《5g网络安全标准：网络安全策略的标准化要求分析》

1、5G网络平安标准：网络平安策略的标准化要求分析【译者按】2022年3月，欧盟网络平安局发布5G网络平安标准：网 络平安策略的标准化要求分析报告。报告通过评估现有5G生态系统网 络平安相关标准、规范和准那么（2021年9月前发布）对实现5G网络平安 可靠性和弹性的作用，认为现有5G平安标准、规范和准那么过于宽泛，适 用性有待提升，涵盖范围缺乏，建议循序渐进地推动5G标准化，增加5G 标准制定的针对性以及各相关方行动一致性，注重提升标准化、弹性和信 任。赛迪智库网络平安研究所对该报告进行了编译，期望对我国主管部门、 研究机构、相关企业等提供参考。【关键词】5G网络平安 标准化*注：对于研究和创新机

2、构，差距指的是这些机构需要进一步完善的领域。*注：该领域可实施软措施而非标准。上表（表5）中确定的平安领域差距总结如下:平安领域一定差距较大差距D1治理和 风险管理特定行业治理和风险管理特定行业风险登记册特定行业信息平安管理体系和隐私信息 管理体系的实施情况第三方5G风险评估用于共享治理和风险管理方面成熟做法 的跨境信息交流流程D2人力资 源平安特定垂直行业教育的平安内容，指定认知 计划和培训内容，例如慕课，严肃游戏服 务（注：该领域可实施软措施而非标准）人力资源管理流程的评估方法用于人力资源平安信息交换（例如成熟做 法）的跨境流程D3系统和 设施平安5G垂直行业用例的可靠性配置和部署微服务和

3、自动化的可靠配置无线接入网、开放无线接入网、开放网络 自动化平台的平安性5G垂直行业平安性的评估方法5G微服务和自动化配置可靠性评估方法适用于5G解决方案采购合同 中的供应商的信息平安要求可靠配置和部署的自动化编排和微服务的平安性审查 （注：该领域可实施软措施而非标准）D4运营管 理关于5G特定云原生和边缘部署的高要求固件、数据聚合和相关组件的操作和平安 工作5G运营第三方风险评估 5G特定云原生和边缘部署完整 生命周期的实施要求，例如：证 书集中管理、可互操作的自动化 和编排、无服务器环境工业物联网自动化平安评估D5一事件管 理 5G特定端到端事件管理的场景类型，包 括5G环境中的事件严重程

4、度标准和阈值 5G环境中自动化事件响应平安领域一定差距较大差距事件调查和证据监管链的评估方法用于共享成熟做法的跨境信息交流流程自动化事件响应性能的评估方 法D6业务连 续性管理5G特定业务影响分析信息与通信技术准备情况的评估方法5G特定灾难恢复用于共享业务连续性方面成熟做法的跨 境信息交换流程 5G功能和编排的技术灾难恢复 计戈IJ业务连续性方面的信息与通信 技术准备情况的评估方法D7一监控、 审查和测试监控能力的评估方法自动化测试平台能力的评估方法用于共享监测、审查和测试方面成熟做法 的跨行业信息交换流程5G特定日志源5G端到端服务和漫游方面的事 件关联D8威胁意 识适用于无线接入网/开放无

5、线接入网、应 用程序编程接口、开放网络自动化平台和 云原生技术的5G垂直行业威胁类型威胁情报有效性和威胁追踪能力的评估 方法用于共享威胁情报的跨行业信息交换流 程自动修复手册通过评估5G平安标准化水平，本报告得出如下主要结论：.治理和风险管理领域、人力资源平安方面存在一定差距。.现有标准、规范和准那么都过于宽泛。经过调整后，才能适 用于5G技术和功能领域及相关生命周期流程。. 5G特定标准、规范和准那么更适用于电信行业的各相关方 （例如，连接设备行业的审查机构和各相关方）。. 5G特定标准、规范和准那么基本涵盖了技术生命周期的“运行”阶段，其他阶段相关标准、规范和准那么需要调整。.网络平安威胁

6、和IT平安准那么方面现有知识库可用于5G云 原生架构和基于应用程序编程接口（API）的架构，电信行业已 开始利用这些软件推动“云化”。五、有关建议（-）循序渐进地推动5G标准化，首先需完善现有标准文 件。（二）制定新标准应考虑实用性和必要性，及与战略目标间 的联系。1.实用性和必要性。考虑对于特定平安措施、特定5G领域、 生命周期特定阶段的相关方而言，创立标准、规范和准那么是否必 要、实用。2与战略目标的联系。确保所有新的参考标准文件与应实现 的战略目标之间保持一致。假如新的参考标准文件旨在统一欧洲 各相关方的做法，那么应当考虑到当地法规的适用性。.衡量有效性。有助于从端到端服务的角度持续衡量

7、平安措 施的有效性。.考虑新技术。例如，制定5G事件检测策略时，不仅考虑 移动网络运营商、托管服务提供商和B2B垂直行业，还应考虑人工智能的开发和运营。.考虑标准实施的外部因素。在某些情况下，标准、规范准 那么的有效性取决于外部因素。例如，免费开源软件（FOSS）的开 发具有开放性，因此平安准那么和建议中应包含资源开发与审查方 面的规定，鼓励依赖开源软件的行业参与者和公共管理部门积极 行动，不断提高和维护免费开源软件解决方案的平安性。（三）提高风险判断与评估的成熟度和完整性本报告在标准化完整性局部指出了现有标准局部涵盖、涵盖 较少或没有涵盖的平安领域。其中风险评估相关标准并非专门针 对5G,各

8、相关方没有采取一致方法评估风险，平安管理各自为政， 不利于保障5G整体平安。因此，5G生态系统中的所有相关方在 评估风险的方法上协调一致，是提升风险判断与评估的成熟度和 完整性的关键所在。欧盟网络平安局发布的行业网络平安评估方法中概述了 网络平安风险判断方法：欧洲网络平安法案（CSA）要求针对预 期用途的相关风险，制定信息与通信技术产品、服务和流程的安 全认证方法。为此，欧盟网络平安局提出了行业网络平安评估（SCSA）方法，以判断各种业务服务流程中，与系统预期用途 有关的网络平安风险，垂直行业用户和网络基础设施提供商等所 有相关方均可参与。行业网络平安评估聚焦于行业业务层面，涵 盖了 5G领域

9、各相关方、业务目标以及信息与通信技术子系统和 流程。根据业务目标判断网络平安风险，提出特定信息与通信技 术产品、服务和流程平安、认证和保障要求，有助于5G领域各 相关方权衡平安保障费用与业务目标收益。一、概要本报告旨在阐述标准化在减少5G生态系统的技术风险，提 升信任度和弹性方面的作用。概括分析了 2021年9月前发布的 5G生态系统网络平安相关标准、规范和准那么，评估了上述标准文 件对5G平安环境所具有的价值以及标准的适用性，并针对提升 5G平安标准化水平提出建议。本报告建议要循序渐进地推动5G标准化，考虑新标准的实 用性和必要性及与战略目标间的联系，强调5G生态系统中的所 有相关方需要在评

10、估风险方法上协调一致，以提高风险判断与评 估的成熟度和完整性。二、5G生态系统范围5G生态系统包含以下几个维度（表1）。表1 ： 5G生态系统的维度5G生态系统的组成局部定义5G技术和功能领域5G网络的基本功能及相关的支持资产类别，代表5G技 术组件及其交互范围。技术生命周期流程适用于5G服务和依赖5G垂直行业的生命周期流程。 包括：设计、构建、测试、运行、更新、生命周期结束。5G各相关方5G平安领域、目标和措施与5G网络和垂直行业相关的（公共或私人）实体。包 括：5G服务客户或消费者、电信行业（简称电信）、 数据中心服务提供商（DCSP）、连接设备行业、网络 平安评估、网络平安信息交换、标准

11、制定组织（SDO） 协会联盟、研究和创新机构。5G生态系统的平安维度，内容包括欧盟网络平安局在 欧洲电子通信规范平安措施准那么及5G补充平安措 施中提出的平安领域、目标和措施。包括：治理和风险 管理、人力资源平安、系统和设施平安、运营管理、事 件管理、业务连续性管理、监控、审查和测试、威胁意 识。三、5G生态系统标准文件的作用与评估本报告从现有标准中选出140多份文件和150多项平安措施, 详细分析并评估其对5G生态系统平安的涵盖程度，相关结果见 表2o表2：按平安领域划分的现有标准文件涵盖范围汇总平安领域适用文 件分类5G生态系统维度涵盖范围术和技术生各相关方 鲍圾期领域流程,结果D1 一

12、治理 和风 险管 理标准全部全部全部现有标准文件与5G生态系统各个 维度有一定关系,但并非专用于5G。 为充分利用这些文件，各相关方应 根据相关的5G技术和功能领域及 技术生命周期流程，对其进行大幅 调整。一力源 全D2人资安标准全部全部全部现有标准文件与5G生态系统各个 维度有一定关系,但并非专用于5Go 为充分利用这些文件，各相关方应 根据相关的5G技术和功能领域以 及技术生命周期流程，对其进行大平安 领域适用文 件分类5G生态系统维度涵盖范围|需技术生 各相矢方藉瞿期 领域和程结果幅调整。D3一 系统 和设 施安全准范那么 标规准电信行业 数据中心 服务提供 商全部运行虽然这些标准文件是

13、通用的，但与 电信行业和数据中心服务提供商的 相关度较高。在5G环境中，“运行” 阶段进行调整较为容易，“设计” 和“构建”阶段进行调整那么需要各 相关方付出很大努力。D4 运营 管理规范电信行业全部运行现有标准文件并非专用于5G,但与 电信行业的相关度较高。为充分利 用这些文件，各相关方应在“设计” 和“构建”阶段，根据相关的5G技 术和功能领域以及技术生命周期流 程，对其进行大幅调整。现有标准文件并非专用于5G,但与 电信行业的相关度较高。为充分利 用这些文件，各相关方应在“设计” 和“构建”阶段，根据相关的5G技 术和功能领域以及技术生命周期流 程，对其进行大幅调整。现有标准文件并非专用

14、于5G,但与 电信行业的相关度较高。为充分利 用这些文件，各相关方应在“设计” 和“构建”阶段，根据相关的5G技 术和功能领域以及技术生命周期流 程，对其进行大幅调整。D5 一 事件 管理标准电信行业全部运行一务续管D6业连性理标准电信行业全部运行D7 监控、 审查 和测 试标准电信行业全部运行现有标准文件并非专用于5G,但与 电信行业的相关度较高。为充分利 用这些文件，各相关方应在“设计” 和“构建”阶段，根据相关的5G技 术和功能领域以及技术生命周期流 程，对其进行大幅调整。D8 威胁准那么电信行业全部 运行现有标准文件并非专用于5G,但与 电信行业的相关度较高。为充分利 用这些文件，各相

15、关方应在“设计”5G生态系统维度涵盖范围结果平安适用文技术生领域件分类各相关方O命周期 领域和程和“构建”阶段，根据相关的5G技 术和功能领域以及技术生命周期流 程，对其进行大幅调整。四、5G平安标准化的缺乏和差距针对5G平安各领域现有标准文件，梳理现有标准文件中部 分涵盖、涵盖较少或没有涵盖的领域，评估现有标准文件实现“理 想情况”的程度，以及在实施中可用的标准、规范和准那么，减少 了 5G技术和机构网络平安风险，并提供了充分的平安保障。专 家组以此作为参照，确定了标准化完整性水平，如表5所示。其 中颜色代码规那么如表3所示。表3：标准化完整性的颜色代码现有标准文件绿色单元格表示对所涉及的相

16、关方而言，现有标准文件涵盖了所 有平安领域。一定差距黄色单元格表示这些领域存在一定的标准化差距。假设现有标准文件仅局部涵盖该领域，那么存在“一定”差距，需要 一定努力以弥合差距。较大差距粉色单元格表示这些领域存在较大的标准化差距。假设现有标准文件没有涵盖该领域（或涵盖较少），那么存在“较大” 差距，需要特别努力以弥合差距。定义定义颜色代码没有差距/不相关没有颜色的单元格表示这些区域没有差距，或者与相关方不相关。表5的括号内标明了各个领域的相关标准文件，并对现有标准文件参考的简写方式进行了分组。如表4：表4：参考标准文件简写：简写表示所选文件的涵盖领域简写所选文件涵盖ISOIEC27KISO/I

17、EC 27000 系列ISOIEC20KIT服务流程图SUPPLSEC供应商平安POLTEMPLATES构建平安策略RM网络平安风险管理ENISATL欧盟网络平安局威胁工作SP800HR人力资源平安IAM身份和访问管理DEVSECOPSIT生命周期平安3GPP-AII第三代合作伙伴计划技术规范NFVSEC网络功能虚拟化的平安性eUlCC嵌入式通用集成电路卡(eUlCC)领域的平安性CRYPTOTECH使用密码技术PHYSEC物理和环境平安HARDEN技术可靠性VULN漏洞管理THREATMOD威胁建模和平安监控SECASSUR平安保障和相关准那么P 简写所选文件涵盖AUDIT审查计划和评估BC

18、M机构和技术弹性表5：评估标准涵盖范围和差距缺乏各相关方5G服务 客户或 消费者电信 行业数据中 心服务 提供商接备业 连设行网络平安评 估各相关方网络平安 信息交换 各相关方研究和创新 机构在标准化中 的作用通过实施标准、规范和准那么，实现安 全使用、部署和运营5G网络和/或服 务等平安目标审查标准、 规范和准那么 的实施情况通过实施 标准、规范 和准那么，安 全交换网 络情报通过制定新 的标准、规范 和准那么，揭示 标准缺漏，并 利用创新推 动标准化D1 治 理 和 风 险 管 理涵盖该领域 的现有标准 文件ISOIEC27K. ISO20KB RM、SP800HR ENISATL、ISO

19、IECSUPPL、POLTEMPLATESSECASSURRMRM NFVSEC DEVSECOPS. HARDEN一定差距：现有标准文 件局部涵盖 的领域特定行业的治理和风险管理特定行业风险登记册特定行业信息平安管理体系（ISMS） 和隐私信息管理体系（PIMS）的实施 情况第三方5G 风险评估享风方做境流 共和理熟跨交 于理管成的息程 用治险面法信流D2人力资源平安涵盖该领域 的现有标准 文件SP800HR, IAMSP800HRSP800HRISOIEC27K.SP800HRIAM一定差距：现有标准文 件局部涵盖 的领域特定垂直行业教育平安内容，指定认 知计划和培训内容，例如慕课 （MO

20、OC）,严肃游戏服务（注：该领域可实施软措施而非标准）人力资源管 理流程的评 估方法用于人力 资源平安 信息交换（例如成 熟做法）的 跨境流程特定垂直行 业教育的安 全内容，指定 认知计划和 培训内容，例 如慕课、严肃 游戏服务D3系统和设施安涵盖该领域 的现有标准 文件PHYSEC、1AM、3GPP-AII.SECASSUR、CRYPTOTECH、NFVSEC、 eUlCCAUDIT,SECASSURDEVSCOPS、 eUlCC CRYPTOTECH一定差距：现有标准文 件局部涵盖的领域5G垂直行业可靠配置和部署5G微服务和自动化的可靠配置无线接入网、开放无线接入网、开5G垂直行 业平安性

21、的 评估方法5G微服务测试平台环 境和工具全放网络自动化平台（ONAP）的平安性和自动化配 置可靠性的 评估方法较大差距： 现有标准文 件没有涵盖 （或涵盖较少）的领域适用于5G解决方案采购合同中的供 应商的信息平安要求可靠配置和部署的自动化编排和微服 务的平安性 审查（注： 该领域可实 施软措施而 非标准）M运营管理涵盖该领域 的现有标准 文件ISO20K, RM NFVSECJ 标准ISO20K、 RM、AUDIT标准DEVSECOPS一定差距： 现有标准文 件局部涵盖 的领域关于5G特定云原生和 边缘部署的高要求固件、数据 聚合和相关 组件的操作 和平安工作5G运营第三 方风险评估较大差

22、距： 现有标准文 件没有涵盖（或涵盖较 少）的领域5G特定云原生和边缘 部署完整生命周期的 实施要求，例如：证书 集中管理、可互操作的 自动化和编排、无服务 器环境工业物联网 的自动化安 全评估测试平台环 境和工具D5事件管理涵盖该领域 的现有标准 文件ISOIEC20K. ISOIEC27K BCM。 AUDITTHREATMOD、NFVSECISOIEC20K,ISOIEC27K、 BCM、 AUDITISOIEC20K、 ISOIEC27K 、BCM、AUDITDEVSECOPS一定差距：现有标准文 件局部涵盖 的领域5G特定端到端事件管理的场景类型， 包括5G环境中的事件严重程度标准 和阈值事件调查和 证据监管链 的评估方法 5G特定 端到端事 件管理的 场景类型， 包括5G环 境中的事 件严重程 度标准和 阈值用于共享 事件响应 方面成熟 做法的跨 境信息交 换流程较大差距： 现有标准文 件没有涵盖5G环境中的自动化事件响应自动化事件 响应性能的 评估方法（或涵盖较 少）的领域D6业务连续性管理涵盖