2022 年 5 月 26 日，美國(guó)國(guó)土安全部科學(xué)技術(shù)局、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局、國(guó)防部研究與工程部長(zhǎng)辦公室聯(lián)合發(fā)布《5G 安全評(píng)估流程指南》。這份指南并非新的安全要求或框架，而是立足于現(xiàn)有標(biāo)準(zhǔn)框架等成果，為政府機(jī)構(gòu)評(píng)估其 5G 系統(tǒng)安全水平是否符合生產(chǎn)要求而制定的一個(gè)五步安全評(píng)估流程。該流程要求聯(lián)邦政府的 5G 網(wǎng)絡(luò)安全評(píng)估方法具有靈活性，以考慮不斷引入新的 5G 標(biāo)準(zhǔn)、部署功能和政策，以及不斷識(shí)別新的威脅向量。聯(lián)邦機(jī)構(gòu)利用該流程可以評(píng)估、理解和解決其技術(shù)評(píng)估標(biāo)準(zhǔn)和政策的安全性及彈性評(píng)估差距。

第五代（5G）蜂窩網(wǎng)絡(luò)技術(shù)的第一階段和第二階段的標(biāo)準(zhǔn)已經(jīng)完成，蜂窩運(yùn)營(yíng)商正在推出 5G 服務(wù)。聯(lián)邦機(jī)構(gòu)使用移動(dòng)無線網(wǎng)絡(luò)已有多年；然而在 5G 出現(xiàn)之前，各機(jī)構(gòu)傾向于將蜂窩網(wǎng)絡(luò)僅僅視為傳輸層通信的管道。5G 出現(xiàn)之后，各機(jī)構(gòu)希望擴(kuò)展 5G 的不同使用場(chǎng)景，即低、中、高頻段的頻譜。但是，要將非機(jī)密的聯(lián)邦系統(tǒng)從原型過渡到生產(chǎn)，需要進(jìn)行安全評(píng)估才能獲得操作授權(quán)（Authorization To Operate，ATO）。由 于 5G 獨(dú) 立 體 系 結(jié) 構(gòu)（Standalone，SA）、 移 動(dòng) 邊 緣 計(jì) 算（Mobile Edge Computing，MEC）和網(wǎng)絡(luò)切片的部署還處于早期階段，在移動(dòng)運(yùn)營(yíng)商廣泛部署 5G 服務(wù)和功能之前，聯(lián)邦政府要了解和研究 5G 服務(wù)和功能，這可能會(huì)給系統(tǒng)安全帶來挑戰(zhàn)。對(duì)于政府而言，需要一種靈活、自適應(yīng)和可重復(fù)的方法對(duì)任何 5G 網(wǎng)絡(luò)部署的安全性和彈性做出評(píng)估。此外，該方法需要評(píng)估系統(tǒng)是否符合現(xiàn)有的聯(lián)邦網(wǎng)絡(luò)安全政策、法規(guī)和最佳實(shí)踐，以解決已知的攻擊向量、尚未發(fā)現(xiàn)的威脅和具體實(shí)施中存在的漏洞。

2022 年 5 月 26 日，美國(guó)國(guó)土安全部科學(xué)技術(shù)局、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局、國(guó)防部研究與工程部長(zhǎng)辦公室聯(lián)合發(fā)布《5G 安全評(píng)估流程指南》。本文探討了 5G 對(duì)安全評(píng)估流程和框架，如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）的風(fēng)險(xiǎn)管理框架（Risk Management Framework，RMF）中定義的傳統(tǒng) ATO 流程帶來的獨(dú)特挑戰(zhàn)。這項(xiàng)工作是由美國(guó)國(guó)土安全部科學(xué)技術(shù)局、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局以及國(guó)防部研究與工程部長(zhǎng)辦公室領(lǐng)導(dǎo)的研究小組共同開發(fā)的，這些機(jī)構(gòu)目前都活躍在 5G 研究和安全領(lǐng)域。

1. 背景

當(dāng) 5G 網(wǎng)絡(luò)大規(guī)模部署時(shí)，核心網(wǎng)絡(luò)基礎(chǔ)設(shè)施的升級(jí)將是必需的。在網(wǎng)絡(luò)基礎(chǔ)設(shè)施升級(jí)、技術(shù)標(biāo)準(zhǔn)迅速演變、充滿活力的全球市場(chǎng)（包括許多電信市場(chǎng)的新進(jìn)入者）以及不斷變化和多樣化的威脅環(huán)境期間，政府必須采用靈活、自適應(yīng)和可重復(fù)的方法來評(píng)估任何 5G 網(wǎng)絡(luò)部署的安全性和彈性。

本文提出了 5G 安全評(píng)估五步流程，可廣泛應(yīng)用于各種 5G 系統(tǒng)架構(gòu)、部署場(chǎng)景和運(yùn)行環(huán)境。步驟一要求使用用例定義，以確定作為系統(tǒng)一部分的 5G 子系統(tǒng)、組件配置、應(yīng)用程序和系統(tǒng)操作中涉及的接口。5G 技術(shù)的復(fù)雜性使得聯(lián)邦A(yù)TO 定義安全評(píng)估邊界的過程極具挑戰(zhàn)性。因此，步驟二涉及定義邊界，以確定需要評(píng)估和授權(quán)（Assessment and Authorization，A＆A）的技術(shù)和系統(tǒng)，同時(shí)考慮到包含用例的產(chǎn)品和服務(wù)的所有權(quán)和部署。定義評(píng)估邊界后，步驟三包括對(duì)每個(gè) 5G 子系統(tǒng)進(jìn)行高級(jí)威脅分析，以確定需要通過評(píng)估和授權(quán)來解決被降低的網(wǎng)絡(luò)安全能力（例如，身份、憑據(jù)和訪問管理，網(wǎng)絡(luò)安全，通信和接口安全）。步驟四涉及創(chuàng)建一個(gè)聯(lián)邦安全指南目錄，其中包括 RMF、NIST 的網(wǎng)絡(luò)安全框架、供應(yīng)鏈風(fēng)險(xiǎn)管理、聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃（Federal Risk and Authorization Management Program，F(xiàn)edRAMP）、其他與安全能力相關(guān)的 NIST 和聯(lián)邦網(wǎng)絡(luò)安全指南，以及相關(guān)行業(yè)規(guī)范。步驟五檢查安全要求和聯(lián)邦安全指導(dǎo)及評(píng)估程序之間的一致性。如果存在安全需求，但沒有評(píng)估指南來指導(dǎo) A&A 活動(dòng)，那么就可以確定差距，并制定彌補(bǔ)評(píng)估缺陷的替代方案。例如，如果沒有開放無線電接入網(wǎng)（Open Radio Access Network，O-RAN）的聯(lián)邦評(píng)估指南，則可以考慮國(guó)際或商業(yè)項(xiàng)目，如 O-RAN 聯(lián)盟的測(cè)試和集成中心認(rèn)證。

2. 5G 安全及威脅概述

2.1 5G 安全

與 4G 蜂窩網(wǎng)絡(luò)技術(shù)相比，5G 將服務(wù)于更多不同類型的設(shè)備和更多的使用案例。5G 引入了新的功能和服務(wù)，主要包括：（1）性能增強(qiáng)的新空口（New Radio，NR），頻譜增加，頻譜共享，低、中、高頻段頻率；（2）為大量用戶提供服務(wù)的小區(qū)加密技術(shù)和波束形成等新技術(shù)，可將無線通信信道定向到用戶并減少干擾；（3）MEC 將典型的集中式應(yīng)用程序移至更靠近網(wǎng)絡(luò)邊緣的位置，以縮短延遲、維持高數(shù)據(jù)傳輸速率并攝入大量數(shù)據(jù)；（4）網(wǎng)絡(luò)切片可以創(chuàng)建多個(gè)虛擬網(wǎng)絡(luò)，在共享的物理基礎(chǔ)設(shè)施上提供不同質(zhì)量的服務(wù)水平；（5）虛擬化的無線接入網(wǎng)絡(luò)（Radio Access Network，RAN）和 5G 核心，以動(dòng)態(tài)擴(kuò)展網(wǎng)絡(luò)功能。

第 三 代 合 作 伙 伴 項(xiàng) 目（3rd Generation Partnership Project，3GPP）是 5G 的主要標(biāo)準(zhǔn)開發(fā)組織，進(jìn)行了許多 5G 安全方面的改進(jìn)，其要點(diǎn)總結(jié)如表 1 所示。

表 1 5G 安全的改進(jìn)（獨(dú)立架構(gòu)）

續(xù)表

2.2 5G 威脅現(xiàn)狀

威脅分析是任何安全風(fēng)險(xiǎn)評(píng)估的一個(gè)關(guān)鍵要素，為了幫助描述威脅，并作為各機(jī)構(gòu)開發(fā)自己的 5G 威脅模型的起點(diǎn)，研究團(tuán)隊(duì)將潛在威脅進(jìn)行了分類。了解這些威脅有助于企業(yè)風(fēng)險(xiǎn)管理人員確定安全活動(dòng)的優(yōu)先級(jí)以及所需的安全能力，以減輕其啟用 5G 系統(tǒng)邊界內(nèi)與 5G 系統(tǒng)和子系統(tǒng)相關(guān)的威脅。威脅類別包括：

（1）一般網(wǎng)絡(luò)安全威脅。這些威脅影響所有 5G 子系統(tǒng)，包括配置錯(cuò)誤、人為錯(cuò)誤、未能正確加固軟硬件、對(duì)手橫向移動(dòng)、信息泄露和一般的未經(jīng)授權(quán)訪問攻擊。組件配置錯(cuò)誤或軟硬件加固失敗可能會(huì)被攻擊者利用并重新配置5G 元素，將流量引導(dǎo)給攻擊者，或竊取數(shù)據(jù)。

（2）虛擬化威脅。對(duì)虛擬機(jī)（Virtual Machine，VM）和容器服務(wù)平臺(tái)的威脅影響到 5G 核心、RAN、MEC、網(wǎng)絡(luò)切片、虛擬化以及協(xié)調(diào)和管理脅包括持續(xù)拒絕服務(wù)（Denial of Service，DoS）、虛擬機(jī) / 容器逃逸、側(cè)信道攻擊和云服務(wù)消費(fèi)者錯(cuò)誤配置。在多租戶虛擬化環(huán)境中，一個(gè)租戶的極端資源消耗可以為相鄰的租戶系統(tǒng)創(chuàng)建一個(gè) DoS 事件。這個(gè)事件可以阻止或嚴(yán)重降低任務(wù)功能。同樣，主機(jī)托管攻擊，如虛擬機(jī) / 容器逃逸或側(cè)信道攻擊，可以使相鄰的計(jì)算工作負(fù)載面臨資源被剝奪、橫向移動(dòng)和數(shù)據(jù)保密性、完整性或可用性被破壞的風(fēng)險(xiǎn)。對(duì) 5G RAN 或核心功能的側(cè)信道攻擊可能導(dǎo)致繞過用戶賬戶權(quán)限、虛擬化邊界或受保護(hù)的內(nèi)存區(qū)域，而暴露敏感信息。

（3）網(wǎng)絡(luò)和管理界面威脅。這些威脅影響所有 5G 子系統(tǒng)的網(wǎng)絡(luò)、管理和空中接口，包括DoS、干擾、竊聽、地址欺騙、流量 / 消息篡改、系統(tǒng) / 協(xié)議發(fā)現(xiàn)、不適當(dāng)?shù)淖鈶敉ㄐ鸥綦x和訪問控制攻擊。空中接口威脅位于用戶終端（User Equipment，UE）和 RAN 之間，使用無線電干擾技術(shù)可以造成干擾，從而阻止 UE 的訪問或造成 5G 業(yè)務(wù)的丟失。虛擬化 / 容器化的核心網(wǎng)絡(luò)功能作為租戶部署在共享云基礎(chǔ)設(shè)施上，租戶之間的通信隔離不當(dāng)可能會(huì)使這些虛擬環(huán)境面臨未授權(quán)訪問或機(jī)密性信息丟失（例如用戶數(shù)據(jù)、網(wǎng)絡(luò)配置等）。

（4）應(yīng)用和服務(wù)威脅。與 5G 應(yīng)用和服務(wù)交付相關(guān)的威脅會(huì)影響所有 5G 子系統(tǒng)，包括惡意軟件和惡意代碼注入、DoS 和分布式拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS）、應(yīng) 用 程 序 編 程 接 口（Application Programming Interface，API）操縱、利用軟件漏洞和訪問控制攻擊。智能手機(jī)等終端很容易受到應(yīng)用程序和惡意代碼的利用，這些應(yīng)用程序和惡意代碼可以將私人數(shù)據(jù)暴露給威脅者。MEC 中未受保護(hù)或易受攻擊的 API 可能導(dǎo)致對(duì) MEC 的應(yīng)用程序和信息的未授權(quán)訪問，并助長(zhǎng)來自網(wǎng)絡(luò)內(nèi)部的進(jìn)一步攻擊。

（5）惡意元素。來自惡意 UE、惡意基站或 RAN 中的無線電單元以及惡意網(wǎng)絡(luò)主機(jī)或MEC 中的欺騙組件的威脅可被用來攻擊 5G 系統(tǒng)。例如，惡意基站可以使用干擾迫使 UE 使用惡意基站，然后捕獲用戶信息和位置，而 MEC中的惡意組件可以破壞 MEC 應(yīng)用，刪除、改變或竊取數(shù)據(jù)。

（6）隱私威脅。對(duì) UE、RAN 和 5G 核心中涉及 5G 網(wǎng)絡(luò)用戶間相關(guān)信息的處理、共享、存儲(chǔ)和通信系統(tǒng)的威脅，包括竊聽、用戶及設(shè)備標(biāo)識(shí)符和位置跟蹤，以及用戶、協(xié)議和系統(tǒng)欺騙攻擊。攻擊者可以監(jiān)控 RAN 和 UE 設(shè)備之間的空中接口，以提取不受保護(hù)的唯一設(shè)備標(biāo)識(shí)符并跟蹤設(shè)備用戶，而未經(jīng)授權(quán)訪問存儲(chǔ)在 5G核心區(qū)的用戶數(shù)據(jù)可用于身份盜竊或電信欺詐。

（7）環(huán)境和物理威脅。環(huán)境和物理訪問控制系統(tǒng)的漏洞和脆弱點(diǎn)、停電及自然災(zāi)害將影響 RAN、5G 核心、MEC 和虛擬化子系統(tǒng)。其中，對(duì)端口、設(shè)備和裝置的物理訪問、自然災(zāi)害、電磁脈沖和斷電是最主要的問題。在 RAN 中，放置在燈柱上的小電池可能會(huì)受到物理盜竊或損壞，而停電或自然災(zāi)害可能會(huì)損壞 RAN 節(jié)點(diǎn)或 5G 核心，導(dǎo)致其無法被訪問。

（8）供應(yīng)鏈威脅。威脅可能發(fā)生在 UE、RAN、5G 核心和虛擬化子系統(tǒng)的軟件、固件和硬件組件的供應(yīng)、獲取和整合過程中。威脅包括漏洞或惡意組件插入、漏洞或惡意開源組件，以及對(duì)漏洞硬件、固件或操作系統(tǒng)的攻擊。惡意代碼注入用于構(gòu)建系統(tǒng)軟件以發(fā)布到生產(chǎn)中的通用代碼庫，會(huì)對(duì)運(yùn)營(yíng)產(chǎn)生嚴(yán)重影響，特別是當(dāng)受影響的系統(tǒng)可以訪問特權(quán)用戶系統(tǒng)時(shí)，如用于身份和訪問管理或網(wǎng)絡(luò)健康和配置管理的系統(tǒng)。包含來歷不明或安全態(tài)勢(shì)未知的固件 /硬件組件（例如在 UE 或 RAN 中）可能會(huì)將惡意或假冒組件引入這些子系統(tǒng)，從而導(dǎo)致將敏感用戶和網(wǎng)絡(luò)數(shù)據(jù)暴露給對(duì)手。

（9） 人 工 智 能 / 機(jī) 器 學(xué) 習(xí)（Artificial Intelligence/Machine Language，AI/ML）的威脅。對(duì) UE（例如物聯(lián)網(wǎng)或網(wǎng)絡(luò)物理設(shè)備的網(wǎng)關(guān)）、RAN、協(xié)調(diào)和管理子系統(tǒng)的數(shù)據(jù)完整性、機(jī)密性和可用性的威脅。這些威脅影響到 AI/ML 軟件和系統(tǒng)，以及依靠數(shù)據(jù)的準(zhǔn)確性、及時(shí)性和可信度來進(jìn)行基于 AI/ML 的決策（如網(wǎng)絡(luò)功能的動(dòng)態(tài)分配）的網(wǎng)元和服務(wù)。例如，用于執(zhí)行算法分析功能的代碼損壞或虛假、受污染的數(shù)據(jù)插入 AI/ML 算法將使得網(wǎng)絡(luò)運(yùn)行速率降低，對(duì)人身安全造成潛在影響（例如，在使用自動(dòng)駕駛車輛或智能城市交通管理時(shí)）。

3. 建議的 5G 安全評(píng)估流程

3.1 5G 概念部署場(chǎng)景

在聯(lián)邦政府中，許多早期的 5G 使用者會(huì)選擇一種私有的 5G 網(wǎng)絡(luò)解決方案，該方案可以根據(jù)特定的安全和性能要求進(jìn)行定制，以支撐特定任務(wù)的執(zhí)行。私有 5G 網(wǎng)絡(luò)可以在多種配置下構(gòu)建和運(yùn)行，從完全獨(dú)立的解決方案（內(nèi)部部署 + 未授權(quán) / 共享頻譜接入 + 政府擁有的基礎(chǔ)設(shè)施 + 政府運(yùn)營(yíng)商）到混合政府和商業(yè)運(yùn)營(yíng)組件、服務(wù)的“混合”解決方案。本文展示的示例部署將通過一個(gè)全新的、使用網(wǎng)絡(luò)切片的公私混合方式來實(shí)現(xiàn)。該方案使用了簡(jiǎn)單且實(shí)際的組件、服務(wù)和參與者配置，并不旨在服務(wù)于單一的任務(wù)或應(yīng)用，相反，該網(wǎng)絡(luò)可以被分割，以滿足各種應(yīng)用和任務(wù)需要。其關(guān)鍵部署細(xì)節(jié)如下文所述。

（1）網(wǎng)絡(luò)基礎(chǔ)設(shè)施。私有網(wǎng)絡(luò)將由網(wǎng)絡(luò)運(yùn)營(yíng)商交付，它通過運(yùn)營(yíng)商的公共 RAN 和 SA 核心網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行傳輸。網(wǎng)運(yùn)營(yíng)商將獲取、安裝和維護(hù) RAN 基礎(chǔ)設(shè)施（包括塔、基站和無線電）。政府可以選擇創(chuàng)建子網(wǎng)支持多個(gè)租戶組織，或通過創(chuàng)建額外的切片來滿足獨(dú)特的應(yīng)用性能需求。

（2）頻譜。私有網(wǎng)絡(luò)的無線部分將使用網(wǎng)絡(luò)運(yùn)營(yíng)商授權(quán)的頻譜產(chǎn)品。對(duì)于對(duì)安全性或彈性要求不高的用例，可以通過共享中頻頻譜 [ 例如公民寬帶無線電服務(wù)（Citizens Broadband Radio Service，CBRS）] 的方式來實(shí)現(xiàn)網(wǎng)絡(luò)容量的增加。

（3）安全。政府必須明確規(guī)定滿足本地3GPP 安全措施和特性的聯(lián)邦法規(guī)和安全要求。此外，根據(jù)部署場(chǎng)景和相關(guān)任務(wù)風(fēng)險(xiǎn)，每個(gè)網(wǎng)段可能需要額外地進(jìn)行安全增強(qiáng)和遠(yuǎn)程訪問控制。例如，運(yùn)營(yíng)商可以通過其網(wǎng)絡(luò)切片產(chǎn)品提供“端到端”安全，但是，其安全能力可能無法滿足政府的安全要求甚至需要額外的安全緩解措施。政府提供的智能設(shè)備將使用基于軟件的公共密鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）證書，并由企業(yè)的統(tǒng)一終端管理（Unified Endpoint Management，UEM）系統(tǒng)進(jìn)行遠(yuǎn)程管理。與政府的周邊安全解決方案、零信任架構(gòu)或其他有線 / 無線網(wǎng)絡(luò)和網(wǎng)關(guān)的整合也可按成本增加。

（4）網(wǎng)絡(luò)管理。網(wǎng)絡(luò)切片的 RAN 部分的管理和協(xié)調(diào)將由政府獨(dú)家控制。其他層的故障、配置、記賬、性能和安全功能可以由政府或授權(quán)承包商應(yīng)用于 RAN 部分。

（5）云計(jì)算。本例部署方案中政府運(yùn)營(yíng)的部分不包括 MEC 解決方案或任何公共云基礎(chǔ)設(shè)施或服務(wù)。預(yù)計(jì)網(wǎng)絡(luò)運(yùn)營(yíng)商的數(shù)據(jù)中心和邊緣云節(jié)點(diǎn)將在商品硬件上執(zhí)行虛擬化的網(wǎng)絡(luò)功能。

3.2 第一步：定義聯(lián)邦 5G 用例

該過程的第一步是定義用例和 5G 使用場(chǎng)景（增強(qiáng)移動(dòng)寬帶、超可靠低延遲通信、大規(guī)模機(jī)器類型通信），它包括在 UE、RAN、核心、MEC 以及與接口系統(tǒng)和應(yīng)用程序的相關(guān) 5G 參考設(shè)計(jì)之中。根據(jù)用例及其相關(guān)使用場(chǎng)景，可以描述 5G 系統(tǒng)元素及其他系統(tǒng)和網(wǎng)絡(luò)的集成。定義用例包括：（1）描述用例的用途（例如連接設(shè)備、可穿戴設(shè)備、環(huán)境傳感器和構(gòu)建傳感器，以便為第一響應(yīng)者提供態(tài)勢(shì)感知）；（2）標(biāo)識(shí)用例包含的 5G 使用場(chǎng)景。許多聯(lián)邦用例將利用第三代合作伙伴計(jì)劃的 5G 使用場(chǎng)景；（3）描述支持用例所需的系統(tǒng)、子系統(tǒng)、接口、應(yīng)用程序、端點(diǎn)、安全性等；（4）提供 2.1 節(jié)中討論的 5G 系統(tǒng)模型和參考設(shè)計(jì)的細(xì)節(jié)，以及與其他系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的接口。

由于示例網(wǎng)絡(luò)部署場(chǎng)景是一種簡(jiǎn)化的最佳場(chǎng)景，以下備選部署場(chǎng)景詳細(xì)說明了對(duì)安全評(píng)估過程的潛在影響。

（1）交付專用 5G 網(wǎng)絡(luò)。超大規(guī)模云提供商正在迅速推進(jìn)將托管服務(wù)交付專用 5G 網(wǎng)絡(luò)作為一個(gè)新興市場(chǎng)。這些服務(wù)包括預(yù)先配置好的網(wǎng)絡(luò)設(shè)備和管理系統(tǒng)軟件，這些軟件可以快速安裝到經(jīng)過許可的頻譜和共享的中段 CBRS頻譜（僅在美國(guó)可用）。使用這種托管服務(wù)不會(huì)簡(jiǎn)化或減少評(píng)估單個(gè)設(shè)備（包括 SIM 卡）和軟件組件所需的工作量，但可以加快網(wǎng)絡(luò)的部署。

（2）中立主機(jī)網(wǎng)絡(luò)（Neutral Host Network，NHN）。為了減少成本開支和運(yùn)營(yíng)費(fèi)用，擁有多個(gè)租戶組織的政府網(wǎng)站可以選擇分擔(dān) RAN 基礎(chǔ)設(shè)施成本，并將網(wǎng)絡(luò)運(yùn)營(yíng)外包給合格的第三方。中立主機(jī)讓多個(gè)組織和用戶共享網(wǎng)絡(luò)（包括共享 RAN 和核心網(wǎng)絡(luò)）。由于網(wǎng)絡(luò)設(shè)備和可能的頻譜將被共享，硬件占用和基礎(chǔ)設(shè)施投資會(huì)大大減少。因此，NHN 部署將形成一個(gè)更簡(jiǎn)單、更快的安全評(píng)估過程，該過程可能會(huì)涉及更多的利益攸關(guān)方和增加行政管理費(fèi)用（例如諒解備忘錄、分開收費(fèi)和計(jì)費(fèi)）。

3.3 第二步：確定評(píng)估邊界

5G 技術(shù)的復(fù)雜性使得為聯(lián)邦 ATO 定義安全評(píng)估邊界的過程變得困難。第二步涉及定義邊界以識(shí)別需要 A&A 的技術(shù)和系統(tǒng)，考慮包含用例的產(chǎn)品和服務(wù)的所有權(quán)和部署，以及定義安全能力的實(shí)現(xiàn)、管理和監(jiān)控的角色和職責(zé)。在定義評(píng)估邊界后，就可以確定 A&A 活動(dòng)要處理的安全需求。邊界包括系統(tǒng)中所有被授權(quán)運(yùn)行的組件，不包括系統(tǒng)連接的單獨(dú)授權(quán)系統(tǒng)。邊界示例包括：

（1）單一邊界（如獨(dú)立的專用網(wǎng)絡(luò)）；

（2）系統(tǒng)中的系統(tǒng)（如與組成 / 租戶系統(tǒng)共享的網(wǎng)絡(luò)基礎(chǔ)設(shè)施）；

（3）混合（如公共和私人）。

由于目前已定義了專用 5G 網(wǎng)絡(luò)的實(shí)例，因此評(píng)估邊界是明顯的。大部分的公共核心網(wǎng)位于網(wǎng)絡(luò)運(yùn)營(yíng)商的數(shù)據(jù)中心，網(wǎng)絡(luò)流量通過端到端網(wǎng)絡(luò)切片進(jìn)行分割。獨(dú)特的安全需求可能需要對(duì)核心網(wǎng)絡(luò)元素、流程和供應(yīng)商進(jìn)行詳細(xì)評(píng)估。否則，評(píng)估邊界可能包括運(yùn)營(yíng)商提供的網(wǎng)絡(luò)切片、政府運(yùn)營(yíng) RAN 段的基礎(chǔ)設(shè)施構(gòu)建和運(yùn)行，以及端點(diǎn)設(shè)備。

但是，如果一個(gè)政府租戶組織被分配了一個(gè)政府網(wǎng)絡(luò)切片子網(wǎng)，那么該組織可以獲得一個(gè) MEC 節(jié)點(diǎn)來提供靠近網(wǎng)絡(luò)邊緣的額外處理。MEC 的安裝將引入威脅向量，需要進(jìn)行安全評(píng)估。如果第三方 MEC 解決方案自帶管理系統(tǒng)，也將納入考核范圍。

3.4 第三步：確定安全需求

第三步是一個(gè)多階段步驟，包括對(duì)每個(gè) 5G子系統(tǒng)進(jìn)行高級(jí)威脅分析，并確定 A&A 活動(dòng)要解決的網(wǎng)絡(luò)安全要求。它要求徹底了解所考慮的用例，以便為評(píng)估邊界內(nèi)采用的技術(shù)和與外部系統(tǒng)的所有接口提供背景。該步驟包括執(zhí)行RMF 系統(tǒng)級(jí)準(zhǔn)備步驟中定義的威脅分析和風(fēng)險(xiǎn)評(píng)估。在此過程中，重點(diǎn)關(guān)注單個(gè) 5G 系統(tǒng)元素和 5G 連接系統(tǒng)。

為 了 簡(jiǎn) 化 對(duì) 需 求、 評(píng) 估 策 略 和 指 導(dǎo) 的 映射，將 2.2 節(jié)中總結(jié)的各種威脅的安全功能進(jìn)行了分類。例如，身份驗(yàn)證、授權(quán)和最低權(quán)限訪問控制被歸入身份、憑證和訪問管理（Identity,Credential, and Access Management，ICAM）類別，而入侵檢測(cè)、網(wǎng)絡(luò)分段和端口 / 協(xié)議安全被歸入網(wǎng)絡(luò)安全類別。

3.4.1 用戶設(shè)備

以私有 5G 網(wǎng)絡(luò)為例，政府配備（Government Furnished Equipment，GFE）智能設(shè)備是網(wǎng)絡(luò)終端，受到來自政府專用 5G 網(wǎng)絡(luò)內(nèi)部和外部的一系列威脅。由于對(duì) GFE 設(shè)備的安全風(fēng)險(xiǎn)和漏洞進(jìn)行了預(yù)評(píng)估，這一步主要是針對(duì)那些完全符合安全保護(hù)要求的設(shè)備完成的，并且是最新的。GFE智能設(shè)備提供端點(diǎn)安全保護(hù)，由企業(yè)設(shè)備管理系統(tǒng)管理，并使用個(gè)人身份驗(yàn)證、公共訪問卡憑據(jù)、基于軟件的憑據(jù)進(jìn)行身份驗(yàn)證。根據(jù)機(jī)構(gòu)的指導(dǎo)，這些安全能力的應(yīng)用允許 GFE 設(shè)備可以立即在政府 5G 網(wǎng)絡(luò)上使用。如果非 GFE智能設(shè)備被引入私人 5G 網(wǎng)絡(luò)，則有必要對(duì)適用的硬件、ICAM、應(yīng)用、數(shù)據(jù)和通信安全要求進(jìn)行全面評(píng)估。

3.4.2 5G 無線接入網(wǎng)

根據(jù)系統(tǒng)評(píng)估邊界和配置，5G RAN 基礎(chǔ)設(shè)施可以包括來自一個(gè)或多個(gè)地理位置的基礎(chǔ)設(shè)施元素，并涉及各種網(wǎng)絡(luò)交換機(jī) / 路由器、基站以及接入點(diǎn) / 小區(qū)站點(diǎn)設(shè)備和軟件。例如，私有5G 網(wǎng)絡(luò)涉及一個(gè)帶有 RAN 切片的局域 RAN 段，以支持多租戶應(yīng)用程序。所有硬件和軟件組件，包括云 / 邊緣平臺(tái)以及內(nèi)部和外部系統(tǒng)接口，都將接受威脅和安全能力分析。某些安全條件和保證需求可能要求進(jìn)行更廣泛的調(diào)查，可能涉及第二級(jí)（及以上）供應(yīng)商，以及每個(gè)軟件材料清單的完整性證明。

如果 RAN 段采用開放的、分類的 RAN 解決方案，與傳統(tǒng)的 RAN 解決方案相比，將有更多的一級(jí)供應(yīng)商（及其組件硬件和 / 或軟件產(chǎn)品） 涉及這個(gè)安全評(píng)估步驟。互操作性和滲透測(cè)試的水平可能會(huì)提高，識(shí)別和緩解潛在的開放 RAN 攻擊向量的能力也會(huì)提高。

3.4.3 5G 核心網(wǎng)絡(luò)

5G 核心網(wǎng)絡(luò)是 5G 系統(tǒng)的核心。它通過可靠且安全的連接方式將終端用戶與網(wǎng)絡(luò)所提供的服務(wù)連接起來。5G 核心網(wǎng)提供的基本功能包括用戶認(rèn)證與授權(quán)、數(shù)據(jù)連接、移動(dòng)管理、用戶數(shù)據(jù)管理、策略管理及控制。根據(jù)運(yùn)營(yíng)商的網(wǎng)絡(luò)切片實(shí)現(xiàn)，這種分段技術(shù)可能會(huì)減輕核心網(wǎng)絡(luò)某些方面的評(píng)估結(jié)果。然而，由于網(wǎng)絡(luò)切片是一項(xiàng)新技術(shù)，其威脅向量還沒有完全被理解，因此還需進(jìn)一步的測(cè)試。

如果共享頻譜接入（例如 CBRS 頻譜）被納入專用 5G 網(wǎng)絡(luò)，則需要采取額外的措施，確保商業(yè)運(yùn)營(yíng)商獲得許可，并進(jìn)行適當(dāng)?shù)牧髁抗芾?，在網(wǎng)絡(luò)的許可頻譜部分實(shí)現(xiàn)高保證流量。在審查時(shí)可能需要額外的措施。

3.4.4 部署環(huán)境和運(yùn)營(yíng)責(zé)任的考慮

一個(gè)系統(tǒng)不僅僅是各部分的總和。在評(píng)估單個(gè) 5G 系統(tǒng)元素時(shí)亦是如此，還有一些額外的安全需求和考慮因素會(huì)影響端到端系統(tǒng)的整體保障。在確定安全需求時(shí)，了解所涉及技術(shù)的預(yù)期部署環(huán)境以及誰將擁有和操作相關(guān)系統(tǒng)也很重要。例如，部署環(huán)境的屬性可能會(huì)引入額外的風(fēng)險(xiǎn)或緩解措施，從而嚴(yán)重影響網(wǎng)絡(luò)的安全狀況。如果在基站設(shè)備位于政府場(chǎng)所的情況下，實(shí)際訪問可能僅限于獲得授權(quán)的政府和承包商人員。如果特定地點(diǎn)或特定部署的屬性被接受為系統(tǒng)安全能力，這些屬性將被包括在評(píng)估范圍內(nèi)。

此外，由于子系統(tǒng)所有者和操作者遵守他們的操作和維護(hù)政策，系統(tǒng)安全評(píng)估必須確定是否有新的漏洞被引入。如果一個(gè)系統(tǒng)是為政府獨(dú)家擁有和運(yùn)營(yíng)而建立的，那么該系統(tǒng)就需要適用于政府的網(wǎng)絡(luò)安全要求。

3.5 第四步：將安全要求映射到聯(lián)邦指南和行業(yè)規(guī)范中

聯(lián)邦安全要求滿足國(guó)際行業(yè)規(guī)范中列舉的要求。第四步涉及創(chuàng)建聯(lián)邦安全 A&A 指南目錄，該目錄與評(píng)估邊界中包含的技術(shù)和第三步確定的隱含安全能力相一致。例如，RMF 適用于所有類別的安全能力，以及與 ICAM、供應(yīng)鏈 風(fēng) 險(xiǎn) 管 理（Supply Chain Risk Management，SCRM）、數(shù)據(jù)安全、虛擬化 / 云 / 容器安全和網(wǎng)絡(luò)安全保護(hù)相關(guān)的其他 NIST 和國(guó)防部網(wǎng)絡(luò)安全指南。聯(lián)邦系統(tǒng)可能需要具有以下可審核的安全能力：

（1）由《采辦政策》《行政命令》《國(guó)防授權(quán)法案》以及《行政命令 13556》（受控非機(jī)密信息）定義的 SCRM；

（2）由 NIST SP 800-37、NIST SP 800-53A和國(guó)防部指令 8510.01 定義的 RMF；

（3）由 FIPS 199、FIPS 200 和 FIPS 140-2/3界定的聯(lián)邦信息處理標(biāo)準(zhǔn)（Federal Information Processing Standards，F(xiàn)IPS）；

（4）由美國(guó)國(guó)防信息系統(tǒng)局的安全技術(shù)實(shí) 施 指 南、 美 國(guó) 國(guó) 家 信 息 安 全 聯(lián) 盟（National Information Assurance Partnership，NIAP）的通用標(biāo)準(zhǔn)和保護(hù)配置文件定義的組織特定政策和 / 或安全指南定義的系統(tǒng)強(qiáng)化；

（5）體系結(jié)構(gòu)，如組織零信任參考架構(gòu)和采用原則和 / 或 NIST SP 800-207 定義的結(jié)構(gòu)；

（6）聯(lián)邦或國(guó)防部、PKI 和 ICAM 政策界定的信任根基；

（7）聯(lián)合國(guó)家安全局、CISA 出版物系列中闡述的 5G 基礎(chǔ)設(shè)施安全指南；

（8）持續(xù)診斷和緩解程序，如由 DHS 或NIST SP 800-137 定義的程序。商業(yè)服務(wù)提供商可能被要求遵守《聯(lián)邦采辦條例》或《國(guó)防聯(lián)邦采辦條例補(bǔ)充》、NIST SP 800-171、國(guó)防部網(wǎng)絡(luò)安全成熟度模型認(rèn)證或FedRAMP 或國(guó)防部 FedRAMP+ 云服務(wù)。

3.6 第五步：評(píng)估安全指導(dǎo)方針的差距

第五步檢查安全功能和可用的聯(lián)邦安全指南之間的一致性，以指導(dǎo) A&A 活動(dòng)。如果需要安全能力來緩解已識(shí)別的威脅并降低聯(lián)邦企業(yè)的風(fēng)險(xiǎn)，那么必須有一種方法來評(píng)估其實(shí)施的有效性?？刹捎脵C(jī)構(gòu)特定政策或一般政府指導(dǎo)及政策，和 / 或成立獨(dú)立評(píng)估機(jī)構(gòu)進(jìn)行評(píng)估。如果存在安全需求，而沒有評(píng)估指導(dǎo)、政策或組織來驗(yàn)證其對(duì)政府運(yùn)營(yíng)的有效性，則會(huì)發(fā)現(xiàn)差距。當(dāng)認(rèn)為安全需求的存在是為了減輕威脅，但沒有建立正式的需求時(shí)，也會(huì)出現(xiàn)缺口。

在缺乏美國(guó)政府評(píng)估計(jì)劃或公認(rèn)的政府標(biāo)準(zhǔn)的情況下，風(fēng)險(xiǎn)管理人員可能會(huì)確定替代評(píng)估制度，如行業(yè)認(rèn)證、商業(yè)貿(mào)易團(tuán)體創(chuàng)建的安全保證計(jì)劃或其他最佳實(shí)踐評(píng)估框架。然而，在嘗試使用評(píng)估替代品之前，風(fēng)險(xiǎn)管理人員應(yīng)仔細(xì)評(píng)估任何此類方法的適用性和全面性。例如，在檢查啟用 5G 的物聯(lián)網(wǎng)設(shè)備安全時(shí)，發(fā)現(xiàn)缺乏 NIAP 通用標(biāo)準(zhǔn)保護(hù)配置文件指導(dǎo)安全實(shí)施或執(zhí)行安全評(píng)估。經(jīng)過合理評(píng)估后，機(jī)構(gòu)將會(huì)發(fā)現(xiàn)現(xiàn)有的行業(yè)認(rèn)證計(jì)劃可以作為合適的評(píng)估替代方案。

通過初步分析，本研究發(fā)現(xiàn)了一些差距。此外，研究團(tuán)隊(duì)預(yù)計(jì)，3GPP、歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)和 O-RAN 聯(lián)盟將繼續(xù)致力于開展項(xiàng)目研究和安全規(guī)范制定，并可能會(huì)發(fā)現(xiàn)其他威脅。

4.結(jié)語

5G 網(wǎng)絡(luò)旨在提供比 4G 網(wǎng)絡(luò)更好的安全性。然而，具有新功能和服務(wù)的 5G 網(wǎng)絡(luò)極具復(fù)雜性，同時(shí) 5G 網(wǎng)絡(luò)設(shè)備數(shù)量和類型預(yù)計(jì)將大幅增加，再加上 RAN 和 5G 核心的虛擬化和分解使用，擴(kuò)大了威脅面，使得界定系統(tǒng)邊界具有很大的挑戰(zhàn)性。實(shí)施或計(jì)劃實(shí)施 5G 系統(tǒng)的企業(yè)可能沒有意識(shí)到納入 5G 技術(shù)對(duì)系統(tǒng)風(fēng)險(xiǎn)評(píng)估 /ATO 過程的影響。此外，由于 5G的部署尚處于早期階段，企業(yè)可能沒有意識(shí)到5G 面臨的潛在威脅，也沒有準(zhǔn)備好訪問 5G 提供的安全功能。

為了確定在聯(lián)邦系統(tǒng)中納入 5G 技術(shù)可能對(duì) ATO 過程產(chǎn)生的影響，研究團(tuán)隊(duì)制定了本文提出的五步 5G 安全評(píng)估流程，確定了 5G 系統(tǒng)網(wǎng)絡(luò)評(píng)估的重要威脅框架、5G 系統(tǒng)安全考慮因素、行業(yè)安全規(guī)范、聯(lián)邦安全指導(dǎo)文件以及相關(guān)組織和方法。通過調(diào)查，研究小組得出結(jié)論：NIST RMF 是技術(shù)中立的，不需要對(duì) 5G 進(jìn)行修改。本文描述的 5G 安全評(píng)估流程是一種可重復(fù)的方法，聯(lián)邦計(jì)劃 / 項(xiàng)目管理者在為 5G 系統(tǒng)進(jìn)行 NIST RMF 的準(zhǔn)備步驟時(shí)可以使用，也可以應(yīng)用于廣泛的 5G 系統(tǒng)架構(gòu)、部署場(chǎng)景 / 用例等其他操作環(huán)境。