面向5G資產的統一安全評測模型與體系構建

馮澤冰 司培培

(中國信息通信研究院 北京 100191)

(fengzebing@caict.ac.cn)

移動通信網絡安全是不斷演進和增強的過程，5G在繼承4G網絡分層分域的安全架構的基礎上，提供了比4G更強的安全能力[1]，包括：1)新增服務域安全，采用完善的注冊、發現、授權安全機制及安全協議來保障5G服務化架構安全；2)采用統一認證框架能夠融合不同制式的多種接入認證方式，保障異構網絡切換時認證流程的連續性；3)增強數據隱私保護，使用加密方式傳送用戶身份標識，支持用戶面數據完整性保護，以防范攻擊者篡改用戶面數據或利用空中接口明文傳送的用戶身份標識來非法追蹤用戶的位置和信息；4)增強網間漫游安全，提供了網絡運營商網間信令的端到端保護，防范以中間人攻擊方式獲取運營商網間的敏感數據.

然而，5G采用了包括網絡功能虛擬化(network virtualization function, NFV)、多接入邊緣計算(multi-access edge computing, MEC)、網絡切片等關鍵技術，網絡資產形態更為多樣復雜，同時5G網絡的開放性引入了比過去移動通信網更復雜的安全風險[2].為了提升產業界對5G移動通信網安全的信任，全球移動通信系統協會(GSMA)與負責制訂全球通信技術標準的第3代合作伙伴計劃(3GPP)合作制定了網絡設備安全保障計劃 (NESAS)[3]，通過對5G設備開展安全評估，提升5G網絡設備的安全能力.在移動產業的推動下NESAS已在產業界具有較高的認可度，并作為歐盟網絡安全統一認證框架5G設備安全基線認證的重要參考.

本文在GSMA NESAS的基礎上，借鑒STRIDE安全威脅模型[4]、通用準則(CC)[5]等，提出了一套適用于5G網絡安全評測的通用模型，即ARMIT模型.該模型與NESAS框架整體目標一致，但相比NESAS框架，一方面，ARMIT 模型對5G資產作了更詳細分層的梳理，清楚地描述了開展安全評測的組成元素和周期過程；另一方面，與NESAS僅關注資產本身安全不同，ARMIT模型闡述了適用于5G資產和網絡運行的安全要求、安全能力評價指標體系和評測方法.ARMIT測評模型可為設備企業、運營商等開展5G產品、網絡和服務的安全能力評估提供有效的參考.

1 5G安全評測體系

1.1 5G安全評測模型

5G安全評測ARMIT模型如圖1所示，每個字母代表安全評測生命周期內的不同組成部分，分別為：1)資產(assets)，指代組成5G網絡的各種資產集合；2)要求(requirements)，指代對5G不同資產的安全要求集合；3)方法(methods)，指代對5G資產安全要求進行評測的方法集合；4)指標(index)，指代衡量5G資產安全能力安全性指標集合；5)威脅(threats)，指代5G資產面臨的安全威脅集合.從STRIDE威脅建模角度看[5]，由于5G資產本身安全能力不足或者受到可能的外部攻擊，會面臨仿冒、篡改、抵賴、信息泄露、拒絕服務、越權等各式各樣的安全威脅.5G安全評測需要通過合理的評測方法，對5G資產的安全能力進行驗證，以最大程度消減資產面臨的安全風險.因此，以上幾個環節互共同組成5G安全評測體系，5G安全評測的整體目標為“針對5G資產A，通過評測方法M，驗證滿足安全要求R，達到安全指標I，并消減安全威脅T” .

圖1 5G安全評測模型

1.2 5G安全評測周期

5G安全評測的執行需要專業的評測機構依據評測標準，通過科學的評測方法和工具對5G資產的安全能力進行驗證.一個完整的評測周期包含評測機構域、參考文檔域、評測對象域和業務運行域，4個域內的主體之間通過之間的相互作用，共同完成5G安全評測過程(如圖2所示).幾個域的能力說明如下：

圖2 5G安全評測周期

1) 評測機構域.指開展5G安全評測相關機構，依據提供的驗證能力不同，評測機構通常分為安全審計機構和安全檢測實驗室.安全審計機構主要對5G參與主體的市場、人員、流程、運營、維護等安全管理進行審計，確保參與方在運維網絡、開發產品、管理人員、市場交易、文檔管理等過程中符合安全管理規范要求.安全檢測實驗室主要對5G資產開展安全評估和檢測，確保5G資產符合安全技術規范要求和參數要求.安全審計機構和安全檢測實驗室由專門的認可機構進行能力認可后方可進行和檢測.例如中國合格評定國家認可委員會可依據ISO/IEC 17025標準對檢測實驗室進行認可， GSMA依據其發布的規范對NESAS體系下審計機構和安全評估實驗室進行認可.

2) 參考文檔域.指開展5G安全評測過程中的參考文檔，包括國際/國家安全評測相關標準規范、國家發布的安全政策和法律等.一般來說，認可機構會引用參考文檔開展機構和實驗室認可，審計機構和檢測實驗室會引用參考文檔開展安全審計和安全檢測.

3) 評測對象域.指被評測的對象，包括主體和資產2種.主體主要是指參與5G過程的參與方，包括設備廠商、運營商等，資產主要是指組成5G架構的各種設備、網絡、協議、數據等.在評測過程中主體需要接受審計機構的安全審計，而資產作為檢測對象由檢測實驗室進行安全檢測.

4) 業務運行域.指運行5G業務的網絡服務提供者和網絡本身，主要包括具備5G牌照的運營商以及建設運行的5G網絡.一般來說，經過檢測實驗室安全檢測(或認證)后的5G資產才能具備作為安全基礎設施支撐5G網絡安全建設和運營.

2 5G資產及威脅分析

2.1 5G資產分析

5G網絡是一個復雜的組合體，傳統對移動通信網的結構區分主要分為接入網、傳輸網和核心網，核心網之后就是骨干網.5G網絡由于引入NFV、軟件定義網絡、MEC等新技術，網絡形態相比4G更加復雜.在網絡參與主體上，除傳統通信設備廠商、基礎電信企業外，由于新技術的引入，云、大數據、互聯網數據中心等廠商加入到5G網絡組成各個環節，多領域垂直行業主體也深度參與5G應用.

按形態、功能和尺度規模不同，5G資產可以分為基礎元件級、資源級、基礎軟件級、功能組件級、網絡功能級和交互級，圖3給出了不同資產所包含的資產內容.級別越低資產形態和尺寸越小，功能簡單，但體量大.相反級別越高資產形態和尺寸越大，功能越復雜.相比4G時代：一方面，5G網絡功能以虛擬化方式提供功能，引入了網絡功能虛擬化資產；另一方面，在虛擬化基礎上，5G接入、傳輸和核心網可以通過切片方式為用戶提供服務，出現了以網絡切片為主的組合資產形態.一般來說，5G安全其實更加關注基礎軟件級以上的安全能力.例如3GPP SCAS將5G設備安全分為基線安全和設備功能安全[6].基線安全主要關注操作系統安全、Web安全、數據安全、隔離安全等，而設備功能安全主要關注設備具備的安全功能(如加密/完整性保護)和通信協議過程的安全(如接入鑒權過程).

圖3 5G網絡資產視圖

2.2 5G網絡威脅分析

5G新技術、新應用、新架構發展的變革性，引入了過去移動通信網不曾遇到的特定安全風險，總體上面臨比4G更多的攻擊面，包括：1)新技術引入的安全風險.5G網絡引入的網絡功能虛擬化、服務化架構、網絡切片、邊緣計算、網絡能力開放等關鍵技術，相比4G網絡更加開放，在一定程度上帶來了新的安全威脅和風險，對數據保護、安全防護和運營部署等方面提出了更高要求.2)新場景帶來的安全挑戰.5G拓展了工業互聯網、車聯網自動駕駛等多元化應用場景，5G與垂直行業的深度融合帶來了從“通用安全”向“按需安全”轉變的挑戰，行業安全訴求差異化，難以采用單一化、通用化的安全解決方案來確保各垂直行業安全應用.3)復雜產業鏈造成的安全威脅.5G技術門檻高、產業鏈長，應用領域廣泛，產業鏈涵蓋系統設備、芯片、終端、應用軟件、操作系統等多類資產，如果產業鏈各環節不能同步更新完善5G網絡安全產品和解決方案、無法提供更為安全可靠的5G產品，將增加網絡基礎設施的脆弱性，影響5G網絡安全運行.

歐盟網絡安全局于2019年11月發布5G網絡威脅圖譜[7]，將5G網絡面臨的威脅分為核心網威脅、接入網威脅、MEC威脅、虛擬化威脅、物理設施威脅、一般性威脅和SDN威脅.總體上，可將5G網絡威脅分為兩大類：一類是基礎威脅，包括基礎軟硬件的漏洞、軟件代碼缺陷、不安全的網絡協議、數據保護措施不足、訪問控制策略不恰當、不可信的第三方組件等；另一類是與5G網絡功能相關的威脅，包括網絡功能虛擬化安全防護措施不當、邊緣計算節點安全防護能力不足、5G通信協議存在漏洞、網絡切片隔離不足等.

3 5G安全要求及安全指標

3.1 安全要求分析

評測機構對評測對象開展安全評測時，需要通過評測方法確認評測對象是否滿足一定的安全要求.這些安全要求往往是作為保護輪廓來確保評測對象具備防護資產抵抗攻擊的能力.在某些場景下部分安全要求往往沒有絕對的定義，需要靠評測人員的經驗來判斷.一般來說，安全要求隨著攻擊和防御技術的演進也會發生相應的變化.例如，RC4和SHA-1加密算法隨著加密技術的演進和攻擊能力的提升，已經不能作為當前信息加密的可靠性算法要求.5G網絡安全評測過程中主要關注的安全要求包括：

1) 環境安全.針對部署5G基礎設施的物理環境提出的安全要求，主要對象為物理環境和物理設施等.涉及的安全要求包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等.

2) 基礎軟硬件安全.針對支持5G網絡建設的基礎軟硬件提出的安全要求，主要對象為組成5G網絡的基礎軟硬件，如通信模組、物理服務器、虛擬機、天線、操作系統、數據庫、虛擬化套件、SDN軟件等.涉及的安全要求包括軟件無已知后門、硬件運行可靠、軟硬件可信等.

3) 通信網絡安全.針對通信網絡提出的安全要求，主要對象為5G接入網、傳輸網、核心網，以及運營商之間的網絡、5G與其他異構網絡之間的通信網絡等.涉及的安全要求包括架構安全、傳輸安全和接入鑒權等.

4) 區域邊界安全.針對網絡邊界提出的安全要求，主要對象為系統邊界和區域邊界等，例如5G與MEC之間的邊界、運營商網絡之間的安全邊界、運營商網絡與業務系統之間的邊界等.涉及的安全要求包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計和設備可信等.

5) 數據安全.針對網絡中通信和存儲的數據提出的安全要求，主要對象為在5G網絡中傳輸和存儲的用戶/系統數據.涉及的安全要求包括數據加解密、密鑰管理、數據脫敏、數據安全存儲、數據生命周期管理等.

6) 系統訪問安全.針對系統訪問和操作提出的安全要求，主要對象為5G網絡中的相關主機、系統和數據庫等.涉及的安全要求包括權限管理、訪問控制、日志管理、身份驗證等.

7) 供應鏈安全.針對5G資產供應鏈提出的安全要求，主要對象為運營5G網絡的運營商和提供5G設備集成和服務的設備廠商.涉及的安全要求包括供應鏈可靠性、供應商多元性、供應商可信、供應商產品安全能力等.

8) 符合標準性.針對5G資產生產和5G網絡組網運營過程提出的要求，主要對象為5G資產和5G網絡運營者.涉及的安全要求包括5G資產本身、網絡運維等應符合國際標準的安全協議、流程和功能.

9) 管理安全.針對5G網絡的安全運營維護、主體的安全管理制度和人員管理等提出的要求，主要對象為5G主體.涉及的安全要求包括安全管理中心、安全人員管理、安全建設管理、安全運維管理等.

3.2 安全指標分析

安全要求可以用來評測資產某一項安全功能是否滿足規定的要求，此外，還可以通過定義的指標對其安全性進行衡量.安全評估指標是反映評估對象安全屬性的指示標志，根據評估目標和評估內容的要求構建的一組反映網絡安全水平的相關指標.一般來說，評測過程中對某一項安全能力的評估會用到多個指標.5G安全評測用到的指標體系如圖4所示，主要分為5類指標：

圖4 5G安全評測指標體系

1) 信息安全指標.主要評價5G網絡信息生成、傳輸、存儲的過程中是否安全，其中：完整性指標衡量5G網絡對數據相關屬性的完整性保護程度；機密性指標衡量5G關鍵數據泄露給非授權的用戶的程度；可用性指標衡量合法用戶正常使用信息以及非法用戶無法使用信息的程度；可控性指標衡量5G網絡是否被合法所有者或使用者所控制；不可抵賴性指標衡量節點對信息的發送、轉發、修改、存儲或接受行為的不可否認性.

2) 資產安全運行性指標.主要評價5G資產運行過程中是否安全、穩定、可靠:安全防護指標衡量5G資產是否實施安全防護技術，資產是否統一授權管理和認證;安全監測指標衡量5G網絡基礎設施的監測覆蓋情況;應急處置指標衡量5G資產是否具備災難恢復能力以及5G網路應對系統漏洞、計算機病毒、網絡入侵、網絡攻擊、社會工程學攻擊等安全威脅的能力情況;防御能力指標衡量5G網絡整體對安全事件的防御能力，包括網絡安全事件檢測比例、響應比例、成功防護比例等.

3) 安全態勢指標.主要評價5G網絡運營過程中的威脅和事件態勢情況:安全威脅指標衡量關鍵信息基礎設施網絡受到的威脅情況;安全隱患指標衡量5G網絡基礎設施的安全漏洞和隱患情況;安全事件指標衡量5G網絡基礎設施發生攻擊事件、信息破壞、設施故障、APT攻擊以及其他網絡安全事件情況.

4) 主體安全管理性指標.主要評價5G網絡運營者對網絡管理的安全情況:合規性指標衡量基礎設施安全規劃、管理制度執行、責任部門建設和管理等情況;人員隊伍指標衡量網絡安全培訓情況和信息安全從業人員獲得的網絡安全資質情況;資金投入指標衡量網絡安全管理實際投資情況;運維管理指標衡量關鍵信息基礎設施運行和管理部門的應急演練能力，以及關鍵資產管理情況.

5) 供應鏈安全指標.主要評價5G資產供應鏈是否安全、穩定和可靠:魯棒性指標衡量5G網絡上下游供應鏈的健壯情況，包括主體是否具有可靠的供應商、供應商是否具有可替代性等；多元性指標主要衡量運營者對上下游供應鏈的依賴情況，例如是否具有多樣化的供應商選擇.

4 5G安全評測方法

5G安全評測方法主要包括審計方法、測試方法和評估方法，針對不同的對象和安全能力選擇適當的評測方法，一般需要2種以上方法共同實施.其中：

1) 安全審計.審計方法主要面向產品和服務：對產品來講，審計內容包括產品設計、開發、采購、運行、升級、報廢等完整的生命周期過程的安全性，對服務來講，審計的內容包括服務形式、流程、質量、穩定性等.一般來說，審計的對象主要是產品和服務的提供商以及網絡運營商等主體.

2) 安全檢測.檢測方法一般指采用通用或專用測試工具或儀表，通過實地或遠程的方式接入被測對象，通過制定的操作流程，對網絡、設備、應用等對象潛在的安全隱患進行技術檢測，判斷被測對象的反映情況是否符合標準規定的安全要求.安全檢測對象主要是5G資產.根據資產所受的安全威脅以及相應的安全要求不同，安全檢測方法主要包括漏洞/端口掃描測試、模擬攻擊測試、代碼審計、模糊測試、抓包分析等.

3) 安全評估.評估方法主要通過收集的審計和測試信息等，依據一套指標體系對評估對象整體的安全能力給予評價(例如安全能力分級).安全評估一般包括風險等級評估和安全等級評估.常用的等級評估方法包括層次分析法、專家打分法等.

5 結束語

本文基于GSMA NESAS安全評估框架，提出了一種適用于5G網絡復雜資產威脅分析和安全能力評估的ARMIT評測模型，ARMIT 模型對5G資產作了更詳細分層的梳理，清楚地描述了開展安全評測的組成元素和周期過程，提出了適用于5G資產和網絡運行的安全要求、安全能力評價指標體系和評測方法.

然而，5G資產安全功能實現機制復雜，且安全功能點較多，在實際評測過程中仍面臨著較大的技術難度.即使經過評測確認資產滿足標準中的安全功能，由于資產運行過程中的內外部攻擊和威脅的不確定性，也無法說明5G資產完全安全.因此，5G安全評測是一個不斷演進的過程，需要不斷優化評測模型和增強評測手段能力，驗證5G資產滿足新的安全需求，并能應對攻擊行為和外部威脅的不斷變化.