這份指南并非新的安全要求或框架,,而是立足現(xiàn)有標準框架等成果,,為政府機構(gòu)評估其5G系統(tǒng)安全水平是否符合生產(chǎn)要求,制定出一個五步走流程,。
安全內(nèi)參5月27日消息,,對于希望在部門內(nèi)部署5G無線通信項目的聯(lián)邦官員,,這份最新發(fā)布的安全指南將幫助他們考量最重要的“運營授權(quán)”流程,。
《5G安全評估》(5G Security Evaluation)指南由美國國土安全部(DHS)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局,、國土安全部科技司、國防部(DoD)研究與工程司共同牽頭,,指派研究小組負責具體制定,。
文件指出,“重要的是,,政府應(yīng)采用靈活,、自適應(yīng)且可重復(fù)的方法對任何5G網(wǎng)絡(luò)部署的安全性和彈性做出評估。此外,,具體評估可能需要在現(xiàn)行聯(lián)邦網(wǎng)絡(luò)安全政策,、法規(guī)和最佳實踐之外更進一步,以解決已知攻擊向量,、尚未發(fā)現(xiàn)的威脅和特定實施中存在的漏洞,?!?/p>
整理評估方案的官員強調(diào),,這份指南并非新的安全要求或框架。相反,它只是為各級機關(guān)的5G系統(tǒng)評估工作,,特別是評估其安全水平是否符合生產(chǎn)要求,,制定出一個五步走流程。整個流程與美國國家標準,、技術(shù)風險管理框架等現(xiàn)有評估機制掛鉤,。
網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局網(wǎng)絡(luò)質(zhì)量服務(wù)管理辦公室主管Vincent Sritapan在采訪中表示,“我們經(jīng)常面對各種各樣的應(yīng)用場景:用于訓(xùn)練的AR/VR,,提供數(shù)據(jù)存儲與分析功能的智能湖倉等,。但關(guān)鍵在于,必須找到一種通行的方式來看待問題并理解政策,。我們并不是要重新構(gòu)建評估機制,,而是立足于現(xiàn)有成果,比如風險管理框架,?!?/p>
各級機關(guān)都希望能在未來幾年內(nèi)將5G系統(tǒng)部署落地,因此安全評估工作就成了通信升級的關(guān)鍵,。作為聯(lián)邦首席信息安全委員會授權(quán)負責發(fā)現(xiàn)常見無線與移動問題,、開發(fā)解決方案并分享最佳實踐的專項團隊,聯(lián)邦移動工作組(Federal Mobility Group)曾在2020年發(fā)表論文,,確定了政府內(nèi)60多項與5G技術(shù)相關(guān)的舉措,,其中包括數(shù)十項研發(fā)計劃。
與其他新興技術(shù)一樣,,在將5G引入生產(chǎn)環(huán)境之前,,各團隊必須首先獲得運營授權(quán)(ATO)。此次發(fā)布的評估指南,,就是以專項測試與傳統(tǒng)運營授權(quán)流程為基礎(chǔ),,面向5G技術(shù)提供評估調(diào)查指引。
Sritapan表示,,“很多人單純關(guān)注功能本身,。他們可能會想,「太棒了,,我想在技術(shù)新鮮出爐后立馬用上,。」但在摸清風險之前,,大家不宜輕舉妄動,。換句話說,在把5G用例納入業(yè)務(wù)的同時,,我們又增添了哪些風險,?”
5G安全評估的五個階段
這個五步走評估流程的第一步是定義5G用例,,包括5G系統(tǒng)、子系統(tǒng)及屬性等關(guān)鍵參數(shù)
美國國防部5G to NextG倡議的運營部分負責人Dan Massey在采訪中指出,,這個流程將幫助各級機構(gòu)考量5G系統(tǒng)的復(fù)雜性,,包括最終用戶設(shè)備、無線接入網(wǎng)絡(luò),、5G核心網(wǎng)絡(luò)和邊緣計算系統(tǒng)等,。
Massey還提到,“該流程將幫助大家確定系統(tǒng)組件的風險級別,、系統(tǒng)邊界,、已知指導(dǎo)方針等,避免從零開始自行摸索,?!?/p>
第二步,定義安全評估的邊界,??紤]到5G技術(shù)極高的復(fù)雜性和相互關(guān)聯(lián)性,這一部分可能會極具挑戰(zhàn),。
Sritapan解釋道,,“要使用專用網(wǎng)絡(luò)嗎?是否包含云系統(tǒng),?作為邊界的組成要素,,應(yīng)該選擇怎樣的端點和技術(shù)應(yīng)用接口?”
第三步,,要求對各個5G子系統(tǒng)開展“高級威脅分析”,,并進一步確定安全要求,如是否采用身份,、憑證和訪問管理控制或網(wǎng)絡(luò)安全控制等,。
第四步,要求同聯(lián)邦指導(dǎo)方針和行業(yè)規(guī)范相匹配,,包括與美國國家標準技術(shù)研究所網(wǎng)絡(luò)風險管理框架(NIST RMF),、聯(lián)邦信息流程標準及其他相關(guān)指南掛鉤。
第五步,,評估安全指導(dǎo)方針中存在的差距,。如果聯(lián)邦指導(dǎo)意見確實存在差距,文件要求項目主管應(yīng)求助于“由商業(yè)或貿(mào)易團隊建立的行業(yè)認證,、安全保障計劃,,或者其他最佳實踐評估框架?!钡募瑫r強調(diào),,在采用這些方法之前,,務(wù)必“認真”進行研究權(quán)衡。
Massey總結(jié)道,,“我們不會引入全新的流程或指令。相反,,我們認為現(xiàn)有方案已經(jīng)夠多,,最重要的是把新流程跟現(xiàn)有指導(dǎo)方針匹配起來。當然,,在實施過程中難免會發(fā)現(xiàn)差距,。但大多數(shù)情況下,只要我們能夠充分理解自身安全要求,,就完全可以把新流程與原有指導(dǎo)意見聯(lián)系起來,。這里我想呼吁那些打算部署5G系統(tǒng)的同仁,這絕不是什么龐大,、可怕,、前所未見的事物。只要按照這份流程有序推進,,大家就會發(fā)現(xiàn)它跟以往的工作沒多大區(qū)別,,基本原理也并不難理解?!?/p>