全球5G安全评估认证体系演进及现状

焦 杨 韩文婷

(中国信息通信研究院 北京 100191)

(jiaoyang@caict.ac.cn)

5G网络作为全面构筑经济社会数字化转型的关键基础设施，将与经济社会各领域深度融合，刺激和释放新动能.随着世界主要国家纷纷抢占5G网络发展制高点、将5G作为谋求竞争新优势的战略方向，5G安全问题也受到了前所未有的关注.一方面，5G网络引入了网络功能虚拟化、网络切片、边缘计算、服务化架构、网络能力开放等新技术，打破了传统电信网络的封闭性，对数据保护、安全防护和运营部署等方面均提出了更高要求.另一方面，5G应用领域从移动互联网拓展到物联网，安全问题将波及到工业、交通、医疗和能源等关系国家命脉的重要行业领域，5G网络安全的重要性超过以往任何一代网络.建立基于统一标准的5G安全国际评测认证体系，对5G安全风险进行客观评估和应对成为信息通信领域各利益相关方的共同诉求.

在此之前，国际上在计算机安全领域获得广泛认可的是基于CC的安全评估认证体系，主要用于对信息技术产品安全性进行评估认证.2019年，GSMA(全球移动通信系统协会)与3GPP(第三代移动通信伙伴)两大重量级行业组织合作，召集全球主要运营商、供应商、行业伙伴和监管机构共同制定了5G与LTE安全保障规范，专门制定了适合通信领域的网络设备安全保障框架.目前，基于NESAS的5G安全评估体系已逐渐成熟.

本文将深入分析CC评估认证体系和NESAS测试评估体系的内在关联与区别，研究全球5G安全评估认证体系现状及演进历程，梳理欧盟开展5G安全统一认证计划的工作思路，结合我国实际情况提出下一步建议.

1 方法论的演进

1.1 基于CC的评估认证体系

CC是国际上计算机领域公认的信息安全认证标准，最初由美国、英国和加拿大等西方国家制定并维护，后被国际标准组织ISO/IEC采纳升级为国际标准ISO/IEC 15408[1]，现已成为国际公认的信息技术产品安全性评价规范.CC标准体系的主要思想和框架取自于欧洲的ITSEC(Information Technology Security Evaluation Criteria)和美国的FC(Federal Criteria)等信息安全准则，提出了安全测评的通用模型和技术框架，可灵活地应用于多种类型的信息技术产品的研发、生产、测试和评估.

1.1.1 基于CC的评估框架

CC没有针对特定类型产品提出具体的要求，而是通过提供一套覆盖信息技术产品各类安全功能要求和安全保障要求的通用组件及标准化描述，构建了一个抽象程度较高、可用于对各类计算机相关产品或信息技术产品的安全功能进行评估的通用框架和方法论，具有很强的扩展性和普适性.

CC的主要思想和框架充分突出了评估对象(target of evaluation, TOE)、安全目标(security target, ST)、保护轮廓(protection profile, PP)和信息技术安全评估通用方法(common methodology for information technology security evaluation, CEM)4个核心概念，是基于CC开展认证评估的基础.

1) 评估目标TOE

CC抽象层次较高，制定过程中为了尽可能地覆盖更广的IT产品范围，提出了TOE的概念，以明确被评估的对象.TOE是指一组包含配置说明的软、硬件集合，在特定情况下可以是某一个IT产品、某一个IT产品的某一部分或某一组IT产品的集合等，如软件应用、操作系统、集成系统等.

2) 安全目标ST

一般由开发者针对某个特定的TOE进行制定，包含安全问题定义、安全目的以及安全要求3个部分.其中，安全问题定义需要基于预期的TOE部署环境，从TOE涉及的资产出发，梳理分析TOE可能受到的安全威胁、组织安全策略；安全目的则是针对提出的每一个安全问题，通过一种简单抽象的方式描述相应的安全措施和解决方案，以确保所有安全威胁都可以被应对、每一个组织安全策略都可以被有效实施、每一个安全假设都可以被满足；安全要求则是基于CC提供的安全功能组件和安全保障组件对安全目的进行细化和标准化描述，其中，安全功能要求(security function requirement, SFR)是对安全目的的转化，一个SFR代表着一种当前安全产业界应用最广泛的技术或方法的规范描述，至少可支撑一个安全目的；安全保障要求(security assurance requirement, SAR)则是从开发、设计、生命周期支持、安全功能测试、脆弱性发现等角度出发，提供了对产品宣称的安全性进行评估验证的方法，从而可为产品安全性提供保证，增强其信任度[2].

3) 保护轮廓PP

PP也包含安全问题定义、安全目的以及安全要求3个部分，编制过程与ST类似.但与ST的不同在于ST只针对某一个特定的TOE，而PP是针对某一类TOE提出的其应该满足的最核心的SFR和SAR.

PP一般由监管机构、认证机构、第三方测试机构、产品开发者、产品使用者共同编写，可用于对某一类产品的安全问题、安全目的及安全要求进行标准化规定.开发者可基于PP提供的通用模板，结合产品的具体实现方式对PP进行细化，从而制定针对某个特定TOE的ST[3].

CC的安全保障组件为证实PP的完备性、一致性和技术合理性提供了一项评估准则APE(保护轮廓评估)，可用于对PP进行评估.基于已评估的PP制定PP/ST的好处在于可大大减少出现错误、不确定性或缺陷的风险，实现对PP评估结果的复用性，大大提高工作效率.

4) 信息技术安全评估通用方法CEM

CEM作为CC的配套标准，对评估行为和测试活动进行标准化描述，可将CC中的安全保障要求进一步细化为最小的评估行为集合，将安全性评估方法细化为具体的评估任务.支撑构建针对TOE安全性进行评估的方法，为实际工作的实施提供了指导，提升了评估规范性，为实现评测结果的一致性、可重现性和互认奠定了基础[4].

5) 基于CC的评估框架

如图1所示，PP为某一类TOE描述安全要求，ST为某一特定的TOE描述安全要求，ST和PP之间存在着多对多的映射关系，即相同的PP可以作为模板被实例化为不同的ST，一个ST可以基于多个PP并结合特定需求进行编制.针对特定TOE安全性进行评估时需要先编制ST，再基于CEM制定具体的评估方法.

图1 基于CC的评估框架

1.1.2 基于CC的认证机制

基于CC的评估认证建立了CCRA(CC互认协定)，明确规定CC证书只能由证书授权机构颁发，可在成员国中实现互认.目前加入CC体系互认的国家共计31个，其中，只有17个国家具备CC证书颁发资格、设有满足CCRA要求的评估能力和授权的评估实验室，可进行证书的颁发并接受互认；另外的14个国家只能接受和认可来自上述国家颁发的认证结果.基于CC的认证机制主要分为准备、测试评估和认证3个阶段，参与方来自产品开发者、测试评估者以及认证者三方，如图2所示:

图2 基于CC的认证机制

1) 准备阶段

开发者需要针对特定产品的实现情况编制安全目标ST文件，基于CC标准明确阐述评估目标TOE所面临的安全问题、需要达到的安全目标以及采取了何种安全功能和安全保障进行防护，并提供开发测试、配置管理、操作指南等涉及产品全生命周期管理控制的文档作为评估证据.

2) 测试评估阶段

来自授权实验室的测试评估者根据CEM和开发者提供的ST及相关文档制定具体的评估方法和任务，指导TOE安全性评估工作的具体实施，验证TOE安全功能在设计和实现过程中的充分性和正确性，编写符合CEM要求的评估报告、评估过程文档及评估证据.整个过程主要包括安全目标评估活动(ASE)、开发评估活动(ADV)、指导性文档评估活动(AGD)、生命周期支持评估活动(ALC)、测试评估活动(ATE)、脆弱性评估活动(AVA)和组合评估活动(ACO)[5].

3) 认证阶段

认证机构对测试评估过程进行监督，并在评估结束后审核评估者提供的评估报告及相关文档，编写认证报告并颁发CC证书.

1.1.3 评价及分析

CC作为信息技术产品安全性评估的通用标准，提出了一个优秀的安全性评估模型和方法，对于产品开发及生命周期管理的安全构建提供了保障，极具指导意义.但由于CC抽象层次高，覆盖范围广, 对某些组件的定义缺乏详细的描述，没有明确建议和指定威胁建模和测试方法的具体细节，容易导致开发者、评估者以及认证者对于组件的理解、选取及细化方式出现分歧，增加了评估结果的主观性和不一致性，从而使得评估结果互认程度降低.

1.2 基于NESAS的测试评估体系

NESAS[6-9]是由GSMA与3GPP共同定义的安全保障框架，旨在联合主要运营商、供应商、行业伙伴和监管机构一起制定凝聚业界共识的安全规范和评估机制，满足通信领域利益相关方在5G时代对安全评估的诉求，针对网络设备产品提供统一的网络安全可衡量、可对比、可操作的通用基准，避免由于安全需求差异和测试方法差异导致的碎片化评估，为设备厂商和运营商提供安全保证，化解大众对移动通信网络安全性的担忧，保障5G网络安全可靠和高质量发展.

NESAS主要包括审计评估和测试评估2个部分.安全审计及评估机制相关规范由NESAS负责编制，测试评估标准则是引用了3GPP制定的SCAS系列规范.

1.2.1 基于3GPP SCAS的评估框架

3GPP TR 33.805[10]讨论了CC对网络设备产品的适用性.由于CC较为抽象，评估框架考虑了不同的评估范围、评估深度和评估技术手段，直接基于CC的评估方法开展5G网络产品安全性评估认证必将带来测试评估复杂度高、评估结果一致性差的问题.为了避免碎片化评估及成本，减少重复评估认证的次数，3GPP借用CC的方法论，专门针对通信领域的网络产品制定了一套安全要求和测试用例.

基于3GPP SCAS[11]的评估框架如图3所示，其本质上是3GPP联合监管方、测评方、开发方和使用方各通信领域利益相关方，针对网络产品编写统一的PP文档，对产品面临的安全问题、安全目的和安全要求进行标准化规定，拉通安全需求、统一安全共识并建立安全基线标准，为开发方构建安全功能，提供安全保证，为评估方明确安全评估任务提供具体指导.

图3 基于3GPP SCAS的评估框架

3GPP SCAS系列正在不断丰富和完善，目前已发布11个5G网络产品相关安全评估标准，覆盖通用安全、5G基站和AMF(接入和移动性管理控制功能)、UPF(用户面功能)、SMF(会话管理功能)等8个5G核心网网元，在研非3GPP接入网关(non-3GPP inter working function, N3IWF)、网络数据分析网关(network data analytics function, NWDAF)等网元，每个安全评估标准都包括2部分，分别是安全保障需求和可评估5G产品是否满足安全需求的测试用例[12].

1.2.2 基于GSMA NESAS的评估机制

GSMA NESAS构建了基于3GPP SCAS评估测试结果的评估机制，规范了安全测试实验室资质认可和产品开发与生命周期管理审计的方法和流程.

GSMA NESAS的评估机制涉及开发方、测试评估方和审计方3个主体，评估流程分为4个步骤：1)开发方根据GSMA提出的产品开发及全生命周期安全要求提供合规性证明；2)GSMA指定一个独立的权威性审计团队对文档进行审计，验证产品在开发制造和投入使用的整个生命周期中是否集成了安全的考虑和机制；3)通过审计后，获得ISO/IEC 17025认可和GSMA认可的安全测试实验室将基于3GPP SCAS系列规范对开发者提供的网络设备进行安全测试，主要关注安全功能一致性与潜在的脆弱性；4)安全测试实验室依据评测结果出具评测报告.

1.2.3 评价及分析

基于NESAS的评估体系是从移动通信领域相关利益方的实际需求出发，在基于CC的评估认证体系基础上的裁剪和简化.SCAS系列标准的制定借用了CC提供的评估方法模型，将评估目标限定在网络产品，并对每一类网络产品建立了基于产业界共识的统一安全基线要求和测试用例，大大提高了网络产品的安全测试评估效率.之前德国已经公开表示支持基于NESAS体系开展5G设备的安全认证，但基于NESAS的评估体系只是提出了安全基线要求，存在一定的局限性，有待进一步完善.

2 欧盟5G安全统一认证思路

2019年6月，欧盟《网络安全法》(CSA)正式施行，提出欧盟层面构建信息通信技术产品、服务和流程的网络安全统一认证框架，通过“一次认证”实现欧盟成员国之间的安全能力互认.此前，欧盟尚无统一网络安全认证制度，主要依靠各成员国自行组织认证，由于成员国认证制度、依据的技术标准不统一，相同产品或服务在不同成员国之间需重复认证.欧盟网络安全认证将在2023年底前完成评估(含云安全、IoT安全、5G安全等)，逐步由自愿性采用向强制性认证过渡.

德国联邦信息安全办公室(BSI)公开支持基于NESAS体系开展的5G设备安全认证，并牵头联合GSMA制定与CSA基线安全需求相适配的NESAS-CSA框架，推动其成为欧盟5G安全认证统一标准.2020年3月 BSI正式提案NESAS-CSA全盘架构，保留基于3GPP SCAS的技术规范，主要针对基于GSMA NESAS审计规范的上层认证机制进行修订，以适配欧盟统一认证的实施和管理.

NESAS-CSA框架引入证书取代目前检测实验室出具的测评报告，对产品的标准符合性进行明确声明，因此，NESAS-CSA将重新定义安全检测实验室的认证需求和流程、产品测试认证流程和管理机构组成及职责，整个认证机制将修改3个环节:一是删除GSMA组织范围的内容，由欧盟政府层面主导认证框架治理小组，基于欧洲网络安全认证小组(ECCG)的职权范围明确其职责；二是引入国家认可机构，基于ISO/IEC 17065/17024明确制定对审计或评估人员(包括审计员、评估测试员和认证人员)资质的认可机制和流程；三是引入国家安全认证机构，基于ISO 17025对第三方检测实验室进行认证授权.一旦审计方和测试方获得资质认可和认证授权，将可以颁发证书，实现5G安全评测结果在欧盟范围内的互认.

需要注意的是，由于NESAS体系技术规范部分仅提出了单一的安全基线要求和测试规范，不能直接满足CSA多级别(基础级、充分级、高级)认证的需求，因此，BSI目前正推动NESAS-CSA作为欧盟5G安全认证的基线标准，后续考虑向高安全级别认证增强.

3 启示及建议

随着欧盟5G安全认证体系工作逐步推进，现有ICT产品、服务和流程都将纳入强制性认证机制，我国企业进入欧盟电信服务市场需符合欧盟层面规定的产品安全认证等强制性安全要求.我国5G电信服务及产品提供商想要“走出去”，需紧跟国际动态，开展统一的5G安全测评.一方面，可为设备厂商提供透明、科学、客观、可验证的技术测评，支撑基础电信企业5G设备选型、网络安全建设和运营，为垂直行业应用安全解决方案提供评估验证和指引；另一方面，可进一步通过推动测评结果的国际互认，有效降低碎片化评估及成本，提振全球产业界对5G产品安全性的信心.

基于NESAS的评估体系是从移动通信领域相关利益方的实际需求出发，在基于CC的评估认证体系基础上针对网络产品进行裁剪，受到了业界高度认可，并将作为欧盟5G安全统一认证标准的重要参考.

建议参考欧盟网络安全认证做法，加快构建与国际接轨的5G安全评测体系，从安全基线、安全机制和安全管理方面开展测试评估，确保5G设备及产品安全性.与此同时，加强与GSMA交流合作，积极参与GMSA和3GPP标准规范制定，除网络设备评测之外，后续可持续借用CC方法论扩大5G安全测评范围及测评等级，不断提升我国5G安全检测认可度和国际影响力，推动NESAS向更高级更广范围安全测评演进，构建基于统一技术标准的评测互认体系，助力5G全球产业链健康发展.