賽迪：5g網絡安全標準：網絡安全策略的標準化要求分析（2022）（15頁）.pdf

1、- 1 -2022 年年 5 月月 23 日第日第20期總第期總第 539 期期5G網絡安全標準：網絡安全策略的標準化要求分析網絡安全標準：網絡安全策略的標準化要求分析【譯者按】2022 年 3 月, 歐盟網絡安全局發布5G 網絡安全標準：網絡安全策略的標準化要求分析報告。報告通過評估現有 5G 生態系統網絡安全相關標準、規范和準則（2021 年 9 月前發布）對實現 5G 網絡安全可靠性和彈性的作用，認為現有 5G 安全標準、規范和準則過于寬泛，適用性有待提升，涵蓋范圍不足，建議循序漸進地推動 5G 標準化，增加 5G標準制定的針對性以及各相關方行動一致性，注重提升標準化、彈性和信任。 賽迪

2、智庫網絡安全研究所對該報告進行了編譯， 期望對我國主管部門、研究機構、相關企業等提供參考?！娟P鍵詞】【關鍵詞】5G網絡安全標準化- 2 -一、概要一、概要本報告旨在闡述標準化在減少 5G 生態系統的技術風險，提升信任度和彈性方面的作用。概括分析了 2021 年 9 月前發布的5G 生態系統網絡安全相關標準、 規范和準則， 評估了上述標準文件對 5G 安全環境所具有的價值以及標準的適用性，并針對提升5G 安全標準化水平提出建議。本報告建議要循序漸進地推動 5G 標準化，考慮新標準的實用性和必要性及與戰略目標間的聯系，強調 5G 生態系統中的所有相關方需要在評估風險方法上協調一致，以提高風險判斷與

3、評估的成熟度和完整性。二、二、5G 生態系統范圍生態系統范圍5G 生態系統包含以下幾個維度（表 1）。表 1：5G 生態系統的維度5G 生態系統的組成部分生態系統的組成部分定義定義5G 技術和功能領域技術和功能領域5G 網絡的基本功能及相關的支持資產類別， 代表 5G 技術組件及其交互范圍。技術生命周期流程技術生命周期流程適用于 5G 服務和依賴 5G 垂直行業的生命周期流程。包括：設計、構建、測試、運行、更新、生命周期結束。- 3 -5G 各相關方各相關方與 5G 網絡和垂直行業相關的（公共或私人）實體。包括：5G 服務客戶或消費者、電信行業（簡稱電信）、數據中心服務提供商（DCSP）、連接

4、設備行業、網絡安全評估、網絡安全信息交換、標準制定組織（SDO）、協會聯盟、研究和創新機構。5G 安全領域、目標和措施安全領域、目標和措施5G 生態系統的安全維度，內容包括歐盟網絡安全局在歐洲電子通信規范安全措施準則及 5G 補充安全措施中提出的安全領域、目標和措施。包括：治理和風險管理、人力資源安全、系統和設施安全、運營管理、事件管理、業務連續性管理、監控、審查和測試、威脅意識。三、三、5G 生態系統標準文件的作用與評估生態系統標準文件的作用與評估本報告從現有標準中選出140多份文件和150多項安全措施，詳細分析并評估其對 5G 生態系統安全的涵蓋程度，相關結果見表 2。表 2：按安全領域劃

5、分的現有標準文件涵蓋范圍匯總安全領域安全領域適用文件分類適用文件分類5G 生態系統維度涵蓋范圍生態系統維度涵蓋范圍結果結果各相關方各相關方5G 技術和功能領域技術和功能領域技術生命周期流程技術生命周期流程D1 治理和風險管理標準全部全部全部現有標準文件與 5G 生態系統各個維度有一定關系， 但并非專用于 5G。為充分利用這些文件，各相關方應根據相關的 5G 技術和功能領域及技術生命周期流程，對其進行大幅調整。D2 人力資源安全標準全部全部全部現有標準文件與 5G 生態系統各個維度有一定關系， 但并非專用于 5G。為充分利用這些文件，各相關方應根據相關的 5G 技術和功能領域以及技術生命周期流程

6、，對其進行大- 4 -安全領域安全領域適用文件分類適用文件分類5G 生態系統維度涵蓋范圍生態系統維度涵蓋范圍結果結果各相關方各相關方5G 技術和功能領域技術和功能領域技術生命周期流程技術生命周期流程幅調整。D3系統和設施安全標準規范準則電信行業數據中心服務提供商全部運行雖然這些標準文件是通用的，但與電信行業和數據中心服務提供商的相關度較高。 在 5G 環境中， “運行”階段進行調整較為容易，“設計”和“構建”階段進行調整則需要各相關方付出很大努力。D4 運營管 理規范電信行業全部運行現有標準文件并非專用于 5G，但與電信行業的相關度較高。為充分利用這些文件，各相關方應在“設計”和“構建”階段，

7、根據相關的 5G 技術和功能領域以及技術生命周期流程，對其進行大幅調整。D5 事件管 理標準電信行業全部運行現有標準文件并非專用于 5G，但與電信行業的相關度較高。為充分利用這些文件，各相關方應在“設計”和“構建”階段，根據相關的 5G 技術和功能領域以及技術生命周期流程，對其進行大幅調整。D6 業務連續性管理標準電信行業全部運行現有標準文件并非專用于 5G，但與電信行業的相關度較高。為充分利用這些文件，各相關方應在“設計”和“構建”階段，根據相關的 5G 技術和功能領域以及技術生命周期流程，對其進行大幅調整。D7 監控、審查和測試標準電信行業全部運行現有標準文件并非專用于 5G，但與電信行業

8、的相關度較高。為充分利用這些文件，各相關方應在“設計”和“構建”階段，根據相關的 5G 技術和功能領域以及技術生命周期流程，對其進行大幅調整。D8 威脅準則電信行業全部運行現有標準文件并非專用于 5G，但與電信行業的相關度較高。為充分利用這些文件，各相關方應在“設計”- 5 -安全領域安全領域適用文件分類適用文件分類5G 生態系統維度涵蓋范圍生態系統維度涵蓋范圍結果結果各相關方各相關方5G 技術和功能領域技術和功能領域技術生命周期流程技術生命周期流程意 識和“構建”階段，根據相關的 5G 技術和功能領域以及技術生命周期流程，對其進行大幅調整。四、四、5G 安全標準化的不足和差距安全標準化的不足

9、和差距針對 5G 安全各領域現有標準文件，梳理現有標準文件中部分涵蓋、 涵蓋較少或沒有涵蓋的領域， 評估現有標準文件實現 “理想情況”的程度，以及在實施中可用的標準、規范和準則，減少了 5G 技術和機構網絡安全風險，并提供了充分的安全保障。專家組以此作為參照，確定了標準化完整性水平，如表 5 所示。其中顏色代碼規則如表 3 所示。表 3：標準化完整性的顏色代碼顏色代碼顏色代碼定義定義現有標準文件綠色單元格現有標準文件綠色單元格表示對所涉及的相關方而言，現有標準文件涵蓋了所有安全領域。一定差距黃色單元格一定差距黃色單元格表示這些領域存在一定的標準化差距。若現有標準文件僅部分涵蓋該領域，則存在“一

10、定”差距，需要一定努力以彌合差距。較大差距粉色單元格較大差距粉色單元格表示這些領域存在較大的標準化差距。若現有標準文件沒有涵蓋該領域（或涵蓋較少），則存在“較大”差距，需要特別努力以彌合差距。- 6 -顏色代碼顏色代碼定義定義沒有差距沒有差距/不相關沒有顏色的單元格不相關沒有顏色的單元格表示這些區域沒有差距，或者與相關方不相關。表 5 的括號內標明了各個領域的相關標準文件，并對現有標準文件參考的簡寫方式進行了分組。如表 4：表 4：參考標準文件簡寫：簡寫表示所選文件的涵蓋領域簡寫簡寫所選文件涵蓋所選文件涵蓋ISOIEC27KISO/IEC 27000 系列ISOIEC20KIT 服務流程圖SU

11、PPLSEC供應商安全POLTEMPLATES構建安全策略RM網絡安全風險管理ENISATL歐盟網絡安全局威脅工作SP800HR人力資源安全IAM身份和訪問管理DEVSECOPSIT 生命周期安全3GPP-All第三代合作伙伴計劃技術規范NFVSEC網絡功能虛擬化的安全性eUICC嵌入式通用集成電路卡（eUICC）領域的安全性CRYPTOTECH使用密碼技術PHYSEC物理和環境安全HARDEN技術可靠性VULN漏洞管理THREATMOD威脅建模和安全監控SECASSUR安全保障和相關準則- 7 -簡寫簡寫所選文件涵蓋所選文件涵蓋AUDIT審查計劃和評估BCM機構和技術彈性表 5：評估標準涵蓋

12、范圍和差距不足各相關方5G 服 務客 戶 或消費者電 信行業數 據 中心 服 務提供商連接設備行 業網絡安全評估各相關方網 絡 安 全信 息 交 換各相關方研 究 和 創 新機構在標準化中的作用通過實施標準、規范和準則，實現安全使用、部署和運營 5G 網絡和/或服務等安全目標審查標準、規范和準則的實施情況通 過 實 施標準、規范和準則，安全 交 換 網絡情報通 過 制 定 新的標準、規范和準則，揭示標準缺漏，并利 用 創 新 推動標準化D1治理和風險管理涵蓋該領域的現有標準文件ISOIEC27K、ISO20K、RM、SP800HR、ENISATL、ISOIECSUPPL、POLTEMPLATE

13、SSECASSURRMRMNFVSECDEVSECOPS、HARDEN一定差距：現有標準文件部分涵蓋的領域 特定行業的治理和風險管理 特定行業風險登記冊 特定行業信息安全管理體系 （ISMS）和隱私信息管理體系（PIMS）的實施情況第 三 方 5G風險評估用 于 共 享治 理 和 風險 管 理 方面 成 熟 做法 的 跨 境信 息 交 流流程D2人力資源安全涵蓋該領域的現有標準文件SP800HR、IAMSP800HRSP800HRISOIEC27K、SP800HR、IAM一定差距：現有標準文件部分涵蓋的領域特定垂直行業教育安全內容，指定認知 計 劃 和 培 訓 內 容 ， 例 如 慕 課（MO

14、OC），嚴肅游戲服務（注：該領域可實施軟措施而非標準）人力資源管理流程的評估方法用 于 人 力資 源 安 全信 息 交 換（ 例 如 成熟做法）的跨境流程特 定 垂 直 行業 教 育 的 安全內容，指定認 知 計 劃 和培訓內容，例如慕課、嚴肅游戲服務D3系統和設施安涵蓋該領域的現有標準文件PHYSEC、IAM、3GPP-All、SECASSUR、 CRYPTOTECH、 NFVSEC、eUICCAUDIT、SECASSURDEVSCOPS、eUICC、CRYPTOTECH一定差距：現有標準文件部分涵蓋的領域 5G 垂直行業可靠配置和部署 5G 微服務和自動化的可靠配置 無線接入網、開放無線接

15、入網、開 5G 垂直行業安全性的評估方法 5G 微服務測 試 平 臺 環境和工具- 8 -全放網絡自動化平臺（ONAP）的安全性和自動化配置可靠性的評估方法較大差距：現有標準文件沒有涵蓋（或涵蓋較少）的領域 適用于5G解決方案采購合同中的供應商的信息安全要求 可靠配置和部署的自動化編排和微服務的安全性審查（注：該領域可實施軟措施而非標準）D4運營管理涵蓋該領域的現有標準文件ISO20K、RM、NFVSEC標準ISO20K、RM、AUDIT標準DEVSECOPS一定差距：現有標準文件部分涵蓋的領域關于 5G 特定云原生和邊緣部署的高要求固件、數據聚合和相關組件的操作和安全工作5G 運營第三方風險

16、評估較大差距：現有標準文件沒有涵蓋（或涵蓋較少）的領域5G 特定云原生和邊緣部署完整生命周期的實施要求，例如：證書集中管理、可互操作的自動化和編排、無服務器環境工業物聯網的自動化安全評估測 試 平 臺 環境和工具D5事件管理涵蓋該領域的現有標準文件ISOIEC20K、ISOIEC27K、BCM、AUDITTHREATMOD、NFVSECISOIEC20K、ISOIEC27K、BCM、AUDITISOIEC20K、ISOIEC27K、BCM、AUDITDEVSECOPS一定差距：現有標準文件部分涵蓋的領域5G 特定端到端事件管理的場景類型，包括 5G 環境中的事件嚴重程度標準和閾值事件調查和證據

17、監管鏈的評估方法 5G 特定端 到 端 事件 管 理 的場景類型，包括 5G 環境 中 的 事件 嚴 重 程度 標 準 和閾值 用于共享事 件 響 應方 面 成 熟做 法 的 跨境 信 息 交換流程較大差距：現有標準文件沒有涵蓋5G 環境中的自動化事件響應自動化事件響應性能的評估方法- 9 -（或涵蓋較少）的領域D6業務連續性管理涵蓋該領域的現有標準文件ISOIEC27K、VULN、BCMISOIEC27K、VULN、BCM、AUDITISOIEC27K、BCM、AUDIT一定差距：現有標準文件部分涵蓋的領域 5G 特定業務影響分析 信息與通信技術準備情況的評估方法 5G 特定災難恢復用 于

18、共 享業 務 連 續性 方 面 成熟 做 法 的跨 境 信 息交換流程較大差距：現有標準文件沒有涵蓋（或涵蓋較少）的領域5G 功能和編排的技術災難恢復計劃業務連續性方面的信息與通信技術準備情況的評估方法D7監控、審查和測試涵蓋該領域的現有標準文件VULN、HARDEN、THREATMOD、DEVSCOPSAUDITDEVSECOPS一定差距：現有標準文件部分涵蓋的領域 監控能力評估方法 自動化測試平臺能力評估方法用 于 共 享監測、審查和 測 試 方面 成 熟 做法 的 跨 行業 信 息 交換流程較大差距：現有標準文件沒有涵蓋（或涵蓋較少）的領域 5G 特定日志源 5G 端到端服務和漫游方面的

19、事件關聯D8威脅意識涵蓋該領域的現有標準文件風險源知識庫、攻擊方法、事件手冊中 的 成 熟 做 法 、 THREATMOD 、ISOIEC27K、RM、SECASSURTHREATMODTHREATMODDEVSCOPS、eUICC、CRYPTOTECH一定差距：現有標準文件部分涵蓋的領域適用于無線接入網/開放無線接入網、應用程序編程接口、開放網絡自動化平臺和云原生技術的 5G 垂直行業威脅類型威脅情報有效性和威脅追蹤能力的評估方法用 于 共 享威 脅 情 報的 跨 行 業信 息 交 換流程實 施 標 準 的必要條件：新的規范、測試平 臺 環 境 和工具較大差距：現有標準文件沒有涵蓋（或涵蓋較

20、少）的領域自動修復手冊- 10 -*注：對于研究和創新機構，差距指的是這些機構需要進一步完善的領域。*注：該領域可實施軟措施而非標準。上表（表 5）中確定的安全領域差距總結如下：安全領域安全領域一定差距一定差距較大差距較大差距D1治理和風險管理治理和風險管理 特定行業治理和風險管理 特定行業風險登記冊 特定行業信息安全管理體系和隱私信息管理體系的實施情況 第三方 5G 風險評估 用于共享治理和風險管理方面成熟做法的跨境信息交流流程D2人力資源安全人力資源安全 特定垂直行業教育的安全內容， 指定認知計劃和培訓內容，例如慕課，嚴肅游戲服務（注：該領域可實施軟措施而非標準） 人力資源管理流程的評估方

21、法 用于人力資源安全信息交換 （例如成熟做法）的跨境流程D3系統和設施安全系統和設施安全 5G 垂直行業用例的可靠性配置和部署 微服務和自動化的可靠配置 無線接入網、開放無線接入網、開放網絡自動化平臺的安全性 5G 垂直行業安全性的評估方法 5G 微服務和自動化配置可靠性評估方法 適用于 5G 解決方案采購合同中的供應商的信息安全要求 可靠配置和部署的自動化 編排和微服務的安全性審查（注：該領域可實施軟措施而非標準）D4運營管理運營管理 關于 5G 特定云原生和邊緣部署的高要求 固件、 數據聚合和相關組件的操作和安全工作 5G 運營第三方風險評估 5G特定云原生和邊緣部署完整生命周期的實施要求

22、，例如：證書集中管理、可互操作的自動化和編排、無服務器環境 工業物聯網自動化安全評估D5事件管理事件管理 5G 特定端到端事件管理的場景類型，包括 5G 環境中的事件嚴重程度標準和閾值 5G 環境中自動化事件響應- 11 -安全領域安全領域一定差距一定差距較大差距較大差距 事件調查和證據監管鏈的評估方法 用于共享成熟做法的跨境信息交流流程 自動化事件響應性能的評估方法D6業務連續性管理業務連續性管理 5G 特定業務影響分析 信息與通信技術準備情況的評估方法 5G 特定災難恢復 用于共享業務連續性方面成熟做法的跨境信息交換流程 5G功能和編排的技術災難恢復計劃 業務連續性方面的信息與通信技術準備

23、情況的評估方法D7監控、審查和測試監控、審查和測試 監控能力的評估方法 自動化測試平臺能力的評估方法 用于共享監測、 審查和測試方面成熟做法的跨行業信息交換流程 5G 特定日志源 5G端到端服務和漫游方面的事件關聯D8威脅意識威脅意識 適用于無線接入網/開放無線接入網、應用程序編程接口、開放網絡自動化平臺和云原生技術的 5G 垂直行業威脅類型 威脅情報有效性和威脅追蹤能力的評估方法 用于共享威脅情報的跨行業信息交換流程 自動修復手冊通過評估通過評估 5G 安全標準化水平，本報告得出如下主要結論：安全標準化水平，本報告得出如下主要結論：1. 治理和風險管理領域、人力資源安全方面存在一定差距。2.

24、 現有標準、規范和準則都過于寬泛。經過調整后，才能適用于 5G 技術和功能領域及相關生命周期流程。3. 5G 特定標準、規范和準則更適用于電信行業的各相關方（例如，連接設備行業的審查機構和各相關方）。4. 5G 特定標準、 規范和準則基本涵蓋了技術生命周期的 “運行”階段，其他階段相關標準、規范和準則需要調整。- 12 -5. 網絡安全威脅和IT安全準則方面現有知識庫可用于5G云原生架構和基于應用程序編程接口（API）的架構，電信行業已開始利用這些軟件推動“云化”。五、有關建議（一）循序漸進地推動五、有關建議（一）循序漸進地推動 5G 標準化，首先需完善現有標準文件。（二）制定新標準應考慮實用

25、性和必要性，及與戰略目標間的聯系。標準化，首先需完善現有標準文件。（二）制定新標準應考慮實用性和必要性，及與戰略目標間的聯系。1.實用性和必要性?？紤]對于特定安全措施、特定 5G 領域、生命周期特定階段的相關方而言，創建標準、規范和準則是否必要、實用。2.與戰略目標的聯系。確保所有新的參考標準文件與應實現的戰略目標之間保持一致。假如新的參考標準文件旨在統一歐洲各相關方的做法，則應當考慮到當地法規的適用性。3.衡量有效性。有助于從端到端服務的角度持續衡量安全措施的有效性。4.考慮新技術。例如，制定 5G 事件檢測策略時，不僅考慮移動網絡運營商、托管服務提供商和 B2B 垂直行業，還應考慮人- 1

26、3 -工智能的開發和運營。5.考慮標準實施的外部因素。在某些情況下，標準、規范準則的有效性取決于外部因素。例如，免費開源軟件（FOSS）的開發具有開放性，因此安全準則和建議中應包含資源開發與審查方面的規定，鼓勵依賴開源軟件的行業參與者和公共管理部門積極行動，不斷提高和維護免費開源軟件解決方案的安全性。（三）提高風險判斷與評估的成熟度和完整性（三）提高風險判斷與評估的成熟度和完整性本報告在標準化完整性部分指出了現有標準部分涵蓋、涵蓋較少或沒有涵蓋的安全領域。其中風險評估相關標準并非專門針對 5G， 各相關方沒有采取一致方法評估風險， 安全管理各自為政，不利于保障 5G 整體安全。因此，5G 生態

27、系統中的所有相關方在評估風險的方法上協調一致，是提升風險判斷與評估的成熟度和完整性的關鍵所在。歐盟網絡安全局發布的行業網絡安全評估方法中概述了網絡安全風險判斷方法：歐洲網絡安全法案（CSA）要求針對預期用途的相關風險，制定信息與通信技術產品、服務和流程的安全認證方法。為此，歐盟網絡安全局提出了行業網絡安全評估（SCSA）方法，以判斷各種業務服務流程中，與系統預期用途有關的網絡安全風險，垂直行業用戶和網絡基礎設施提供商等所有相關方均可參與。行業網絡安全評估聚焦于行業業務層面，涵- 14 -蓋了 5G 領域各相關方、業務目標以及信息與通信技術子系統和流程。根據業務目標判斷網絡安全風險，提出特定信息與通信技術產品、服務和流程安全、認證和保障要求，有助于 5G 領域各相關方權衡安全保障費用與業務目標收益。譯 自 ： 5G Cybersecurity Standards: Analysis of standardisationrequirements in support of cybersecurity policy, March 2022 by TheEuropean Union Agency for Cybersecurity (ENISA)譯文作者：工業和信息化部賽迪研究院魏書音 李倩聯系方式：18600796003電子郵件：- 15 -封三研究， 還是研究