2022 年 5 月 26 日，美國國土安全部科學(xué)技術(shù)局、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局、國防部研究與工程部長辦公室聯(lián)合發(fā)布《5G 安全評估流程指南》。這份指南并非新的安全要求或框架，而是立足于現(xiàn)有標(biāo)準(zhǔn)框架等成果，為政府機構(gòu)評估其 5G 系統(tǒng)安全水平是否符合生產(chǎn)要求而制定的一個五步安全評估流程。該流程要求聯(lián)邦政府的 5G 網(wǎng)絡(luò)安全評估方法具有靈活性，以考慮不斷引入新的 5G 標(biāo)準(zhǔn)、部署功能和政策，以及不斷識別新的威脅向量。聯(lián)邦機構(gòu)利用該流程可以評估、理解和解決其技術(shù)評估標(biāo)準(zhǔn)和政策的安全性及彈性評估差距。

第五代（5G）蜂窩網(wǎng)絡(luò)技術(shù)的第一階段和第二階段的標(biāo)準(zhǔn)已經(jīng)完成，蜂窩運營商正在推出 5G 服務(wù)。聯(lián)邦機構(gòu)使用移動無線網(wǎng)絡(luò)已有多年；然而在 5G 出現(xiàn)之前，各機構(gòu)傾向于將蜂窩網(wǎng)絡(luò)僅僅視為傳輸層通信的管道。5G 出現(xiàn)之后，各機構(gòu)希望擴展 5G 的不同使用場景，即低、中、高頻段的頻譜。但是，要將非機密的聯(lián)邦系統(tǒng)從原型過渡到生產(chǎn)，需要進行安全評估才能獲得操作授權(quán)（Authorization To Operate，ATO）。由 于 5G 獨 立 體 系 結(jié) 構(gòu)（Standalone，SA）、 移 動 邊 緣 計 算（Mobile Edge Computing，MEC）和網(wǎng)絡(luò)切片的部署還處于早期階段，在移動運營商廣泛部署 5G 服務(wù)和功能之前，聯(lián)邦政府要了解和研究 5G 服務(wù)和功能，這可能會給系統(tǒng)安全帶來挑戰(zhàn)。對于政府而言，需要一種靈活、自適應(yīng)和可重復(fù)的方法對任何 5G 網(wǎng)絡(luò)部署的安全性和彈性做出評估。此外，該方法需要評估系統(tǒng)是否符合現(xiàn)有的聯(lián)邦網(wǎng)絡(luò)安全政策、法規(guī)和最佳實踐，以解決已知的攻擊向量、尚未發(fā)現(xiàn)的威脅和具體實施中存在的漏洞。

2022 年 5 月 26 日，美國國土安全部科學(xué)技術(shù)局、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局、國防部研究與工程部長辦公室聯(lián)合發(fā)布《5G 安全評估流程指南》。本文探討了 5G 對安全評估流程和框架，如美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）的風(fēng)險管理框架（Risk Management Framework，RMF）中定義的傳統(tǒng) ATO 流程帶來的獨特挑戰(zhàn)。這項工作是由美國國土安全部科學(xué)技術(shù)局、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局以及國防部研究與工程部長辦公室領(lǐng)導(dǎo)的研究小組共同開發(fā)的，這些機構(gòu)目前都活躍在 5G 研究和安全領(lǐng)域。

1. 背景

當(dāng) 5G 網(wǎng)絡(luò)大規(guī)模部署時，核心網(wǎng)絡(luò)基礎(chǔ)設(shè)施的升級將是必需的。在網(wǎng)絡(luò)基礎(chǔ)設(shè)施升級、技術(shù)標(biāo)準(zhǔn)迅速演變、充滿活力的全球市場（包括許多電信市場的新進入者）以及不斷變化和多樣化的威脅環(huán)境期間，政府必須采用靈活、自適應(yīng)和可重復(fù)的方法來評估任何 5G 網(wǎng)絡(luò)部署的安全性和彈性。

本文提出了 5G 安全評估五步流程，可廣泛應(yīng)用于各種 5G 系統(tǒng)架構(gòu)、部署場景和運行環(huán)境。步驟一要求使用用例定義，以確定作為系統(tǒng)一部分的 5G 子系統(tǒng)、組件配置、應(yīng)用程序和系統(tǒng)操作中涉及的接口。5G 技術(shù)的復(fù)雜性使得聯(lián)邦A(yù)TO 定義安全評估邊界的過程極具挑戰(zhàn)性。因此，步驟二涉及定義邊界，以確定需要評估和授權(quán)（Assessment and Authorization，A＆A）的技術(shù)和系統(tǒng)，同時考慮到包含用例的產(chǎn)品和服務(wù)的所有權(quán)和部署。定義評估邊界后，步驟三包括對每個 5G 子系統(tǒng)進行高級威脅分析，以確定需要通過評估和授權(quán)來解決被降低的網(wǎng)絡(luò)安全能力（例如，身份、憑據(jù)和訪問管理，網(wǎng)絡(luò)安全，通信和接口安全）。步驟四涉及創(chuàng)建一個聯(lián)邦安全指南目錄，其中包括 RMF、NIST 的網(wǎng)絡(luò)安全框架、供應(yīng)鏈風(fēng)險管理、聯(lián)邦風(fēng)險和授權(quán)管理計劃（Federal Risk and Authorization Management Program，F(xiàn)edRAMP）、其他與安全能力相關(guān)的 NIST 和聯(lián)邦網(wǎng)絡(luò)安全指南，以及相關(guān)行業(yè)規(guī)范。步驟五檢查安全要求和聯(lián)邦安全指導(dǎo)及評估程序之間的一致性。如果存在安全需求，但沒有評估指南來指導(dǎo) A&A 活動，那么就可以確定差距，并制定彌補評估缺陷的替代方案。例如，如果沒有開放無線電接入網(wǎng)（Open Radio Access Network，O-RAN）的聯(lián)邦評估指南，則可以考慮國際或商業(yè)項目，如 O-RAN 聯(lián)盟的測試和集成中心認(rèn)證。

2. 5G 安全及威脅概述

2.1 5G 安全

與 4G 蜂窩網(wǎng)絡(luò)技術(shù)相比，5G 將服務(wù)于更多不同類型的設(shè)備和更多的使用案例。5G 引入了新的功能和服務(wù)，主要包括：（1）性能增強的新空口（New Radio，NR），頻譜增加，頻譜共享，低、中、高頻段頻率；（2）為大量用戶提供服務(wù)的小區(qū)加密技術(shù)和波束形成等新技術(shù)，可將無線通信信道定向到用戶并減少干擾；（3）MEC 將典型的集中式應(yīng)用程序移至更靠近網(wǎng)絡(luò)邊緣的位置，以縮短延遲、維持高數(shù)據(jù)傳輸速率并攝入大量數(shù)據(jù)；（4）網(wǎng)絡(luò)切片可以創(chuàng)建多個虛擬網(wǎng)絡(luò)，在共享的物理基礎(chǔ)設(shè)施上提供不同質(zhì)量的服務(wù)水平；（5）虛擬化的無線接入網(wǎng)絡(luò)（Radio Access Network，RAN）和 5G 核心，以動態(tài)擴展網(wǎng)絡(luò)功能。

第 三 代 合 作 伙 伴 項 目（3rd Generation Partnership Project，3GPP）是 5G 的主要標(biāo)準(zhǔn)開發(fā)組織，進行了許多 5G 安全方面的改進，其要點總結(jié)如表 1 所示。

表 1 5G 安全的改進（獨立架構(gòu)）

續(xù)表

2.2 5G 威脅現(xiàn)狀

威脅分析是任何安全風(fēng)險評估的一個關(guān)鍵要素，為了幫助描述威脅，并作為各機構(gòu)開發(fā)自己的 5G 威脅模型的起點，研究團隊將潛在威脅進行了分類。了解這些威脅有助于企業(yè)風(fēng)險管理人員確定安全活動的優(yōu)先級以及所需的安全能力，以減輕其啟用 5G 系統(tǒng)邊界內(nèi)與 5G 系統(tǒng)和子系統(tǒng)相關(guān)的威脅。威脅類別包括：

（1）一般網(wǎng)絡(luò)安全威脅。這些威脅影響所有 5G 子系統(tǒng)，包括配置錯誤、人為錯誤、未能正確加固軟硬件、對手橫向移動、信息泄露和一般的未經(jīng)授權(quán)訪問攻擊。組件配置錯誤或軟硬件加固失敗可能會被攻擊者利用并重新配置5G 元素，將流量引導(dǎo)給攻擊者，或竊取數(shù)據(jù)。

（2）虛擬化威脅。對虛擬機（Virtual Machine，VM）和容器服務(wù)平臺的威脅影響到 5G 核心、RAN、MEC、網(wǎng)絡(luò)切片、虛擬化以及協(xié)調(diào)和管理脅包括持續(xù)拒絕服務(wù)（Denial of Service，DoS）、虛擬機 / 容器逃逸、側(cè)信道攻擊和云服務(wù)消費者錯誤配置。在多租戶虛擬化環(huán)境中，一個租戶的極端資源消耗可以為相鄰的租戶系統(tǒng)創(chuàng)建一個 DoS 事件。這個事件可以阻止或嚴(yán)重降低任務(wù)功能。同樣，主機托管攻擊，如虛擬機 / 容器逃逸或側(cè)信道攻擊，可以使相鄰的計算工作負(fù)載面臨資源被剝奪、橫向移動和數(shù)據(jù)保密性、完整性或可用性被破壞的風(fēng)險。對 5G RAN 或核心功能的側(cè)信道攻擊可能導(dǎo)致繞過用戶賬戶權(quán)限、虛擬化邊界或受保護的內(nèi)存區(qū)域，而暴露敏感信息。

（3）網(wǎng)絡(luò)和管理界面威脅。這些威脅影響所有 5G 子系統(tǒng)的網(wǎng)絡(luò)、管理和空中接口，包括DoS、干擾、竊聽、地址欺騙、流量 / 消息篡改、系統(tǒng) / 協(xié)議發(fā)現(xiàn)、不適當(dāng)?shù)淖鈶敉ㄐ鸥綦x和訪問控制攻擊?？罩薪涌谕{位于用戶終端（User Equipment，UE）和 RAN 之間，使用無線電干擾技術(shù)可以造成干擾，從而阻止 UE 的訪問或造成 5G 業(yè)務(wù)的丟失。虛擬化 / 容器化的核心網(wǎng)絡(luò)功能作為租戶部署在共享云基礎(chǔ)設(shè)施上，租戶之間的通信隔離不當(dāng)可能會使這些虛擬環(huán)境面臨未授權(quán)訪問或機密性信息丟失（例如用戶數(shù)據(jù)、網(wǎng)絡(luò)配置等）。

（4）應(yīng)用和服務(wù)威脅。與 5G 應(yīng)用和服務(wù)交付相關(guān)的威脅會影響所有 5G 子系統(tǒng)，包括惡意軟件和惡意代碼注入、DoS 和分布式拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS）、應(yīng) 用 程 序 編 程 接 口（Application Programming Interface，API）操縱、利用軟件漏洞和訪問控制攻擊。智能手機等終端很容易受到應(yīng)用程序和惡意代碼的利用，這些應(yīng)用程序和惡意代碼可以將私人數(shù)據(jù)暴露給威脅者。MEC 中未受保護或易受攻擊的 API 可能導(dǎo)致對 MEC 的應(yīng)用程序和信息的未授權(quán)訪問，并助長來自網(wǎng)絡(luò)內(nèi)部的進一步攻擊。

（5）惡意元素。來自惡意 UE、惡意基站或 RAN 中的無線電單元以及惡意網(wǎng)絡(luò)主機或MEC 中的欺騙組件的威脅可被用來攻擊 5G 系統(tǒng)。例如，惡意基站可以使用干擾迫使 UE 使用惡意基站，然后捕獲用戶信息和位置，而 MEC中的惡意組件可以破壞 MEC 應(yīng)用，刪除、改變或竊取數(shù)據(jù)。

（6）隱私威脅。對 UE、RAN 和 5G 核心中涉及 5G 網(wǎng)絡(luò)用戶間相關(guān)信息的處理、共享、存儲和通信系統(tǒng)的威脅，包括竊聽、用戶及設(shè)備標(biāo)識符和位置跟蹤，以及用戶、協(xié)議和系統(tǒng)欺騙攻擊。攻擊者可以監(jiān)控 RAN 和 UE 設(shè)備之間的空中接口，以提取不受保護的唯一設(shè)備標(biāo)識符并跟蹤設(shè)備用戶，而未經(jīng)授權(quán)訪問存儲在 5G核心區(qū)的用戶數(shù)據(jù)可用于身份盜竊或電信欺詐。

（7）環(huán)境和物理威脅。環(huán)境和物理訪問控制系統(tǒng)的漏洞和脆弱點、停電及自然災(zāi)害將影響 RAN、5G 核心、MEC 和虛擬化子系統(tǒng)。其中，對端口、設(shè)備和裝置的物理訪問、自然災(zāi)害、電磁脈沖和斷電是最主要的問題。在 RAN 中，放置在燈柱上的小電池可能會受到物理盜竊或損壞，而停電或自然災(zāi)害可能會損壞 RAN 節(jié)點或 5G 核心，導(dǎo)致其無法被訪問。

（8）供應(yīng)鏈威脅。威脅可能發(fā)生在 UE、RAN、5G 核心和虛擬化子系統(tǒng)的軟件、固件和硬件組件的供應(yīng)、獲取和整合過程中。威脅包括漏洞或惡意組件插入、漏洞或惡意開源組件，以及對漏洞硬件、固件或操作系統(tǒng)的攻擊。惡意代碼注入用于構(gòu)建系統(tǒng)軟件以發(fā)布到生產(chǎn)中的通用代碼庫，會對運營產(chǎn)生嚴(yán)重影響，特別是當(dāng)受影響的系統(tǒng)可以訪問特權(quán)用戶系統(tǒng)時，如用于身份和訪問管理或網(wǎng)絡(luò)健康和配置管理的系統(tǒng)。包含來歷不明或安全態(tài)勢未知的固件 /硬件組件（例如在 UE 或 RAN 中）可能會將惡意或假冒組件引入這些子系統(tǒng)，從而導(dǎo)致將敏感用戶和網(wǎng)絡(luò)數(shù)據(jù)暴露給對手。

（9） 人 工 智 能 / 機 器 學(xué) 習(xí)（Artificial Intelligence/Machine Language，AI/ML）的威脅。對 UE（例如物聯(lián)網(wǎng)或網(wǎng)絡(luò)物理設(shè)備的網(wǎng)關(guān)）、RAN、協(xié)調(diào)和管理子系統(tǒng)的數(shù)據(jù)完整性、機密性和可用性的威脅。這些威脅影響到 AI/ML 軟件和系統(tǒng)，以及依靠數(shù)據(jù)的準(zhǔn)確性、及時性和可信度來進行基于 AI/ML 的決策（如網(wǎng)絡(luò)功能的動態(tài)分配）的網(wǎng)元和服務(wù)。例如，用于執(zhí)行算法分析功能的代碼損壞或虛假、受污染的數(shù)據(jù)插入 AI/ML 算法將使得網(wǎng)絡(luò)運行速率降低，對人身安全造成潛在影響（例如，在使用自動駕駛車輛或智能城市交通管理時）。

3. 建議的 5G 安全評估流程

3.1 5G 概念部署場景

在聯(lián)邦政府中，許多早期的 5G 使用者會選擇一種私有的 5G 網(wǎng)絡(luò)解決方案，該方案可以根據(jù)特定的安全和性能要求進行定制，以支撐特定任務(wù)的執(zhí)行。私有 5G 網(wǎng)絡(luò)可以在多種配置下構(gòu)建和運行，從完全獨立的解決方案（內(nèi)部部署 + 未授權(quán) / 共享頻譜接入 + 政府擁有的基礎(chǔ)設(shè)施 + 政府運營商）到混合政府和商業(yè)運營組件、服務(wù)的“混合”解決方案。本文展示的示例部署將通過一個全新的、使用網(wǎng)絡(luò)切片的公私混合方式來實現(xiàn)。該方案使用了簡單且實際的組件、服務(wù)和參與者配置，并不旨在服務(wù)于單一的任務(wù)或應(yīng)用，相反，該網(wǎng)絡(luò)可以被分割，以滿足各種應(yīng)用和任務(wù)需要。其關(guān)鍵部署細(xì)節(jié)如下文所述。

（1）網(wǎng)絡(luò)基礎(chǔ)設(shè)施。私有網(wǎng)絡(luò)將由網(wǎng)絡(luò)運營商交付，它通過運營商的公共 RAN 和 SA 核心網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行傳輸。網(wǎng)運營商將獲取、安裝和維護 RAN 基礎(chǔ)設(shè)施（包括塔、基站和無線電）。政府可以選擇創(chuàng)建子網(wǎng)支持多個租戶組織，或通過創(chuàng)建額外的切片來滿足獨特的應(yīng)用性能需求。

（2）頻譜。私有網(wǎng)絡(luò)的無線部分將使用網(wǎng)絡(luò)運營商授權(quán)的頻譜產(chǎn)品。對于對安全性或彈性要求不高的用例，可以通過共享中頻頻譜 [ 例如公民寬帶無線電服務(wù)（Citizens Broadband Radio Service，CBRS）] 的方式來實現(xiàn)網(wǎng)絡(luò)容量的增加。

（3）安全。政府必須明確規(guī)定滿足本地3GPP 安全措施和特性的聯(lián)邦法規(guī)和安全要求。此外，根據(jù)部署場景和相關(guān)任務(wù)風(fēng)險，每個網(wǎng)段可能需要額外地進行安全增強和遠(yuǎn)程訪問控制。例如，運營商可以通過其網(wǎng)絡(luò)切片產(chǎn)品提供“端到端”安全，但是，其安全能力可能無法滿足政府的安全要求甚至需要額外的安全緩解措施。政府提供的智能設(shè)備將使用基于軟件的公共密鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）證書，并由企業(yè)的統(tǒng)一終端管理（Unified Endpoint Management，UEM）系統(tǒng)進行遠(yuǎn)程管理。與政府的周邊安全解決方案、零信任架構(gòu)或其他有線 / 無線網(wǎng)絡(luò)和網(wǎng)關(guān)的整合也可按成本增加。

（4）網(wǎng)絡(luò)管理。網(wǎng)絡(luò)切片的 RAN 部分的管理和協(xié)調(diào)將由政府獨家控制。其他層的故障、配置、記賬、性能和安全功能可以由政府或授權(quán)承包商應(yīng)用于 RAN 部分。

（5）云計算。本例部署方案中政府運營的部分不包括 MEC 解決方案或任何公共云基礎(chǔ)設(shè)施或服務(wù)。預(yù)計網(wǎng)絡(luò)運營商的數(shù)據(jù)中心和邊緣云節(jié)點將在商品硬件上執(zhí)行虛擬化的網(wǎng)絡(luò)功能。

3.2 第一步：定義聯(lián)邦 5G 用例

該過程的第一步是定義用例和 5G 使用場景（增強移動寬帶、超可靠低延遲通信、大規(guī)模機器類型通信），它包括在 UE、RAN、核心、MEC 以及與接口系統(tǒng)和應(yīng)用程序的相關(guān) 5G 參考設(shè)計之中。根據(jù)用例及其相關(guān)使用場景，可以描述 5G 系統(tǒng)元素及其他系統(tǒng)和網(wǎng)絡(luò)的集成。定義用例包括：（1）描述用例的用途（例如連接設(shè)備、可穿戴設(shè)備、環(huán)境傳感器和構(gòu)建傳感器，以便為第一響應(yīng)者提供態(tài)勢感知）；（2）標(biāo)識用例包含的 5G 使用場景。許多聯(lián)邦用例將利用第三代合作伙伴計劃的 5G 使用場景；（3）描述支持用例所需的系統(tǒng)、子系統(tǒng)、接口、應(yīng)用程序、端點、安全性等；（4）提供 2.1 節(jié)中討論的 5G 系統(tǒng)模型和參考設(shè)計的細(xì)節(jié)，以及與其他系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的接口。

由于示例網(wǎng)絡(luò)部署場景是一種簡化的最佳場景，以下備選部署場景詳細(xì)說明了對安全評估過程的潛在影響。

（1）交付專用 5G 網(wǎng)絡(luò)。超大規(guī)模云提供商正在迅速推進將托管服務(wù)交付專用 5G 網(wǎng)絡(luò)作為一個新興市場。這些服務(wù)包括預(yù)先配置好的網(wǎng)絡(luò)設(shè)備和管理系統(tǒng)軟件，這些軟件可以快速安裝到經(jīng)過許可的頻譜和共享的中段 CBRS頻譜（僅在美國可用）。使用這種托管服務(wù)不會簡化或減少評估單個設(shè)備（包括 SIM 卡）和軟件組件所需的工作量，但可以加快網(wǎng)絡(luò)的部署。

（2）中立主機網(wǎng)絡(luò)（Neutral Host Network，NHN）。為了減少成本開支和運營費用，擁有多個租戶組織的政府網(wǎng)站可以選擇分擔(dān) RAN 基礎(chǔ)設(shè)施成本，并將網(wǎng)絡(luò)運營外包給合格的第三方。中立主機讓多個組織和用戶共享網(wǎng)絡(luò)（包括共享 RAN 和核心網(wǎng)絡(luò)）。由于網(wǎng)絡(luò)設(shè)備和可能的頻譜將被共享，硬件占用和基礎(chǔ)設(shè)施投資會大大減少。因此，NHN 部署將形成一個更簡單、更快的安全評估過程，該過程可能會涉及更多的利益攸關(guān)方和增加行政管理費用（例如諒解備忘錄、分開收費和計費）。

3.3 第二步：確定評估邊界

5G 技術(shù)的復(fù)雜性使得為聯(lián)邦 ATO 定義安全評估邊界的過程變得困難。第二步涉及定義邊界以識別需要 A&A 的技術(shù)和系統(tǒng)，考慮包含用例的產(chǎn)品和服務(wù)的所有權(quán)和部署，以及定義安全能力的實現(xiàn)、管理和監(jiān)控的角色和職責(zé)。在定義評估邊界后，就可以確定 A&A 活動要處理的安全需求。邊界包括系統(tǒng)中所有被授權(quán)運行的組件，不包括系統(tǒng)連接的單獨授權(quán)系統(tǒng)。邊界示例包括：

（1）單一邊界（如獨立的專用網(wǎng)絡(luò)）；

（2）系統(tǒng)中的系統(tǒng)（如與組成 / 租戶系統(tǒng)共享的網(wǎng)絡(luò)基礎(chǔ)設(shè)施）；

（3）混合（如公共和私人）。

由于目前已定義了專用 5G 網(wǎng)絡(luò)的實例，因此評估邊界是明顯的。大部分的公共核心網(wǎng)位于網(wǎng)絡(luò)運營商的數(shù)據(jù)中心，網(wǎng)絡(luò)流量通過端到端網(wǎng)絡(luò)切片進行分割。獨特的安全需求可能需要對核心網(wǎng)絡(luò)元素、流程和供應(yīng)商進行詳細(xì)評估。否則，評估邊界可能包括運營商提供的網(wǎng)絡(luò)切片、政府運營 RAN 段的基礎(chǔ)設(shè)施構(gòu)建和運行，以及端點設(shè)備。

但是，如果一個政府租戶組織被分配了一個政府網(wǎng)絡(luò)切片子網(wǎng)，那么該組織可以獲得一個 MEC 節(jié)點來提供靠近網(wǎng)絡(luò)邊緣的額外處理。MEC 的安裝將引入威脅向量，需要進行安全評估。如果第三方 MEC 解決方案自帶管理系統(tǒng)，也將納入考核范圍。

3.4 第三步：確定安全需求

第三步是一個多階段步驟，包括對每個 5G子系統(tǒng)進行高級威脅分析，并確定 A&A 活動要解決的網(wǎng)絡(luò)安全要求。它要求徹底了解所考慮的用例，以便為評估邊界內(nèi)采用的技術(shù)和與外部系統(tǒng)的所有接口提供背景。該步驟包括執(zhí)行RMF 系統(tǒng)級準(zhǔn)備步驟中定義的威脅分析和風(fēng)險評估。在此過程中，重點關(guān)注單個 5G 系統(tǒng)元素和 5G 連接系統(tǒng)。

為 了 簡 化 對 需 求、 評 估 策 略 和 指 導(dǎo) 的 映射，將 2.2 節(jié)中總結(jié)的各種威脅的安全功能進行了分類。例如，身份驗證、授權(quán)和最低權(quán)限訪問控制被歸入身份、憑證和訪問管理（Identity,Credential, and Access Management，ICAM）類別，而入侵檢測、網(wǎng)絡(luò)分段和端口 / 協(xié)議安全被歸入網(wǎng)絡(luò)安全類別。

3.4.1 用戶設(shè)備

以私有 5G 網(wǎng)絡(luò)為例，政府配備（Government Furnished Equipment，GFE）智能設(shè)備是網(wǎng)絡(luò)終端，受到來自政府專用 5G 網(wǎng)絡(luò)內(nèi)部和外部的一系列威脅。由于對 GFE 設(shè)備的安全風(fēng)險和漏洞進行了預(yù)評估，這一步主要是針對那些完全符合安全保護要求的設(shè)備完成的，并且是最新的。GFE智能設(shè)備提供端點安全保護，由企業(yè)設(shè)備管理系統(tǒng)管理，并使用個人身份驗證、公共訪問卡憑據(jù)、基于軟件的憑據(jù)進行身份驗證。根據(jù)機構(gòu)的指導(dǎo)，這些安全能力的應(yīng)用允許 GFE 設(shè)備可以立即在政府 5G 網(wǎng)絡(luò)上使用。如果非 GFE智能設(shè)備被引入私人 5G 網(wǎng)絡(luò)，則有必要對適用的硬件、ICAM、應(yīng)用、數(shù)據(jù)和通信安全要求進行全面評估。

3.4.2 5G 無線接入網(wǎng)

根據(jù)系統(tǒng)評估邊界和配置，5G RAN 基礎(chǔ)設(shè)施可以包括來自一個或多個地理位置的基礎(chǔ)設(shè)施元素，并涉及各種網(wǎng)絡(luò)交換機 / 路由器、基站以及接入點 / 小區(qū)站點設(shè)備和軟件。例如，私有5G 網(wǎng)絡(luò)涉及一個帶有 RAN 切片的局域 RAN 段，以支持多租戶應(yīng)用程序。所有硬件和軟件組件，包括云 / 邊緣平臺以及內(nèi)部和外部系統(tǒng)接口，都將接受威脅和安全能力分析。某些安全條件和保證需求可能要求進行更廣泛的調(diào)查，可能涉及第二級（及以上）供應(yīng)商，以及每個軟件材料清單的完整性證明。

如果 RAN 段采用開放的、分類的 RAN 解決方案，與傳統(tǒng)的 RAN 解決方案相比，將有更多的一級供應(yīng)商（及其組件硬件和 / 或軟件產(chǎn)品） 涉及這個安全評估步驟?；ゲ僮餍院蜐B透測試的水平可能會提高，識別和緩解潛在的開放 RAN 攻擊向量的能力也會提高。

3.4.3 5G 核心網(wǎng)絡(luò)

5G 核心網(wǎng)絡(luò)是 5G 系統(tǒng)的核心。它通過可靠且安全的連接方式將終端用戶與網(wǎng)絡(luò)所提供的服務(wù)連接起來。5G 核心網(wǎng)提供的基本功能包括用戶認(rèn)證與授權(quán)、數(shù)據(jù)連接、移動管理、用戶數(shù)據(jù)管理、策略管理及控制。根據(jù)運營商的網(wǎng)絡(luò)切片實現(xiàn)，這種分段技術(shù)可能會減輕核心網(wǎng)絡(luò)某些方面的評估結(jié)果。然而，由于網(wǎng)絡(luò)切片是一項新技術(shù)，其威脅向量還沒有完全被理解，因此還需進一步的測試。

如果共享頻譜接入（例如 CBRS 頻譜）被納入專用 5G 網(wǎng)絡(luò)，則需要采取額外的措施，確保商業(yè)運營商獲得許可，并進行適當(dāng)?shù)牧髁抗芾?，在網(wǎng)絡(luò)的許可頻譜部分實現(xiàn)高保證流量。在審查時可能需要額外的措施。

3.4.4 部署環(huán)境和運營責(zé)任的考慮

一個系統(tǒng)不僅僅是各部分的總和。在評估單個 5G 系統(tǒng)元素時亦是如此，還有一些額外的安全需求和考慮因素會影響端到端系統(tǒng)的整體保障。在確定安全需求時，了解所涉及技術(shù)的預(yù)期部署環(huán)境以及誰將擁有和操作相關(guān)系統(tǒng)也很重要。例如，部署環(huán)境的屬性可能會引入額外的風(fēng)險或緩解措施，從而嚴(yán)重影響網(wǎng)絡(luò)的安全狀況。如果在基站設(shè)備位于政府場所的情況下，實際訪問可能僅限于獲得授權(quán)的政府和承包商人員。如果特定地點或特定部署的屬性被接受為系統(tǒng)安全能力，這些屬性將被包括在評估范圍內(nèi)。

此外，由于子系統(tǒng)所有者和操作者遵守他們的操作和維護政策，系統(tǒng)安全評估必須確定是否有新的漏洞被引入。如果一個系統(tǒng)是為政府獨家擁有和運營而建立的，那么該系統(tǒng)就需要適用于政府的網(wǎng)絡(luò)安全要求。

3.5 第四步：將安全要求映射到聯(lián)邦指南和行業(yè)規(guī)范中

聯(lián)邦安全要求滿足國際行業(yè)規(guī)范中列舉的要求。第四步涉及創(chuàng)建聯(lián)邦安全 A&A 指南目錄，該目錄與評估邊界中包含的技術(shù)和第三步確定的隱含安全能力相一致。例如，RMF 適用于所有類別的安全能力，以及與 ICAM、供應(yīng)鏈 風(fēng) 險 管 理（Supply Chain Risk Management，SCRM）、數(shù)據(jù)安全、虛擬化 / 云 / 容器安全和網(wǎng)絡(luò)安全保護相關(guān)的其他 NIST 和國防部網(wǎng)絡(luò)安全指南。聯(lián)邦系統(tǒng)可能需要具有以下可審核的安全能力：

（1）由《采辦政策》《行政命令》《國防授權(quán)法案》以及《行政命令 13556》（受控非機密信息）定義的 SCRM；

（2）由 NIST SP 800-37、NIST SP 800-53A和國防部指令 8510.01 定義的 RMF；

（3）由 FIPS 199、FIPS 200 和 FIPS 140-2/3界定的聯(lián)邦信息處理標(biāo)準(zhǔn)（Federal Information Processing Standards，F(xiàn)IPS）；

（4）由美國國防信息系統(tǒng)局的安全技術(shù)實 施 指 南、 美 國 國 家 信 息 安 全 聯(lián) 盟（National Information Assurance Partnership，NIAP）的通用標(biāo)準(zhǔn)和保護配置文件定義的組織特定政策和 / 或安全指南定義的系統(tǒng)強化；

（5）體系結(jié)構(gòu)，如組織零信任參考架構(gòu)和采用原則和 / 或 NIST SP 800-207 定義的結(jié)構(gòu)；

（6）聯(lián)邦或國防部、PKI 和 ICAM 政策界定的信任根基；

（7）聯(lián)合國家安全局、CISA 出版物系列中闡述的 5G 基礎(chǔ)設(shè)施安全指南；

（8）持續(xù)診斷和緩解程序，如由 DHS 或NIST SP 800-137 定義的程序。商業(yè)服務(wù)提供商可能被要求遵守《聯(lián)邦采辦條例》或《國防聯(lián)邦采辦條例補充》、NIST SP 800-171、國防部網(wǎng)絡(luò)安全成熟度模型認(rèn)證或FedRAMP 或國防部 FedRAMP+ 云服務(wù)。

3.6 第五步：評估安全指導(dǎo)方針的差距

第五步檢查安全功能和可用的聯(lián)邦安全指南之間的一致性，以指導(dǎo) A&A 活動。如果需要安全能力來緩解已識別的威脅并降低聯(lián)邦企業(yè)的風(fēng)險，那么必須有一種方法來評估其實施的有效性?？刹捎脵C構(gòu)特定政策或一般政府指導(dǎo)及政策，和 / 或成立獨立評估機構(gòu)進行評估。如果存在安全需求，而沒有評估指導(dǎo)、政策或組織來驗證其對政府運營的有效性，則會發(fā)現(xiàn)差距。當(dāng)認(rèn)為安全需求的存在是為了減輕威脅，但沒有建立正式的需求時，也會出現(xiàn)缺口。

在缺乏美國政府評估計劃或公認(rèn)的政府標(biāo)準(zhǔn)的情況下，風(fēng)險管理人員可能會確定替代評估制度，如行業(yè)認(rèn)證、商業(yè)貿(mào)易團體創(chuàng)建的安全保證計劃或其他最佳實踐評估框架。然而，在嘗試使用評估替代品之前，風(fēng)險管理人員應(yīng)仔細(xì)評估任何此類方法的適用性和全面性。例如，在檢查啟用 5G 的物聯(lián)網(wǎng)設(shè)備安全時，發(fā)現(xiàn)缺乏 NIAP 通用標(biāo)準(zhǔn)保護配置文件指導(dǎo)安全實施或執(zhí)行安全評估。經(jīng)過合理評估后，機構(gòu)將會發(fā)現(xiàn)現(xiàn)有的行業(yè)認(rèn)證計劃可以作為合適的評估替代方案。

通過初步分析，本研究發(fā)現(xiàn)了一些差距。此外，研究團隊預(yù)計，3GPP、歐洲電信標(biāo)準(zhǔn)協(xié)會和 O-RAN 聯(lián)盟將繼續(xù)致力于開展項目研究和安全規(guī)范制定，并可能會發(fā)現(xiàn)其他威脅。

4.結(jié)語

5G 網(wǎng)絡(luò)旨在提供比 4G 網(wǎng)絡(luò)更好的安全性。然而，具有新功能和服務(wù)的 5G 網(wǎng)絡(luò)極具復(fù)雜性，同時 5G 網(wǎng)絡(luò)設(shè)備數(shù)量和類型預(yù)計將大幅增加，再加上 RAN 和 5G 核心的虛擬化和分解使用，擴大了威脅面，使得界定系統(tǒng)邊界具有很大的挑戰(zhàn)性。實施或計劃實施 5G 系統(tǒng)的企業(yè)可能沒有意識到納入 5G 技術(shù)對系統(tǒng)風(fēng)險評估 /ATO 過程的影響。此外，由于 5G的部署尚處于早期階段，企業(yè)可能沒有意識到5G 面臨的潛在威脅，也沒有準(zhǔn)備好訪問 5G 提供的安全功能。

為了確定在聯(lián)邦系統(tǒng)中納入 5G 技術(shù)可能對 ATO 過程產(chǎn)生的影響，研究團隊制定了本文提出的五步 5G 安全評估流程，確定了 5G 系統(tǒng)網(wǎng)絡(luò)評估的重要威脅框架、5G 系統(tǒng)安全考慮因素、行業(yè)安全規(guī)范、聯(lián)邦安全指導(dǎo)文件以及相關(guān)組織和方法。通過調(diào)查，研究小組得出結(jié)論：NIST RMF 是技術(shù)中立的，不需要對 5G 進行修改。本文描述的 5G 安全評估流程是一種可重復(fù)的方法，聯(lián)邦計劃 / 項目管理者在為 5G 系統(tǒng)進行 NIST RMF 的準(zhǔn)備步驟時可以使用，也可以應(yīng)用于廣泛的 5G 系統(tǒng)架構(gòu)、部署場景 / 用例等其他操作環(huán)境。