针对5G面临的安全风险和挑战,国内外众多标准组织和监管部门进行了系统化的分析和定义,并发布了研究报告、技术要求和推荐实现。下列组织在5G移动通信网安全防护体系上发挥了重要的作用。
3GPP:第三代合作伙伴计划(3rd Generation Partnership Project),是一个成立于1998年12月的标准化机构。最初目标是在ITU的IMT-2000计划范围内制定和实现全球性的第三代移动通信电话系统技术规范和宽带标准。随着技术和产业的发展,3GPP逐渐成为4G、5G标准的权威组织。
ETSI:欧洲电信标准协会(European Telecommunications Standards Institute),成立于19881年,是欧洲的一个独立的、不以营利为目的的电信行业标准化组织。目标是制定适用于全球的信息技术与通信技术(ICT)标准,包括固定、移动、无线电、融合、广播和互联网技术标准。ETSI作为3GPP的创始成员,与3GPP有着紧密的合作。
ITU:国际电信联盟(International Telecommunication Union),是联合国负责信息通信技术事务的专门机构,成立于1865年,旨在促进国际通信网络的互联互通,负责分配和管理全球无线电频谱、制定全球电信标准。全球成员包括193个成员国,以及含各公司、大学、国际组织、区域性组织在内的约900个成员组织。ITU-T是其标准化部门。
GSMA:全球移动通信系统协会(Global System for Mobile Communications Association),成立于1987年,目前成员包括220个国家的近800家移动运营商,以及230多家移动生态系统中的企业,如手机制造商、软件公司、设备供应商、互联网公司、金融服务企业、医疗企业、媒体公司等。
ENISA:欧盟网络安全局(The European Union Agency for Cybersecurity),成立于2004年,致力于在整个欧洲实现高共同水平的网络安全。该机构为欧盟网络政策做出贡献,通过网络安全认证计划提高了ICT产品、服务和流程的可信性,帮助欧洲应对未来的网络挑战。
NIST:美国国家标准与技术研究院(National Institute of Standards and Technology),前身为国家标准局(NBS,1901—1988年),是一家测量标准实验室,是隶属于美国商务部的非监管机构。
国家标准化管理委员会:下达国家标准计划,批准发布国家标准,审议并发布标准化政策、管理制度、规划、公告等重要文件;开展强制性国家标准对外通报;协调、指导和监督行业、地方、团体、企业标准工作;代表国家参加国际标准化组织、国际电工委员会和其他国际或区域性标准化组织;承担有关国际合作协议的签署工作;承担国务院标准化协调机制的日常工作。
TC260:全国信息安全标准化技术委员会,简称“信安标委”。该委员会是在信息安全技术专业领域从事信息安全标准化工作的技术组织,负责组织开展国内信息安全标准化技术相关工作,涉及安全技术、安全机制、安全服务、安全管理、安全评估等领域。
TC485&CCSA:CCSA(China Communications Standards Association,中国通信标准化协会)是国内企事业单位自愿联合组织起来,在全国范围内开展信息通信技术领域标准化活动的非营利性法人社会团体。TC485,全国通信标准化技术委员会,于2009年5月经国标委批准成立,由国标委主管、工业和信息化部作为业务指导单位、CCSA作为秘书处承担单位,主要负责通信网络、系统和设备、通信基本协议、相关测试方法等的国家标准制定和修订工作。
CSTC:密码行业标准化技术委员会(Cryptography Standardization Technical Committee),简称“密标委”,于2011年10月成立。旨在满足密码领域标准化发展需求,充分发挥密码研究、生产、使用、教学和监督检验等领域专家的作用,更好地开展密码领域的标准化工作。
1.3.1.1 3GPP
3GPP聚焦5G基础共性、应用与服务安全、通信网络、IT化网络设施等方面。
3GPP在5G基础共性领域的重点标准包括3GPP TS 33.501《5G系统的安全架构和过程》、3GPP TR 33.841《256位算法对5G的支持研究》、3GPP TR 33.834《长期密钥更新程序(LTKUP)的研究》。在应用与服务安全方面,发布了3GPP TS 33.535《在5G中基于3GPP凭证的应用程序的身份认证和密钥管理》。在通信网络方面,发布了3GPP TR 33.813《网络切片增强的安全性研究》。在 IT化网络设施方面,发布了3GPP TR 33.848《虚拟化对安全性的影响研究》,并发布了3GPP TR 33.818《虚拟化设备的关键资产、威胁及安全评估流程》针对虚拟化网络产品的安全保障方法展开研究和分析。
1.3.1.2 ETSI
ETSI NFV SEC工作组负责分析虚拟化环境下的安全威胁,导出业务和安全需求。工作组还确定了NFV环境安全领域的最佳实践。ETSI NFV SEC工作组于2014年发布的ETSI GS NFV-SEC001标准描述了NFV技术所面临的安全问题,定义了由NFV技术引入的安全问题和虚拟化问题,以及网络技术本身存在的安全问题的边界,并指出了NFV安全的双重性,即虚拟化带来了新的威胁,也带来了新的机会。
在发布ETSI GS NFV-SEC001之后,ETSI NFV SEC工作组围绕着位置、时间戳、证书管理、多层主机管理、NFV安全和远程证明等,发布了一系列报告(Group Report,GR),并在安全管理和监控、多层主机管理、安全和信任、API访问、安全监管、安全问题、管理软件的安全功能分类、数据留存、NFV系统架构、MANO组件和NFV软件包等领域发布了一系列标准(Group Specification,GS)。
1.3.1.3 GSMA
GSMA针对5G安全发布的主要标准如下。
GSMA NESAS系列标准:该系列标准主要定义了网络设备安全评估体系、安全测试实验室资质认证流程和要求、对产品开发和生命周期管理流程进行资质认证的方法等。
GSMA IR.77:该标准制定了IPX网络的安全要求,包括IPX网络内部安全要求、IPX网络间安全要求、服务供应商网络和IPX网络之间的安全要求,以及对数据机密性、完整性、可靠性等方面的安全要求。
GSMA NR.116:该标准基于3GPP R15标准制定了网络切片的通用模板,明确了必选特性和可选特性。
GSMA NR.113:该标准提供了使用SBA架构的5G核心网漫游指南,具体包括接口要求、与E-UTRAN和EPC共存的要求、漫游时的网络切片要求等。
1.3.1.4 ITU-T
ITU-T已发布的标准聚焦于IT化网络设施安全领域,主要围绕基于SDN的业务链安全、SDN/NFV网络中的软件定义安全标准。此外,ITU正在针对5G网络安全基础、IT化网络设施安全、网络安全、数据安全和安全运营管控展开标准研究。ITU-T在5G网络安全领域的重点标准如下。
ITU-T X.1043《基于软件定义网络的服务功能链的安全框架和要求》和ITU-TX.1046《软件定义网络/网络功能虚拟化网络中的软件定义安全框架》两项标准。
ITU-T X.5Gsec-guide《基于ITU-T X.805的5G通信系统安全导则》主要针对基于ITU-T X.805的5G通信系统展开安全研究。
ITU-T X.5Gsec-ecs《5G边缘计算服务的安全框架》根据5G边缘计算的部署方式及典型应用场景,分析5G边缘计算的安全威胁、安全需求,提出5G边缘计算服务安全框架。
ITU-T X.5Gsec-t《5G生态系统中基于信任关系的安全框架》研究5G生态系统中的信任关系和安全边界,制定5G生态系统的安全框架。
1.3.1.5 ENISA
ENISA在2015—2022年间围绕着SDN、虚拟化、信令、网络、供应链、NFV发布了一系列研究报告。
2021年2月发布了名为“Security in5G specifications-Controls in 3GPP security specifications (5G SA)”的报告,该报告旨在帮助欧盟成员国实施EU Toolbox中关于5G安全的技术措施TM02(确保和评估5G标准中安全措施的实现)。该报告还致力于帮助欧盟成员国和监管当局更好地了解与5G 安全相关的标准化环境,并提高对3GPP安全规范及其主要元素和对安全控制的理解。
2021年7月发布了名为“5G supplement to the guideline on security measures under the EECC,2nd edition”的报告作为对EECC安全措施指南的补充。
2022年3月发布了“5G cybersecurity standards-Analysis of standardisation requirements in support of cybersecurity policy”,以研究标准化对于消减5G安全风险的贡献。
1.3.1.6 NIST
NIST于2020年4月发布了名为“5G cybersecurity-Preparing a secure evolution to5G”的通知,其范围是利用3GPP标准中定义的5G标准化安全功能,提供内置于网络设备和最终用户设备的增强网络安全功能。此外,该项目旨在确定有效运营5G网络所需的底层技术和支持基础设施组件的安全特性。
2022 年发布了 NIST SP 1800-33B,5G cybersecurity-Volume B:Approach,architecture,and security characteristics标准。该标准将展示5G网络运营商和用户如何降低5G网络安全风险。这是通过提升系统架构组件能力,提供基于云的安全基础设施,并在5G标准中引入安全防护功能来实现的,支持常见的使用场景,能满足行业相关部门推荐的网络安全实践要求和合规性要求。
1.3.2.1 国家标准化管理委员会
国家标准化管理委员会于2021年2月发布了强制性国家标准GB 40050-2021《网络关键设备安全通用要求》,该标准主要用于落实《网络安全法》中第二十三条关于网络关键设备安全的要求,为5G网络设备的安全性提供了技术保障。该标准的主要内容包括网络关键设备的安全功能要求和安全保障要求。其中,安全功能要求聚焦于设备的技术安全能力,安全保障要求则对网络关键设备提供者在设备全生命周期的安全保障能力提出了要求。
1.3.2.2 TC260
在5G网络安全标准研究方面,TC260针对5G网络安全推动了有关《5G网络安全标准化白皮书》的研究,涵盖了安全基础共性、终端安全、IT化网络设施安全、应用与服务安全、数据安全和安全运营管理等方面,并持续完善相关配套标准。在安全基础共性方面,发布了GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,规定了第一级到第四级等级保护对象在保护方面的通用要求和扩展要求,用于指导网络运营商按照网络安全等级保护制度的要求履行网络安全保护义务。
1.3.2.3 TC485&CCSA
TC485正在推进关于5G网络相关标准的研究,在研标准主要涵盖安全基础共性、通信网络安全等方面。
TC485 在研标准《5G 移动通信网安全技术要求》(YD/T 3628-2019)主要围绕5G移动通信网中的通信安全总体技术要求展开研究,为运营商和监管机构在5G安全方面开展工作提供技术参考。
TC485在研标准《5G移动通信网络设备安全保障要求 核心网网络功能》(YD/T 4204-2023)、《5G移动通信网络设备安全保障要求 基站设备》主要围绕5G设备安全,从核心网网络功能、基站设备等方面,对5G移动通信网络设备安全保障提出要求。
在 SDN/NFV 和切片安全领域发布了《SDN 网络安全能力要求》(YD/T 3489-2019),并有在研行业标准《网络功能虚拟化(NFV)安全技术要求》(2020-0003T-YD)。
1.3.2.4 CSTC
CSTC在国家密码管理局的指导下制定发布了推荐性标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》。
5G 在公共通信领域发挥着重要的作用。一旦遭到破坏、丧失功能或者发生数据泄露,就可能严重危害国家安全、国计民生、公共利益。因此5G也被全球公认为关键基础设施(关基)系统。
2013年2月,美国发布第13636号行政命令(EO)《改善关键基础设施网络安全》。NIST 自此开始与美国私营部门合作,确定现有的行业最佳实践,以将其构建成网络安全框架。这次合作带来了《改进关键基础设施网络安全框架》标准及 NIST网络安全框架 V1.0。该标准围绕关键基础设施的网络弹性要求,并引用 SP800-53、ISO27001、欧盟区域标准等作为参考,系统定义了IPDRR方法。
2014年的《网络安全增强法案》(CEA)扩大了NIST在制定网络安全框架方面的工作范围。如今,NIST CSF仍然是美国所有行业中采用最广泛的安全框架之一。
2018年4月,NIST发布新的《关键基础设施网络安全改进框架》V1.1版本,新增了自我评估,扩展了供应链安全,细化了认证授权、身份证明、漏洞披露、生命周期管理等方面的内容,目的是为相关组织机构提供更细粒度的指导,实现个体组织价值的最大化。
拜登政府上台后,美国连续发布了14028号行政令《关于改善国家网络安全的行政令(202105)》和国家安全备忘录《改善关键基础设施控制系统网络安全(202107)》,明确了在国家层面上进行关键基础设施安全防护的目标和重点方向。
2022年9月,美国国土安全部下辖的网络安全和基础设施安全局(CISA)发布了《2023至2025年CISA战略规划》,将关键基础设施安全防护作为其工作重点。
2023年3月,美国白宫发布了新的《国家网络安全战略》,该战略首次将关键基础设施防护定位为国家网络安全的第一大支柱,并要求制定支持国家安全和公共安全的网络安全要求、扩大社会合作、整合各种社会资源、更新安全事件响应计划和进程,以及发展现代化的安全防护能力。
2023年1月,NIST发布了《网络安全框架2.0》草案,并于2024年年初发布框架 V2.0 正式版本。在提出新的框架设计原则与思路的同时,也明确将扩展其拟应用范围,从面向关键基础设施扩展至面向政府、产业和学术界的各类组织。
2016年7月6日,欧洲议会和欧盟理事会通过《关于欧盟共同的高水平网络和信息系统安全措施的指令》(NIS1)2016/1148。NIS1是欧盟范围内第一个关于关键基础设施网络安全的立法,其目的是确保欧盟国家已做好充分准备处理和应对网络攻击。
NIS指令主要包含三个方面。
国家能力:成员国必须有某些网络安全能力,如事件响应、网络演练等。
跨境合作:欧盟成员国之间可以跨境合作,如形成欧盟计算机安全事件响应小组(CSIRT)、信息安全合作小组(NIS CG)等。
关键行业的国家监督:对关键行业进行事前监督(能源、交通、水、卫生、数字基础设施和金融),对数字服务供应商进行事后监督(在线购物,云计算和搜索引擎)。
2020年12月16日,欧委会发布了对NIS1的拟议修订(NIS2)。新的指令作为欧盟新网络安全战略《欧盟数字十年的网络安全战略》的关键组成部分被宣布,旨在刷新现有的NIS框架以解决指令运作中的问题,并进一步提高利益相关方的网络安全韧性和事件响应能力。《欧盟数字十年的网络安全战略》将作为未来欧盟“数字十年”计划的网络安全顶层目标与基本路线,在目标“韧性、技术主权和领导力”中提及“改革网络和信息系统的安全规则,以增强关键公共和私营部门及关键基础设施和服务的网络韧性,确保其在日新月异、愈发复杂的威胁环境中不被渗透”。
NIS2共7章43条,将对现行制度进行重大修改,包括扩大现有法律适用范围、优化关于安全要求和事件报告的现有规则、优化处罚措施等,旨在确保整个欧盟实现统一的高水平网络安全防护,以提升内部市场的运作机制。NIS2 同时规定了成员国义务,包括实施国家网络安全战略、指定国家主管机构和单点联络机构、成立CSIRT,明确了实体在网络安全风险管理和事件报告方面的义务,也定义了网络安全信息共享相关的规则和义务。
GSMA推出的安全防护体系主要包括两部分:NESAS/SCAS和CKB。
1.NESAS/SCAS
NESAS/SCAS机制是由GSMA与3GPP两大重量级行业组织合作,并召集全球主要运营商、供应商、行业伙伴和监管机构共同制定的。主要针对移动通信网络进行安全评估,由独立、权威的第三方机构进行审计及测试,如图2-1所示。
图2-1 NESAS/SCAS机制体系
GSMA和3GPP相互配合制定的NESAS/SCAS机制,为5G业务安全定义了权威定制、高效统一、开放演进的通信行业网络安全评估标准,目前已被全球主要运营商、供应商和行业伙伴广泛接受。
NESAS 是产品开发和生命周期流程的安全审计,要求包括:安全设计、版本控制、变更管理、源代码检视、安全测试、员工教育、漏洞修复流程、漏洞修复独立性、信息安全管理、自动化构建流程、构建环境控制、漏洞信息管理、软件完整性保护、唯一的软件发布标识、安全修复沟通、文档准确性、安全联络人、源代码治理、持续改进、安全文档、第三方组件选型。
SCAS是基于3GPP SA3产品安全规格的技术评估,标准包括:通用安全保障需求目录、MME(移动管理实体)、eNodeB、PGW(业务发放网关)、NSSAAF(基于网络切片的认证授权功能)、gNodeB、AMF(接入和移动管理功能)、UPF(用户平面功能)、UDM(统一数据管理)、SMF(会话管理功能)、AUSF(鉴权服务功能)、SEPP(安全边缘保护代理)、NRF(网络存储功能)、NEF(网络开放功能)、NWDAF(网络数据分析功能)、SCP(服务通信代理)、Split gNB产品、MnF(管理功能)、IPUPS(PLMN间用户平面安全)、3GPP虚拟化网络产品。
2.CKB
随着全球移动网络运营商引入并推出5G系统,通信网络将面临新的安全威胁和挑战。如何客观、迅速且有效地了解、映射并消减现有的或可能出现的安全威胁,变得尤为重要。
GSMA进行了全面的威胁分析,整个生态系统的行业专家也参与其中,包括移动网络运营商、服务供应商、监管机构等。CKB(Cybersecurity Knowledge Base,网络安全知识库)从3GPP、ENISA和NIST等公共渠道收集输入信息,然后将这些威胁映射到适当有效的安全控制措施。CBK是系统的5G网络安全知识体系,为运营商提供了系统的5G安全管理方法。该知识库为利益相关方的风险管理战略提供了必要的洞察信息,并提供了最佳实践和风险消减措施等方面的指导。CKB促进并鼓励了合作,以防止网络/服务中断和非法访问。
CKB的构建包含业界公认的威胁图谱、针对不同角色的风险消减策略和关键控制措施,以及标准和最佳实践参考等。在充分运用这些措施和参考的前提下,5G 网络安全是可验证和可管理的。CKB是帮助各利益相关方在技术层面系统理解和应对5G网络安全典型威胁的有力工具。图2-2展示了CKB的体系结构。
NESAS面向5G网元设备安全,聚焦网元的设计、开发、维护,与3GPP在产品测试方面的SCAS标准配合。CKB则作为全面提升运营商5G安全水平的重要参考和依据,定义了5G安全分层模型(应用安全、网络安全、产品安全)与利益相关方的安全责任分工。可以说,基于CKB的5G安全知识库是监管合规、安全韧性提升、垂直行业安全业务赋能与创收等需求,与5G网络安全规、建、维、优、营能力之间的一座桥梁,如图2-3所示。
图2-2 CKB的体系结构
图2-3 5G安全知识库的作用和地位
5G 安全知识库作为桥梁,融合三大需求,整合全球运营商的最佳实践,指导运营商实施5G网络安全控制措施。运营商可以参考5G安全知识库,在5G网络的规、建、维、优、营中构建安全能力,分步提升5G网络安全能力和治理能力。