2022年3月,欧盟网络安全局发布《5G网络安全标准:网络安全策略的标准化要求分析》报告。赛迪智库网络安全研究所对该报告进行了编译,期望对我国主管部门、研究机构、相关企业等提供参考。
报告通过评估现有5G生态系统网络安全相关标准、规范和准则(2021年9月前发布)对实现5G网络安全可靠性和弹性的作用,认为现有5G安全标准、规范和准则过于宽泛,适用性有待提升,涵盖范围不足,建议循序渐进地推动5G标准化,增加5G标准制定的针对性以及各相关方行动一致性,注重提升标准化、弹性和信任。
一、概要
本报告旨在阐述标准化在减少5G生态系统的技术风险,提升信任度和弹性方面的作用。概括分析了2021年9月前发布的5G生态系统网络安全相关标准、规范和准则,评估了上述标准文件对5G安全环境所具有的价值以及标准的适用性,并针对提升5G安全标准化水平提出建议。
本报告建议要循序渐进地推动5G标准化,考虑新标准的实用性和必要性及与战略目标间的联系,强调5G生态系统中的所有相关方需要在评估风险方法上协调一致,以提高风险判断与评估的成熟度和完整性。
二、5G 生态系统范围
5G生态系统包含以下几个维度(表 1)。
三、5G 生态系统标准文件的作用与评估
本报告从现有标准中选出140多份文件和150多项安全措施,详细分析并评估其对5G生态系统安全的涵盖程度,相关结果见表2。
四、5G安全标准化的不足和差距
针对5G安全各领域现有标准文件,梳理现有标准文件中部分涵盖、涵盖较少或没有涵盖的领域,评估现有标准文件实现“理想情况”的程度,以及在实施中可用的标准、规范和准则,减少了5G技术和机构网络安全风险,并提供了充分的安全保障。专家组以此作为参照,确定了标准化完整性水平,如表5所示。其中颜色代码规则如表3所示。
表5的括号内标明了各个领域的相关标准文件,并对现有标准文件参考的简写方式进行了分组。如表4:
*注:对于研究和创新机构,差距指的是这些机构需要进一步完善的领域。
*注:该领域可实施软措施而非标准。
通过评估5G安全标准化水平,本报告得出如下主要结论:
1. 治理和风险管理领域、人力资源安全方面存在一定差距。
2. 现有标准、规范和准则都过于宽泛。经过调整后,才能适用于5G技术和功能领域及相关生命周期流程。
3.5G特定标准、规范和准则更适用于电信行业的各相关方(例如,连接设备行业的审查机构和各相关方)。
4.5G特定标准、规范和准则基本涵盖了技术生命周期的“运行”阶段,其他阶段相关标准、规范和准则需要调整。
5. 网络安全威胁和IT安全准则方面现有知识库可用于5G云原生架构和基于应用程序编程接口(API)的架构,电信行业已开始利用这些软件推动“云化”。
译自:
5G Cybersecurity Standards: Analysis of standardisation requirements in support of cybersecurity policy, March 2022 by The European Union Agency for Cybersecurity (ENISA)
赛迪译丛
由中国电子信息产业发展研究院推出的一本高端编译类研究周刊。它以“面向政府,服务决策”为宗旨,突出实效性、实用性,主要针对世界主要国家最新发布的工业和信息化领域的国家战略、方针政策、产业重点、前沿技术标准等内容进行收集、提炼、翻译、编辑,及时为我国相关产业政策制定部门、科研机构和企业提供参考和借鉴。自2011年出刊以来,《赛迪译丛》的翻译和编译工作由赛迪智库的专家和资深翻译团队共同完成,多次获得工业和信息化部领导的批示。
来源丨赛迪智库
编辑丨办公室
热门跟贴