业务连续性方面成熟做法的跨境信息交换流程较大差距：现有标准文件没有涵盖（或涵盖较少）的领域5G功能和编排的技术灾难恢复计划业务连续性方面的信息与通信技术准备情况的评估方法D7监控、审查和测试涵盖该领域的现有标准文件[VULN]、[HARDEN]、[THREATMOD]、[DEVSCOPS][AUDIT][DEVSECOPS]一定差距：现有标准文件部分涵盖的领域·监控能力评估方法·自动化测试平台能力评估方法用于共享监测、审查和测试方面成熟做法的跨行业信息交换流程较大差距：现有标准文件没有涵盖（或涵盖较少）的领域·5G特定日志源·5G端到端服务和漫游方面的事件关联D8威胁意识涵盖该领域的现有标准文件风险源知识库、攻击方法、事件手册中的成熟做法、[THREATMOD]、[ISOIEC27K]、[RM]、[SECASSUR][THR