5G供应链安全现状及标准化建议

2022-12-13 20:16张祺琪韩晓露段伟伦
信息安全研究 2022年2期
关键词:关键信息安全基础设施

张祺琪 韩晓露 段伟伦

1(中国信息通信科技集团有限公司武汉虹旭信息技术有限责任公司 武汉 430205) 2(中国信息通信科技集团有限公司战略规划部 北京 100191)

1 我国5G供应链现状及供应链安全问题分析

5G正在引领着全球科技革命,以5G技术为代表的新型基础设施建设加快推进.5G供应链产品和服务的提供商围绕5G特有的增强型移动带宽、大规模机器类通信、高可靠低时延通信场景需求,从原材料、元器件开始,制成模组等中间产品,生产出最终产品,最后由销售网络把5G产品提供给公共网络和垂直行业的运营商,并向消费者提供各种5G服务.这样5G各级供应商、制造商、分销商、运营商、服务提供商等被连成一个整体的功能网链结构,依据特定的逻辑关系和时空布局关系也形成一定的技术经济关联,形成5G供应链生态,如图1所示.5G产业链上游部分由关键芯片及各类模组组成.5G产业链中游分为2部分:一是信息通信基础设施,包括无线基站系统、网络设备、仪器仪表,二是网络规划/服务/运行维护.5G产业链下游部分涉及终端设备及各类应用场景.

在5G网络建设过程中,5G的供应链安全问题日益突出:一是受突发事件影响、国际环境影响造成供应链中断,如战争、地震、台风等不可抗力;二是错误配置、资源滥用,或者因恶意控制导致正常的业务中断,对业务网运行造成严重的影响;三是未经认证检测的5G设备被攻击者植入后门或者存在漏洞,将导致整个供应链被控制,造成网络安全事件;四是5G供应链产品和服务提供商通常分布在多地、多层级.异地供应方、供应方层级的增多,必然降低供应链的透明度和增加安全风险控制成本.

5G供应链从企业流、信息流、物流、资金流等多个方面对5G产业周期的各环节中进行动态控制.5G供应链安全要求5G的运营者以及设备、组件、元器件、仪器仪表、生产装备、原材料等供应方,能够将开发、设计、运营的5G产品或服务提供给5G需求方,确保5G供应链安全风险得到识别和控制,5G供应链完整性、保密性、可用性、可控性等目标得到实现.只有确保5G供应链安全,才能实现5G产业整个生命周期的安全.

2 国内外ICT供应链安全标准进展分析

信息与通信技术(简称ICT)指代所有通信设备以及与之相关的各种服务和应用软件.ICT供应链则是指为满足供应关系,将需方与供方通过资源和过程进行连接的网链结构,涉及产品及服务的供需双方.5G作为ICT领域重要产业,其供应链安全要求必然应符合ICT供应链安全框架要求,因此,本文对ICT领域供应链安全标准进展进行了分析研究,为5G供应链标准的研制提供指引和方向.

1) ISO 28000系列标准

ISO 28000供应链安全管理体系系列标准将供应链定义为一组相互联系的资源和过程,以原材料的采购为起点,经各种运输方式将产品或服务交付最终用户.ISO 28000标准制定的目标是帮助运输和物流行业建立一个可认证的供应链安全管理体系,改进供应链的全面安全.该系列标准主要包括:ISO 28000《供应链安全管理体系规范》、ISO 28001《供应链安全的最佳实践规范——评估和计划》、ISO 28002《供应链恢复能力的开发——要求及使用指南》、ISO 28003《提供审核和认证功能的实体的需求》、ISO 28004《ISO/PAS 28000实施指南》.

2) ISO/IEC 27036

在ISO/IEC 27000信息安全管理体系标准中,ISO/IEC 27036《供应方关系的信息安全》是首部针对ICT供应链安全的国际标准.ISO/IEC 27036适用于供需双方对供应方关系进行信息安全管理,标准针对供应方关系规定了供应方关系信息安全管理的框架.该标准由4部分组成:ISO/IEC 27036-1《第1部分:概述和概念》、ISO/IEC 27036-2《第2部分:通用要求》、ISO/IEC 27036-3《第3部分:ICT供应链安全指南》、ISO/IEC 27036-4《第4部分:云服务的安全指南》.

3) ISO/IEC 27034

ISO/IEC27034《应用安全》是国际标准化组织通过的首个关注建立安全软件程序流程和框架的标准.标准分为6个部分,包括应用安全性综述和概念、组织规范性框架、应用安全管理流程、应用安全验证、应用安全控制数据结构、应用安全指导.标准通过定义软件开发安全流程和框架,提升了ICT供应链对抗威胁的能力[1].

4) ISO/IEC 27005

ISO/IEC27005《信息安全风险管理》提供了适用于信息安全的风险管理方法.该标准通过提供有效管理风险的框架,帮助组织解决信息安全管理问题,为组织提供相关指导.其本质是风险管理的指导方针,提供了通用的风险管理过程和风险处置过程,可用来实现对ICT供应链的安全风险管控.

5) ISO/IEC 20243

ISO/IEC 20243:2018《开放可信技术供应商标准——减少被恶意污染和伪冒的产品》旨在解决产品生命周期中硬件、软件产品在完整性方面所面临的特定威胁.该标准将供应商的产品生命周期定义为包括其设计和开发产品的工作,以及该生命周期的供应链方面,延伸到设计、采购、建造、执行、运营、维护和报废等阶段.通过标准中列举的实践活动,可有效降低供应商被恶意污染和伪冒产品方面的风险.

6) ISO/IEC15288

ISO/IEC/IEEE 15288:2015《系统生命周期过程》建立了过程描述的通用框架,用于描述系统的生命周期.标准提供了支持定义、控制和改进组织或项目中使用的系统生命周期的过程,从这些过程中选出的集合可以在整个生命周期中应用,以管理和执行系统生命周期的各个阶段.通过该框架采购方、供应商等多个相关利益方,可以共同构建模型,对系统全生命周期中相关问题达成共识.

7) NISTIR 7622

NISTIR 7622为美国国家标准与技术研究院(NIST)的网络供应链风险管理实践指南.该标准旨在提供广泛的实践,通过这些实践的实施,将有助于降低联邦信息系统的供应链风险.标准提供了一套概念上可重复的、商业上更合理的供应链保证方法和实践,提供一种了解整个供应链的方法和可见性.在整个ICT系统生命周期中,该方法可提升ICT供应链风险的能力[2].

8) GB/T 36637—2018

GB/T 36637—2018 《信息安全技术 ICT供应链安全风险管理指南》于2018年正式发布.该标准主要针对我国ICT供应链安全问题,旨在提升网络运营者的ICT供应链安全管理水平,切实保障我国重要信息系统和关键信息基础设施的ICT供应链安全风险.同时ICT产品、服务的供应方、需求方也可通过落地该标准,极大地提升供应链安全管理能力,第三方测评机构在对ICT供应链开展安全风险评估时也可参考此标准[3].

综上所述,现有的ICT供应链标准往往是从技术或流程方面开展研究,如关注风险管理或关注供需关系.因此要建立符合不同应用场景、不同行业的ICT供应链安全标准体系,如5G领域供应链安全标准.

3 国内外关键信息基础设施安全标准进展分析

关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等[4].因此,5G供应链安全应划入关键信息基础设施安全的保护范围,其相关标准也应与关键信息基础设施安全标准要求相符合.

1) 欧盟

欧盟于2004年成立欧盟网络与信息安全局(ENISA),用以应对日益严峻的网络与信息安全挑战,该组织是欧盟最高网络安全常规机构,负责管理欧盟信息安全事务.

ENISA于2014年发布《识别关键信息基础设施服务和资产的方法论》,文章指明了如何识别关键信息基础设施中的服务和资产,并提供了识别的步骤及方法.2016年,ENISA发布了《保护关键信息基础设施的考量、分析和建议》和《数字服务提供商实施最低安全控制措施技术指南》,分别从开展公私合作、风险评估、安全事件演练、信息共享和建立控制措施等方面提出标准化建议.此外,ENISA还在工控系统、互联网基础设施、智能电网、健康医疗、金融、船舶等领域发布了相关安全规定.2017 年11 月,ENISA发布了《关键信息基础设施领域的物联网安全基线指南》,该报告基于前期发布的专项报告,通过分析物联网的安全需求、威胁态势、风险趋势,设置了物联网安全基线,提出切实可行的对策,旨在指导欧洲在关键信息技术设施领域如何应用物联网.

2) 美国

2013年美国政府启动保护关键基础设施信息安全战略.2014年NIST起草的《提升美国关键基础设施网络安全的框架规范》正式出台,该规范提出了一个美国关键信息基础设施安全防护基础框架,包括识别、保护、监测、响应和恢复5个层面.框架引用了国际标准、行业标准、团体标准相关条款以及NIST的特别出版物,并进一步考虑了如何通过对框架的完善实现对标准体系的扩充.

2017年NIST发布了《提供关键信息基础设施网络安全路线图V1.1(草案)》,路线图提出了在关键基础实施框架下一步工作中计划延展的12个领域,包括:网络攻击生命周期、网络供应链风险管理、网络安全人员、一致性评估、隐私管理、身份管理等.

为支撑该框架,美国能源部和国土安全部联合开发了网络安全能力成熟度模型(C2M2),从10个安全域对组织内网安全实践实现情况和制度化程度进行安全能力评估[5].

3) 中国

为配合《关键信息基础设施安全保护条例》的制定与实施,《关键信息基础设施安全保护基本要求》等 8 项标准正在积极研制中,标准族从边界识别、安全控制措施、安全框架、安全保障、安全防护、安全应急等方面提供了体系化的管理架构,为各部门实施行业内关键信息基础设施安全管理提供标准支撑[6]:

① 《信息安全技术 关键信息基础设施安全防护能力评价方法》

从关键信息基础设施网络安全保护的过程维度,该标准将关键信息基础设施安全防护能力成熟度分成4个等级,规定了不同级别应进行的基本实践和能力要求,给出了不同成熟度的评价指标.可用于指导关键信息基础设施运营者对其网络安全防护能力成熟度进行全面评估,为进一步提升网络安全防护能力提供参考和依据.

② 《信息安全技术 关键信息基础设施边界确定方法》

该标准给出了基于信息流的关键信息基础设施边界确定方法,可将组成关键信息基础设施的重要软硬件设备、系统识别出来,明确保护对象,确定保护范围.为关键信息基础设施运营者开展关键信息基础设施边界识别工作提供参考.

③ 《信息安全技术 关键信息基础设施安全控制措施》

该标准规定了关键信息基础设施运营者在识别认定、安全防护、检测评估、监测预警、事件处置等环节应实施的安全控制措施.关键信息基础设施运营者根据自身具体情况和识别的安全风险,选择应采取的安全控制措施,确保将安全风险控制在可接受的范围.相关安全控制措施也可供关键信息基础设施安全保护工作部门和关键信息基础设施安全保护的其他参与者参考.

④ 《信息安全技术 关键信息基础设施网络安全保护基本要求》

该标准规定了关键信息基础设施识别认定、安全防护、检测评估、监测预警、事件处置等环节的基本要求.主要用于关键信息基础设施的规划设计、开发建设、运行维护、退役废弃等阶段的安全保护工作,可适用于关键信息基础设施运营者,也可供关键信息基础设施安全保护工作部门、关键信息基础设施安全保护的其他参与者参考.

⑤ 《信息安全技术 关键信息基础设施安全保障指标体系》

该标准适用于关键信息基础设施安全保障评价工作,用于评价关键信息基础设施安全保障状况的指标及其释义.为负责国家行业主管或监管部门判断信息安全态势提供支撑,为关键信息基础设施的运营者信息安全保障工作的实施和改进提供支持.

⑥ 《信息安全技术 关键信息基础设施安全检查评估指南》

该标准给出了关键信息基础设施检查评估工作的方法、流程和内容.适用于网信部门和有关部门开展关键信息基础设施安全检查评估,也适用于关键信息基础设施运营者开展安全自查评估.

⑦ 《信息安全技术 关键信息基础设施安全控制评估方法》

该标准规定了关键信息基础设施安全控制评估的原则、原理、实施流程,提出了针对关键信息基础设施中16类安全控制族的评估方法,以及关键信息基础设施安全控制的综合评估方法.该标准适用于信息安全测评服务机构、关键信息基础设施的主管部门及运营单位对关键信息基础设施所具备的安全控制能力进行测试评估.网络安全监管职能部门依法进行的关键信息基础设施安全监督检查可以参考使用.

⑧ 《信息安全技术 关键信息基础设施服务机构通用要求》

通过对政府部门、事业单位、研究机构、国有大型企业等关键信息基础设施建设单位和运营单位对关键信息基础设施服务机构的实际需求进行研究,识别关键信息基础设施服务机构的通用要求,提出通用能力描述框架,构建完备的关键信息基础设施服务认证体系,为构建良性的关键信息基础设施服务认证体系奠定基础.

目前各国关键信息基础设施标准中缺乏供应链安全标准,需制定相关标准,为关键信息基础设施进行统筹建设提供指导.

4 国内外5G安全标准进展分析

5G供应链涉及5G设备、组件、元器件、仪器仪表、生产装备、原材料等多方面供需关系,对5G产品或服务的开发、设计、运营提出了全方位要求.5G供应链安全以5G安全为基础展开,在5G安全的基础上,从全供应链角度进行完善与补充.分析5G安全标准的要求,可以有效识别未来5G供应链安全标准关注重点.

1) ISO 27000

国际标准化组织ISO/IEC JTC1 SC27(信息安全、网络安全和隐私保护分技术委员会)发布的ISO27000《信息技术安全技术信息安全管理系统》系列标准,明确了如何在组织内部建立一个成熟的信息安全管理体系.其中,ISO/IEC27005《信息技术安全技术信息安全风险管理》标准介绍了一般性的风险管理过程,并给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法.ISO/IEC27005被欧盟用于开展5G 网络安全风险评估[7].

2) ITU-T 5G相关标准

国际电信联盟电信标准化部门(ITU-T)针对5G网络安全基础、IT化网络设施安全、网络安全、数据安全和安全运营管控进行了一系列的标准研究.包括:

① ITU-TX.5Gsec-guide《基于ITU-TX.805的5G通信系统安全导则》主要针对基于ITU-TX.805的5G通信系统展开安全研究,通过结合该系统在运用边缘计算、网络虚拟化、网络切片等技术时所产生的特点,研究其在3GPP网络架构和非3GPP 网络架构下的安全威胁和安全能力.

② ITU-TX5Gsec-ecs《5G边缘计算服务的安全框架》根据5G边缘计算的部署方式以及典型的应用场景,分析5G边缘计算的安全威胁、安全需求,提出5G边缘计算服务安全框架.

③ ITU-TX.5Gsec-t《5G生态系统中基于信任关系的安全框架》研究5G生态系统中的信任关系和安全边界,制定5G生态系统的安全框架[8].

3) 3GPP 5G相关标准

第三代合作伙伴计划标准化组织(3GPP)聚焦在5G基础共性、应用与服务安全和IT 化网络设施安全等方面.3GPP在5G网络安全领域重点标准包括:

① 3GPP TS33.501《5G系统的安全架构和流程》规定了5G系统的安全架构和流程,确定5G 安全框架分为接入域安全、网络域安全、用户域安全、应用域安全、服务域安全、安全可视化和配置安全6个域.

② 3GPP TR33.841《256位算法对5G的支持研究》中指出,基于5G复杂、众多的应用场景,应将256 b密钥算法引入到5G系统[9].

③ 3GPPTS33.535《在5G中基于3GPP凭证的应用程序的身份验证和密钥管理》,以5G物联网场景下的应用层接入认证和安全通道建立为切入点,考虑到5G在物联网、垂直行业、车联网、超可靠低时延特性、位置服务等方面的安全威胁及需求开展研究,制定并评估了对应的解决方案[10].

④ 3GPPTR33.813《网络切片增强的安全性研究》针对5G网络设备的安全保障、5G网络引入服务化接口安全、5G网络中伪基站安全、5G切片安全等问题,研究了5G移动通信网网络切片的安全增强技术,包括网络切片安全特性、关键问题、安全需求及解决方案[11].

4) NIST SP800

SP800是NIST发布的一系列关于信息安全的指南.其中NISTSP800-53《信息系统和组织的安全和隐私控制》、NIST SP800-207《零信任架构》、NIST SP800-82《工业控制系统安全指南》、NIST SP800-160《网络安全工程技术指南》等分别针对控制措施和隐私保护、零信任架构、工业控制系统安全、安全工程技术等,提供了与5G网络安全部署应用相关的安全实施指南.

此外,NIST正在推进《5G网络安全实践指南》的制定.该指南向5G网络运营商和用户提出减缓5G网络安全风险的方法,以帮助使用5G网络的组织、网络运营商和设备供应商提高安全能力,并为电信和公共安全界提供参考.

5) 国内5G相关标准

全国信息安全标准化技术委员会(TC260)针对5G网络安全推动了《5G网络安全标准体系》研究,涵盖安全基础共性、终端安全、IT化网络设施安全、应用与服务安全、数据安全和安全运营管理等方面,并持续完善相关配套标准.

全国通信标准化技术委员会(TC485)正在推进关于5G 网络相关标准的研究,在研标准主要涵盖基础共性、通信网络安全等方面.如:《5G移动通信网通信安全技术要求》主要围绕5G移动通信网中的通信安全总体技术要求展开研究,为运营商和监管机构在5G安全方面工作的开展提供技术参考;《5G移动通信网络设备安全保障要求核心网网络功能》《5G移动通信网络设备安全保障要求基站设备》主要围绕5G设备安全,从核心网网络功能、基站设备等方面,对5G移动通信网络设备安全提出保障要求.

中国通信标准化协会(CCSA)发布的5G网络安全相关行业标准YD/T3628—2019《5G移动通信网安全技术要求》,明确了对5GSA网络和NSA网络的基本安全要求,包括5G网络安全架构、安全需求、安全功能实现等.在研标准《5G网络中的IPSec需求和方案研究》主要围绕5G网络中的IPSec需求和方案开展研究.在研标准《5G数据安全总体技术要求》从5G业务应用、5G终端设备、5G无线接入、5G核心网等方面规定了5G数据安全的总体技术要求.在研标准《5G移动通信网通信管制技术要求》主要关注5G移动通信网通信管制技术要求.

综上,已发布及在研的5G安全相关标准多聚焦于5G网络安全、5G技术安全、5G设备安全,缺少从5G供应链全局部署的标准意见.因此急需制定5G供应链相关标准,弥补此项空缺.

5 我国5G供应链安全标准化建议

目前我国对5G安全、ICT供应链安全、关键信息基础设施安全方面均已有体系化的标准研究,但5G供应链安全相关标准仍较为匮乏,尤其是缺乏有效的5G供应链安全风险评估机制和手段[12].

因此需要结合ICT供应链安全要求、关键信息基础设施供应链安全要求、5G应用场景安全要求等,制定和完善5G供应链安全标准.

同时,为贯彻落实网络强国战略,落实《中华人民共和国网络安全法》《国家网络空间安全战略》《关键信息基础设施安全保护条例》《网络安全审查办法》有关开展关键信息基础设施供应链安全评估的要求,支撑国家网络安全审查工作机制的落地执行,建议加强5G供应链安全评估标准研制,建立一套完备且系统的、可行的、具有可操作性的5G供应链安全评估工作的指标体系[13]:

1) 充分借鉴ICT供应链安全、关键信息基础设施安全、5G安全相关标准,重点围绕供应链安全开展标准研究,针对关键芯片和模组生产企业、5G通信基础设施相关的无线基站系统设备制造企业、网络设备制造企业、仪器仪表生产企业、网络规划设计企业、网络运营企业、网络运行维护企业、终端及应用场景相关厂商,提出不同的安全保障要求,确保5G供应链上下游运行同步安全.

2) 配套研究5G供应链安全相关评估方法、审计要求、风险管理等系列标准,形成体系化标准规定,确保5G供应链安全要求在5G产业链运行过程中可以有效实施与应用.

3) 选取供应链安全风险最为突出和急迫的5G产业领域,积极推进5G供应链安全标准应用试点工作,验证标准研究成果,遴选出应用效果优良的标准项目,实时进行标准成果转化和推广应用,为实施有效的具有可操作性的ICT供应链安全风险评估和管理体系提供有益参考.

通过开展5G供应链安全标准研制,有效解决5G供应链安全无标准、无体系、无依据的被动局面,推动各方提升供应链安全管理水平,更好地提供5G产品和服务,在保障5G安全以及国家网络空间安全等方面发挥积极作用.

猜你喜欢
关键信息安全基础设施
硝酸甘油,用对是关键
公募基础设施REITs与股票的比较
高考考好是关键
基础设施投资项目
信息安全不止单纯的技术问题
前7个月国内充电基础设施增加12.2万台
计算机网络信息安全技术研究
新政府会计准则规范公共基础设施处理
2014第十五届中国信息安全大会奖项
蒋百里:“关键是中国人自己要努力”