护航“新基建”，加强5G安全标准及评测体系研究

文│ 中国信息通信研究院安全研究所重要通信研究部副主任 IMT-2020(5G)推进组安全工作组组长 杨红梅

当前，全球信息网络进入5G时代，5G网络将打通人与物、现实与虚拟间的联接，实现真正意义的 “万物互联”。今年突如其来的新冠疫情，加快了5G应用落地步伐，在远程医疗、公共监控、智慧教育、远程办公、巡检物流等领域发挥了重要作用。

由于5G安全问题可能会波及 工业、交通和智慧城市等关系国家命脉的重要行业领域，一旦安全管理制度、技术手段等不能满足5G网络及业务发展需求，将带来严重的社会影响，所以5G网络安全的重要性将超过以往任何一代网络，已成为全球关注的焦点。5G安全问题是全球各国都面临的共同挑战，亟需凝聚全球统一共识，加快推进5G安全国际标准，构建互信互认的5G安全评估认证体系，共同应对5G安全风险，护航5G网络及应用健康发展。

一、“新基建”与新安全

以5G网络为核心的新一代信息通信网络基础设施 ，成为数字经济发展的关键支撑。加快5G等新型基础设施建设，既能有效推动技术创新突破，也将助力传统产业转型升级，支撑现代化经济体系的建设。5G网络引入了新技术、新业态，面临着新的安全风险和挑战，在推动5G创新发展的基础上，需要有效防范、控制和化解安全风险。

近年来，西方发达国家在加快5G发展的同时，越来越重视5G安全问题，甚至上升到国家战略的高度。密集发布5G安全风险评估报告、安全威胁图谱、风险消减工具箱、5G安全法案、5G安全国家战略，并整合全行业的产品和技术力量构建5G网络安全示范平台、成立5G测试中心，推动5G安全评估认证等相关工作落地实施。

我国工业和信息化部发布《关于推动5G加快发展的通知》，全力推进5G网络建设、应用推广、技术发展和安全保障。目前，我国5G发展在技术标准、产业体系、网络建设方面已经具有领先优势，但同时也面临着一些挑战，比如国际环境复杂严峻、端到端产业链尚未完全成熟、5G行业应用暂未形成可复制的解决方案和清晰的商业模式、5G网络新技术新业态导致网络安全和数据安全的风险点增多等。

2020年2月，在工信部指导下，中国信息通信研究院和IMT-2020(5G)推进组联合发布了我国《5G安全报告》，引导5G产业链各环节全面客观地认识5G安全问题并采取科学的思路和措施加以应对，加快制定5G安全相关标准，开展5G安全评测，推动标准和产品成熟，促进5G产业快速健康发展。

二、5G安全国际标准进展情况

5G安全国际标准与5G发展相关标准基本保持同步。5G安全国际标准化工作主要在3GPP（第三代合作伙伴）、GSMA（全球移动通信系统协会）、ITU-T（国际电信联盟电信标准分局）、ISO（国际标准化组织）、ETSI（欧洲电信标准化协会）等国际组织中开展。其中，ITU主要定义5G愿景和关键能力，3GPP、ETSI等重点制定5G安全架构和流程、5G安全技术方案，GSMA聚焦产业需求和实现，目标是推动产业发展。另外，还有一些国家或区域性组织，比如CCSA（中国通信标准化协会）、日本的ARIB（无线工业及商贸联合会）、韩国的 TTA（电信技术协会）等，积极推动国家与区域性5G安全标准发展，抢占新技术战略制高点。

1. 3GPP

3GPP分阶段制定5G安全标准。其中，R15版本规定5G安全基本机制与功能，于2018年6月完成了eMBB场景的相关安全标准；由于受到R5版本冻结时间推迟以及疫情影响，R16版本的完成时间比原计划推迟了6个月，于2020年7月正式冻结。R16版本是历史上第一个通过线上会议审议完成技术标准，它基于R15安全基础架构，提升原有能力并拓展新能力，面向mMTC和uRLLC场景进行安全优化，覆盖了三大场景的安全技术要求，包括切片安全、固移融合、垂直行业&LAN（本地接入网）安全、5G IoT（物联网）安全、安全能力服务开放等，并提供5G网络设备的安全保障能力，为我国5G新基建注入了新动能。R17阶段将围绕MEC平台安全解决方案、5G垂直行业安全、5G统一安全认证标准演进开展研究工作，计划2021年6月完成。

2. GSMA

为了协助运营商确定网络设备的安全水平，降低商业风险，GSMA联合3GPP共同制定了网络设备安全保障计划（NESAS）。该计划包含产品管理流程安全审计和产品安全检测两部分内容。

GSMA 管理整个NESAS计划，定义并维护NESAS规范，侧重评估活动的管理和程序要求，包括供应商开发和产品生命周期过程的认证，测试实验室认证，以及网络设备的安全评估。另外还定义了争议解决流程，于2019年10月发布1.0版本，NESAS 2.0将对1.0版本进行补充完善，并在第三方组件漏洞管理、漏洞修复、供应链安全审计需求等方面开展研究。

产品管理流程安全审计部分涉及的标准有：网络设备安全保障计划（NESAS）总体概述（GSMA FS.13），安全测试实验室认证需求及流程（GSMA FS.14），设备商开发及产品生命周期审计方法（GSMA FS.15），设备商开发及产品生命周期安全需求（GSMA FS.16）。

3GPP 在安全保障规范（SCAS）中规定了实现移动网络功能的网络产品的安全要求和测试用例，该系列标准已于2019年9月完成。SCAS系列标准中的测试内容主要包括：安全技术基线要求、操作系统安全、Web服务安全、网络设备安全、基本脆弱性。

3. ITU

ITU-T SG17研究组（数据网络和电信软件研究组）聚焦安全、网络、通信软件相关研究。在5G安全方面，重点研究5G通信系统安全指南，提供有关信息安全治理的概念和原则；电信运营商数据全生命周期的各个阶段面临的安全威胁及风险，并提出相应的安全技术要求；此外还涉及5G边缘计算安全、信任模型和量子算法等方向。

4. ETSI

ETSI由 TC CYBER（网络安全）负责网络安全领域相关工作，包括研究网络安全需求、制定网络安全标准、与外部团体（如ENISA）协作以及响应网络安全和信息和通信技术部门安全相关的政策要求等。

目前ETSI已发布了一系列NFV安全相关的标准，涵盖NFV存在的安全问题、NFV相关开源管理软件安全使用建议、敏感数据的保护机制和建议等。此外，还研究VNF套件、NFV系统的自动动态安全策略管理、安全功能全生命周期管理以及安全监测功能等的安全需求。

5. ISO

安全方面，ISO主要开展了针对加密算法、设备和服务之间的连接安全建议，网络虚拟化安全的风险分析，提供网络虚拟化安全的框架并提出实施指南以及供应链安全管理体系规范等。

三、5G安全国内标准

1.标准组织

5G安全相关国内标准组织主要有中国通信标准化协会（CCSA）、全国通信标准化技术委员会（TC485）、全国信息安全标准化技术委员会（TC260）等。

CCSA TC5WG5（无线通信技术委员会/无线安全与加密）、TC8（网络与信息安全委员会）以及NTC4（电信网安全防护特设组）研究制定5G安全相关研究报告和行业标准。全国通信标准化技术委员会（TC485）和全国信息安全标准化技术委员会（TC260）研究制定5G安全相关国家标准。

2. 5G安全标准体系

在CCSA制定的《5G移动通信网安全总体框架及标准体系》中，将我国5G安全技术标准分为通用与基础技术类标准、基础设施安全类标准、终端与设备安全类标准、网络安全类标准、信息与数据安全类标准以及应用安全类标准等。体系框架如图所示。

该标准体系中的各类标准分别在CCSA、TC485、TC260中进行研究制定。

四、IMT-2020(5G)推进组安全工作组

2019年11月，IMT-2020(5G)推进组成立了安全工作组，重点推进5G安全技术研究与标准化相关工作，组织开展5G设备、网络及应用安全测试验证，促进5G安全标准与产品成熟。推进组规范经测试验证成熟后，将成果输入到CCSA\TC485\TC260，从而形成行业标准\国家标准。

2020年5月，安全工作组发布了5G设备安全系列测试规范：《5G安全试验设备安全保障测试规范-通用部分》《5G安全试验设备安全保障测试规范-核心网设备》以及《5G安全试验设备安全保障测试规范-基站》。依据该系列测试规范，中国信息通信研究院牵头，组织运营商、设备商共同开展5G设备安全性测试，预计2020年底完成全部测试。

安全工作组后续研究方向包括：5G安全评测体系、5G行业应用安全分级指南、5G组网安全、切片安全、MEC安全、业务安全以及伪基站检测与防御等。

五、5G安全评测

1. NESAS评估认证

GSMA为了促进产业相关方对网络设备的安全性达成共识，确保网络设备制造与运营安全良性发展，牵头制定了网络设备安全保障计划（NESAS），推动开展网络设备安全评估认证工作。

NESAS评估认证相关工作推进情况：标准方面，NESAS管理规范及3GPP SCAS标准已启动产业实施，标准新版本持续演进；落地实施方面，在欧洲获得产业支持，但目前阶段，审计机构及检测实验室数量较少，已有审计机构有ATSEC、NCC Group，检测实验室有Epoche（西班牙）等，国际认可度有待提高。

2. 我国5G安全评测

我国设备及网络安全检测与审查相关工作主要分以下几大类：设备进网检测、网络关键设备安全检测、关键信息基础设施安全保护、网络安全等级保护、网络安全审查等。

依据的相关文件有：《电信设备进网管理办法》《网络关键设备安全检测实施办法》《关于关键信息基础设施安全保护工作有关事项的通知》《网络安全等级保护条例》《网络安全审查办法》等。

目前，我国正在研究制定5G安全评测相关制度政策、实施办法、技术标准等，积极推进相关工作进展，以确保5G安全与5G发展同步推进。

5G安全评测相关工作推进情况：2020年5月， IMT-2020（5G）推进组安全工作组正式启动了5G设备安全测试工作，为后续5G设备安全相关评测工作奠定基础。5G网络安全、业务安全等相关标准和评估测试工作也在加快推进过程中。

六、结束语

5G技术不仅是提升国家竞争力的重要抓手，也是关乎网络空间安全的关键决定因素，已成为世界各国在新一轮技术博弈中争相抢占的战略制高点。在我国“新基建”历史发展机遇时期，应在加快5G技术发展和网络建设、构筑我国竞争新优势的同时，制定并完善5G安全国际国内标准，加快落实5G安全评测，推动国际互信互认，共同构建5G安全生态，主动防范风险、切实保障网络空间安全，以实现网络安全与5G技术发展互为支撑、协调共进。

（本文刊登于《中国信息安全》杂志2020年第7期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。