年3月,欧盟网络安全局发布《5G网络安全标准:网络安全策略的标准化要求分析》报告。赛迪智库网络安全研究所对该报告进行了编译,期望对我国主管部门、研究机构、相关企业等提供参考。
“
报告通过评估现有5G生态系统网络安全相关标准、规范和准则(年9月前发布)对实现5G网络安全可靠性和弹性的作用,认为现有5G安全标准、规范和准则过于宽泛,适用性有待提升,涵盖范围不足,建议循序渐进地推动5G标准化,增加5G标准制定的针对性以及各相关方行动一致性,注重提升标准化、弹性和信任。
”
一、概要
本报告旨在阐述标准化在减少5G生态系统的技术风险,提升信任度和弹性方面的作用。概括分析了年9月前发布的5G生态系统网络安全相关标准、规范和准则,评估了上述标准文件对5G安全环境所具有的价值以及标准的适用性,并针对提升5G安全标准化水平提出建议。
本报告建议要循序渐进地推动5G标准化,考虑新标准的实用性和必要性及与战略目标间的联系,强调5G生态系统中的所有相关方需要在评估风险方法上协调一致,以提高风险判断与评估的成熟度和完整性。
二、5G生态系统范围
5G生态系统包含以下几个维度(表1)。
三、5G生态系统标准文件的作用与评估
本报告从现有标准中选出多份文件和多项安全措施,详细分析并评估其对5G生态系统安全的涵盖程度,相关结果见表2。
四、5G安全标准化的不足和差距
针对5G安全各领域现有标准文件,梳理现有标准文件中部分涵盖、涵盖较少或没有涵盖的领域,评估现有标准文件实现“理想情况”的程度,以及在实施中可用的标准、规范和准则,减少了5G技术和机构网络安全风险,并提供了充分的安全保障。专家组以此作为参照,确定了标准化完整性水平,如表5所示。其中颜色代码规则如表3所示。
表5的括号内标明了各个领域的相关标准文件,并对现有标准文件参考的简写方式进行了分组。如表4:
*注:对于研究和创新机构,差距指的是这些机构需要进一步完善的领域。
*注:该领域可实施软措施而非标准。
通过评估5G安全标准化水平,本报告得出如下主要结论:
1.治理和风险管理领域、人力资源安全方面存在一定差距。
2.现有标准、规范和准则都过于宽泛。经过调整后,才能适用于5G技术和功能领域及相关生命周期流程。
3.5G特定标准、规范和准则更适用于电信行业的各相关方(例如,连接设备行业的审查机构和各相关方)。
4.5G特定标准、规范和准则基本涵盖了技术生命周期的“运行”阶段,其他阶段相关标准、规范和准则需要调整。
5.网络安全威胁和IT安全准则方面现有知识库可用于5G云原生架构和基于应用程序编程接口(API)的架构,电信行业已开始利用这些软件推动“云化”。
完整内容,请