當前,全球信息網絡進入5G時代,5G網絡將打通人與物、現實與虛擬間的聯接,實現真正意義的 “萬物互聯”。今年突如其來的新冠疫情,加快了5G應用落地步伐,在遠程醫療、公共監控、智慧教育、遠程辦公、巡檢物流等領域發揮了重要作用。
由于5G安全問題可能會波及 工業、交通和智慧城市等關系國家命脈的重要行業領域,一旦安全管理制度、技術手段等不能滿足5G網絡及業務發展需求,將帶來嚴重的社會影響,所以5G網絡安全的重要性將超過以往任何一代網絡,已成為全球關注的焦點。5G安全問題是全球各國都面臨的共同挑戰,亟需凝聚全球統一共識,加快推進5G安全國際標準,構建互信互認的5G安全評估認證體系,共同應對5G安全風險,護航5G網絡及應用健康發展。
一、“新基建”與新安全
以5G網絡為核心的新一代信息通信網絡基礎設施 ,成為數字經濟發展的關鍵支撐。加快5G等新型基礎設施建設,既能有效推動技術創新突破,也將助力傳統產業轉型升級,支撐現代化經濟體系的建設。5G網絡引入了新技術、新業態,面臨著新的安全風險和挑戰,在推動5G創新發展的基礎上,需要有效防范、控制和化解安全風險。
近年來,西方發達國家在加快5G發展的同時,越來越重視5G安全問題,甚至上升到國家戰略的高度。密集發布5G安全風險評估報告、安全威脅圖譜、風險消減工具箱、5G安全法案、5G安全國家戰略,并整合全行業的產品和技術力量構建5G網絡安全示范平臺、成立5G測試中心,推動5G安全評估認證等相關工作落地實施。
我國工業和信息化部發布《關于推動5G加快發展的通知》,全力推進5G網絡建設、應用推廣、技術發展和安全保障。目前,我國5G發展在技術標準、產業體系、網絡建設方面已經具有領先優勢,但同時也面臨著一些挑戰,比如國際環境復雜嚴峻、端到端產業鏈尚未完全成熟、5G行業應用暫未形成可復制的解決方案和清晰的商業模式、5G網絡新技術新業態導致網絡安全和數據安全的風險點增多等。
2020年2月,在工信部指導下,中國信息通信研究院和IMT-2020(5G)推進組聯合發布了我國《5G安全報告》,引導5G產業鏈各環節全面客觀地認識5G安全問題并采取科學的思路和措施加以應對,加快制定5G安全相關標準,開展5G安全評測,推動標準和產品成熟,促進5G產業快速健康發展。
二、5G安全國際標準進展情況
5G安全國際標準與5G發展相關標準基本保持同步。5G安全國際標準化工作主要在3GPP(第三代合作伙伴)、GSMA(全球移動通信系統協會)、ITU-T(國際電信聯盟電信標準分局)、ISO(國際標準化組織)、ETSI(歐洲電信標準化協會)等國際組織中開展。其中,ITU主要定義5G愿景和關鍵能力,3GPP、ETSI等重點制定5G安全架構和流程、5G安全技術方案,GSMA聚焦產業需求和實現,目標是推動產業發展。另外,還有一些國家或區域性組織,比如CCSA(中國通信標準化協會)、日本的ARIB(無線工業及商貿聯合會)、韓國的 TTA(電信技術協會)等,積極推動國家與區域性5G安全標準發展,搶占新技術戰略制高點。
1. 3GPP
3GPP分階段制定5G安全標準。其中,R15版本規定5G安全基本機制與功能,于2018年6月完成了eMBB場景的相關安全標準;由于受到R5版本凍結時間推遲以及疫情影響,R16版本的完成時間比原計劃推遲了6個月,于2020年7月正式凍結。R16版本是歷史上第一個通過線上會議審議完成技術標準,它基于R15安全基礎架構,提升原有能力并拓展新能力,面向mMTC和uRLLC場景進行安全優化,覆蓋了三大場景的安全技術要求,包括切片安全、固移融合、垂直行業&LAN(本地接入網)安全、5G IoT(物聯網)安全、安全能力服務開放等,并提供5G網絡設備的安全保障能力,為我國5G新基建注入了新動能。R17階段將圍繞MEC平臺安全解決方案、5G垂直行業安全、5G統一安全認證標準演進開展研究工作,計劃2021年6月完成。
2. GSMA
為了協助運營商確定網絡設備的安全水平,降低商業風險,GSMA聯合3GPP共同制定了網絡設備安全保障計劃(NESAS)。該計劃包含產品管理流程安全審計和產品安全檢測兩部分內容。
GSMA 管理整個NESAS計劃,定義并維護NESAS規范,側重評估活動的管理和程序要求,包括供應商開發和產品生命周期過程的認證,測試實驗室認證,以及網絡設備的安全評估。另外還定義了爭議解決流程,于2019年10月發布1.0版本,NESAS 2.0將對1.0版本進行補充完善,并在第三方組件漏洞管理、漏洞修復、供應鏈安全審計需求等方面開展研究。
產品管理流程安全審計部分涉及的標準有:網絡設備安全保障計劃(NESAS)總體概述(GSMA FS.13),安全測試實驗室認證需求及流程(GSMA FS.14),設備商開發及產品生命周期審計方法(GSMA FS.15),設備商開發及產品生命周期安全需求(GSMA FS.16)。
3GPP 在安全保障規范(SCAS)中規定了實現移動網絡功能的網絡產品的安全要求和測試用例,該系列標準已于2019年9月完成。SCAS系列標準中的測試內容主要包括:安全技術基線要求、操作系統安全、Web服務安全、網絡設備安全、基本脆弱性。
3. ITU
ITU-T SG17研究組(數據網絡和電信軟件研究組)聚焦安全、網絡、通信軟件相關研究。在5G安全方面,重點研究5G通信系統安全指南,提供有關信息安全治理的概念和原則;電信運營商數據全生命周期的各個階段面臨的安全威脅及風險,并提出相應的安全技術要求;此外還涉及5G邊緣計算安全、信任模型和量子算法等方向。
4. ETSI
ETSI由 TC CYBER(網絡安全)負責網絡安全領域相關工作,包括研究網絡安全需求、制定網絡安全標準、與外部團體(如ENISA)協作以及響應網絡安全和信息和通信技術部門安全相關的政策要求等。
目前ETSI已發布了一系列NFV安全相關的標準,涵蓋NFV存在的安全問題、NFV相關開源管理軟件安全使用建議、敏感數據的保護機制和建議等。此外,還研究VNF套件、NFV系統的自動動態安全策略管理、安全功能全生命周期管理以及安全監測功能等的安全需求。
5. ISO
安全方面,ISO主要開展了針對加密算法、設備和服務之間的連接安全建議,網絡虛擬化安全的風險分析,提供網絡虛擬化安全的框架并提出實施指南以及供應鏈安全管理體系規范等。
三、5G安全國內標準
1.標準組織
5G安全相關國內標準組織主要有中國通信標準化協會(CCSA)、全國通信標準化技術委員會(TC485)、全國信息安全標準化技術委員會(TC260)等。
CCSA TC5WG5(無線通信技術委員會/無線安全與加密)、TC8(網絡與信息安全委員會)以及NTC4(電信網安全防護特設組)研究制定5G安全相關研究報告和行業標準。全國通信標準化技術委員會(TC485)和全國信息安全標準化技術委員會(TC260)研究制定5G安全相關國家標準。
2. 5G安全標準體系
在CCSA制定的《5G移動通信網安全總體框架及標準體系》中,將我國5G安全技術標準分為通用與基礎技術類標準、基礎設施安全類標準、終端與設備安全類標準、網絡安全類標準、信息與數據安全類標準以及應用安全類標準等。
該標準體系中的各類標準分別在CCSA、TC485、TC260中進行研究制定。
四、IMT-2020(5G)推進組安全工作組
2019年11月,IMT-2020(5G)推進組成立了安全工作組,重點推進5G安全技術研究與標準化相關工作,組織開展5G設備、網絡及應用安全測試驗證,促進5G安全標準與產品成熟。推進組規范經測試驗證成熟后,將成果輸入到CCSA\TC485\TC260,從而形成行業標準\國家標準。
2020年5月,安全工作組發布了5G設備安全系列測試規范:《5G安全試驗設備安全保障測試規范-通用部分》《5G安全試驗設備安全保障測試規范-核心網設備》以及《5G安全試驗設備安全保障測試規范-基站》。依據該系列測試規范,中國信息通信研究院牽頭,組織運營商、設備商共同開展5G設備安全性測試,預計2020年底完成全部測試。
安全工作組后續研究方向包括:5G安全評測體系、5G行業應用安全分級指南、5G組網安全、切片安全、MEC安全、業務安全以及偽基站檢測與防御等。
五、5G安全評測
1. NESAS評估認證
GSMA為了促進產業相關方對網絡設備的安全性達成共識,確保網絡設備制造與運營安全良性發展,牽頭制定了網絡設備安全保障計劃(NESAS),推動開展網絡設備安全評估認證工作。
NESAS評估認證相關工作推進情況:標準方面,NESAS管理規范及3GPP SCAS標準已啟動產業實施,標準新版本持續演進;落地實施方面,在歐洲獲得產業支持,但目前階段,審計機構及檢測實驗室數量較少,已有審計機構有ATSEC、NCC Group,檢測實驗室有Epoche(西班牙)等,國際認可度有待提高。
2. 我國5G安全評測
我國設備及網絡安全檢測與審查相關工作主要分以下幾大類:設備進網檢測、網絡關鍵設備安全檢測、關鍵信息基礎設施安全保護、網絡安全等級保護、網絡安全審查等。
依據的相關文件有:《電信設備進網管理辦法》《網絡關鍵設備安全檢測實施辦法》《關于關鍵信息基礎設施安全保護工作有關事項的通知》《網絡安全等級保護條例》《網絡安全審查辦法》等。
目前,我國正在研究制定5G安全評測相關制度政策、實施辦法、技術標準等,積極推進相關工作進展,以確保5G安全與5G發展同步推進。
5G安全評測相關工作推進情況:2020年5月, IMT-2020(5G)推進組安全工作組正式啟動了5G設備安全測試工作,為后續5G設備安全相關評測工作奠定基礎。5G網絡安全、業務安全等相關標準和評估測試工作也在加快推進過程中。
六、結束語
5G技術不僅是提升國家競爭力的重要抓手,也是關乎網絡空間安全的關鍵決定因素,已成為世界各國在新一輪技術博弈中爭相搶占的戰略制高點。在我國“新基建”歷史發展機遇時期,應在加快5G技術發展和網絡建設、構筑我國競爭新優勢的同時,制定并完善5G安全國際國內標準,加快落實5G安全評測,推動國際互信互認,共同構建5G安全生態,主動防范風險、切實保障網絡空間安全,以實現網絡安全與5G技術發展互為支撐、協調共進。
來源:中國信息安全
