《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 美國政府使用5G技術(shù)如何做安全評估,?指南來了

美國政府使用5G技術(shù)如何做安全評估,?指南來了

2022-05-27
來源: 安全內(nèi)參

  這份指南并非新的安全要求或框架,,而是立足現(xiàn)有標準框架等成果,,為政府機構(gòu)評估其5G系統(tǒng)安全水平是否符合生產(chǎn)要求,制定出一個五步走流程,。

  安全內(nèi)參5月27日消息,,對于希望在部門內(nèi)部署5G無線通信項目的聯(lián)邦官員,,這份最新發(fā)布的安全指南將幫助他們考量最重要的“運營授權(quán)”流程,。

  《5G安全評估》(5G Security Evaluation)指南由美國國土安全部(DHS)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局,、國土安全部科技司、國防部(DoD)研究與工程司共同牽頭,,指派研究小組負責具體制定,。

  文件指出,“重要的是,,政府應(yīng)采用靈活,、自適應(yīng)且可重復(fù)的方法對任何5G網(wǎng)絡(luò)部署的安全性和彈性做出評估。此外,,具體評估可能需要在現(xiàn)行聯(lián)邦網(wǎng)絡(luò)安全政策,、法規(guī)和最佳實踐之外更進一步,以解決已知攻擊向量,、尚未發(fā)現(xiàn)的威脅和特定實施中存在的漏洞,?!?/p>

  整理評估方案的官員強調(diào),,這份指南并非新的安全要求或框架。相反,它只是為各級機關(guān)的5G系統(tǒng)評估工作,,特別是評估其安全水平是否符合生產(chǎn)要求,,制定出一個五步走流程。整個流程與美國國家標準,、技術(shù)風險管理框架等現(xiàn)有評估機制掛鉤,。

  網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局網(wǎng)絡(luò)質(zhì)量服務(wù)管理辦公室主管Vincent Sritapan在采訪中表示,“我們經(jīng)常面對各種各樣的應(yīng)用場景:用于訓(xùn)練的AR/VR,,提供數(shù)據(jù)存儲與分析功能的智能湖倉等,。但關(guān)鍵在于,必須找到一種通行的方式來看待問題并理解政策,。我們并不是要重新構(gòu)建評估機制,,而是立足于現(xiàn)有成果,比如風險管理框架,?!?/p>

  各級機關(guān)都希望能在未來幾年內(nèi)將5G系統(tǒng)部署落地,因此安全評估工作就成了通信升級的關(guān)鍵,。作為聯(lián)邦首席信息安全委員會授權(quán)負責發(fā)現(xiàn)常見無線與移動問題,、開發(fā)解決方案并分享最佳實踐的專項團隊,聯(lián)邦移動工作組(Federal Mobility Group)曾在2020年發(fā)表論文,,確定了政府內(nèi)60多項與5G技術(shù)相關(guān)的舉措,,其中包括數(shù)十項研發(fā)計劃。

  與其他新興技術(shù)一樣,,在將5G引入生產(chǎn)環(huán)境之前,,各團隊必須首先獲得運營授權(quán)(ATO)。此次發(fā)布的評估指南,,就是以專項測試與傳統(tǒng)運營授權(quán)流程為基礎(chǔ),,面向5G技術(shù)提供評估調(diào)查指引。

  Sritapan表示,,“很多人單純關(guān)注功能本身,。他們可能會想,「太棒了,,我想在技術(shù)新鮮出爐后立馬用上,。」但在摸清風險之前,,大家不宜輕舉妄動,。換句話說,在把5G用例納入業(yè)務(wù)的同時,,我們又增添了哪些風險,?”

  5G安全評估的五個階段

  這個五步走評估流程的第一步是定義5G用例,,包括5G系統(tǒng)、子系統(tǒng)及屬性等關(guān)鍵參數(shù)

  美國國防部5G to NextG倡議的運營部分負責人Dan Massey在采訪中指出,,這個流程將幫助各級機構(gòu)考量5G系統(tǒng)的復(fù)雜性,,包括最終用戶設(shè)備、無線接入網(wǎng)絡(luò),、5G核心網(wǎng)絡(luò)和邊緣計算系統(tǒng)等,。

  Massey還提到,“該流程將幫助大家確定系統(tǒng)組件的風險級別,、系統(tǒng)邊界,、已知指導(dǎo)方針等,避免從零開始自行摸索,?!?/p>

  第二步,定義安全評估的邊界,??紤]到5G技術(shù)極高的復(fù)雜性和相互關(guān)聯(lián)性,這一部分可能會極具挑戰(zhàn),。

  Sritapan解釋道,,“要使用專用網(wǎng)絡(luò)嗎?是否包含云系統(tǒng),?作為邊界的組成要素,,應(yīng)該選擇怎樣的端點和技術(shù)應(yīng)用接口?”

  第三步,,要求對各個5G子系統(tǒng)開展“高級威脅分析”,,并進一步確定安全要求,如是否采用身份,、憑證和訪問管理控制或網(wǎng)絡(luò)安全控制等,。

  第四步,要求同聯(lián)邦指導(dǎo)方針和行業(yè)規(guī)范相匹配,,包括與美國國家標準技術(shù)研究所網(wǎng)絡(luò)風險管理框架(NIST RMF),、聯(lián)邦信息流程標準及其他相關(guān)指南掛鉤。

  第五步,,評估安全指導(dǎo)方針中存在的差距,。如果聯(lián)邦指導(dǎo)意見確實存在差距,文件要求項目主管應(yīng)求助于“由商業(yè)或貿(mào)易團隊建立的行業(yè)認證,、安全保障計劃,,或者其他最佳實踐評估框架?!钡募瑫r強調(diào),,在采用這些方法之前,,務(wù)必“認真”進行研究權(quán)衡。

  Massey總結(jié)道,,“我們不會引入全新的流程或指令。相反,,我們認為現(xiàn)有方案已經(jīng)夠多,,最重要的是把新流程跟現(xiàn)有指導(dǎo)方針匹配起來。當然,,在實施過程中難免會發(fā)現(xiàn)差距,。但大多數(shù)情況下,只要我們能夠充分理解自身安全要求,,就完全可以把新流程與原有指導(dǎo)意見聯(lián)系起來,。這里我想呼吁那些打算部署5G系統(tǒng)的同仁,這絕不是什么龐大,、可怕,、前所未見的事物。只要按照這份流程有序推進,,大家就會發(fā)現(xiàn)它跟以往的工作沒多大區(qū)別,,基本原理也并不難理解?!?/p>

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]