《5g網(wǎng)絡(luò)安全標準：網(wǎng)絡(luò)安全策略的標準化要求分析》

1、5G網(wǎng)絡(luò)平安標準：網(wǎng)絡(luò)平安策略的標準化要求分析【譯者按】2022年3月，歐盟網(wǎng)絡(luò)平安局發(fā)布5G網(wǎng)絡(luò)平安標準：網(wǎng) 絡(luò)平安策略的標準化要求分析報告。報告通過評估現(xiàn)有5G生態(tài)系統(tǒng)網(wǎng) 絡(luò)平安相關(guān)標準、規(guī)范和準那么（2021年9月前發(fā)布）對實現(xiàn)5G網(wǎng)絡(luò)平安 可靠性和彈性的作用，認為現(xiàn)有5G平安標準、規(guī)范和準那么過于寬泛，適 用性有待提升，涵蓋范圍缺乏，建議循序漸進地推動5G標準化，增加5G 標準制定的針對性以及各相關(guān)方行動一致性，注重提升標準化、彈性和信 任。賽迪智庫網(wǎng)絡(luò)平安研究所對該報告進行了編譯，期望對我國主管部門、 研究機構(gòu)、相關(guān)企業(yè)等提供參考。【關(guān)鍵詞】5G網(wǎng)絡(luò)平安 標準化*注：對于研究和創(chuàng)新機

2、構(gòu)，差距指的是這些機構(gòu)需要進一步完善的領(lǐng)域。*注：該領(lǐng)域可實施軟措施而非標準。上表（表5）中確定的平安領(lǐng)域差距總結(jié)如下:平安領(lǐng)域一定差距較大差距D1治理和 風險管理特定行業(yè)治理和風險管理特定行業(yè)風險登記冊特定行業(yè)信息平安管理體系和隱私信息 管理體系的實施情況第三方5G風險評估用于共享治理和風險管理方面成熟做法 的跨境信息交流流程D2人力資 源平安特定垂直行業(yè)教育的平安內(nèi)容，指定認知 計劃和培訓(xùn)內(nèi)容，例如慕課，嚴肅游戲服 務(wù)（注：該領(lǐng)域可實施軟措施而非標準）人力資源管理流程的評估方法用于人力資源平安信息交換（例如成熟做 法）的跨境流程D3系統(tǒng)和 設(shè)施平安5G垂直行業(yè)用例的可靠性配置和部署微服務(wù)和

3、自動化的可靠配置無線接入網(wǎng)、開放無線接入網(wǎng)、開放網(wǎng)絡(luò) 自動化平臺的平安性5G垂直行業(yè)平安性的評估方法5G微服務(wù)和自動化配置可靠性評估方法適用于5G解決方案采購合同 中的供應(yīng)商的信息平安要求可靠配置和部署的自動化編排和微服務(wù)的平安性審查 （注：該領(lǐng)域可實施軟措施而非標準）D4運營管 理關(guān)于5G特定云原生和邊緣部署的高要求固件、數(shù)據(jù)聚合和相關(guān)組件的操作和平安 工作5G運營第三方風險評估 5G特定云原生和邊緣部署完整 生命周期的實施要求，例如：證 書集中管理、可互操作的自動化 和編排、無服務(wù)器環(huán)境工業(yè)物聯(lián)網(wǎng)自動化平安評估D5一事件管 理 5G特定端到端事件管理的場景類型，包 括5G環(huán)境中的事件嚴重程

4、度標準和閾值 5G環(huán)境中自動化事件響應(yīng)平安領(lǐng)域一定差距較大差距事件調(diào)查和證據(jù)監(jiān)管鏈的評估方法用于共享成熟做法的跨境信息交流流程自動化事件響應(yīng)性能的評估方 法D6業(yè)務(wù)連 續(xù)性管理5G特定業(yè)務(wù)影響分析信息與通信技術(shù)準備情況的評估方法5G特定災(zāi)難恢復(fù)用于共享業(yè)務(wù)連續(xù)性方面成熟做法的跨 境信息交換流程 5G功能和編排的技術(shù)災(zāi)難恢復(fù) 計戈IJ業(yè)務(wù)連續(xù)性方面的信息與通信 技術(shù)準備情況的評估方法D7一監(jiān)控、 審查和測試監(jiān)控能力的評估方法自動化測試平臺能力的評估方法用于共享監(jiān)測、審查和測試方面成熟做法 的跨行業(yè)信息交換流程5G特定日志源5G端到端服務(wù)和漫游方面的事 件關(guān)聯(lián)D8威脅意 識適用于無線接入網(wǎng)/開放無

5、線接入網(wǎng)、應(yīng) 用程序編程接口、開放網(wǎng)絡(luò)自動化平臺和 云原生技術(shù)的5G垂直行業(yè)威脅類型威脅情報有效性和威脅追蹤能力的評估 方法用于共享威脅情報的跨行業(yè)信息交換流 程自動修復(fù)手冊通過評估5G平安標準化水平，本報告得出如下主要結(jié)論：.治理和風險管理領(lǐng)域、人力資源平安方面存在一定差距。.現(xiàn)有標準、規(guī)范和準那么都過于寬泛。經(jīng)過調(diào)整后，才能適 用于5G技術(shù)和功能領(lǐng)域及相關(guān)生命周期流程。. 5G特定標準、規(guī)范和準那么更適用于電信行業(yè)的各相關(guān)方 （例如，連接設(shè)備行業(yè)的審查機構(gòu)和各相關(guān)方）。. 5G特定標準、規(guī)范和準那么基本涵蓋了技術(shù)生命周期的“運行”階段，其他階段相關(guān)標準、規(guī)范和準那么需要調(diào)整。.網(wǎng)絡(luò)平安威脅

6、和IT平安準那么方面現(xiàn)有知識庫可用于5G云 原生架構(gòu)和基于應(yīng)用程序編程接口（API）的架構(gòu)，電信行業(yè)已 開始利用這些軟件推動“云化”。五、有關(guān)建議（-）循序漸進地推動5G標準化，首先需完善現(xiàn)有標準文 件。（二）制定新標準應(yīng)考慮實用性和必要性，及與戰(zhàn)略目標間 的聯(lián)系。1.實用性和必要性?？紤]對于特定平安措施、特定5G領(lǐng)域、 生命周期特定階段的相關(guān)方而言，創(chuàng)立標準、規(guī)范和準那么是否必 要、實用。2與戰(zhàn)略目標的聯(lián)系。確保所有新的參考標準文件與應(yīng)實現(xiàn) 的戰(zhàn)略目標之間保持一致。假如新的參考標準文件旨在統(tǒng)一歐洲 各相關(guān)方的做法，那么應(yīng)當考慮到當?shù)胤ㄒ?guī)的適用性。.衡量有效性。有助于從端到端服務(wù)的角度持續(xù)衡量

7、平安措 施的有效性。.考慮新技術(shù)。例如，制定5G事件檢測策略時，不僅考慮 移動網(wǎng)絡(luò)運營商、托管服務(wù)提供商和B2B垂直行業(yè)，還應(yīng)考慮人工智能的開發(fā)和運營。.考慮標準實施的外部因素。在某些情況下，標準、規(guī)范準 那么的有效性取決于外部因素。例如，免費開源軟件（FOSS）的開 發(fā)具有開放性，因此平安準那么和建議中應(yīng)包含資源開發(fā)與審查方 面的規(guī)定，鼓勵依賴開源軟件的行業(yè)參與者和公共管理部門積極 行動，不斷提高和維護免費開源軟件解決方案的平安性。（三）提高風險判斷與評估的成熟度和完整性本報告在標準化完整性局部指出了現(xiàn)有標準局部涵蓋、涵蓋 較少或沒有涵蓋的平安領(lǐng)域。其中風險評估相關(guān)標準并非專門針 對5G,各

8、相關(guān)方?jīng)]有采取一致方法評估風險，平安管理各自為政， 不利于保障5G整體平安。因此，5G生態(tài)系統(tǒng)中的所有相關(guān)方在 評估風險的方法上協(xié)調(diào)一致，是提升風險判斷與評估的成熟度和 完整性的關(guān)鍵所在。歐盟網(wǎng)絡(luò)平安局發(fā)布的行業(yè)網(wǎng)絡(luò)平安評估方法中概述了 網(wǎng)絡(luò)平安風險判斷方法：歐洲網(wǎng)絡(luò)平安法案（CSA）要求針對預(yù) 期用途的相關(guān)風險，制定信息與通信技術(shù)產(chǎn)品、服務(wù)和流程的安 全認證方法。為此，歐盟網(wǎng)絡(luò)平安局提出了行業(yè)網(wǎng)絡(luò)平安評估（SCSA）方法，以判斷各種業(yè)務(wù)服務(wù)流程中，與系統(tǒng)預(yù)期用途 有關(guān)的網(wǎng)絡(luò)平安風險，垂直行業(yè)用戶和網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供商等所 有相關(guān)方均可參與。行業(yè)網(wǎng)絡(luò)平安評估聚焦于行業(yè)業(yè)務(wù)層面，涵 蓋了 5G領(lǐng)域

9、各相關(guān)方、業(yè)務(wù)目標以及信息與通信技術(shù)子系統(tǒng)和 流程。根據(jù)業(yè)務(wù)目標判斷網(wǎng)絡(luò)平安風險，提出特定信息與通信技 術(shù)產(chǎn)品、服務(wù)和流程平安、認證和保障要求，有助于5G領(lǐng)域各 相關(guān)方權(quán)衡平安保障費用與業(yè)務(wù)目標收益。一、概要本報告旨在闡述標準化在減少5G生態(tài)系統(tǒng)的技術(shù)風險，提 升信任度和彈性方面的作用。概括分析了 2021年9月前發(fā)布的 5G生態(tài)系統(tǒng)網(wǎng)絡(luò)平安相關(guān)標準、規(guī)范和準那么，評估了上述標準文 件對5G平安環(huán)境所具有的價值以及標準的適用性，并針對提升 5G平安標準化水平提出建議。本報告建議要循序漸進地推動5G標準化，考慮新標準的實 用性和必要性及與戰(zhàn)略目標間的聯(lián)系，強調(diào)5G生態(tài)系統(tǒng)中的所 有相關(guān)方需要在評

10、估風險方法上協(xié)調(diào)一致，以提高風險判斷與評 估的成熟度和完整性。二、5G生態(tài)系統(tǒng)范圍5G生態(tài)系統(tǒng)包含以下幾個維度（表1）。表1 ： 5G生態(tài)系統(tǒng)的維度5G生態(tài)系統(tǒng)的組成局部定義5G技術(shù)和功能領(lǐng)域5G網(wǎng)絡(luò)的基本功能及相關(guān)的支持資產(chǎn)類別，代表5G技 術(shù)組件及其交互范圍。技術(shù)生命周期流程適用于5G服務(wù)和依賴5G垂直行業(yè)的生命周期流程。 包括：設(shè)計、構(gòu)建、測試、運行、更新、生命周期結(jié)束。5G各相關(guān)方5G平安領(lǐng)域、目標和措施與5G網(wǎng)絡(luò)和垂直行業(yè)相關(guān)的（公共或私人）實體。包 括：5G服務(wù)客戶或消費者、電信行業(yè)（簡稱電信）、 數(shù)據(jù)中心服務(wù)提供商（DCSP）、連接設(shè)備行業(yè)、網(wǎng)絡(luò) 平安評估、網(wǎng)絡(luò)平安信息交換、標準

11、制定組織（SDO） 協(xié)會聯(lián)盟、研究和創(chuàng)新機構(gòu)。5G生態(tài)系統(tǒng)的平安維度，內(nèi)容包括歐盟網(wǎng)絡(luò)平安局在 歐洲電子通信規(guī)范平安措施準那么及5G補充平安措 施中提出的平安領(lǐng)域、目標和措施。包括：治理和風險 管理、人力資源平安、系統(tǒng)和設(shè)施平安、運營管理、事 件管理、業(yè)務(wù)連續(xù)性管理、監(jiān)控、審查和測試、威脅意 識。三、5G生態(tài)系統(tǒng)標準文件的作用與評估本報告從現(xiàn)有標準中選出140多份文件和150多項平安措施, 詳細分析并評估其對5G生態(tài)系統(tǒng)平安的涵蓋程度，相關(guān)結(jié)果見 表2o表2：按平安領(lǐng)域劃分的現(xiàn)有標準文件涵蓋范圍匯總平安領(lǐng)域適用文 件分類5G生態(tài)系統(tǒng)維度涵蓋范圍術(shù)和技術(shù)生各相關(guān)方 鮑圾期領(lǐng)域流程,結(jié)果D1 一

12、治理 和風 險管 理標準全部全部全部現(xiàn)有標準文件與5G生態(tài)系統(tǒng)各個 維度有一定關(guān)系,但并非專用于5G。 為充分利用這些文件，各相關(guān)方應(yīng) 根據(jù)相關(guān)的5G技術(shù)和功能領(lǐng)域及 技術(shù)生命周期流程，對其進行大幅 調(diào)整。一力源 全D2人資安標準全部全部全部現(xiàn)有標準文件與5G生態(tài)系統(tǒng)各個 維度有一定關(guān)系,但并非專用于5Go 為充分利用這些文件，各相關(guān)方應(yīng) 根據(jù)相關(guān)的5G技術(shù)和功能領(lǐng)域以 及技術(shù)生命周期流程，對其進行大平安 領(lǐng)域適用文 件分類5G生態(tài)系統(tǒng)維度涵蓋范圍|需技術(shù)生 各相矢方藉瞿期 領(lǐng)域和程結(jié)果幅調(diào)整。D3一 系統(tǒng) 和設(shè) 施安全準范那么 標規(guī)準電信行業(yè) 數(shù)據(jù)中心 服務(wù)提供 商全部運行雖然這些標準文件是

13、通用的，但與 電信行業(yè)和數(shù)據(jù)中心服務(wù)提供商的 相關(guān)度較高。在5G環(huán)境中，“運行” 階段進行調(diào)整較為容易，“設(shè)計” 和“構(gòu)建”階段進行調(diào)整那么需要各 相關(guān)方付出很大努力。D4 運營 管理規(guī)范電信行業(yè)全部運行現(xiàn)有標準文件并非專用于5G,但與 電信行業(yè)的相關(guān)度較高。為充分利 用這些文件，各相關(guān)方應(yīng)在“設(shè)計” 和“構(gòu)建”階段，根據(jù)相關(guān)的5G技 術(shù)和功能領(lǐng)域以及技術(shù)生命周期流 程，對其進行大幅調(diào)整?，F(xiàn)有標準文件并非專用于5G,但與 電信行業(yè)的相關(guān)度較高。為充分利 用這些文件，各相關(guān)方應(yīng)在“設(shè)計” 和“構(gòu)建”階段，根據(jù)相關(guān)的5G技 術(shù)和功能領(lǐng)域以及技術(shù)生命周期流 程，對其進行大幅調(diào)整。現(xiàn)有標準文件并非專用

14、于5G,但與 電信行業(yè)的相關(guān)度較高。為充分利 用這些文件，各相關(guān)方應(yīng)在“設(shè)計” 和“構(gòu)建”階段，根據(jù)相關(guān)的5G技 術(shù)和功能領(lǐng)域以及技術(shù)生命周期流 程，對其進行大幅調(diào)整。D5 一 事件 管理標準電信行業(yè)全部運行一務(wù)續(xù)管D6業(yè)連性理標準電信行業(yè)全部運行D7 監(jiān)控、 審查 和測 試標準電信行業(yè)全部運行現(xiàn)有標準文件并非專用于5G,但與 電信行業(yè)的相關(guān)度較高。為充分利 用這些文件，各相關(guān)方應(yīng)在“設(shè)計” 和“構(gòu)建”階段，根據(jù)相關(guān)的5G技 術(shù)和功能領(lǐng)域以及技術(shù)生命周期流 程，對其進行大幅調(diào)整。D8 威脅準那么電信行業(yè)全部 運行現(xiàn)有標準文件并非專用于5G,但與 電信行業(yè)的相關(guān)度較高。為充分利 用這些文件，各相

15、關(guān)方應(yīng)在“設(shè)計”5G生態(tài)系統(tǒng)維度涵蓋范圍結(jié)果平安適用文技術(shù)生領(lǐng)域件分類各相關(guān)方O命周期 領(lǐng)域和程和“構(gòu)建”階段，根據(jù)相關(guān)的5G技 術(shù)和功能領(lǐng)域以及技術(shù)生命周期流 程，對其進行大幅調(diào)整。四、5G平安標準化的缺乏和差距針對5G平安各領(lǐng)域現(xiàn)有標準文件，梳理現(xiàn)有標準文件中部 分涵蓋、涵蓋較少或沒有涵蓋的領(lǐng)域，評估現(xiàn)有標準文件實現(xiàn)“理 想情況”的程度，以及在實施中可用的標準、規(guī)范和準那么，減少 了 5G技術(shù)和機構(gòu)網(wǎng)絡(luò)平安風險，并提供了充分的平安保障。專 家組以此作為參照，確定了標準化完整性水平，如表5所示。其 中顏色代碼規(guī)那么如表3所示。表3：標準化完整性的顏色代碼現(xiàn)有標準文件綠色單元格表示對所涉及的相

16、關(guān)方而言，現(xiàn)有標準文件涵蓋了所 有平安領(lǐng)域。一定差距黃色單元格表示這些領(lǐng)域存在一定的標準化差距。假設(shè)現(xiàn)有標準文件僅局部涵蓋該領(lǐng)域，那么存在“一定”差距，需要 一定努力以彌合差距。較大差距粉色單元格表示這些領(lǐng)域存在較大的標準化差距。假設(shè)現(xiàn)有標準文件沒有涵蓋該領(lǐng)域（或涵蓋較少），那么存在“較大” 差距，需要特別努力以彌合差距。定義定義顏色代碼沒有差距/不相關(guān)沒有顏色的單元格表示這些區(qū)域沒有差距，或者與相關(guān)方不相關(guān)。表5的括號內(nèi)標明了各個領(lǐng)域的相關(guān)標準文件，并對現(xiàn)有標準文件參考的簡寫方式進行了分組。如表4：表4：參考標準文件簡寫：簡寫表示所選文件的涵蓋領(lǐng)域簡寫所選文件涵蓋ISOIEC27KISO/I

17、EC 27000 系列ISOIEC20KIT服務(wù)流程圖SUPPLSEC供應(yīng)商平安POLTEMPLATES構(gòu)建平安策略RM網(wǎng)絡(luò)平安風險管理ENISATL歐盟網(wǎng)絡(luò)平安局威脅工作SP800HR人力資源平安IAM身份和訪問管理DEVSECOPSIT生命周期平安3GPP-AII第三代合作伙伴計劃技術(shù)規(guī)范NFVSEC網(wǎng)絡(luò)功能虛擬化的平安性eUlCC嵌入式通用集成電路卡(eUlCC)領(lǐng)域的平安性CRYPTOTECH使用密碼技術(shù)PHYSEC物理和環(huán)境平安HARDEN技術(shù)可靠性VULN漏洞管理THREATMOD威脅建模和平安監(jiān)控SECASSUR平安保障和相關(guān)準那么P 簡寫所選文件涵蓋AUDIT審查計劃和評估BC

18、M機構(gòu)和技術(shù)彈性表5：評估標準涵蓋范圍和差距缺乏各相關(guān)方5G服務(wù) 客戶或 消費者電信 行業(yè)數(shù)據(jù)中 心服務(wù) 提供商接備業(yè) 連設(shè)行網(wǎng)絡(luò)平安評 估各相關(guān)方網(wǎng)絡(luò)平安 信息交換 各相關(guān)方研究和創(chuàng)新 機構(gòu)在標準化中 的作用通過實施標準、規(guī)范和準那么，實現(xiàn)安 全使用、部署和運營5G網(wǎng)絡(luò)和/或服 務(wù)等平安目標審查標準、 規(guī)范和準那么 的實施情況通過實施 標準、規(guī)范 和準那么，安 全交換網(wǎng) 絡(luò)情報通過制定新 的標準、規(guī)范 和準那么，揭示 標準缺漏，并 利用創(chuàng)新推 動標準化D1 治 理 和 風 險 管 理涵蓋該領(lǐng)域 的現(xiàn)有標準 文件ISOIEC27K. ISO20KB RM、SP800HR ENISATL、ISO

19、IECSUPPL、POLTEMPLATESSECASSURRMRM NFVSEC DEVSECOPS. HARDEN一定差距：現(xiàn)有標準文 件局部涵蓋 的領(lǐng)域特定行業(yè)的治理和風險管理特定行業(yè)風險登記冊特定行業(yè)信息平安管理體系（ISMS） 和隱私信息管理體系（PIMS）的實施 情況第三方5G 風險評估享風方做境流 共和理熟跨交 于理管成的息程 用治險面法信流D2人力資源平安涵蓋該領(lǐng)域 的現(xiàn)有標準 文件SP800HR, IAMSP800HRSP800HRISOIEC27K.SP800HRIAM一定差距：現(xiàn)有標準文 件局部涵蓋 的領(lǐng)域特定垂直行業(yè)教育平安內(nèi)容，指定認 知計劃和培訓(xùn)內(nèi)容，例如慕課 （MO

20、OC）,嚴肅游戲服務(wù)（注：該領(lǐng)域可實施軟措施而非標準）人力資源管 理流程的評 估方法用于人力 資源平安 信息交換（例如成 熟做法）的 跨境流程特定垂直行 業(yè)教育的安 全內(nèi)容，指定 認知計劃和 培訓(xùn)內(nèi)容，例 如慕課、嚴肅 游戲服務(wù)D3系統(tǒng)和設(shè)施安涵蓋該領(lǐng)域 的現(xiàn)有標準 文件PHYSEC、1AM、3GPP-AII.SECASSUR、CRYPTOTECH、NFVSEC、 eUlCCAUDIT,SECASSURDEVSCOPS、 eUlCC CRYPTOTECH一定差距：現(xiàn)有標準文 件局部涵蓋的領(lǐng)域5G垂直行業(yè)可靠配置和部署5G微服務(wù)和自動化的可靠配置無線接入網(wǎng)、開放無線接入網(wǎng)、開5G垂直行 業(yè)平安性

21、的 評估方法5G微服務(wù)測試平臺環(huán) 境和工具全放網(wǎng)絡(luò)自動化平臺（ONAP）的平安性和自動化配 置可靠性的 評估方法較大差距： 現(xiàn)有標準文 件沒有涵蓋 （或涵蓋較少）的領(lǐng)域適用于5G解決方案采購合同中的供 應(yīng)商的信息平安要求可靠配置和部署的自動化編排和微服 務(wù)的平安性 審查（注： 該領(lǐng)域可實 施軟措施而 非標準）M運營管理涵蓋該領(lǐng)域 的現(xiàn)有標準 文件ISO20K, RM NFVSECJ 標準ISO20K、 RM、AUDIT標準DEVSECOPS一定差距： 現(xiàn)有標準文 件局部涵蓋 的領(lǐng)域關(guān)于5G特定云原生和 邊緣部署的高要求固件、數(shù)據(jù) 聚合和相關(guān) 組件的操作 和平安工作5G運營第三 方風險評估較大差

22、距： 現(xiàn)有標準文 件沒有涵蓋（或涵蓋較 少）的領(lǐng)域5G特定云原生和邊緣 部署完整生命周期的 實施要求，例如：證書 集中管理、可互操作的 自動化和編排、無服務(wù) 器環(huán)境工業(yè)物聯(lián)網(wǎng) 的自動化安 全評估測試平臺環(huán) 境和工具D5事件管理涵蓋該領(lǐng)域 的現(xiàn)有標準 文件ISOIEC20K. ISOIEC27K BCM。 AUDITTHREATMOD、NFVSECISOIEC20K,ISOIEC27K、 BCM、 AUDITISOIEC20K、 ISOIEC27K 、BCM、AUDITDEVSECOPS一定差距：現(xiàn)有標準文 件局部涵蓋 的領(lǐng)域5G特定端到端事件管理的場景類型， 包括5G環(huán)境中的事件嚴重程度標準 和閾值事件調(diào)查和 證據(jù)監(jiān)管鏈 的評估方法 5G特定 端到端事 件管理的 場景類型， 包括5G環(huán) 境中的事 件嚴重程 度標準和 閾值用于共享 事件響應(yīng) 方面成熟 做法的跨 境信息交 換流程較大差距： 現(xiàn)有標準文 件沒有涵蓋5G環(huán)境中的自動化事件響應(yīng)自動化事件 響應(yīng)性能的 評估方法（或涵蓋較 少）的領(lǐng)域D6業(yè)務(wù)連續(xù)性管理涵蓋