重磅发布|欧盟《5G网络安全标准》(附原文下载)
3月16日,欧盟网络安全局(ENISA)发布《5G网络安全标准:支持网络安全政策的标准化要求分析》,报告基于现有5G生态系统网络安全相关标准、规格和指南等文献,通过评估文献中网络安全鲁棒性及弹性的实现情况,寻找技术及组织方面的标准化差距,最终制定5G网络安全领域的标准化建议。本报告旨在从技术和组织的角度进行5G标准化,提升5G生态系统中的信任度和弹性。
本报告主要包括四个章节。
第一章节:5G生态系统框架定义及范围。此章节基于现有网络安全标准、规范和指南,设立了一个由四大要素构成的5G生态系统框架。在该框架中,可以在任意技术生命周期进程,为特定的5G技术架构与利益相关者定位相关标准、规范和指南。
5G生态系统框架要素 | 具体类别 |
5G技术和功能领域 | 5G用例、多接入边缘计算(MEC)服务、物理基础设施、虚拟基础设施、无线电接入网(RAN)、多接入边缘计算基础设施、5G核心网及其网络功能(CNNF)、数据网络(DN)、传输、管理和编制(MANO) |
技术生命周期过程 | 设计、构建、试验、运行、更新、结束 |
5G利益相关者 | 5G服务客户或消费者、电信部门、数据中心服务提供商(DCSP)、连接设备工业、网络安全评估、网络安全信息交换、研究和创新组织 |
5G安全领域、目标和措施 | 治理和风险管理、人力资源安全、系统和设施安全、业务管理、事件管理、业务连续性管理、监测审计和测试、威胁认识 |
第二章节:5G生态系统在现有文献中的定位。此章节将现有标准、规范指南等文献进行简要归类,并将5G生态系统框架的三大要素对安全子领域进行映射,指出现有文献的覆盖范围。
第三章节:确定标准化差距。此章节通过评估现有文献中的网络安全鲁棒性及弹性的实现情况,指出评估覆盖范围和评估标准化差距、安全领域分列差距、标准化差距等。
第四章节:针对性建议。此章节针对差距提出几点建议,包括对5G标准化采取循序渐进的方法、培养风险识别和评估的成熟度和完整性、使用ENISA部门的网络安全评估方法等。
结论:
本报告搜集分析了140多份文件中的150项安全措施,得出如下结论:
l 现有标准、规范和准则都是通用的,相应调整后即可应用于5G技术和功能领域、生命周期过程。
l 5G标准、规范和准则在更大程度上适用于电信部门。
l 5G标准、规范和准则基本覆盖了技术生命周期的“运行”阶段,其他阶段则需删减。
l 现有关于网络安全威胁和IT安全准则的知识库可用于基于应用程序编程接口(API)的5G云体系结构。
l 现有文献不允许5G生态系统中的“端到端”信任度和弹性,如可能需要关于5G专用工具和关键绩效指标的指导方针,以确保5G保护的理解。
l 标准化差距上,只有治理和风险管理领域、人力资源安全方面存在适度差距,其他领域(业务管理、业务连续性管理和事件管理等)存在较大差距。
原文下载链接:
https://www.enisa.europa.eu/publications/5g-cybersecurity-standards