5G供應(yīng)鏈安全現(xiàn)狀及標(biāo)準(zhǔn)化建議

　　摘要5G是重要的關(guān)鍵信息基礎(chǔ)設(shè)施，5G供應(yīng)鏈與ICT供應(yīng)鏈關(guān)系密切，目前我國已啟動(dòng)ICT供應(yīng)鏈安全標(biāo)準(zhǔn)工作，但在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，尤其是5G產(chǎn)業(yè)領(lǐng)域尚缺乏有效的供應(yīng)鏈安全標(biāo)準(zhǔn).對(duì)國內(nèi)外現(xiàn)有ICT供應(yīng)鏈、關(guān)鍵信息基礎(chǔ)設(shè)施安全、5G安全等方面標(biāo)準(zhǔn)的研究進(jìn)展開展分析，為制定符合我國發(fā)展的5G供應(yīng)鏈安全標(biāo)準(zhǔn)體系提供重要參考.

　　關(guān)鍵詞5G;5G安全;供應(yīng)鏈安全;ICT供應(yīng)鏈;關(guān)鍵信息基礎(chǔ)設(shè)施

　　1我國5G供應(yīng)鏈現(xiàn)狀及供應(yīng)鏈安全問題分析

　　5G正在引領(lǐng)著全球科技革命，以5G技術(shù)為代表的新型基礎(chǔ)設(shè)施建設(shè)加快推進(jìn).5G供應(yīng)鏈產(chǎn)品和服務(wù)的提供商圍繞5G特有的增強(qiáng)型移動(dòng)帶寬、大規(guī)模機(jī)器類通信、高可靠低時(shí)延通信場(chǎng)景需求，從原材料、元器件開始，制成模組等中間產(chǎn)品，生產(chǎn)出最終產(chǎn)品，最后由銷售網(wǎng)絡(luò)把5G產(chǎn)品提供給公共網(wǎng)絡(luò)和垂直行業(yè)的運(yùn)營商，并向消費(fèi)者提供各種5G服務(wù).這樣5G各級(jí)供應(yīng)商、制造商、分銷商、運(yùn)營商、服務(wù)提供商等被連成一個(gè)整體的功能網(wǎng)鏈結(jié)構(gòu)，依據(jù)特定的邏輯關(guān)系和時(shí)空布局關(guān)系也形成一定的技術(shù)經(jīng)濟(jì)關(guān)聯(lián)，形成5G供應(yīng)鏈生態(tài).5G產(chǎn)業(yè)鏈上游部分由關(guān)鍵芯片及各類模組組成.5G產(chǎn)業(yè)鏈中游分為2部分：一是信息通信基礎(chǔ)設(shè)施，包括無線基站系統(tǒng)、網(wǎng)絡(luò)設(shè)備、儀器儀表，二是網(wǎng)絡(luò)規(guī)劃?服務(wù)?運(yùn)行維護(hù).

　　5G產(chǎn)業(yè)鏈下游部分涉及終端設(shè)備及各類應(yīng)用場(chǎng)景.在5G網(wǎng)絡(luò)建設(shè)過程中，5G的供應(yīng)鏈安全問題日益突出：一是受突發(fā)事件影響、國際環(huán)境影響造成供應(yīng)鏈中斷，如戰(zhàn)爭、地震、臺(tái)風(fēng)等不可抗力;二是錯(cuò)誤配置、資源濫用，或者因惡意控制導(dǎo)致正常的業(yè)務(wù)中斷，對(duì)業(yè)務(wù)網(wǎng)運(yùn)行造成嚴(yán)重的影響;三是未經(jīng)認(rèn)證檢測(cè)的5G設(shè)備被攻擊者植入后門或者存在漏洞，將導(dǎo)致整個(gè)供應(yīng)鏈被控制，造成網(wǎng)絡(luò)安全事件;四是5G供應(yīng)鏈產(chǎn)品和服務(wù)提供商通常分布在多地、多層級(jí).異地供應(yīng)方、供應(yīng)方層級(jí)的增多，必然降低供應(yīng)鏈的透明度和增加安全風(fēng)險(xiǎn)控制成本.

　　5G供應(yīng)鏈從企業(yè)流、信息流、物流、資金流等多個(gè)方面對(duì)5G產(chǎn)業(yè)周期的各環(huán)節(jié)中進(jìn)行動(dòng)態(tài)控制.5G供應(yīng)鏈安全要求5G的運(yùn)營者以及設(shè)備、組件、元器件、儀器儀表、生產(chǎn)裝備、原材料等供應(yīng)方，能夠?qū)㈤_發(fā)、設(shè)計(jì)、運(yùn)營的5G產(chǎn)品或服務(wù)提供給5G需求方，確保5G供應(yīng)鏈安全風(fēng)險(xiǎn)得到識(shí)別和控制，5G供應(yīng)鏈完整性、保密性、可用性、可控性等目標(biāo)得到實(shí)現(xiàn).只有確保5G供應(yīng)鏈安全，才能實(shí)現(xiàn)5G產(chǎn)業(yè)整個(gè)生命周期的安全.

　　2國內(nèi)外ICT供應(yīng)鏈安全標(biāo)準(zhǔn)進(jìn)展分析

　　信息與通信技術(shù)(簡稱ICT)指代所有通信設(shè)備以及與之相關(guān)的各種服務(wù)和應(yīng)用軟件.ICT供應(yīng)鏈則是指為滿足供應(yīng)關(guān)系，將需方與供方通過資源和過程進(jìn)行連接的網(wǎng)鏈結(jié)構(gòu)，涉及產(chǎn)品及服務(wù)的供需雙方.5G作為ICT領(lǐng)域重要產(chǎn)業(yè)，其供應(yīng)鏈安全要求必然應(yīng)符合ICT供應(yīng)鏈安全框架要求，因此，本文對(duì)ICT領(lǐng)域供應(yīng)鏈安全標(biāo)準(zhǔn)進(jìn)展進(jìn)行了分析研究，為5G供應(yīng)鏈標(biāo)準(zhǔn)的研制提供指引和方向.

　　1)ISO28000系列標(biāo)準(zhǔn)ISO28000供應(yīng)鏈安全管理體系系列標(biāo)準(zhǔn)將供應(yīng)鏈定義為一組相互聯(lián)系的資源和過程，以原材料的采購為起點(diǎn)，經(jīng)各種運(yùn)輸方式將產(chǎn)品或服務(wù)交付最終用戶.ISO28000標(biāo)準(zhǔn)制定的目標(biāo)是幫助運(yùn)輸和物流行業(yè)建立一個(gè)可認(rèn)證的供應(yīng)鏈安全管理體系，改進(jìn)供應(yīng)鏈的全面安全.該系列標(biāo)準(zhǔn)主要包括：ISO28000《供應(yīng)鏈安全管理體系規(guī)范》、ISO28001《供應(yīng)鏈安全的最佳實(shí)踐規(guī)范———評(píng)估和計(jì)劃》、ISO28002《供應(yīng)鏈恢復(fù)能力的開發(fā)———要求及使用指南》、ISO28003《提供審核和認(rèn)證功能的實(shí)體的需求》、ISO28004《ISO?PAS28000實(shí)施指南》.

　　2)ISO?IEC27036在ISO?IEC27000信息安全管理體系標(biāo)準(zhǔn)中，ISO?IEC27036《供應(yīng)方關(guān)系的信息安全》是首部針對(duì)ICT供應(yīng)鏈安全的國際標(biāo)準(zhǔn).ISO?IEC27036適用于供需雙方對(duì)供應(yīng)方關(guān)系進(jìn)行信息安全管理，標(biāo)準(zhǔn)針對(duì)供應(yīng)方關(guān)系規(guī)定了供應(yīng)方關(guān)系信息安全管理的框架.該標(biāo)準(zhǔn)由4部分組成：ISO?IEC27036-1《第1部分：概述和概念》、ISO?IEC27036-2《第2部分：通用要求》、ISO?IEC27036-3《第3部分：ICT供應(yīng)鏈安全指南》、ISO?IEC27036-4《第4部分：云服務(wù)的安全指南》.

　　3)ISO?IEC27034ISO?IEC27034《應(yīng)用安全》是國際標(biāo)準(zhǔn)化組織通過的首個(gè)關(guān)注建立安全軟件程序流程和框架的標(biāo)準(zhǔn).標(biāo)準(zhǔn)分為6個(gè)部分，包括應(yīng)用安全性綜述和概念、組織規(guī)范性框架、應(yīng)用安全管理流程、應(yīng)用安全驗(yàn)證、應(yīng)用安全控制數(shù)據(jù)結(jié)構(gòu)、應(yīng)用安全指導(dǎo).標(biāo)準(zhǔn)通過定義軟件開發(fā)安全流程和框架，提升了ICT供應(yīng)鏈對(duì)抗威脅的能力[1].

　　4)ISO?IEC27005ISO?IEC27005《信息安全風(fēng)險(xiǎn)管理》提供了適用于信息安全的風(fēng)險(xiǎn)管理方法.該標(biāo)準(zhǔn)通過提供有效管理風(fēng)險(xiǎn)的框架，幫助組織解決信息安全管理問題，為組織提供相關(guān)指導(dǎo).其本質(zhì)是風(fēng)險(xiǎn)管理的指導(dǎo)方針，提供了通用的風(fēng)險(xiǎn)管理過程和風(fēng)險(xiǎn)處置過程，可用來實(shí)現(xiàn)對(duì)ICT供應(yīng)鏈的安全風(fēng)險(xiǎn)管控.

　　5)ISO?IEC20243ISO?IEC20243：2018《開放可信技術(shù)供應(yīng)商標(biāo)準(zhǔn)———減少被惡意污染和偽冒的產(chǎn)品》旨在解決產(chǎn)品生命周期中硬件、軟件產(chǎn)品在完整性方面所面臨的特定威脅.該標(biāo)準(zhǔn)將供應(yīng)商的產(chǎn)品生命周期定義為包括其設(shè)計(jì)和開發(fā)產(chǎn)品的工作，以及該生命周期的供應(yīng)鏈方面，延伸到設(shè)計(jì)、采購、建造、執(zhí)行、運(yùn)營、維護(hù)和報(bào)廢等階段.通過標(biāo)準(zhǔn)中列舉的實(shí)踐活動(dòng)，可有效降低供應(yīng)商被惡意污染和偽冒產(chǎn)品方面的風(fēng)險(xiǎn).

　　6)ISO?IEC15288ISO?IEC?IEEE15288：2015《系統(tǒng)生命周期過程》建立了過程描述的通用框架，用于描述系統(tǒng)的生命周期.標(biāo)準(zhǔn)提供了支持定義、控制和改進(jìn)組織或項(xiàng)目中使用的系統(tǒng)生命周期的過程，從這些過程中選出的集合可以在整個(gè)生命周期中應(yīng)用，以管理和執(zhí)行系統(tǒng)生命周期的各個(gè)階段.通過該框架采購方、供應(yīng)商等多個(gè)相關(guān)利益方，可以共同構(gòu)建模型，對(duì)系統(tǒng)全生命周期中相關(guān)問題達(dá)成共識(shí).

　　7)NISTIR7622NISTIR7622為美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐指南.該標(biāo)準(zhǔn)旨在提供廣泛的實(shí)踐，通過這些實(shí)踐的實(shí)施，將有助于降低聯(lián)邦信息系統(tǒng)的供應(yīng)鏈風(fēng)險(xiǎn).標(biāo)準(zhǔn)提供了一套概念上可重復(fù)的、商業(yè)上更合理的供應(yīng)鏈保證方法和實(shí)踐，提供一種了解整個(gè)供應(yīng)鏈的方法和可見性.在整個(gè)ICT系統(tǒng)生命周期中，該方法可提升ICT供應(yīng)鏈風(fēng)險(xiǎn)的能力[2].

　　8)GB?T36637—2018GB?T36637—2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》于2018年正式發(fā)布.該標(biāo)準(zhǔn)主要針對(duì)我國ICT供應(yīng)鏈安全問題，旨在提升網(wǎng)絡(luò)運(yùn)營者的ICT供應(yīng)鏈安全管理水平，切實(shí)保障我國重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供應(yīng)鏈安全風(fēng)險(xiǎn).

　　同時(shí)ICT產(chǎn)品、服務(wù)的供應(yīng)方、需求方也可通過落地該標(biāo)準(zhǔn)，極大地提升供應(yīng)鏈安全管理能力，第三方測(cè)評(píng)機(jī)構(gòu)在對(duì)ICT供應(yīng)鏈開展安全風(fēng)險(xiǎn)評(píng)估時(shí)也可參考此標(biāo)準(zhǔn)[3].綜上所述，現(xiàn)有的ICT供應(yīng)鏈標(biāo)準(zhǔn)往往是從技術(shù)或流程方面開展研究，如關(guān)注風(fēng)險(xiǎn)管理或關(guān)注供需關(guān)系.因此要建立符合不同應(yīng)用場(chǎng)景、不同行業(yè)的ICT供應(yīng)鏈安全標(biāo)準(zhǔn)體系，如5G領(lǐng)域供應(yīng)鏈安全標(biāo)準(zhǔn).

　　3國內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)進(jìn)展分析

　　關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等[4].因此，5G供應(yīng)鏈安全應(yīng)劃入關(guān)鍵信息基礎(chǔ)設(shè)施安全的保護(hù)范圍，其相關(guān)標(biāo)準(zhǔn)也應(yīng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)要求相符合.

　　1)歐盟歐盟于2004年成立歐盟網(wǎng)絡(luò)與信息安全局(ENISA)，用以應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)與信息安全挑戰(zhàn)，該組織是歐盟最高網(wǎng)絡(luò)安全常規(guī)機(jī)構(gòu)，負(fù)責(zé)管理歐盟信息安全事務(wù).

　　ENISA于2014年發(fā)布《識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)和資產(chǎn)的方法論》，文章指明了如何識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施中的服務(wù)和資產(chǎn)，并提供了識(shí)別的步驟及方法.2016年，ENISA發(fā)布了《保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的考量、分析和建議》和《數(shù)字服務(wù)提供商實(shí)施最低安全控制措施技術(shù)指南》，分別從開展公私合作、風(fēng)險(xiǎn)評(píng)估、安全事件演練、信息共享和建立控制措施等方面提出標(biāo)準(zhǔn)化建議.

　　此外，ENISA還在工控系統(tǒng)、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、智能電網(wǎng)、健康醫(yī)療、金融、船舶等領(lǐng)域發(fā)布了相關(guān)安全規(guī)定.2017年11月，ENISA發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》，該報(bào)告基于前期發(fā)布的專項(xiàng)報(bào)告，通過分析物聯(lián)網(wǎng)的安全需求、威脅態(tài)勢(shì)、風(fēng)險(xiǎn)趨勢(shì)，設(shè)置了物聯(lián)網(wǎng)安全基線，提出切實(shí)可行的對(duì)策，旨在指導(dǎo)歐洲在關(guān)鍵信息技術(shù)設(shè)施領(lǐng)域如何應(yīng)用物聯(lián)網(wǎng).

　　2)美國2013年美國政府啟動(dòng)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施信息安全戰(zhàn)略.2014年NIST起草的《提升美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架規(guī)范》正式出臺(tái)，該規(guī)范提出了一個(gè)美國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)基礎(chǔ)框架，包括識(shí)別、保護(hù)、監(jiān)測(cè)、響應(yīng)和恢復(fù)5個(gè)層面.框架引用了國際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)相關(guān)條款以及NIST的特別出版物，并進(jìn)一步考慮了如何通過對(duì)框架的完善實(shí)現(xiàn)對(duì)標(biāo)準(zhǔn)體系的擴(kuò)充.

　　2017年NIST發(fā)布了《提供關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全路線圖V1.1(草案)》，路線圖提出了在關(guān)鍵基礎(chǔ)實(shí)施框架下一步工作中計(jì)劃延展的12個(gè)領(lǐng)域，包括：網(wǎng)絡(luò)攻擊生命周期、網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全人員、一致性評(píng)估、隱私管理、身份管理等.為支撐該框架，美國能源部和國土安全部聯(lián)合開發(fā)了網(wǎng)絡(luò)安全能力成熟度模型(C2M2)，從10個(gè)安全域?qū)�組織內(nèi)網(wǎng)安全實(shí)踐實(shí)現(xiàn)情況和制度化程度進(jìn)行安全能力評(píng)估[5].

　　3)中國為配合《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的制定與實(shí)施，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)基本要求》等8項(xiàng)標(biāo)準(zhǔn)正在積極研制中，標(biāo)準(zhǔn)族從邊界識(shí)別、安全控制措施、安全框架、安全保障、安全防護(hù)、安全應(yīng)急等方面提供了體系化的管理架構(gòu)，為各部門實(shí)施行業(yè)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全管理提供標(biāo)準(zhǔn)支撐[6]：

　　①《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)方法》從關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)的過程維度，該標(biāo)準(zhǔn)將關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力成熟度分成4個(gè)等級(jí)，規(guī)定了不同級(jí)別應(yīng)進(jìn)行的基本實(shí)踐和能力要求，給出了不同成熟度的評(píng)價(jià)指標(biāo).可用于指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者對(duì)其網(wǎng)絡(luò)安全防護(hù)能力成熟度進(jìn)行全面評(píng)估，為進(jìn)一步提升網(wǎng)絡(luò)安全防護(hù)能力提供參考和依據(jù).

　　②《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》該標(biāo)準(zhǔn)給出了基于信息流的關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法，可將組成關(guān)鍵信息基礎(chǔ)設(shè)施的重要軟硬件設(shè)備、系統(tǒng)識(shí)別出來，明確保護(hù)對(duì)象，確定保護(hù)范圍.為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展關(guān)鍵信息基礎(chǔ)設(shè)施邊界識(shí)別工作提供參考.

　�、邸缎畔�安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》該標(biāo)準(zhǔn)規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在識(shí)別認(rèn)定、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、事件處置等環(huán)節(jié)應(yīng)實(shí)施的安全控制措施.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者根據(jù)自身具體情況和識(shí)別的安全風(fēng)險(xiǎn)，選擇應(yīng)采取的安全控制措施，確保將安全風(fēng)險(xiǎn)控制在可接受的范圍.相關(guān)安全控制措施也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他參與者參考.

　�、堋缎畔�安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》該標(biāo)準(zhǔn)規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別認(rèn)定、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、事件處置等環(huán)節(jié)的基本要求.主要用于關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)劃設(shè)計(jì)、開發(fā)建設(shè)、運(yùn)行維護(hù)、退役廢棄等階段的安全保護(hù)工作，可適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他參與者參考.

　�、荨缎畔�安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》該標(biāo)準(zhǔn)適用于關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)工作，用于評(píng)價(jià)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障狀況的指標(biāo)及其釋義.為負(fù)責(zé)國家行業(yè)主管或監(jiān)管部門判斷信息安全態(tài)勢(shì)提供支撐，為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者信息安全保障工作的實(shí)施和改進(jìn)提供支持.

　　⑥《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》該標(biāo)準(zhǔn)給出了關(guān)鍵信息基礎(chǔ)設(shè)施檢查評(píng)估工作的方法、流程和內(nèi)容.適用于網(wǎng)信部門和有關(guān)部門開展關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估，也適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展安全自查評(píng)估.

　�、摺缎畔�安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控制評(píng)估方法》該標(biāo)準(zhǔn)規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施安全控制評(píng)估的原則、原理、實(shí)施流程，提出了針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中16類安全控制族的評(píng)估方法，以及關(guān)鍵信息基礎(chǔ)設(shè)施安全控制的綜合評(píng)估方法.該標(biāo)準(zhǔn)適用于信息安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、關(guān)鍵信息基礎(chǔ)設(shè)施的主管部門及運(yùn)營單位對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施所具備的安全控制能力進(jìn)行測(cè)試評(píng)估.網(wǎng)絡(luò)安全監(jiān)管職能部門依法進(jìn)行的關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)督檢查可以參考使用.

　�、唷缎畔�安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)機(jī)構(gòu)通用要求》通過對(duì)政府部門、事業(yè)單位、研究機(jī)構(gòu)、國有大型企業(yè)等關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)單位和運(yùn)營單位對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)機(jī)構(gòu)的實(shí)際需求進(jìn)行研究，識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)機(jī)構(gòu)的通用要求，提出通用能力描述框架，構(gòu)建完備的關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)認(rèn)證體系，為構(gòu)建良性的關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)認(rèn)證體系奠定基礎(chǔ).目前各國關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)中缺乏供應(yīng)鏈安全標(biāo)準(zhǔn)，需制定相關(guān)標(biāo)準(zhǔn)，為關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行統(tǒng)籌建設(shè)提供指導(dǎo).

　　4國內(nèi)外5G安全標(biāo)準(zhǔn)進(jìn)展分析

　　5G供應(yīng)鏈涉及5G設(shè)備、組件、元器件、儀器儀表、生產(chǎn)裝備、原材料等多方面供需關(guān)系，對(duì)5G產(chǎn)品或服務(wù)的開發(fā)、設(shè)計(jì)、運(yùn)營提出了全方位要求.5G供應(yīng)鏈安全以5G安全為基礎(chǔ)展開，在5G安全的基礎(chǔ)上，從全供應(yīng)鏈角度進(jìn)行完善與補(bǔ)充.分析5G安全標(biāo)準(zhǔn)的要求，可以有效識(shí)別未來5G供應(yīng)鏈安全標(biāo)準(zhǔn)關(guān)注重點(diǎn).

　　1)ISO27000國際標(biāo)準(zhǔn)化組織ISO?IECJTC1SC27(信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)分技術(shù)委員會(huì))發(fā)布的ISO27000《信息技術(shù)安全技術(shù)信息安全管理系統(tǒng)》系列標(biāo)準(zhǔn)，明確了如何在組織內(nèi)部建立一個(gè)成熟的信息安全管理體系.其中，ISO?IEC27005《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》標(biāo)準(zhǔn)介紹了一般性的風(fēng)險(xiǎn)管理過程，并給出了根據(jù)不同通信系統(tǒng)以及不同安全問題和威脅選擇控制措施的方法.ISO?IEC27005被歐盟用于開展5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估[7].

　　2)ITU-T5G相關(guān)標(biāo)準(zhǔn)國際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門(ITU-T)針對(duì)5G網(wǎng)絡(luò)安全基礎(chǔ)、IT化網(wǎng)絡(luò)設(shè)施安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和安全運(yùn)營管控進(jìn)行了一系列的標(biāo)準(zhǔn)研究.包括：①ITU-TX.5Gsec-guide《基于ITU-TX.805的5G通信系統(tǒng)安全導(dǎo)則》主要針對(duì)基于ITU-TX.805的5G通信系統(tǒng)展開安全研究，通過結(jié)合該系統(tǒng)在運(yùn)用邊緣計(jì)算、網(wǎng)絡(luò)虛擬化、網(wǎng)絡(luò)切片等技術(shù)時(shí)所產(chǎn)生的特點(diǎn)，研究其在3GPP網(wǎng)絡(luò)架構(gòu)和非3GPP網(wǎng)絡(luò)架構(gòu)下的安全威脅和安全能力.

　　②ITU-TX5Gsec-ecs《5G邊緣計(jì)算服務(wù)的安全框架》根據(jù)5G邊緣計(jì)算的部署方式以及典型的應(yīng)用場(chǎng)景，分析5G邊緣計(jì)算的安全威脅、安全需求，提出5G邊緣計(jì)算服務(wù)安全框架.③ITU-TX.5Gsec-t《5G生態(tài)系統(tǒng)中基于信任關(guān)系的安全框架》研究5G生態(tài)系統(tǒng)中的信任關(guān)系和安全邊界，制定5G生態(tài)系統(tǒng)的安全框架[8].

　　3)3GPP5G相關(guān)標(biāo)準(zhǔn)第三代合作伙伴計(jì)劃標(biāo)準(zhǔn)化組織(3GPP)聚焦在5G基礎(chǔ)共性、應(yīng)用與服務(wù)安全和IT化網(wǎng)絡(luò)設(shè)施安全等方面.

　　3GPP在5G網(wǎng)絡(luò)安全領(lǐng)域重點(diǎn)

　　標(biāo)準(zhǔn)包括：①3GPPTS33.501《5G系統(tǒng)的安全架構(gòu)和流程》規(guī)定了5G系統(tǒng)的安全架構(gòu)和流程，確定5G安全框架分為接入域安全、網(wǎng)絡(luò)域安全、用戶域安全、應(yīng)用域安全、服務(wù)域安全、安全可視化和配置安全6個(gè)域.②3GPPTR33.841《256位算法對(duì)5G的支持研究》中指出，基于5G復(fù)雜、眾多的應(yīng)用場(chǎng)景，應(yīng)將256b密鑰算法引入到5G系統(tǒng)[9].

　　③3GPPTS33.535《在5G中基于3GPP憑證的應(yīng)用程序的身份驗(yàn)證和密鑰管理》，以5G物聯(lián)網(wǎng)場(chǎng)景下的應(yīng)用層接入認(rèn)證和安全通道建立為切入點(diǎn)，考慮到5G在物聯(lián)網(wǎng)、垂直行業(yè)、車聯(lián)網(wǎng)、超可靠低時(shí)延特性、位置服務(wù)等方面的安全威脅及需求開展研究，制定并評(píng)估了對(duì)應(yīng)的解決方案[10].

　　④3GPPTR33.813《網(wǎng)絡(luò)切片增強(qiáng)的安全性研究》針對(duì)5G網(wǎng)絡(luò)設(shè)備的安全保障、5G網(wǎng)絡(luò)引入服務(wù)化接口安全、5G網(wǎng)絡(luò)中偽基站安全、5G切片安全等問題，研究了5G移動(dòng)通信網(wǎng)網(wǎng)絡(luò)切片的安全增強(qiáng)技術(shù)，包括網(wǎng)絡(luò)切片安全特性、關(guān)鍵問題、安全需求及解決方案[11].

　　4)NISTSP800SP800是NIST發(fā)布的一系列關(guān)于信息安全的指南.其中NISTSP800-53《信息系統(tǒng)和組織的安全和隱私控制》、NISTSP800-207《零信任架構(gòu)》、NISTSP800-82《工業(yè)控制系統(tǒng)安全指南》、NISTSP800-160《網(wǎng)絡(luò)安全工程技術(shù)指南》等分別針對(duì)控制措施和隱私保護(hù)、零信任架構(gòu)、工業(yè)控制系統(tǒng)安全、安全工程技術(shù)等，提供了與5G網(wǎng)絡(luò)安全部署應(yīng)用相關(guān)的安全實(shí)施指南.此外，NIST正在推進(jìn)《5G網(wǎng)絡(luò)安全實(shí)踐指南》的制定.該指南向5G網(wǎng)絡(luò)運(yùn)營商和用戶提出減緩5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方法，以幫助使用5G網(wǎng)絡(luò)的組織、網(wǎng)絡(luò)運(yùn)營商和設(shè)備供應(yīng)商提高安全能力，并為電信和公共安全界提供參考.

　　5)國內(nèi)5G相關(guān)標(biāo)準(zhǔn)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)針對(duì)5G網(wǎng)絡(luò)安全推動(dòng)了《5G網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系》研究，涵蓋安全基礎(chǔ)共性、終端安全、IT化網(wǎng)絡(luò)設(shè)施安全、應(yīng)用與服務(wù)安全、數(shù)據(jù)安全和安全運(yùn)營管理等方面，并持續(xù)完善相關(guān)配套標(biāo)準(zhǔn).全國通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC485)正在推進(jìn)關(guān)于5G網(wǎng)絡(luò)相關(guān)標(biāo)準(zhǔn)的研究，在研標(biāo)準(zhǔn)主要涵蓋基礎(chǔ)共性、通信網(wǎng)絡(luò)安全等方面.

　　如：《5G移動(dòng)通信網(wǎng)通信安全技術(shù)要求》主要圍繞5G移動(dòng)通信網(wǎng)中的通信安全總體技術(shù)要求展開研究，為運(yùn)營商和監(jiān)管機(jī)構(gòu)在5G安全方面工作的開展提供技術(shù)參考;《5G移動(dòng)通信網(wǎng)絡(luò)設(shè)備安全保障要求核心網(wǎng)網(wǎng)絡(luò)功能》《5G移動(dòng)通信網(wǎng)絡(luò)設(shè)備安全保障要求基站設(shè)備》主要圍繞5G設(shè)備安全，從核心網(wǎng)網(wǎng)絡(luò)功能、基站設(shè)備等方面，對(duì)5G移動(dòng)通信網(wǎng)絡(luò)設(shè)備安全提出保障要求.中國通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)發(fā)布的5G網(wǎng)絡(luò)安全相關(guān)行業(yè)標(biāo)準(zhǔn)YD?T3628—2019《5G移動(dòng)通信網(wǎng)安全技術(shù)要求》，明確了對(duì)5GSA網(wǎng)絡(luò)和NSA網(wǎng)絡(luò)的基本安全要求，包括5G網(wǎng)絡(luò)安全架構(gòu)、安全需求、安全功能實(shí)現(xiàn)等.

　　在研標(biāo)準(zhǔn)《5G網(wǎng)絡(luò)中的IPSec需求和方案研究》主要圍繞5G網(wǎng)絡(luò)中的IPSec需求和方案開展研究.在研標(biāo)準(zhǔn)《5G數(shù)據(jù)安全總體技術(shù)要求》從5G業(yè)務(wù)應(yīng)用、5G終端設(shè)備、5G無線接入、5G核心網(wǎng)等方面規(guī)定了5G數(shù)據(jù)安全的總體技術(shù)要求.在研標(biāo)準(zhǔn)《5G移動(dòng)通信網(wǎng)通信管制技術(shù)要求》主要關(guān)注5G移動(dòng)通信網(wǎng)通信管制技術(shù)要求.綜上，已發(fā)布及在研的5G安全相關(guān)標(biāo)準(zhǔn)多聚焦于5G網(wǎng)絡(luò)安全、5G技術(shù)安全、5G設(shè)備安全，缺少從5G供應(yīng)鏈全局部署的標(biāo)準(zhǔn)意見.因此急需制定5G供應(yīng)鏈相關(guān)標(biāo)準(zhǔn)，彌補(bǔ)此項(xiàng)空缺.

　　5我國5G供應(yīng)鏈安全標(biāo)準(zhǔn)化建議

　　目前我國對(duì)5G安全、ICT供應(yīng)鏈安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全方面均已有體系化的標(biāo)準(zhǔn)研究，但5G供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)仍較為匱乏，尤其是缺乏有效的5G供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估機(jī)制和手段[12].

　　因此需要結(jié)合ICT供應(yīng)鏈安全要求、關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全要求、5G應(yīng)用場(chǎng)景安全要求等，制定和完善5G供應(yīng)鏈安全標(biāo)準(zhǔn).同時(shí)，為貫徹落實(shí)網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略，落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》有關(guān)開展關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全評(píng)估的要求，支撐國家網(wǎng)絡(luò)安全審查工作機(jī)制的落地執(zhí)行，建議加強(qiáng)5G供應(yīng)鏈安全評(píng)估標(biāo)準(zhǔn)研制，建立一套完備且系統(tǒng)的、可行的、具有可操作性的5G供應(yīng)鏈安全評(píng)估工作的指標(biāo)體系[13]：

　　1)充分借鑒ICT供應(yīng)鏈安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全、5G安全相關(guān)標(biāo)準(zhǔn)，重點(diǎn)圍繞供應(yīng)鏈安全開展標(biāo)準(zhǔn)研究，針對(duì)關(guān)鍵芯片和模組生產(chǎn)企業(yè)、5G通信基礎(chǔ)設(shè)施相關(guān)的無線基站系統(tǒng)設(shè)備制造企業(yè)、網(wǎng)絡(luò)設(shè)備制造企業(yè)、儀器儀表生產(chǎn)企業(yè)、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)企業(yè)、網(wǎng)絡(luò)運(yùn)營企業(yè)、網(wǎng)絡(luò)運(yùn)行維護(hù)企業(yè)、終端及應(yīng)用場(chǎng)景相關(guān)廠商，提出不同的安全保障要求，確保5G供應(yīng)鏈上下游運(yùn)行同步安全.

　　2)配套研究5G供應(yīng)鏈安全相關(guān)評(píng)估方法、審計(jì)要求、風(fēng)險(xiǎn)管理等系列標(biāo)準(zhǔn)，形成體系化標(biāo)準(zhǔn)規(guī)定，確保5G供應(yīng)鏈安全要求在5G產(chǎn)業(yè)鏈運(yùn)行過程中可以有效實(shí)施與應(yīng)用.

　　3)選取供應(yīng)鏈安全風(fēng)險(xiǎn)最為突出和急迫的5G產(chǎn)業(yè)領(lǐng)域，積極推進(jìn)5G供應(yīng)鏈安全標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作，驗(yàn)證標(biāo)準(zhǔn)研究成果，遴選出應(yīng)用效果優(yōu)良的標(biāo)準(zhǔn)項(xiàng)目，實(shí)時(shí)進(jìn)行標(biāo)準(zhǔn)成果轉(zhuǎn)化和推廣應(yīng)用，為實(shí)施有效的具有可操作性的ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估和管理體系提供有益參考.通過開展5G供應(yīng)鏈安全標(biāo)準(zhǔn)研制，有效解決5G供應(yīng)鏈安全無標(biāo)準(zhǔn)、無體系、無依據(jù)的被動(dòng)局面，推動(dòng)各方提升供應(yīng)鏈安全管理水平，更好地提供5G產(chǎn)品和服務(wù)，在保障5G安全以及國家網(wǎng)絡(luò)空間安全等方面發(fā)揮積極作用.

　　參考文獻(xiàn)：

　　[1]胡影，孫彥，任澤君.GB?T36637—2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)解讀[J].保密科學(xué)技術(shù)，2019(5)：16-18

　　[2]陶麗雯，趙改俠，謝宗曉.ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理政策標(biāo)準(zhǔn)化綜述及分析[J].網(wǎng)絡(luò)空間安全，2019，10(4)：1-8

　　[3]汪麗.ICT供應(yīng)鏈安全標(biāo)準(zhǔn)化體系及實(shí)踐應(yīng)用[J].信息安全與通信保密，2020(4)：6-9

　　[4]國務(wù)院.國令第745號(hào)：關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例[OL].[2021-09-30].

　　[5]王惠蒞，劉念源.關(guān)鍵信息基礎(chǔ)設(shè)施安全相關(guān)政策及標(biāo)準(zhǔn)化研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2020(11)：44-47

　　[6]李瑾.加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全的保衛(wèi)、保護(hù)和保障筑牢網(wǎng)絡(luò)安全基石———專訪公安部網(wǎng)絡(luò)安全保衛(wèi)局一級(jí)巡視員、副局長郭啟全[J].警察技術(shù)，2021(1)：4-7

　　[7]謝宗曉，許定航.ISO?IEC27005：2018解讀及其三次版本演化[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2018(9)：16-18

　　[8]全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)通信安全標(biāo)準(zhǔn)組.5G網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化白皮書[S].北京：中國標(biāo)準(zhǔn)出版社，2021

　　[9]EvansTP.Studyonthesupportof256-bitalgorithmsfor5G[EB?OL].2019-3[2021-09-30].

　　作者：張祺琪1韓曉露2段偉倫2

轉(zhuǎn)載請(qǐng)注明來自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///dzlw/29451.html