2013年2月,美国发布第13636号行政命令(EO)《改善关键基础设施网络安全》。NIST 自此开始与美国私营部门合作,确定现有的行业最佳实践,以将其构建成网络安全框架。这次合作带来了《改进关键基础设施网络安全框架》标准及 NIST网络安全框架 V1.0。该标准围绕关键基础设施的网络弹性要求,并引用 SP800-53、ISO27001、欧盟区域标准等作为参考,系统定义了IPDRR方法。
2014年的《网络安全增强法案》(CEA)扩大了NIST在制定网络安全框架方面的工作范围。如今,NIST CSF仍然是美国所有行业中采用最广泛的安全框架之一。
2018年4月,NIST发布新的《关键基础设施网络安全改进框架》V1.1版本,新增了自我评估,扩展了供应链安全,细化了认证授权、身份证明、漏洞披露、生命周期管理等方面的内容,目的是为相关组织机构提供更细粒度的指导,实现个体组织价值的最大化。
拜登政府上台后,美国连续发布了14028号行政令《关于改善国家网络安全的行政令(202105)》和国家安全备忘录《改善关键基础设施控制系统网络安全(202107)》,明确了在国家层面上进行关键基础设施安全防护的目标和重点方向。
2022年9月,美国国土安全部下辖的网络安全和基础设施安全局(CISA)发布了《2023至2025年CISA战略规划》,将关键基础设施安全防护作为其工作重点。
2023年3月,美国白宫发布了新的《国家网络安全战略》,该战略首次将关键基础设施防护定位为国家网络安全的第一大支柱,并要求制定支持国家安全和公共安全的网络安全要求、扩大社会合作、整合各种社会资源、更新安全事件响应计划和进程,以及发展现代化的安全防护能力。
2023年1月,NIST发布了《网络安全框架2.0》草案,并于2024年年初发布框架 V2.0 正式版本。在提出新的框架设计原则与思路的同时,也明确将扩展其拟应用范围,从面向关键基础设施扩展至面向政府、产业和学术界的各类组织。
2016年7月6日,欧洲议会和欧盟理事会通过《关于欧盟共同的高水平网络和信息系统安全措施的指令》(NIS1)2016/1148。NIS1是欧盟范围内第一个关于关键基础设施网络安全的立法,其目的是确保欧盟国家已做好充分准备处理和应对网络攻击。
NIS指令主要包含三个方面。
国家能力:成员国必须有某些网络安全能力,如事件响应、网络演练等。
跨境合作:欧盟成员国之间可以跨境合作,如形成欧盟计算机安全事件响应小组(CSIRT)、信息安全合作小组(NIS CG)等。
关键行业的国家监督:对关键行业进行事前监督(能源、交通、水、卫生、数字基础设施和金融),对数字服务供应商进行事后监督(在线购物,云计算和搜索引擎)。
2020年12月16日,欧委会发布了对NIS1的拟议修订(NIS2)。新的指令作为欧盟新网络安全战略《欧盟数字十年的网络安全战略》的关键组成部分被宣布,旨在刷新现有的NIS框架以解决指令运作中的问题,并进一步提高利益相关方的网络安全韧性和事件响应能力。《欧盟数字十年的网络安全战略》将作为未来欧盟“数字十年”计划的网络安全顶层目标与基本路线,在目标“韧性、技术主权和领导力”中提及“改革网络和信息系统的安全规则,以增强关键公共和私营部门及关键基础设施和服务的网络韧性,确保其在日新月异、愈发复杂的威胁环境中不被渗透”。
NIS2共7章43条,将对现行制度进行重大修改,包括扩大现有法律适用范围、优化关于安全要求和事件报告的现有规则、优化处罚措施等,旨在确保整个欧盟实现统一的高水平网络安全防护,以提升内部市场的运作机制。NIS2 同时规定了成员国义务,包括实施国家网络安全战略、指定国家主管机构和单点联络机构、成立CSIRT,明确了实体在网络安全风险管理和事件报告方面的义务,也定义了网络安全信息共享相关的规则和义务。
GSMA推出的安全防护体系主要包括两部分:NESAS/SCAS和CKB。
1.NESAS/SCAS
NESAS/SCAS机制是由GSMA与3GPP两大重量级行业组织合作,并召集全球主要运营商、供应商、行业伙伴和监管机构共同制定的。主要针对移动通信网络进行安全评估,由独立、权威的第三方机构进行审计及测试,如图2-1所示。
图2-1 NESAS/SCAS机制体系
GSMA和3GPP相互配合制定的NESAS/SCAS机制,为5G业务安全定义了权威定制、高效统一、开放演进的通信行业网络安全评估标准,目前已被全球主要运营商、供应商和行业伙伴广泛接受。
NESAS 是产品开发和生命周期流程的安全审计,要求包括:安全设计、版本控制、变更管理、源代码检视、安全测试、员工教育、漏洞修复流程、漏洞修复独立性、信息安全管理、自动化构建流程、构建环境控制、漏洞信息管理、软件完整性保护、唯一的软件发布标识、安全修复沟通、文档准确性、安全联络人、源代码治理、持续改进、安全文档、第三方组件选型。
SCAS是基于3GPP SA3产品安全规格的技术评估,标准包括:通用安全保障需求目录、MME(移动管理实体)、eNodeB、PGW(业务发放网关)、NSSAAF(基于网络切片的认证授权功能)、gNodeB、AMF(接入和移动管理功能)、UPF(用户平面功能)、UDM(统一数据管理)、SMF(会话管理功能)、AUSF(鉴权服务功能)、SEPP(安全边缘保护代理)、NRF(网络存储功能)、NEF(网络开放功能)、NWDAF(网络数据分析功能)、SCP(服务通信代理)、Split gNB产品、MnF(管理功能)、IPUPS(PLMN间用户平面安全)、3GPP虚拟化网络产品。
2.CKB
随着全球移动网络运营商引入并推出5G系统,通信网络将面临新的安全威胁和挑战。如何客观、迅速且有效地了解、映射并消减现有的或可能出现的安全威胁,变得尤为重要。
GSMA进行了全面的威胁分析,整个生态系统的行业专家也参与其中,包括移动网络运营商、服务供应商、监管机构等。CKB(Cybersecurity Knowledge Base,网络安全知识库)从3GPP、ENISA和NIST等公共渠道收集输入信息,然后将这些威胁映射到适当有效的安全控制措施。CBK是系统的5G网络安全知识体系,为运营商提供了系统的5G安全管理方法。该知识库为利益相关方的风险管理战略提供了必要的洞察信息,并提供了最佳实践和风险消减措施等方面的指导。CKB促进并鼓励了合作,以防止网络/服务中断和非法访问。
CKB的构建包含业界公认的威胁图谱、针对不同角色的风险消减策略和关键控制措施,以及标准和最佳实践参考等。在充分运用这些措施和参考的前提下,5G 网络安全是可验证和可管理的。CKB是帮助各利益相关方在技术层面系统理解和应对5G网络安全典型威胁的有力工具。图2-2展示了CKB的体系结构。
NESAS面向5G网元设备安全,聚焦网元的设计、开发、维护,与3GPP在产品测试方面的SCAS标准配合。CKB则作为全面提升运营商5G安全水平的重要参考和依据,定义了5G安全分层模型(应用安全、网络安全、产品安全)与利益相关方的安全责任分工。可以说,基于CKB的5G安全知识库是监管合规、安全韧性提升、垂直行业安全业务赋能与创收等需求,与5G网络安全规、建、维、优、营能力之间的一座桥梁,如图2-3所示。
图2-2 CKB的体系结构
图2-3 5G安全知识库的作用和地位
5G 安全知识库作为桥梁,融合三大需求,整合全球运营商的最佳实践,指导运营商实施5G网络安全控制措施。运营商可以参考5G安全知识库,在5G网络的规、建、维、优、营中构建安全能力,分步提升5G网络安全能力和治理能力。