《20215G网络安全标准化白皮书word可编辑.docx》由会员分享,可在线阅读,更多相关《20215G网络安全标准化白皮书word可编辑.docx(51页珍藏版)》请在三一办公上搜索。
1、5G网络安全标准化白皮书(2021版)2021年5月目录CONTENTS1弓I言25322.15G概念与应用场景22.25G关健技术与安全特性32.2.1T化网堪设施3222服务化网络架构42.2.3边缘化计算资源52.2.4增强的安全能力635G网络安全政策与标准现状93.15G网络安全法规和政策93.1.1美国93.1.2欧盟93.1.3国内现状103.25G网络安全标准化现状113.2.1国外标准化情况11322国内标准化情况1345G网稣全风险174.1终端安全风险174.2IT化网络设施安全风险174.3通信网络安全风险174.4行咽用安全风险184.6网络运维安全风险1855G网络
2、安全标准框架195.1总体原则195.25G网络安全标准化需求19(1)基础共性类需求19(2)终端安全类需求203)IT化网络设施安全类需求20(4)通信网络安全类需求205)5G业务与应用安全类标准20(6)数据应用安全类需求20(7)网络安全运营类常求205.35G网络安全标准框架215.3.1基础共性类标准215.3.2终端安全类标准225.3.3IT化网络设施安全类标准225.3.4通信网络安全类标准235.3.5应用与服务安全类标准245.3.6数据安全类标准245.3.7安全运营管理类标准245.45G网络安全重点标准研制建议2565G网箍全标准化工作推进建议276.1加快推进5
3、G网络安全标准体系建设与重点标准研制276.2提前布局5G融合应用安全风险与保障研究276.3大力开展5G网络安全标准验证与实施286.4深度参与5G网络安全国际标准化工作28附录A国内外已发布及在研相关标准33附件B5G网络安全标准应用实践案例39附录C术语定义441引言当前,以第五代移动通信技术(以下称5G)为代表的新一轮科技和产业变革正在快速兴起,成为世界各国经济发展的重要技术支撑和全球产业竞争的战略高地。2019年起,全球各大运营商竞相加快5G网络部署,各大机构积极探索5G与重点行业的融合创新。截至2020年底,全球131个国家的412家运营商采取各种方式投资5G,59个国家和区域的1
4、40个运营商己推动5G商用,全球共建成超100万个5G基站。其中,我国累计建成5G基站71.8万个,占比超全球总量的70%,形成全球最大规模的5G网络,实现所有地级以上城市5G网络全覆盖。5G凭借全新的架构,引入网络功能虚拟化、服务化网络架构、边缘计算等新型关键技术,大幅提升了移动网络业务能力,通过超高清视频、智能电网、工业互联网、智慧交通、智慧城市等应用,开启了万物广泛互联、人机深度交互的新时代,为产业数字化、生活智慧化、数字化治理提供有力支撑.在全球范围内5G广泛商用、规模快速扩大的背景下,5G网络安全问题也成为各方关注焦点。5G网络安全包括终端安全、IT化网络设施安全、通信网络安全、行业
5、应用安全、数据安全、网络运维安全等多个方面。虽然5G较4G拥有更为完善的安全特性,但随着5G融合应用的不断深入,又将面临的新网络安全威胁与风险。为促进5G与相关产业的健康安全发展,切实发挥标准在网络安全工作中的基础性、规范性、引领性作用,有效指导和体系化推进相关重点标准研究制定工作,本白皮书在充分调研国内外5G网络安全发展情况的基础上,针对5G典型应用场景和关键环节,研究提出5G网络安全标准框架,给出标准化工作推进建议。25G技术概述2.15G概念与应用场景5G即第五代移动通信技术(The5thGenerationWirelesscommunication),是继2G、3G和4G系统之后的延伸
6、,其设计目标是高数据速率、低传输延迟、提升传输质量、节省能源、降低成本、提高系统容量和大规模设备连接。5G不仅用于人与人之间的通信,还适用于人与物、物与物之间的通信,被视为促进各行业智能化升级、推动数字经济发展的关键技术之一。2015年发布的ITU-RM.2083-0建议书IMTVision-FrameworkandoverallobjectivesofthefuturedevelopmentofIMTfor2020andbeyond提出了5G(IMT-2020)的关键技术特征及指标建议,包括峰值数据速率、用户体验数据速率、频谱效率、移动性、延迟、连接密度、网络能效、区域业务容量等。基于全面提
7、升的网络性能指标,ITU-RM.2083-0建议书进一步定义了5G的三大应用场景:增强移动宽带(EnhancedMobileBroadband,eMBB)、海量机器类通信(MassiveMachineTypeCommunication,mMTC)和超可靠低时延通信(UltraReliableandLowLatencyCommunication,uRLLC),如图1所示。5G结合其三大应用场景,与智慧家庭、智慧城市等社会生活领域结合,与超高清视频和VR/AR等多媒体应用、车联网和工业互联网等行业融合,渗透到生产和生活的各领域,为经济与社会发展注入强劲动力。图1ITU定义的5G关键指标和应用场景增
8、强移动宽带(eMBB)是以人为中心的应用场景,集中表现为超高的传输数据速率,广覆盖下的移动性保证。以常用的视频业务为例,4G网络的平均用户体验速度下行为3050Mbps、上行为68Mbps,能够满足一路高清视频的在线播放需求,无法满足高清直播、多路视频会议的需求;而5G网络的平均用户体验速度下行为100Mbps.上行为50Mbps,用户体验会有明显的提升。海量机器类通信(mMTC)以大规模物联网为应用场景,支持密集环境下的海量机器类通信,使得人与机器、机器与机器的大规模通信成为可能。niiITC的海量体现在两个方面:首先,5G网络可连接的物联网设备量远大于4G,每平方公里可支持100万个连接;
9、其次,联网设备和业务的种类也大大丰富了,支持多种使用不同通信模式的终端,比如:仅作为主叫不作为被叫被寻址的终端、仅在固定时间间隔激活和通信的终端。大部分物联网终端具有资源受限的特点和低功耗工作要求,5G在架构和协议设计上做了优化,简化了连接建立和管理模型,可最大限度降低物联网终端的功耗。超可靠超低时延通信(URLLC)以无人驾驶、远程医疗、智能制造等关键通信为应用场景,必须严格满足业务需求的时延和可靠性。4G网络时延最小只能达到20ms左右,但是5G系统本身可将端到端时延降低到10ms、且在高速移动(500KM/H)情况下保持高可靠性(99.999%)连接。同时,5G系统架构支持边缘计算,可进
10、一步降低业务时延,确保时延敏感场景下高速通信、及时执行命令和发送反馈。2.25G关键技术与安全特性2.2.1IT化网络设施传统移动通信网络基于网元设备实现网络功能。5G在网络基础设施层面引入了包括网络功能虚拟化(NetworkFunctionVirtualization,NFV)、软件定义网络(SoftwareDefinedNetwork,SDN)等IT技术,并支持通过网络切片将网络划分为虚拟专网,从而能够低成本、灵活快速地满足行业应用对网络的高安全性和可定制化需求。网络功能虚拟化:NFV技术实现了计算和存储资源的虚拟化,实现了软件与硬件的解耦,使网络功能不再依赖于专有通信硬件平台、专用操作系
11、统,实现了5G网络基础设施的云化,支持资源的集中控制、动态配置、高效调度和智能部署,缩短网络运营的业务创新周期。软件定义网络:SDN技术实现了通信连接的软件定义,将数据通信设备拆分为控制面和数据面,控制面集中控制并提供可编程接口,实现了根据组网和业务需要灵活定义网络传输通道,可灵活调度流量并编排安全能力。网络切片:网络切片是为满足垂直行业对网络能力可定制化、通信及信息安全可控化的需求而出现的,它可将一个物理网络切分成功能、特性各不相同的多个逻辑网络,同时支持多种业务场景。基于网络切片技术,可以隔离不同业务场景所需的网络资源、提高网络资源利用率。2.2.2服务化网络架构传统移动通信网络架构基于固
12、定网元、固定连接,网络功能的可扩展性受限。为了满足5G时代灵活部署的需要,5G采用了服务化架构(SerViCe-basedArchitecture,SBA),将原有的网元按照“微服务”的理念拆分为松耦合、细粒度的网络功能(NetworkFunction,NF),通过服务调用、服务组合的方式实现核心网的基本功能。5G核心网内的应用功能(ApplicationFunction,AF)指应用层的各种服务,它既可以是运营商内部应用,也可以是第三方应用,其他网元可通过AF的服务化接口Naf对其进行访问。3GPP将5G核心网定义为一个可分解的网络体系结构,引入了控制面和用户面分离,其中核心网用户面采用传统
13、架构和接口,用户面功能(USerPlaneFunction,UPF)负责数据包的路由转发、与外部数据网络的数据交互等,核心网控制面网元采用服务化架构设计,彼此之间通信采用服务化接口,从而提供多个网络功能服务。5G服务化架构中,将网络功能以服务的方式对外提供,不同的网络功能服务之间通过标准接口进行互通,支持按需调用、功能重构,从而提高核心网的灵活性和开放性。如图2所示,5G核心网将控制面拆分为多个网络功能:接入和移动性管理功能(ACCeSSandMobilityManagementFunction,AMF)主要负责终端接入和移动性管理,对应的服务化接口为Namf:会话管理功能(SessionMa
14、nagementFunction,SMF)负责会话管理,对应的服务化接口为Nsmf:策略控制功能(PoIiCyControlFunction,PCF)负责策略管理,对应的服务化接口为Npcf;网络切片选择功能(NetworkSliceSelectionFunction.NSSF)负责判断应该为UE提供何种网络切片服务,对应的服务化接口为Nnssf;网络开放功能(NetworkExposureFunction,NEF)负责开放网络能力给AF,对应的服务化接口为Nnef;网络存储功能(NetworkRepositoryFunction,NRF)负责NF以及NF上提供的服务的统一管理,包括注册、发现
15、、授权等功能,对应的服务化接口为Nnrf:统一数据管理(UnifiedDataManagement5UDM)负责用户数据管理等,对应的服务化接口为Nudmo5G独立组网架构中,SB化的核心网控制面及用户面对外交互时所涉及的业务接口包括:NL控制面与用户终端之间的接口。N2:控制面与无线接入网之间的接口。N3:用户面和无线接入网之间的接口。N4:控制面和用户面之间的接口。N6:用户面和数据网络之间的接口。N9:用户面的漫游接口。图25(;独立组网架构2.2.3边缘化计算资源3G/4G时代,网络服务普遍采用云端协同的方式,即远端的云计算或者云数据中心和终端相互配合完成网络服务的提供和访问。5G时代
16、,大量高可靠低时延业务出现,对网络传输和服务计算的时延效率提出更高需求,边缘计算(MEC,Multi-accessEdgeComputing)的应用需求更为广泛。5G网络本身也支持更加灵活的边缘计算服务。边缘计算作为5G网络新型网络架构的主要特征之一,部署在无线基站、接入机房等网络边缘,通过将计算能力和IT服务环境下沉,就近向用户提供服务,从而构建一个具备高性能、低时延与高带宽的电信级服务环境。边缘计算平台在网络边缘靠近用户的位置上,提供IT服务和云计算的能力,降低核心网的负载开销和用户业务时延,为用户提供本地视频、位置定位、视频质量优化、流量分析等低时延和高带宽业务。边缘计算采用开放应用编程
17、接口(API)、网络功能虚拟化(NFV)等技术,通过边缘节点上应用程序APP对外提供服务。2.2.4增强的安全能力基于前几代移动通信演进过程中发现的安全问题和积累的运维经验,5G网络对安全机制考虑更加充分,具有以下特点:(1)更全面的数据安全保护在数据安全保护方面,5G相对于之前的通信网络对用户数据的完整性保护要求更严格,5G不仅只是对网络信令进行完整性保护,还增强了对用户数据的完整性保护。从3G到4G,系统的设计要求主要是保证系统空口的吞吐效率最大化和时延最小化,通信系统对网络信令进行完整性保护、避免被恶意篡改,对用户数据并未进行完整性保护。在5G通信中,数据应用越来越广泛,对用户数据的完整
18、性保护要求更严格,需要进行更全面的数据安全保护。除信令外,5G通信中对用户数据也可进行完整性保护,确保用户数据在空中接口传输时不会被恶意篡改。(2)更丰富的认证机制支持在认证机制支持方面,5G相对于之前的通信网络具有更丰富的认证机制支持,不仅增强了归属网络对认证的控制,还具有更加灵活的可扩展框架。在3G至4G网络中,所使用的认证与密钥协商(AuthenticationandKeyAgreement,AKA)认证机制具备很高的安全性。AKA协议是3GPP在研究2G安全脆弱性的基础上,针对3G接入域安全需求提出的,其使用挑战应答机制完成用户和网络间的身份认证,同时基于身份认证对通信加密密钥进行协商
19、,通过认证和加密手段更好地预防攻击行为。5G支持多种接入技术(如4G接入、WLAN接入以及5G接入),为了使用户可以在不同接入网间实现无缝切换,5G网络认证一方面继承了AKA框架,在机制和能力上进行增强并形成了5G-AKA,增强归属网络对认证的控制,不仅提供对用户的认证,还提供对访问网络的认证,防止访问网络虚报用户漫游状态、产生恶意扣费等情况。另一方面,5G网络采用统一的认证框架,引入了扩展认证协议(EXtenSibIeAuthenticationProtocol,EAP),其具有较好的灵活性和可扩展性,既可运行在数据链路层上,也可以运行于TCP或UDP协议之上,不仅支持多种认证协议和各种应用
20、场景下的双向身份鉴权,还支持垂直行业的多种已有应用,扩展适配垂直行业应用所需的新认证能力。(3)更严密的用户隐私保护在用户隐私保护方面,5G相对于之前的通信网络具备更严密的加密措施,能在更大力度上保护用户隐私不受侵犯。在2G至4G网络中,通信网络和终端通常使用临时移动用户识别码(TemporaryMobileSubscriberIdentity,TMSI)交互,用于避免国际移动用户识别码(InternationalMobileSubscriberIdentity,IMSI)被攻击者窃取。但当终端初始接入网络,TMSl和IMSl未能同步时,通信网络会请求终端发送IMSl进行认证,IMSl会短暂出
21、现在信道上,攻击者可能获取IMSl并进一步攻击或追踪用户。5G通信网络利用用户卡上存储的归属运营商的公钥对永久用户标识进行加密,不再明文传输国际移动用户识别码。为抵御中间人攻击,归属运营商的公钥直接预置在用户卡内,有效地保护了用户的隐私。其次,在5G通信网络中,切片选择辅助信息NSSAl(NetworkSliceSelectionAssistanceInformation)可区分不同类型的5G网络切片,在用户初始接入网络时,NSSAI知识基站及核心网网元将其路由到正确的切片网络,5G网络可对NSSAl敏感信息进行隐私保护。(4)更灵活的网间信息保护在网间信息保护方面,5G新增了安全边界保护代理
22、(SeCUrityEdgeProteCtiOnProxy,SEPP),能有效保护在网络中互联互通信息的机密性和完整性。在3G/4G系统中,运营商的数量和网络部署规模也在不断扩大,为防止信令在网络间传输过程中被窃听、篡改甚至伪造,3GPP制定了基于域划分的网络域/IP层安全机制、基于公钥基础设施提供认证服务的认证框架协议,以保护网间信息互联互通。在5G网络中引入了SEPP,其作为运营商核心网控制面之间的边界网关,所有跨运营商的信息传输均需要通过SEPP进行处理和转发,SEPP在运营商之间建立TLS安全传输通道,对传输的信息中需要进行保护的字段进行机密性和完整性保护,从而有效防止数据在传输过程中被
23、篡改和窃听。表2-15G网络与4G网络的安全能力对比能力类型4G5G数据安全保护对网络信令进行完整性保护。对网络信令和用户数据进行完整性保护。认证机制支持使用AKA认证机制。使用增强的5G-AKA认证机制,并引入EAP构建更灵活的可扩展框架。用户隐私保护通信网络和终端通常使用临时移动用户识别码TMSI交互。利用用户卡上存储的归属运营商的公钥对永久用户标识进行加密。网间信息保护基于域划分的网络域/IP层安全机制、基于公钥基础设施提供认证服务的认证框架协议。新增了安全边界保护代理SEPP,对传输信息进行机密性和完整性保护。35G网络安全政策与标准现状3.15G网络安全法规和政策3.1.1美国美国力
24、图在5G技术创新、应用发展、安全生态建设等方面占据全球领导地位。2018年9月,美国联邦通信委员会(FCC)发布了“5G加速计划,主要从频谱资源投入、基础设施建设、修订法规三个方面提出了促进5G发展的举措。2018年10月,白宫发布关于制定美国未来可持续频谱战略的总统备忘录,提出美国必须率先实现第五代无线技术(5G)”。2018年12月,国际战略研究中心(CSIS)发布5G将如何塑造创新和安全报告,指出5G技术是下一代数字技术的支柱,将对未来几十年的国际安全和经济产生影响。2019年4月,美国国防部国防创新委员会发布5G生态系统:国防部的风险与机遇,介绍了5G发展历程、目前全球竞争态势以及5G
25、技术对国防部的影响与挑战,并在频谱政策、供应链和基础设施安全等方面提出了建议。2019年5月,美国联合全球30多个国家发布了非约束性政策建议布拉格提案。2020年3月,美国白宫发布了美国5G安全国家战略,正式制定了美国保护5G基础设施的框架,阐明了美国要与最紧密的合作伙伴和盟友共同领导全球安全可靠的5G通信基础设施的开发、部署和管理的愿景。2020年12月,美国国防部发布5G技术实施方案报告,从技术、安全、标准、政策以及应用合作等方面提供5G安全路线图,重点提到计划扩大在包括3GPP在内的标准制定组织中的活动力度;响应国防部方案,美国国家标准与技术研究院(NIST)设立了5G安全演进”项目,并
26、于2021年2月发布5G网络安全实践指南草案,旨在帮助使用5G网络的组织以及网络运营商和设备供应商提高安全能力。3.1.2欧盟欧盟高度重视5G发展,并着力构建各成员国统一的安全框架。早在2015年,欧盟正式公布5G合作愿景(EUvisionfor5GCommunication),力求确保欧洲在下一代移动技术全球标准中的话语权。2017年的发布网络与信息安全指令和2018年发布的欧洲电子通信守则要求成员国针对5G网络和相关基础技术的安全保障尽快制定国家战略,明确战略执行机构、风险评估计划、应急处置措施和部门协作机制等。2019年3月,欧盟批准生效网络安全法案,赋予欧盟网络和信息安全局(ENISA
27、)一项重要任务,即推动建立欧盟首个统一的网络安全认证制度,该认证将适用于欧盟市场的所有信息通信设备、服务和流程(包含5G)。欧盟委员会还通过了5G网络安全建议,呼吁欧盟成员国完成国家风险评估并审查国家安全措施,并在整个欧盟层面共同开展统一风险评估工作,同时就一个通用的缓解措施工具箱进行商议。2019年10月,欧盟遵循ISO/IEC27005信息技术-安全技术-信息安全风险管理中的风险评估方法,分析了5G网络的主要威胁和威胁实施者、受威胁的资产、各种脆弱点以及战略风险,发布了欧盟5G网络安全风险评估报告。2020年1月29日,欧委会通过欧盟5G安全工具箱,通过一系列战略和技术措施解决欧盟5G网络
28、安全风险评估报告中所有己识别出的风险。3,1,3国内现状在我国,党和政府高度重视5G网络技术的发展及应用。中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要指出加快5G网络规模化部署,用户普及率提高到56%,推广升级千兆光纤网络”,“构建基于5G的应用场景和产业生态,在智能交通、智慧物流、智慧能源、智慧医疗等重点领域开展试点示范,体现了国家对于发展5G的决心。2019年6月,工信部发放5G商用牌照,加速推动5G发展应用。2019年11月,工信部印发5G+工业互联网512工程推进方案(工信厅信管(2019)78号),明确到2022年实现一批面向工业互联网特定需求的5G关键技
29、术突破,加快垂直领域5G+工业互联网的先导应用;2020年3月,工信部印发关于推动5G加快发展的通知(工信部通信(2020)49号),全力推进5G网络建设部署,加大5G技术研发力度与应用推广;2020年5月,政府工作报告提出“加强新型基础设施建设,发展新一代信息网络,拓展5G应用”,再次就加快5G网络等新型基础设施建设做出战略部署。在推动5G发展的同时,5G网络安全也被提高到国家战略层面。相关法律法规、政策文件的要求对于加快建设5G安全保障体系,合理规划标准化体系等方面具有重要指导意义。在法律法规层面,网络安全法主要从网络安全责任制、关键信息基础设施保护、个人信息保护三个方面提出保障5G网络安
30、全发展的要求。中华人民共和国电信条例规定,任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动,不得有危害电信网络安全和信息安全的行为。网络安全审查办法要求“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的”,应当通过有关部门组织的国家安全审查”。已被全国人大列入立法计划的数据安全法个人信息保护法也对网络数据提出严格的管理要求。在政策方面,关于推动5G加快发展的通知要求加强5G网络基础设施安全保障、强化5G网络数据安全保护、培育5G网络安全产业生态,构建5G安全保障体系,并要求开展安全评估,积极防范安全风险。2021年3月,工信部科技司在2021年
31、工业和信息化标准工作要点中明确,将推动开展5G及下一代移动通信、网络和数据安全等标准的研究与制定。3.25G网络安全标准化现状3.2.1国外标准化情况3.2.1.1IS0IECJTC1目前,国际标准化组织IS0IECJTClSC27(信息安全、网络安全和隐私保护分技术委员会)己发布的与5G网络安全相关的标准主要集中在信息安全管理、供应链安全管理等方面,在研5G网络安全相关的标准主要聚焦网络虚拟化安全。IS0/IECJTCl在5G网络安全领域的重点标准包括:ISO27000信息技术安全技术信息安全管理系统系列标准明确了在组织内部建立信息安全管理目标,以及完成这些目标所用方法的体系,其中IS0/I
32、EC27005信息技术安全技术信息安全风险管理标准被欧盟用于开展5G网络安全风险评估。IS0IEC27036信息技术安全技术供应商关系信息安全围绕供应商关系信息安全展开研究,主要阐述了ICT供应链信息安全中面临的相关风险,实施信息安全的要求和ICT供应链信息安全的标准内容等.在研标准IS0/IEC27033-7信息技术网络安全第七部分:网络虚拟化安全指南旨在分析网络虚拟化安全性的主要挑战和风险,提供网络虚拟化安全性的框架,并提出针对网络虚拟化设施、虚拟化网络功能、虚拟化控制和资源管理等的安全实施指南。3.2.1.2ITU-T国际电信联盟电信标准化部门(ITU-T)已发布的标准聚焦在IT化网络设
33、施安全领域,主要围绕基于SDN的业务链安全、SDN/NFV网络中软件定义安全。此外,ITU正在针对5G网络安全基础、IT化网络设施安全、网络安全、数据安全和安全运营管控展开标准研究。ITU-T在5G网络安全领域的重点标准包括:ITU-TX.1043基于软件定义网络的服务功能链的安全框架和要求和ITU-TX.1046软件定义网络/网络功能虚拟化网络中的软件定义安全框架两项标准。其中X.1043对基于SDN的业务链安全、网元安全、接口安全、业务链策略管理及相关安全机制进行了规定,X1046提出了SDN/NFV网络的软件定义安全框架,并对框架中组件功能、接口功能以及流程等进行了规定,同时提出了部署实
34、践参考。ITU-TX.5Gsec-guide基于ITU-TX.805的5G通信系统安全导则主要针对基于ITU-TX.805的5G通信系统展开安全研究,通过结合该系统在运用边缘计算、网络虚拟化、网络切片等技术时所产生的特点,研究其在3GPP网络架构和非3GPP网络架构下的安全威胁和安全能力。ITU-TX.5Gsec-ecs5G边缘计算服务的安全框架根据5G边缘计算的部署方式以及典型的应用场景,分析5G边缘计算的安全威胁、安全需求,提出5G边缘计算服务安全框架。ITU-TX.5Gsec-t5G生态系统中基于信任关系的安全框架研究5G生态系统中的信任关系和安全边界,制定5G生态系统的安全框架。3.2
35、.1.33GPP第三代合作伙伴计划标准化组织(3GPP)聚焦在5G基础共性、应用与服务安全和IT化网络设施安全等方面。3GPP在5G网络安全领域重点标准包括:在安全基础共性方面,发布了3GPPTS33.5015G系统的安全架构和流程、3GPPTR33.841256位算法对5G的支持研究、3GPPTR33.834长期密钥更新程序(LTKUP)的研究三项基础共性类标准,分别对5G系统的安全架构和流程、256比特密钥长度和密码算法、长期密钥更新等进行了规定。在IT化网络设施方面,3GPPTR33.848虚拟化对安全性的影响研究分析了虚拟化对网络架构的影响,安全威胁和相应的安全需求。3GPPTR33.
36、818适用于3GPP虚拟网络产品的安全保证方法(SECAM)和安全保证规范(SCAS)针对虚拟化网络产品的安全保障方法展开研究和分析。在应用与服务安全方面,发布了3GPPTS33.535在5G中基于3GPP凭证的应用程序的身份验证和密钥管理,该标准以5G物联网场景下的应用层接入认证和安全通道建立为切入点,研究了利用5G网络安全凭证为上层应用提供认证和会话密钥管理能力的解决方案。针对5G在物联网、垂直行业、位置服务、车联网、超可靠低时延特性等方面的安全威胁及需求,展开了研究制定并评估了对应的解决方案。在通信网络方面,3GPPTR33.813网络切片增强的安全性研究针对5G网络设备的安全保障、5G
37、网络引入服务化接口安全、5G网络中伪基站安全、5G切片安全等问题,研究了5G移动通信网网络切片的安全增强技术,包括网络切片安全特性、关键问题、安全需求及解决方案。3.2.1.4NIST美国国家标准与技术研究院(NIST)提出了NISTSP800-37信息系统和组织的风险管理框架,定义了信息系统风险管理框架,可用于指导5G网络的安全部署应用。NISTSP800-53信息系统和组织的安全和隐私控制、NISTSP800-207零信任架构、NISTSP800-82工业控制系统安全指南、NISTSP800-160网络安全工程技术指南等分别针对控制措施和隐私保护、零信任架构、工业控制系统安全、安全工程技术
38、等提供了与5G网络安全部署应用相关的安全实施指南.此外,NIST正在推进5G网络安全实践指南的制定,目前己完成了相关草案的编制。该指南向5G网络运营商和用户提出减缓5G网络安全风险的方法,包括通过增强系统的体系结构组件、启用5G标准中引入的安全功能、提供基于云的安全支持基础架构等安全措施,以帮助使用5G网络的组织、网络运营商和设备供应商提高安全能力,并为电信和公共安全界提供参考。3.2.2国内标准化情况3.2.2.1强制性国家标准国家标准化管理委员会于2021年2月发布了强制性国家标准GB40050-2021网络关键设备安全通用要求,该标准主要用于落实网络安全法中第二十三条中关于网络关键设备安
39、全的要求,为5G网络设备的安全性提供了技术保障和依据。标准主要内容包括了网络关键设备的安全功能要求和安全保障要求。其中,安全功能要求聚焦于设备的技术安全能力,安全保障要求则对网络关键设备提供者在设备全生命周期的安全保障能力提出要求。3.2.2.2TC260推荐性国家标准在5G网络安全标准研究方面,全国信息安全标准化技术委员会(TC260)针对5G网络安全推动了5G网络安全标准体系研究,涵盖了安全基础共性、终端安全、IT化网络设施安全、应用与服务安全、数据安全和安全运营管理等方面,并持续完善相关配套标准。TC260在5G网络安全领域相关的重点标准包括:在基础共性方面,GB/T22239-2019
40、信息安全技术网络安全等级保护基本要求,规定了第一级到第四级等级保护对象的安全保护的安全通用要求和安全扩展要求,用于指导网络运营者按照网络安全等级保护制度的要求,履行网络安全保护义务。在终端安全方面,GB/T30284-2020信息安全技术移动通信智能终端操作系统安全技术要求、GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法、GB/T35278-2017信息安全技术移动终端安全保护技术要求、GB/T37093-2018信息安全技术物联网感知层接入通信网的安全要求分别对通用固件和操作系统安全、移动智能终端安全、终端侧应用软件安全开展了研究。在IT化网络设施安全
41、方面,TC260已发布标准主要聚焦于云平台安全,GB/T31167-2014信息安全技术云计算服务安全指南、GB/T35279-2017信息安全技术云计算安全参考架构、GB/T34942-2017信息安全技术云计算服务安全能力评估方法、GB/T31168-2014信息安全技术云计算服务安全能力要求,提出了针对云计算服务的安全指南、安全参考架构、安全能力评估方法和安全能力要求。在网络安全方面,在研标准信息安全技术边缘计算安全技术要求分析边缘计算系统因云边协同控制、计算存储托管、边缘能力开放等引入的安全风险,提出了边缘计算安全参考模型,并从应用安全、网络安全、数据安全、基础设施安全、物理环境安全、
42、运维安全、安全管理等方面提出边缘计算的安全技术要求。该标准可用于指导边缘计算相关方提高边缘基础设施研发、测试、生产、运营过程中应对各种安全威胁的能力。在应用与服务安全方面,GB/T37971-2019信息安全技术智慧城市安全体系框架、GB/Z38649-2020信息安全技术智慧城市建设信息安全保障指南从安全角色和安全要素的视角提出了智慧城市安全体系框架,为智慧城市建设全过程的信息安全保障机制与技术建设提供指导。此外,TC260正在开展新业务应用领域安全标准研制,涉及的领域涵盖了物联网、工业互联网、车联网(智能网联汽车)等。在数据安全方面,TC260发布了GB/T37988-2019信息安全技术
43、数据安全能力成熟度模型、GB/T35273-2020信息安全技术个人信息安全规范、GB/T34978-2017信息安全技术移动智能终端个人信息保护技术要求等相关标准用于指导数据和个人信息的保护工作。在安全运营管理方面,GB/T25068.1-2012信息技术安全技术IT网络安全第1部分:网络安全管理、GB/Z20985-2007信息技术安全技术信息安全事件管理指南、GB/T36958-2018信息安全技术网络安全等级保护安全管理中心技术要求、GB/T38561-2020信息安全技术网络安全管理支撑系统技术要求、GB/T24363-2009信息安全技术信息安全应急响应计划规范、GB/T36637
44、-2018信息安全技术ICT供应链安全风险管理指南等标准提出了网络安全管理、信息安全事件管理、应急响应计划和ICT供应链安全风险管理等方面的要求。3.2.2.3TC485推荐性国家标准目前,全国通信标准化技术委员会(TC485)正在推进关于5G网络相关标准的研究,在研标准主要涵盖基础共性、通信网络安全等方面。TC485在研标准5G移动通信网通信安全技术要求主要围绕5G移动通信网中的通信安全总体技术要求展开研究,为运营商和监管机构在5G安全方面工作的开展提供技术参考。TC485在研标准5G移动通信网络设备安全保障要求核心网网络功能、5G移动通信网络设备安全保障要求基站设备主要围绕5G设备安全,从
45、核心网网络功能、基站设备等方面,对5G移动通信网络设备安全提出保障要求。3.2.2.4CCSA行业标准中国通信标准化协会(CCSA)己发布的5G网络安全相关行业标准主要聚焦在基础共性、终端安全、IT化网络设施安全等方面。CCSA在5G网络安全领域重点标准包括:在基础共性方面,YD/T3628-20195G移动通信网安全技术要求明确了对5GSA网络和NSA网络的基本安全要求,包括5G网络安全架构、安全需求,安全功能实现等。在研标准5G网络中的IPSeC需求和方案研究主要围绕5G网络中的IPSeC需求和方案开展研究。在终端安全方面,CCSA已发布的标准主要关注移动智能终端安全和特定行业专用终端安全
46、,发布了YD/T2407-2013移动智能终端安全能力技术要,YD/T2408-2013移动智能终端安全能力测试方法、YD/T2502-2013手机支付移动终端安全技术要求。在IT化网络设施安全方面,在研标准网络功能虚拟化(NFV)安全技术要求主要聚焦于网络功能虚拟化(NFV)安全技术要求。在通信网络安全方面,在研标准涵盖了5G边缘计算安全、5G移动通信网络设备安全、5G网络组网安全等领域。在应用与服务安全方面,在研标准5G业务安全通用防护要求互联网新技术新业务安全评估要求基于5G场景的业务分别提出5G业务安全通用防护和互联网新技术新业务安全评估的要求。在数据安全方面,在研标准5G数据安全总体
47、技术要求从5G业务应用、5G终端设备、5G无线接入、5G核心网等方面规定了5G数据安全的总体技术要求。在安全运营管控方面,在研标准5G移动通信网通信管制技术要求主要关注5G移动通信网通信管制技术要求。45G网络安全风险相较于2G、3G和4G网络,5G网络在性能指标、应用场景和安全能力方面更趋完善。随着5G网络相关技术的快速发展,工业互联网、车联网等融合应用的深入推进,5G网络的安全挑战依旧严峻。本章从5G特点出发,梳理分析了5G网络新技术新应用所带来的终端安全风险、IT化网络设施安全风险、通信网络安全风险、行业应用安全风险、数据安全风险和网络运维风险,为5G网络安全标准框架的构建提供参考。4.1终端安全风险5G网络接入终端的种类繁多、数量巨大,终端的计算能力和安全防护措施差异明显。伴随终端的大量接入,伪造的、被劫持的、包含病毒或恶意程序的、缺少基本安全防护能力的终端可能将终端安全风险通过5G网络进行传播和扩大。同时,随着5G网络在工业互联网、车联网等行业中广泛应用,各类行业终端使用的非通用协议的安全风险也被
