1.2.2 5G相关标准

3GPP SA3(隐私与安全组)自2016年开始启动5G安全的设计工作,于2017年正式开展5G安全架构、需求和解决方案的研究,已于2019年3月正式完成Rel-15标准中关于安全的主要安全框架、需求和机制的制定工作,并于2020年7月发布Rel-16标准。

ITU-T基于ITU-T X.805的 5G 通信系统安全导则,主要研究3GPP和非3GPP网络架构下,结合多接入边缘计算、网络虚拟化、网络切片等特点的 5G 通信系统的安全威胁和安全能力。

ISO于2013年至2016年发布了ISO/IEC 27036供应商关系信息安全系列标准,提出了关于供应商关系管理的信息安全要求和指南;于2018年启动ISO/IEC 27033-7网络虚拟化安全研究,针对网络虚拟化的特点、用例和安全风险,为 5G 等网络设施建设运维提供参考。5G安全国际标准与 5G 发展相关标准基本保持同步。5G安全国际标准化工作主要在 3GPP (第三代合作伙伴)、GSMA(全球移动通信系统协会)、ITU-T(国际电信联盟电信标准分局)、ISO(国际标准化组织)、欧洲电信标准化协会(European Telecommunications Standards Institute,ETSI)等国际组织中开展。ITU 主要定义 5G 愿景和关键能力,3GPP、ETSI 等重点制定5G安全架构和流程、5G安全技术方案,GSMA 聚焦产业需求和实现,目标是推动产业发展。另外,还有一些国家或区域性组织,如中国通信标准化协会(China Communications Standards Association,CCSA)、日本的无线工业及商贸联合会(Association of Radio Industries and Businesses,ARIB)、韩国的电信技术协会(Telecommunications Technology Association,TTA)等,都在积极推动国家与区域性5G安全标准发展,抢占新技术战略制高点。

1.3GPP标准

3GPP分阶段制定5G安全标准。其中,Rel-15版本规定5G安全基本机制与功能,于2018年6月完成了 eMBB 场景的相关安全标准;由于受到Rel-15 版本冻结时间推迟及疫情影响,Rel-16版本的完成时间比原计划推迟了6个月,于2020年7月正式冻结。Rel-16版本是历史上第一个通过线上会议审议完成的技术标准,它基于 Rel-15 安全基础架构,提升原有能力并拓展新能力,面向 mMTC 和uRLLC 场景进行安全优化,覆盖了三大场景的安全技术要求,包括切片安全、固移融合、垂直行业&局域网(Local Access Network,LAN)安全、5G 物联网(Internet of Thing,IoT)安全、安全能力服务开放等,并提供5G网络设备的安全保障能力,为我国 5G 新基建注入了新动能。Rel-17阶段围绕多接入边缘计算(Multi-access Edge Computing,MEC)平台安全解决方案、5G 垂直行业安全、5G 统一安全认证标准演进开展研究工作。

2.GSMA标准

为了协助运营商确定网络设备的安全水平,降低商业风险,GSMA 联合 3GPP 共同制定了网络设备安全保障计划(Network Equipment Security Assurance Scheme,NESAS)。该计划包含产品管理流程安全审计和产品安全检测两部分内容。

GSMA 管理整个 NESAS,定义并维护 NESAS 规范,侧重评估活动的管理和程序要求,包括供应商开发和产品生命周期过程的认证、测试实验室认证,以及网络设备的安全评估。另外还定义了争议解决流程,于2019年10月发布了1.0版本,NESAS 2.0将对1.0版本进行补充完善,并在第三方组件漏洞管理、漏洞修复、供应链安全审计需求等方面开展研究。

产品管理流程安全审计部分涉及的标准有:《网络设备安全保障计划(NESAS)总体概述》(GSMA FS.13)、《安全测试实验室认证需求及流程》(GSMA FS.14)、《设备商开发及产品生命周期审计方法》(GSMA FS.15)、《设备商开发及产品生命周期安全需求》(GSMA FS.16)等。

3GPP 在安全保障规范(Security Assurance Specification,SCAS)中规定了实现移动网络功能的网络产品的安全要求和测试用例,该系列标准已于2019年9月完成。SCAS系列标准中的测试内容主要包括安全技术基线要求、操作系统安全、万维网(World Wide Web)服务安全、网络设备安全、基本脆弱性。

3.ITU

国际电信联盟是联合国的一个重要专门机构,也是联合国机构中历史最长的一个国际组织,简称“国际电联”、“电联”或“ITU”。ITU 的组织结构主要分为电信标准分局(ITU-T)、无线电通信部门(ITU-R)和电信发展部门(ITU-D)。ITU-T SG17 研究组(数据网络和电信软件研究组)聚焦安全、网络、通信软件相关研究。在5G安全方面,该研究组重点研究 5G 通信系统安全指南,提供有关信息安全治理的概念和原则;研究电信运营商数据生命周期的各个阶段面临的安全威胁及风险,并提出相应的安全技术要求;此外还涉及 5G MEC安全、信任模型和量子算法等方向。

4.ETSI

ETSI由其安全技术委员会负责网络安全领域相关工作,包括研究网络安全需求、制定网络安全标准、与外部团体如欧盟网络安全局(ENISA)协作,以及响应网络安全和信息与通信技术部门安全相关的政策要求等。

目前,ETSI 已发布了一系列网络功能虚拟化(Network Functions Virtualization,NFV)安全相关标准,涵盖 NFV 存在的安全问题、NFV 相关开源管理软件安全使用建议、敏感数据的保护机制和建议等。此外,ETSI还研究VNF套件、NFV系统的自动动态安全策略管理、安全功能生命周期管理以及安全监测功能等的安全需求。

5.ISO

安全方面,ISO 主要提出了针对加密算法、设备和服务之间的连接安全建议,开展网络虚拟化安全的风险分析,提供网络虚拟化安全的框架并提出实施指南以及供应链安全管理体系规范等。

在我国,全国信息安全标准化技术委员会(TC260)针对5G安全专门立项研究项目《5G安全标准体系》,并持续推动网络关键新技术、垂直应用相关重点标准的立项。全国通信标准化技术委员会(TC485)也积极开展 5G 通信网络安全标准化工作,2019年12月24日,经工业和信息化部批准正式发布并实施《5G 移动通信网 通信安全技术要求》《5G 移动通信网 核心网总体技术要求》等行业标准。

在国内行业标准上,5G安全国内通信行业标准推进主要由中国通信标准化协会下设的 TC5/WG5(无线通信技术工作委员会/无线安全与加密工作组)组织开展,通信行业标准约 10 余项,主要涉及 5G 移动通信网、网络功能虚拟化、5G网络及设备安全保障要求等,已发布的5G安全要求以网元安全规范为主。5G安全相关国内标准组织主要有中国通信标准化协会(CCSA)、全国通信标准化技术委员会(TC485)、全国信息安全标准化技术委员会(TC260)等。

CCSA TC5/WG5、TC8(网络与信息安全委员会)以及 NTC4(电信网安全防护特设组)研究制定5G安全相关研究报告和行业标准。全国通信标准化技术委员会(TC485)和全国信息安全标准化技术委员会(TC260)研究制定5G安全相关国家标准。

2019年11月,IMT-2020(5G)推进组成立了安全工作组,重点推进5G安全技术研究与标准化相关工作,组织开展 5G 设备、网络及应用安全测试验证,促进5G安全标准与产品成熟。推进组规范经测试验证成熟后,将成果输入 TC260、TC485 和 CCSA 等组织,从而形成国家或行业标准。

2020年5月,安全工作组发布了 5G 设备安全系列测试规范:《5G安全试验设备安全保障测试规范-通用部分》《5G安全试验设备安全保障测试规范-核心网设备》及《5G安全试验设备安全保障测试规范-基站》。依据该系列测试规范,中国信息通信研究院牵头,组织运营商、设备商共同开展 5G 设备安全性测试。

安全工作组后续研究方向包括5G安全评测体系、5G行业应用安全分级指南、5G 组网安全、切片安全、MEC安全、业务安全及伪基站检测与防御等。

各主要标准组织5G安全重点成果见表1-1。

表1-1 各主要标准组织5G安全重点成果

除以上标准外,我国也积极启动了5G安全相关认证和评测标准及相关工作的研究和推进。

(1)NESAS评估认证。

GSMA 为了促进产业相关方对网络设备的安全性达成共识,确保网络设备制造与运营安全良性发展,牵头制定了网络设备安全保障计划(NESAS),推动开展 NESAS 评估认证工作。

NESAS评估认证相关工作推进情况:标准方面,NESAS管理规范及3GPP SCAS标准已启动产业实施,标准新版本持续演进;落地实施方面,在欧洲获得产业支持,但目前审计机构及检测实验室数量较少,审计机构有ATSEC、NCC Group,检测实验室有西班牙的Epoche等,国际认可度有待提高。

(2)我国5G安全评测。

我国设备及网络安全检测与审查相关工作主要分以下几大类:设备进网检测、网络关键设备安全检测、关键信息基础设施安全保护、网络安全等级保护、网络安全审查等。

依据的相关文件有《电信设备进网管理办法》《网络关键设备安全检测实施办法》《关于关键信息基础设施安全保护工作有关事项的通知》《网络安全等级保护条例》《网络安全审查办法》等。

目前,我国正在研究制定5G安全评测相关制度政策、实施办法、技术标准等,积极推进相关工作进展,以确保5G安全与 5G 发展同步推进。

5G安全评测相关工作推进情况:2020年5月,IMT-2020(5G)推进组安全工作组正式启动了 5G 设备安全测试工作,为后续 5G 设备安全相关评测工作奠定基础。5G网络安全、业务安全等相关标准和评估测试工作也在加快推进过程中。