下载掌阅APP,畅读海量书库
立即打开
针对5G面临的安全风险和挑战,国内外众多标准组织和监管部门进行了系统化的分析和定义,并发布了研究报告、技术要求和推荐实现。下列组织在5G移动通信网安全防护体系上发挥了重要的作用。
3GPP:第三代合作伙伴计划(3rd Generation Partnership Project),是一个成立于1998年12月的标准化机构。最初目标是在ITU的IMT-2000计划范围内制定和实现全球性的第三代移动通信电话系统技术规范和宽带标准。随着技术和产业的发展,3GPP逐渐成为4G、5G标准的权威组织。
ETSI:欧洲电信标准协会(European Telecommunications Standards Institute),成立于19881年,是欧洲的一个独立的、不以营利为目的的电信行业标准化组织。目标是制定适用于全球的信息技术与通信技术(ICT)标准,包括固定、移动、无线电、融合、广播和互联网技术标准。ETSI作为3GPP的创始成员,与3GPP有着紧密的合作。
ITU:国际电信联盟(International Telecommunication Union),是联合国负责信息通信技术事务的专门机构,成立于1865年,旨在促进国际通信网络的互联互通,负责分配和管理全球无线电频谱、制定全球电信标准。全球成员包括193个成员国,以及含各公司、大学、国际组织、区域性组织在内的约900个成员组织。ITU-T是其标准化部门。
GSMA:全球移动通信系统协会(Global System for Mobile Communications Association),成立于1987年,目前成员包括220个国家的近800家移动运营商,以及230多家移动生态系统中的企业,如手机制造商、软件公司、设备供应商、互联网公司、金融服务企业、医疗企业、媒体公司等。
ENISA:欧盟网络安全局(The European Union Agency for Cybersecurity),成立于2004年,致力于在整个欧洲实现高共同水平的网络安全。该机构为欧盟网络政策做出贡献,通过网络安全认证计划提高了ICT产品、服务和流程的可信性,帮助欧洲应对未来的网络挑战。
NIST:美国国家标准与技术研究院(National Institute of Standards and Technology),前身为国家标准局(NBS,1901—1988年),是一家测量标准实验室,是隶属于美国商务部的非监管机构。
国家标准化管理委员会:下达国家标准计划,批准发布国家标准,审议并发布标准化政策、管理制度、规划、公告等重要文件;开展强制性国家标准对外通报;协调、指导和监督行业、地方、团体、企业标准工作;代表国家参加国际标准化组织、国际电工委员会和其他国际或区域性标准化组织;承担有关国际合作协议的签署工作;承担国务院标准化协调机制的日常工作。
TC260:全国信息安全标准化技术委员会,简称“信安标委”。该委员会是在信息安全技术专业领域从事信息安全标准化工作的技术组织,负责组织开展国内信息安全标准化技术相关工作,涉及安全技术、安全机制、安全服务、安全管理、安全评估等领域。
TC485&CCSA:CCSA(China Communications Standards Association,中国通信标准化协会)是国内企事业单位自愿联合组织起来,在全国范围内开展信息通信技术领域标准化活动的非营利性法人社会团体。TC485,全国通信标准化技术委员会,于2009年5月经国标委批准成立,由国标委主管、工业和信息化部作为业务指导单位、CCSA作为秘书处承担单位,主要负责通信网络、系统和设备、通信基本协议、相关测试方法等的国家标准制定和修订工作。
CSTC:密码行业标准化技术委员会(Cryptography Standardization Technical Committee),简称“密标委”,于2011年10月成立。旨在满足密码领域标准化发展需求,充分发挥密码研究、生产、使用、教学和监督检验等领域专家的作用,更好地开展密码领域的标准化工作。
1.3.1.1 3GPP
3GPP聚焦5G基础共性、应用与服务安全、通信网络、IT化网络设施等方面。
3GPP在5G基础共性领域的重点标准包括3GPP TS 33.501《5G系统的安全架构和过程》、3GPP TR 33.841《256位算法对5G的支持研究》、3GPP TR 33.834《长期密钥更新程序(LTKUP)的研究》。在应用与服务安全方面,发布了3GPP TS 33.535《在5G中基于3GPP凭证的应用程序的身份认证和密钥管理》。在通信网络方面,发布了3GPP TR 33.813《网络切片增强的安全性研究》。在 IT化网络设施方面,发布了3GPP TR 33.848《虚拟化对安全性的影响研究》,并发布了3GPP TR 33.818《虚拟化设备的关键资产、威胁及安全评估流程》针对虚拟化网络产品的安全保障方法展开研究和分析。
1.3.1.2 ETSI
ETSI NFV SEC工作组负责分析虚拟化环境下的安全威胁,导出业务和安全需求。工作组还确定了NFV环境安全领域的最佳实践。ETSI NFV SEC工作组于2014年发布的ETSI GS NFV-SEC001标准描述了NFV技术所面临的安全问题,定义了由NFV技术引入的安全问题和虚拟化问题,以及网络技术本身存在的安全问题的边界,并指出了NFV安全的双重性,即虚拟化带来了新的威胁,也带来了新的机会。
在发布ETSI GS NFV-SEC001之后,ETSI NFV SEC工作组围绕着位置、时间戳、证书管理、多层主机管理、NFV安全和远程证明等,发布了一系列报告(Group Report,GR),并在安全管理和监控、多层主机管理、安全和信任、API访问、安全监管、安全问题、管理软件的安全功能分类、数据留存、NFV系统架构、MANO组件和NFV软件包等领域发布了一系列标准(Group Specification,GS)。
1.3.1.3 GSMA
GSMA针对5G安全发布的主要标准如下。
GSMA NESAS系列标准:该系列标准主要定义了网络设备安全评估体系、安全测试实验室资质认证流程和要求、对产品开发和生命周期管理流程进行资质认证的方法等。
GSMA IR.77:该标准制定了IPX网络的安全要求,包括IPX网络内部安全要求、IPX网络间安全要求、服务供应商网络和IPX网络之间的安全要求,以及对数据机密性、完整性、可靠性等方面的安全要求。
GSMA NR.116:该标准基于3GPP R15标准制定了网络切片的通用模板,明确了必选特性和可选特性。
GSMA NR.113:该标准提供了使用SBA架构的5G核心网漫游指南,具体包括接口要求、与E-UTRAN和EPC共存的要求、漫游时的网络切片要求等。
1.3.1.4 ITU-T
ITU-T已发布的标准聚焦于IT化网络设施安全领域,主要围绕基于SDN的业务链安全、SDN/NFV网络中的软件定义安全标准。此外,ITU正在针对5G网络安全基础、IT化网络设施安全、网络安全、数据安全和安全运营管控展开标准研究。ITU-T在5G网络安全领域的重点标准如下。
ITU-T X.1043《基于软件定义网络的服务功能链的安全框架和要求》和ITU-TX.1046《软件定义网络/网络功能虚拟化网络中的软件定义安全框架》两项标准。
ITU-T X.5Gsec-guide《基于ITU-T X.805的5G通信系统安全导则》主要针对基于ITU-T X.805的5G通信系统展开安全研究。
ITU-T X.5Gsec-ecs《5G边缘计算服务的安全框架》根据5G边缘计算的部署方式及典型应用场景,分析5G边缘计算的安全威胁、安全需求,提出5G边缘计算服务安全框架。
ITU-T X.5Gsec-t《5G生态系统中基于信任关系的安全框架》研究5G生态系统中的信任关系和安全边界,制定5G生态系统的安全框架。
1.3.1.5 ENISA
ENISA在2015—2022年间围绕着SDN、虚拟化、信令、网络、供应链、NFV发布了一系列研究报告。
2021年2月发布了名为“Security in5G specifications-Controls in 3GPP security specifications (5G SA)”的报告,该报告旨在帮助欧盟成员国实施EU Toolbox中关于5G安全的技术措施TM02(确保和评估5G标准中安全措施的实现)。该报告还致力于帮助欧盟成员国和监管当局更好地了解与5G 安全相关的标准化环境,并提高对3GPP安全规范及其主要元素和对安全控制的理解。
2021年7月发布了名为“5G supplement to the guideline on security measures under the EECC,2nd edition”的报告作为对EECC安全措施指南的补充。
2022年3月发布了“5G cybersecurity standards-Analysis of standardisation requirements in support of cybersecurity policy”,以研究标准化对于消减5G安全风险的贡献。
1.3.1.6 NIST
NIST于2020年4月发布了名为“5G cybersecurity-Preparing a secure evolution to5G”的通知,其范围是利用3GPP标准中定义的5G标准化安全功能,提供内置于网络设备和最终用户设备的增强网络安全功能。此外,该项目旨在确定有效运营5G网络所需的底层技术和支持基础设施组件的安全特性。
2022 年发布了 NIST SP 1800-33B,5G cybersecurity-Volume B:Approach,architecture,and security characteristics标准。该标准将展示5G网络运营商和用户如何降低5G网络安全风险。这是通过提升系统架构组件能力,提供基于云的安全基础设施,并在5G标准中引入安全防护功能来实现的,支持常见的使用场景,能满足行业相关部门推荐的网络安全实践要求和合规性要求。
1.3.2.1 国家标准化管理委员会
国家标准化管理委员会于2021年2月发布了强制性国家标准GB 40050-2021《网络关键设备安全通用要求》,该标准主要用于落实《网络安全法》中第二十三条关于网络关键设备安全的要求,为5G网络设备的安全性提供了技术保障。该标准的主要内容包括网络关键设备的安全功能要求和安全保障要求。其中,安全功能要求聚焦于设备的技术安全能力,安全保障要求则对网络关键设备提供者在设备全生命周期的安全保障能力提出了要求。
1.3.2.2 TC260
在5G网络安全标准研究方面,TC260针对5G网络安全推动了有关《5G网络安全标准化白皮书》的研究,涵盖了安全基础共性、终端安全、IT化网络设施安全、应用与服务安全、数据安全和安全运营管理等方面,并持续完善相关配套标准。在安全基础共性方面,发布了GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,规定了第一级到第四级等级保护对象在保护方面的通用要求和扩展要求,用于指导网络运营商按照网络安全等级保护制度的要求履行网络安全保护义务。
1.3.2.3 TC485&CCSA
TC485正在推进关于5G网络相关标准的研究,在研标准主要涵盖安全基础共性、通信网络安全等方面。
TC485 在研标准《5G 移动通信网安全技术要求》(YD/T 3628-2019)主要围绕5G移动通信网中的通信安全总体技术要求展开研究,为运营商和监管机构在5G安全方面开展工作提供技术参考。
TC485在研标准《5G移动通信网络设备安全保障要求 核心网网络功能》(YD/T 4204-2023)、《5G移动通信网络设备安全保障要求 基站设备》主要围绕5G设备安全,从核心网网络功能、基站设备等方面,对5G移动通信网络设备安全保障提出要求。
在 SDN/NFV 和切片安全领域发布了《SDN 网络安全能力要求》(YD/T 3489-2019),并有在研行业标准《网络功能虚拟化(NFV)安全技术要求》(2020-0003T-YD)。
1.3.2.4 CSTC
CSTC在国家密码管理局的指导下制定发布了推荐性标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》。