美国政府使用5G技术如何做安全评估?指南来了
2022-05-27
来源: 安全内参
这份指南并非新的安全要求或框架,而是立足现有标准框架等成果,为政府机构评估其5G系统安全水平是否符合生产要求,制定出一个五步走流程。
安全内参5月27日消息,对于希望在部门内部署5G无线通信项目的联邦官员,这份最新发布的安全指南将帮助他们考量最重要的“运营授权”流程。
《5G安全评估》(5G Security Evaluation)指南由美国国土安全部(DHS)网络安全与基础设施安全局、国土安全部科技司、国防部(DoD)研究与工程司共同牵头,指派研究小组负责具体制定。
文件指出,“重要的是,政府应采用灵活、自适应且可重复的方法对任何5G网络部署的安全性和弹性做出评估。此外,具体评估可能需要在现行联邦网络安全政策、法规和最佳实践之外更进一步,以解决已知攻击向量、尚未发现的威胁和特定实施中存在的漏洞。”
整理评估方案的官员强调,这份指南并非新的安全要求或框架。相反,它只是为各级机关的5G系统评估工作,特别是评估其安全水平是否符合生产要求,制定出一个五步走流程。整个流程与美国国家标准、技术风险管理框架等现有评估机制挂钩。
网络与基础设施安全局网络质量服务管理办公室主管Vincent Sritapan在采访中表示,“我们经常面对各种各样的应用场景:用于训练的AR/VR,提供数据存储与分析功能的智能湖仓等。但关键在于,必须找到一种通行的方式来看待问题并理解政策。我们并不是要重新构建评估机制,而是立足于现有成果,比如风险管理框架。”
各级机关都希望能在未来几年内将5G系统部署落地,因此安全评估工作就成了通信升级的关键。作为联邦首席信息安全委员会授权负责发现常见无线与移动问题、开发解决方案并分享最佳实践的专项团队,联邦移动工作组(Federal Mobility Group)曾在2020年发表论文,确定了政府内60多项与5G技术相关的举措,其中包括数十项研发计划。
与其他新兴技术一样,在将5G引入生产环境之前,各团队必须首先获得运营授权(ATO)。此次发布的评估指南,就是以专项测试与传统运营授权流程为基础,面向5G技术提供评估调查指引。
Sritapan表示,“很多人单纯关注功能本身。他们可能会想,「太棒了,我想在技术新鲜出炉后立马用上。」但在摸清风险之前,大家不宜轻举妄动。换句话说,在把5G用例纳入业务的同时,我们又增添了哪些风险?”
5G安全评估的五个阶段
这个五步走评估流程的第一步是定义5G用例,包括5G系统、子系统及属性等关键参数
美国国防部5G to NextG倡议的运营部分负责人Dan Massey在采访中指出,这个流程将帮助各级机构考量5G系统的复杂性,包括最终用户设备、无线接入网络、5G核心网络和边缘计算系统等。
Massey还提到,“该流程将帮助大家确定系统组件的风险级别、系统边界、已知指导方针等,避免从零开始自行摸索。”
第二步,定义安全评估的边界。考虑到5G技术极高的复杂性和相互关联性,这一部分可能会极具挑战。
Sritapan解释道,“要使用专用网络吗?是否包含云系统?作为边界的组成要素,应该选择怎样的端点和技术应用接口?”
第三步,要求对各个5G子系统开展“高级威胁分析”,并进一步确定安全要求,如是否采用身份、凭证和访问管理控制或网络安全控制等。
第四步,要求同联邦指导方针和行业规范相匹配,包括与美国国家标准技术研究所网络风险管理框架(NIST RMF)、联邦信息流程标准及其他相关指南挂钩。
第五步,评估安全指导方针中存在的差距。如果联邦指导意见确实存在差距,文件要求项目主管应求助于“由商业或贸易团队建立的行业认证、安全保障计划,或者其他最佳实践评估框架。”但文件同时强调,在采用这些方法之前,务必“认真”进行研究权衡。
Massey总结道,“我们不会引入全新的流程或指令。相反,我们认为现有方案已经够多,最重要的是把新流程跟现有指导方针匹配起来。当然,在实施过程中难免会发现差距。但大多数情况下,只要我们能够充分理解自身安全要求,就完全可以把新流程与原有指导意见联系起来。这里我想呼吁那些打算部署5G系统的同仁,这绝不是什么庞大、可怕、前所未见的事物。只要按照这份流程有序推进,大家就会发现它跟以往的工作没多大区别,基本原理也并不难理解。”