5G供應(yīng)鏈安全現(xiàn)狀及標準化建議
所屬分類:電子論文 閱讀次 時間:2022-01-23 10:34 本文摘要:摘要5G是重要的關(guān)鍵信息基礎(chǔ)設(shè)施��,5G供應(yīng)鏈與ICT供應(yīng)鏈關(guān)系密切�,目前我國已啟動ICT供應(yīng)鏈安全標準工作����,但在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域,尤其是5G產(chǎn)業(yè)領(lǐng)域尚缺乏有效的供應(yīng)鏈安全標準.對國內(nèi)外現(xiàn)有ICT供應(yīng)鏈����、關(guān)鍵信息基礎(chǔ)設(shè)施安全、5G安全等方面標準的研究進展開展分析��,
摘要5G是重要的關(guān)鍵信息基礎(chǔ)設(shè)施��,5G供應(yīng)鏈與ICT供應(yīng)鏈關(guān)系密切���,目前我國已啟動ICT供應(yīng)鏈安全標準工作�,但在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域��,尤其是5G產(chǎn)業(yè)領(lǐng)域尚缺乏有效的供應(yīng)鏈安全標準.對國內(nèi)外現(xiàn)有ICT供應(yīng)鏈、關(guān)鍵信息基礎(chǔ)設(shè)施安全�����、5G安全等方面標準的研究進展開展分析���,為制定符合我國發(fā)展的5G供應(yīng)鏈安全標準體系提供重要參考.
關(guān)鍵詞5G;5G安全;供應(yīng)鏈安全;ICT供應(yīng)鏈;關(guān)鍵信息基礎(chǔ)設(shè)施
1我國5G供應(yīng)鏈現(xiàn)狀及供應(yīng)鏈安全問題分析
5G正在引領(lǐng)著全球科技革命�����,以5G技術(shù)為代表的新型基礎(chǔ)設(shè)施建設(shè)加快推進.5G供應(yīng)鏈產(chǎn)品和服務(wù)的提供商圍繞5G特有的增強型移動帶寬��、大規(guī)模機器類通信�����、高可靠低時延通信場景需求��,從原材料�、元器件開始�,制成模組等中間產(chǎn)品,生產(chǎn)出最終產(chǎn)品��,最后由銷售網(wǎng)絡(luò)把5G產(chǎn)品提供給公共網(wǎng)絡(luò)和垂直行業(yè)的運營商,并向消費者提供各種5G服務(wù).這樣5G各級供應(yīng)商�、制造商、分銷商����、運營商、服務(wù)提供商等被連成一個整體的功能網(wǎng)鏈結(jié)構(gòu)���,依據(jù)特定的邏輯關(guān)系和時空布局關(guān)系也形成一定的技術(shù)經(jīng)濟關(guān)聯(lián)�����,形成5G供應(yīng)鏈生態(tài).5G產(chǎn)業(yè)鏈上游部分由關(guān)鍵芯片及各類模組組成.5G產(chǎn)業(yè)鏈中游分為2部分:一是信息通信基礎(chǔ)設(shè)施,包括無線基站系統(tǒng)����、網(wǎng)絡(luò)設(shè)備、儀器儀表���,二是網(wǎng)絡(luò)規(guī)劃?服務(wù)?運行維護.
5G產(chǎn)業(yè)鏈下游部分涉及終端設(shè)備及各類應(yīng)用場景.在5G網(wǎng)絡(luò)建設(shè)過程中�,5G的供應(yīng)鏈安全問題日益突出:一是受突發(fā)事件影響�����、國際環(huán)境影響造成供應(yīng)鏈中斷,如戰(zhàn)爭�����、地震���、臺風(fēng)等不可抗力;二是錯誤配置���、資源濫用,或者因惡意控制導(dǎo)致正常的業(yè)務(wù)中斷����,對業(yè)務(wù)網(wǎng)運行造成嚴重的影響;三是未經(jīng)認證檢測的5G設(shè)備被攻擊者植入后門或者存在漏洞,將導(dǎo)致整個供應(yīng)鏈被控制���,造成網(wǎng)絡(luò)安全事件;四是5G供應(yīng)鏈產(chǎn)品和服務(wù)提供商通常分布在多地����、多層級.異地供應(yīng)方�、供應(yīng)方層級的增多,必然降低供應(yīng)鏈的透明度和增加安全風(fēng)險控制成本.
5G供應(yīng)鏈從企業(yè)流�����、信息流、物流����、資金流等多個方面對5G產(chǎn)業(yè)周期的各環(huán)節(jié)中進行動態(tài)控制.5G供應(yīng)鏈安全要求5G的運營者以及設(shè)備、組件�����、元器件�����、儀器儀表��、生產(chǎn)裝備���、原材料等供應(yīng)方�����,能夠?qū)㈤_發(fā)、設(shè)計����、運營的5G產(chǎn)品或服務(wù)提供給5G需求方,確保5G供應(yīng)鏈安全風(fēng)險得到識別和控制,5G供應(yīng)鏈完整性���、保密性��、可用性�����、可控性等目標得到實現(xiàn).只有確保5G供應(yīng)鏈安全��,才能實現(xiàn)5G產(chǎn)業(yè)整個生命周期的安全.
2國內(nèi)外ICT供應(yīng)鏈安全標準進展分析
信息與通信技術(shù)(簡稱ICT)指代所有通信設(shè)備以及與之相關(guān)的各種服務(wù)和應(yīng)用軟件.ICT供應(yīng)鏈則是指為滿足供應(yīng)關(guān)系�����,將需方與供方通過資源和過程進行連接的網(wǎng)鏈結(jié)構(gòu)�����,涉及產(chǎn)品及服務(wù)的供需雙方.5G作為ICT領(lǐng)域重要產(chǎn)業(yè)�����,其供應(yīng)鏈安全要求必然應(yīng)符合ICT供應(yīng)鏈安全框架要求��,因此�,本文對ICT領(lǐng)域供應(yīng)鏈安全標準進展進行了分析研究,為5G供應(yīng)鏈標準的研制提供指引和方向.
1)ISO28000系列標準ISO28000供應(yīng)鏈安全管理體系系列標準將供應(yīng)鏈定義為一組相互聯(lián)系的資源和過程����,以原材料的采購為起點,經(jīng)各種運輸方式將產(chǎn)品或服務(wù)交付最終用戶.ISO28000標準制定的目標是幫助運輸和物流行業(yè)建立一個可認證的供應(yīng)鏈安全管理體系���,改進供應(yīng)鏈的全面安全.該系列標準主要包括:ISO28000《供應(yīng)鏈安全管理體系規(guī)范》�����、ISO28001《供應(yīng)鏈安全的最佳實踐規(guī)范———評估和計劃》�、ISO28002《供應(yīng)鏈恢復(fù)能力的開發(fā)———要求及使用指南》����、ISO28003《提供審核和認證功能的實體的需求》、ISO28004《ISO?PAS28000實施指南》.
2)ISO?IEC27036在ISO?IEC27000信息安全管理體系標準中��,ISO?IEC27036《供應(yīng)方關(guān)系的信息安全》是首部針對ICT供應(yīng)鏈安全的國際標準.ISO?IEC27036適用于供需雙方對供應(yīng)方關(guān)系進行信息安全管理����,標準針對供應(yīng)方關(guān)系規(guī)定了供應(yīng)方關(guān)系信息安全管理的框架.該標準由4部分組成:ISO?IEC27036-1《第1部分:概述和概念》��、ISO?IEC27036-2《第2部分:通用要求》��、ISO?IEC27036-3《第3部分:ICT供應(yīng)鏈安全指南》、ISO?IEC27036-4《第4部分:云服務(wù)的安全指南》.
3)ISO?IEC27034ISO?IEC27034《應(yīng)用安全》是國際標準化組織通過的首個關(guān)注建立安全軟件程序流程和框架的標準.標準分為6個部分���,包括應(yīng)用安全性綜述和概念�、組織規(guī)范性框架��、應(yīng)用安全管理流程�����、應(yīng)用安全驗證�����、應(yīng)用安全控制數(shù)據(jù)結(jié)構(gòu)���、應(yīng)用安全指導(dǎo).標準通過定義軟件開發(fā)安全流程和框架���,提升了ICT供應(yīng)鏈對抗威脅的能力[1].
4)ISO?IEC27005ISO?IEC27005《信息安全風(fēng)險管理》提供了適用于信息安全的風(fēng)險管理方法.該標準通過提供有效管理風(fēng)險的框架,幫助組織解決信息安全管理問題�,為組織提供相關(guān)指導(dǎo).其本質(zhì)是風(fēng)險管理的指導(dǎo)方針,提供了通用的風(fēng)險管理過程和風(fēng)險處置過程�����,可用來實現(xiàn)對ICT供應(yīng)鏈的安全風(fēng)險管控.
5)ISO?IEC20243ISO?IEC20243:2018《開放可信技術(shù)供應(yīng)商標準———減少被惡意污染和偽冒的產(chǎn)品》旨在解決產(chǎn)品生命周期中硬件、軟件產(chǎn)品在完整性方面所面臨的特定威脅.該標準將供應(yīng)商的產(chǎn)品生命周期定義為包括其設(shè)計和開發(fā)產(chǎn)品的工作���,以及該生命周期的供應(yīng)鏈方面�,延伸到設(shè)計�、采購、建造����、執(zhí)行、運營��、維護和報廢等階段.通過標準中列舉的實踐活動���,可有效降低供應(yīng)商被惡意污染和偽冒產(chǎn)品方面的風(fēng)險.
6)ISO?IEC15288ISO?IEC?IEEE15288:2015《系統(tǒng)生命周期過程》建立了過程描述的通用框架�����,用于描述系統(tǒng)的生命周期.標準提供了支持定義����、控制和改進組織或項目中使用的系統(tǒng)生命周期的過程�,從這些過程中選出的集合可以在整個生命周期中應(yīng)用,以管理和執(zhí)行系統(tǒng)生命周期的各個階段.通過該框架采購方、供應(yīng)商等多個相關(guān)利益方�����,可以共同構(gòu)建模型���,對系統(tǒng)全生命周期中相關(guān)問題達成共識.
7)NISTIR7622NISTIR7622為美國國家標準與技術(shù)研究院(NIST)的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理實踐指南.該標準旨在提供廣泛的實踐,通過這些實踐的實施�,將有助于降低聯(lián)邦信息系統(tǒng)的供應(yīng)鏈風(fēng)險.標準提供了一套概念上可重復(fù)的、商業(yè)上更合理的供應(yīng)鏈保證方法和實踐����,提供一種了解整個供應(yīng)鏈的方法和可見性.在整個ICT系統(tǒng)生命周期中,該方法可提升ICT供應(yīng)鏈風(fēng)險的能力[2].
8)GB?T36637—2018GB?T36637—2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險管理指南》于2018年正式發(fā)布.該標準主要針對我國ICT供應(yīng)鏈安全問題���,旨在提升網(wǎng)絡(luò)運營者的ICT供應(yīng)鏈安全管理水平�����,切實保障我國重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供應(yīng)鏈安全風(fēng)險.
同時ICT產(chǎn)品���、服務(wù)的供應(yīng)方、需求方也可通過落地該標準���,極大地提升供應(yīng)鏈安全管理能力���,第三方測評機構(gòu)在對ICT供應(yīng)鏈開展安全風(fēng)險評估時也可參考此標準[3].綜上所述��,現(xiàn)有的ICT供應(yīng)鏈標準往往是從技術(shù)或流程方面開展研究����,如關(guān)注風(fēng)險管理或關(guān)注供需關(guān)系.因此要建立符合不同應(yīng)用場景��、不同行業(yè)的ICT供應(yīng)鏈安全標準體系�,如5G領(lǐng)域供應(yīng)鏈安全標準.
3國內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施安全標準進展分析
關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源����、交通、水利��、金融����、公共服務(wù)�����、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的�����,以及其他一旦遭到破壞��、喪失功能或者數(shù)據(jù)泄露可能嚴重危害國家安全����、國計民生�����、公共利益的重要網(wǎng)絡(luò)設(shè)施�、信息系統(tǒng)等[4].因此,5G供應(yīng)鏈安全應(yīng)劃入關(guān)鍵信息基礎(chǔ)設(shè)施安全的保護范圍�,其相關(guān)標準也應(yīng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全標準要求相符合.
1)歐盟歐盟于2004年成立歐盟網(wǎng)絡(luò)與信息安全局(ENISA),用以應(yīng)對日益嚴峻的網(wǎng)絡(luò)與信息安全挑戰(zhàn)�����,該組織是歐盟最高網(wǎng)絡(luò)安全常規(guī)機構(gòu)���,負責(zé)管理歐盟信息安全事務(wù).
ENISA于2014年發(fā)布《識別關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)和資產(chǎn)的方法論》���,文章指明了如何識別關(guān)鍵信息基礎(chǔ)設(shè)施中的服務(wù)和資產(chǎn)���,并提供了識別的步驟及方法.2016年,ENISA發(fā)布了《保護關(guān)鍵信息基礎(chǔ)設(shè)施的考量�����、分析和建議》和《數(shù)字服務(wù)提供商實施最低安全控制措施技術(shù)指南》����,分別從開展公私合作、風(fēng)險評估�����、安全事件演練�����、信息共享和建立控制措施等方面提出標準化建議.
此外�,ENISA還在工控系統(tǒng)、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施���、智能電網(wǎng)�、健康醫(yī)療、金融���、船舶等領(lǐng)域發(fā)布了相關(guān)安全規(guī)定.2017年11月�����,ENISA發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》����,該報告基于前期發(fā)布的專項報告�,通過分析物聯(lián)網(wǎng)的安全需求�、威脅態(tài)勢、風(fēng)險趨勢��,設(shè)置了物聯(lián)網(wǎng)安全基線���,提出切實可行的對策����,旨在指導(dǎo)歐洲在關(guān)鍵信息技術(shù)設(shè)施領(lǐng)域如何應(yīng)用物聯(lián)網(wǎng).
2)美國2013年美國政府啟動保護關(guān)鍵基礎(chǔ)設(shè)施信息安全戰(zhàn)略.2014年NIST起草的《提升美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架規(guī)范》正式出臺�����,該規(guī)范提出了一個美國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護基礎(chǔ)框架,包括識別���、保護����、監(jiān)測����、響應(yīng)和恢復(fù)5個層面.框架引用了國際標準、行業(yè)標準���、團體標準相關(guān)條款以及NIST的特別出版物���,并進一步考慮了如何通過對框架的完善實現(xiàn)對標準體系的擴充.
2017年NIST發(fā)布了《提供關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全路線圖V1.1(草案)》,路線圖提出了在關(guān)鍵基礎(chǔ)實施框架下一步工作中計劃延展的12個領(lǐng)域��,包括:網(wǎng)絡(luò)攻擊生命周期�����、網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理�、網(wǎng)絡(luò)安全人員、一致性評估�、隱私管理����、身份管理等.為支撐該框架�����,美國能源部和國土安全部聯(lián)合開發(fā)了網(wǎng)絡(luò)安全能力成熟度模型(C2M2)�����,從10個安全域?qū)M織內(nèi)網(wǎng)安全實踐實現(xiàn)情況和制度化程度進行安全能力評估[5].
3)中國為配合《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》的制定與實施�����,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護基本要求》等8項標準正在積極研制中���,標準族從邊界識別、安全控制措施����、安全框架、安全保障�����、安全防護、安全應(yīng)急等方面提供了體系化的管理架構(gòu)���,為各部門實施行業(yè)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全管理提供標準支撐[6]:
�����、佟缎畔踩夹g(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力評價方法》從關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護的過程維度�����,該標準將關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力成熟度分成4個等級����,規(guī)定了不同級別應(yīng)進行的基本實踐和能力要求�,給出了不同成熟度的評價指標.可用于指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運營者對其網(wǎng)絡(luò)安全防護能力成熟度進行全面評估,為進一步提升網(wǎng)絡(luò)安全防護能力提供參考和依據(jù).
�����、凇缎畔踩夹g(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》該標準給出了基于信息流的關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法����,可將組成關(guān)鍵信息基礎(chǔ)設(shè)施的重要軟硬件設(shè)備、系統(tǒng)識別出來�,明確保護對象�,確定保護范圍.為關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別工作提供參考.
��、邸缎畔踩夹g(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》該標準規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運營者在識別認定��、安全防護����、檢測評估、監(jiān)測預(yù)警����、事件處置等環(huán)節(jié)應(yīng)實施的安全控制措施.關(guān)鍵信息基礎(chǔ)設(shè)施運營者根據(jù)自身具體情況和識別的安全風(fēng)險,選擇應(yīng)采取的安全控制措施��,確保將安全風(fēng)險控制在可接受的范圍.相關(guān)安全控制措施也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作部門和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的其他參與者參考.
�����、堋缎畔踩夹g(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》該標準規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施識別認定��、安全防護���、檢測評估、監(jiān)測預(yù)警�、事件處置等環(huán)節(jié)的基本要求.主要用于關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)劃設(shè)計���、開發(fā)建設(shè)、運行維護�����、退役廢棄等階段的安全保護工作�,可適用于關(guān)鍵信息基礎(chǔ)設(shè)施運營者,也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作部門��、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的其他參與者參考.
����、荨缎畔踩夹g(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標體系》該標準適用于關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評價工作,用于評價關(guān)鍵信息基礎(chǔ)設(shè)施安全保障狀況的指標及其釋義.為負責(zé)國家行業(yè)主管或監(jiān)管部門判斷信息安全態(tài)勢提供支撐�,為關(guān)鍵信息基礎(chǔ)設(shè)施的運營者信息安全保障工作的實施和改進提供支持.
⑥《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估指南》該標準給出了關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估工作的方法�、流程和內(nèi)容.適用于網(wǎng)信部門和有關(guān)部門開展關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估,也適用于關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展安全自查評估.
��、摺缎畔踩夹g(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控制評估方法》該標準規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施安全控制評估的原則�、原理、實施流程�����,提出了針對關(guān)鍵信息基礎(chǔ)設(shè)施中16類安全控制族的評估方法,以及關(guān)鍵信息基礎(chǔ)設(shè)施安全控制的綜合評估方法.該標準適用于信息安全測評服務(wù)機構(gòu)����、關(guān)鍵信息基礎(chǔ)設(shè)施的主管部門及運營單位對關(guān)鍵信息基礎(chǔ)設(shè)施所具備的安全控制能力進行測試評估.網(wǎng)絡(luò)安全監(jiān)管職能部門依法進行的關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)督檢查可以參考使用.
⑧《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)機構(gòu)通用要求》通過對政府部門����、事業(yè)單位、研究機構(gòu)�����、國有大型企業(yè)等關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)單位和運營單位對關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)機構(gòu)的實際需求進行研究�����,識別關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)機構(gòu)的通用要求��,提出通用能力描述框架�����,構(gòu)建完備的關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)認證體系����,為構(gòu)建良性的關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)認證體系奠定基礎(chǔ).目前各國關(guān)鍵信息基礎(chǔ)設(shè)施標準中缺乏供應(yīng)鏈安全標準,需制定相關(guān)標準�����,為關(guān)鍵信息基礎(chǔ)設(shè)施進行統(tǒng)籌建設(shè)提供指導(dǎo).
4國內(nèi)外5G安全標準進展分析
5G供應(yīng)鏈涉及5G設(shè)備����、組件、元器件����、儀器儀表、生產(chǎn)裝備�、原材料等多方面供需關(guān)系,對5G產(chǎn)品或服務(wù)的開發(fā)���、設(shè)計��、運營提出了全方位要求.5G供應(yīng)鏈安全以5G安全為基礎(chǔ)展開�����,在5G安全的基礎(chǔ)上�����,從全供應(yīng)鏈角度進行完善與補充.分析5G安全標準的要求��,可以有效識別未來5G供應(yīng)鏈安全標準關(guān)注重點.
1)ISO27000國際標準化組織ISO?IECJTC1SC27(信息安全���、網(wǎng)絡(luò)安全和隱私保護分技術(shù)委員會)發(fā)布的ISO27000《信息技術(shù)安全技術(shù)信息安全管理系統(tǒng)》系列標準�,明確了如何在組織內(nèi)部建立一個成熟的信息安全管理體系.其中���,ISO?IEC27005《信息技術(shù)安全技術(shù)信息安全風(fēng)險管理》標準介紹了一般性的風(fēng)險管理過程���,并給出了根據(jù)不同通信系統(tǒng)以及不同安全問題和威脅選擇控制措施的方法.ISO?IEC27005被歐盟用于開展5G網(wǎng)絡(luò)安全風(fēng)險評估[7].
2)ITU-T5G相關(guān)標準國際電信聯(lián)盟電信標準化部門(ITU-T)針對5G網(wǎng)絡(luò)安全基礎(chǔ)、IT化網(wǎng)絡(luò)設(shè)施安全�����、網(wǎng)絡(luò)安全�、數(shù)據(jù)安全和安全運營管控進行了一系列的標準研究.包括:①ITU-TX.5Gsec-guide《基于ITU-TX.805的5G通信系統(tǒng)安全導(dǎo)則》主要針對基于ITU-TX.805的5G通信系統(tǒng)展開安全研究,通過結(jié)合該系統(tǒng)在運用邊緣計算����、網(wǎng)絡(luò)虛擬化、網(wǎng)絡(luò)切片等技術(shù)時所產(chǎn)生的特點��,研究其在3GPP網(wǎng)絡(luò)架構(gòu)和非3GPP網(wǎng)絡(luò)架構(gòu)下的安全威脅和安全能力.
②ITU-TX5Gsec-ecs《5G邊緣計算服務(wù)的安全框架》根據(jù)5G邊緣計算的部署方式以及典型的應(yīng)用場景�����,分析5G邊緣計算的安全威脅����、安全需求����,提出5G邊緣計算服務(wù)安全框架.③ITU-TX.5Gsec-t《5G生態(tài)系統(tǒng)中基于信任關(guān)系的安全框架》研究5G生態(tài)系統(tǒng)中的信任關(guān)系和安全邊界,制定5G生態(tài)系統(tǒng)的安全框架[8].
3)3GPP5G相關(guān)標準第三代合作伙伴計劃標準化組織(3GPP)聚焦在5G基礎(chǔ)共性�����、應(yīng)用與服務(wù)安全和IT化網(wǎng)絡(luò)設(shè)施安全等方面.
3GPP在5G網(wǎng)絡(luò)安全領(lǐng)域重點
標準包括:①3GPPTS33.501《5G系統(tǒng)的安全架構(gòu)和流程》規(guī)定了5G系統(tǒng)的安全架構(gòu)和流程���,確定5G安全框架分為接入域安全��、網(wǎng)絡(luò)域安全�、用戶域安全��、應(yīng)用域安全���、服務(wù)域安全���、安全可視化和配置安全6個域.②3GPPTR33.841《256位算法對5G的支持研究》中指出��,基于5G復(fù)雜�、眾多的應(yīng)用場景�����,應(yīng)將256b密鑰算法引入到5G系統(tǒng)[9].
�、3GPPTS33.535《在5G中基于3GPP憑證的應(yīng)用程序的身份驗證和密鑰管理》,以5G物聯(lián)網(wǎng)場景下的應(yīng)用層接入認證和安全通道建立為切入點�,考慮到5G在物聯(lián)網(wǎng)、垂直行業(yè)��、車聯(lián)網(wǎng)����、超可靠低時延特性、位置服務(wù)等方面的安全威脅及需求開展研究��,制定并評估了對應(yīng)的解決方案[10].
��、3GPPTR33.813《網(wǎng)絡(luò)切片增強的安全性研究》針對5G網(wǎng)絡(luò)設(shè)備的安全保障����、5G網(wǎng)絡(luò)引入服務(wù)化接口安全����、5G網(wǎng)絡(luò)中偽基站安全���、5G切片安全等問題,研究了5G移動通信網(wǎng)網(wǎng)絡(luò)切片的安全增強技術(shù)��,包括網(wǎng)絡(luò)切片安全特性���、關(guān)鍵問題��、安全需求及解決方案[11].
4)NISTSP800SP800是NIST發(fā)布的一系列關(guān)于信息安全的指南.其中NISTSP800-53《信息系統(tǒng)和組織的安全和隱私控制》�、NISTSP800-207《零信任架構(gòu)》����、NISTSP800-82《工業(yè)控制系統(tǒng)安全指南》、NISTSP800-160《網(wǎng)絡(luò)安全工程技術(shù)指南》等分別針對控制措施和隱私保護�����、零信任架構(gòu)�、工業(yè)控制系統(tǒng)安全�、安全工程技術(shù)等�,提供了與5G網(wǎng)絡(luò)安全部署應(yīng)用相關(guān)的安全實施指南.此外,NIST正在推進《5G網(wǎng)絡(luò)安全實踐指南》的制定.該指南向5G網(wǎng)絡(luò)運營商和用戶提出減緩5G網(wǎng)絡(luò)安全風(fēng)險的方法�,以幫助使用5G網(wǎng)絡(luò)的組織、網(wǎng)絡(luò)運營商和設(shè)備供應(yīng)商提高安全能力�,并為電信和公共安全界提供參考.
5)國內(nèi)5G相關(guān)標準全國信息安全標準化技術(shù)委員會(TC260)針對5G網(wǎng)絡(luò)安全推動了《5G網(wǎng)絡(luò)安全標準體系》研究,涵蓋安全基礎(chǔ)共性�、終端安全、IT化網(wǎng)絡(luò)設(shè)施安全�����、應(yīng)用與服務(wù)安全�、數(shù)據(jù)安全和安全運營管理等方面,并持續(xù)完善相關(guān)配套標準.全國通信標準化技術(shù)委員會(TC485)正在推進關(guān)于5G網(wǎng)絡(luò)相關(guān)標準的研究�,在研標準主要涵蓋基礎(chǔ)共性、通信網(wǎng)絡(luò)安全等方面.
如:《5G移動通信網(wǎng)通信安全技術(shù)要求》主要圍繞5G移動通信網(wǎng)中的通信安全總體技術(shù)要求展開研究���,為運營商和監(jiān)管機構(gòu)在5G安全方面工作的開展提供技術(shù)參考;《5G移動通信網(wǎng)絡(luò)設(shè)備安全保障要求核心網(wǎng)網(wǎng)絡(luò)功能》《5G移動通信網(wǎng)絡(luò)設(shè)備安全保障要求基站設(shè)備》主要圍繞5G設(shè)備安全���,從核心網(wǎng)網(wǎng)絡(luò)功能、基站設(shè)備等方面�,對5G移動通信網(wǎng)絡(luò)設(shè)備安全提出保障要求.中國通信標準化協(xié)會(CCSA)發(fā)布的5G網(wǎng)絡(luò)安全相關(guān)行業(yè)標準YD?T3628—2019《5G移動通信網(wǎng)安全技術(shù)要求》,明確了對5GSA網(wǎng)絡(luò)和NSA網(wǎng)絡(luò)的基本安全要求���,包括5G網(wǎng)絡(luò)安全架構(gòu)�����、安全需求��、安全功能實現(xiàn)等.
在研標準《5G網(wǎng)絡(luò)中的IPSec需求和方案研究》主要圍繞5G網(wǎng)絡(luò)中的IPSec需求和方案開展研究.在研標準《5G數(shù)據(jù)安全總體技術(shù)要求》從5G業(yè)務(wù)應(yīng)用����、5G終端設(shè)備、5G無線接入����、5G核心網(wǎng)等方面規(guī)定了5G數(shù)據(jù)安全的總體技術(shù)要求.在研標準《5G移動通信網(wǎng)通信管制技術(shù)要求》主要關(guān)注5G移動通信網(wǎng)通信管制技術(shù)要求.綜上�����,已發(fā)布及在研的5G安全相關(guān)標準多聚焦于5G網(wǎng)絡(luò)安全�����、5G技術(shù)安全�、5G設(shè)備安全,缺少從5G供應(yīng)鏈全局部署的標準意見.因此急需制定5G供應(yīng)鏈相關(guān)標準�����,彌補此項空缺.
5我國5G供應(yīng)鏈安全標準化建議
目前我國對5G安全、ICT供應(yīng)鏈安全�����、關(guān)鍵信息基礎(chǔ)設(shè)施安全方面均已有體系化的標準研究���,但5G供應(yīng)鏈安全相關(guān)標準仍較為匱乏���,尤其是缺乏有效的5G供應(yīng)鏈安全風(fēng)險評估機制和手段[12].
因此需要結(jié)合ICT供應(yīng)鏈安全要求、關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全要求�、5G應(yīng)用場景安全要求等,制定和完善5G供應(yīng)鏈安全標準.同時����,為貫徹落實網(wǎng)絡(luò)強國戰(zhàn)略,落實《中華人民共和國網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全審查辦法》有關(guān)開展關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全評估的要求�����,支撐國家網(wǎng)絡(luò)安全審查工作機制的落地執(zhí)行�����,建議加強5G供應(yīng)鏈安全評估標準研制,建立一套完備且系統(tǒng)的�、可行的、具有可操作性的5G供應(yīng)鏈安全評估工作的指標體系[13]:
1)充分借鑒ICT供應(yīng)鏈安全���、關(guān)鍵信息基礎(chǔ)設(shè)施安全���、5G安全相關(guān)標準,重點圍繞供應(yīng)鏈安全開展標準研究�����,針對關(guān)鍵芯片和模組生產(chǎn)企業(yè)��、5G通信基礎(chǔ)設(shè)施相關(guān)的無線基站系統(tǒng)設(shè)備制造企業(yè)�、網(wǎng)絡(luò)設(shè)備制造企業(yè)��、儀器儀表生產(chǎn)企業(yè)��、網(wǎng)絡(luò)規(guī)劃設(shè)計企業(yè)���、網(wǎng)絡(luò)運營企業(yè)��、網(wǎng)絡(luò)運行維護企業(yè)�、終端及應(yīng)用場景相關(guān)廠商,提出不同的安全保障要求�����,確保5G供應(yīng)鏈上下游運行同步安全.
2)配套研究5G供應(yīng)鏈安全相關(guān)評估方法���、審計要求�、風(fēng)險管理等系列標準����,形成體系化標準規(guī)定,確保5G供應(yīng)鏈安全要求在5G產(chǎn)業(yè)鏈運行過程中可以有效實施與應(yīng)用.
3)選取供應(yīng)鏈安全風(fēng)險最為突出和急迫的5G產(chǎn)業(yè)領(lǐng)域�,積極推進5G供應(yīng)鏈安全標準應(yīng)用試點工作,驗證標準研究成果����,遴選出應(yīng)用效果優(yōu)良的標準項目,實時進行標準成果轉(zhuǎn)化和推廣應(yīng)用���,為實施有效的具有可操作性的ICT供應(yīng)鏈安全風(fēng)險評估和管理體系提供有益參考.通過開展5G供應(yīng)鏈安全標準研制����,有效解決5G供應(yīng)鏈安全無標準、無體系�����、無依據(jù)的被動局面���,推動各方提升供應(yīng)鏈安全管理水平��,更好地提供5G產(chǎn)品和服務(wù)�����,在保障5G安全以及國家網(wǎng)絡(luò)空間安全等方面發(fā)揮積極作用.
參考文獻:
[1]胡影����,孫彥���,任澤君.GB?T36637—2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險管理指南》標準解讀[J].保密科學(xué)技術(shù)��,2019(5):16-18
[2]陶麗雯,趙改俠���,謝宗曉.ICT供應(yīng)鏈安全風(fēng)險管理政策標準化綜述及分析[J].網(wǎng)絡(luò)空間安全�,2019,10(4):1-8
[3]汪麗.ICT供應(yīng)鏈安全標準化體系及實踐應(yīng)用[J].信息安全與通信保密�����,2020(4):6-9
[4]國務(wù)院.國令第745號:關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例[OL].[2021-09-30].
[5]王惠蒞��,劉念源.關(guān)鍵信息基礎(chǔ)設(shè)施安全相關(guān)政策及標準化研究[J].信息技術(shù)與標準化���,2020(11):44-47
[6]李瑾.加強關(guān)鍵信息基礎(chǔ)設(shè)施安全的保衛(wèi)���、保護和保障筑牢網(wǎng)絡(luò)安全基石———專訪公安部網(wǎng)絡(luò)安全保衛(wèi)局一級巡視員、副局長郭啟全[J].警察技術(shù)��,2021(1):4-7
[7]謝宗曉��,許定航.ISO?IEC27005:2018解讀及其三次版本演化[J].中國質(zhì)量與標準導(dǎo)報��,2018(9):16-18
[8]全國信息安全標準化技術(shù)委員會通信安全標準組.5G網(wǎng)絡(luò)安全標準化白皮書[S].北京:中國標準出版社���,2021
[9]EvansTP.Studyonthesupportof256-bitalgorithmsfor5G[EB?OL].2019-3[2021-09-30].
作者:張祺琪1韓曉露2段偉倫2
轉(zhuǎn)載請注明來自發(fā)表學(xué)術(shù)論文網(wǎng):http:///dzlw/29451.html
