全球5G安全評估認證體系演進及現(xiàn)狀

焦 楊 韓文婷

(中國信息通信研究院 北京 100191)

(jiaoyang@caict.ac.cn)

5G網(wǎng)絡(luò)作為全面構(gòu)筑經(jīng)濟社會數(shù)字化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)設(shè)施，將與經(jīng)濟社會各領(lǐng)域深度融合，刺激和釋放新動能.隨著世界主要國家紛紛搶占5G網(wǎng)絡(luò)發(fā)展制高點、將5G作為謀求競爭新優(yōu)勢的戰(zhàn)略方向，5G安全問題也受到了前所未有的關(guān)注.一方面，5G網(wǎng)絡(luò)引入了網(wǎng)絡(luò)功能虛擬化、網(wǎng)絡(luò)切片、邊緣計算、服務(wù)化架構(gòu)、網(wǎng)絡(luò)能力開放等新技術(shù)，打破了傳統(tǒng)電信網(wǎng)絡(luò)的封閉性，對數(shù)據(jù)保護、安全防護和運營部署等方面均提出了更高要求.另一方面，5G應(yīng)用領(lǐng)域從移動互聯(lián)網(wǎng)拓展到物聯(lián)網(wǎng)，安全問題將波及到工業(yè)、交通、醫(yī)療和能源等關(guān)系國家命脈的重要行業(yè)領(lǐng)域，5G網(wǎng)絡(luò)安全的重要性超過以往任何一代網(wǎng)絡(luò).建立基于統(tǒng)一標準的5G安全國際評測認證體系，對5G安全風(fēng)險進行客觀評估和應(yīng)對成為信息通信領(lǐng)域各利益相關(guān)方的共同訴求.

在此之前，國際上在計算機安全領(lǐng)域獲得廣泛認可的是基于CC的安全評估認證體系，主要用于對信息技術(shù)產(chǎn)品安全性進行評估認證.2019年，GSMA(全球移動通信系統(tǒng)協(xié)會)與3GPP(第三代移動通信伙伴)兩大重量級行業(yè)組織合作，召集全球主要運營商、供應(yīng)商、行業(yè)伙伴和監(jiān)管機構(gòu)共同制定了5G與LTE安全保障規(guī)范，專門制定了適合通信領(lǐng)域的網(wǎng)絡(luò)設(shè)備安全保障框架.目前，基于NESAS的5G安全評估體系已逐漸成熟.

本文將深入分析CC評估認證體系和NESAS測試評估體系的內(nèi)在關(guān)聯(lián)與區(qū)別，研究全球5G安全評估認證體系現(xiàn)狀及演進歷程，梳理歐盟開展5G安全統(tǒng)一認證計劃的工作思路，結(jié)合我國實際情況提出下一步建議.

1 方法論的演進

1.1 基于CC的評估認證體系

CC是國際上計算機領(lǐng)域公認的信息安全認證標準，最初由美國、英國和加拿大等西方國家制定并維護，后被國際標準組織ISO/IEC采納升級為國際標準ISO/IEC 15408[1]，現(xiàn)已成為國際公認的信息技術(shù)產(chǎn)品安全性評價規(guī)范.CC標準體系的主要思想和框架取自于歐洲的ITSEC(Information Technology Security Evaluation Criteria)和美國的FC(Federal Criteria)等信息安全準則，提出了安全測評的通用模型和技術(shù)框架，可靈活地應(yīng)用于多種類型的信息技術(shù)產(chǎn)品的研發(fā)、生產(chǎn)、測試和評估.

1.1.1 基于CC的評估框架

CC沒有針對特定類型產(chǎn)品提出具體的要求，而是通過提供一套覆蓋信息技術(shù)產(chǎn)品各類安全功能要求和安全保障要求的通用組件及標準化描述，構(gòu)建了一個抽象程度較高、可用于對各類計算機相關(guān)產(chǎn)品或信息技術(shù)產(chǎn)品的安全功能進行評估的通用框架和方法論，具有很強的擴展性和普適性.

CC的主要思想和框架充分突出了評估對象(target of evaluation, TOE)、安全目標(security target, ST)、保護輪廓(protection profile, PP)和信息技術(shù)安全評估通用方法(common methodology for information technology security evaluation, CEM)4個核心概念，是基于CC開展認證評估的基礎(chǔ).

1) 評估目標TOE

CC抽象層次較高，制定過程中為了盡可能地覆蓋更廣的IT產(chǎn)品范圍，提出了TOE的概念，以明確被評估的對象.TOE是指一組包含配置說明的軟、硬件集合，在特定情況下可以是某一個IT產(chǎn)品、某一個IT產(chǎn)品的某一部分或某一組IT產(chǎn)品的集合等，如軟件應(yīng)用、操作系統(tǒng)、集成系統(tǒng)等.

2) 安全目標ST

一般由開發(fā)者針對某個特定的TOE進行制定，包含安全問題定義、安全目的以及安全要求3個部分.其中，安全問題定義需要基于預(yù)期的TOE部署環(huán)境，從TOE涉及的資產(chǎn)出發(fā)，梳理分析TOE可能受到的安全威脅、組織安全策略；安全目的則是針對提出的每一個安全問題，通過一種簡單抽象的方式描述相應(yīng)的安全措施和解決方案，以確保所有安全威脅都可以被應(yīng)對、每一個組織安全策略都可以被有效實施、每一個安全假設(shè)都可以被滿足；安全要求則是基于CC提供的安全功能組件和安全保障組件對安全目的進行細化和標準化描述，其中，安全功能要求(security function requirement, SFR)是對安全目的的轉(zhuǎn)化，一個SFR代表著一種當前安全產(chǎn)業(yè)界應(yīng)用最廣泛的技術(shù)或方法的規(guī)范描述，至少可支撐一個安全目的；安全保障要求(security assurance requirement, SAR)則是從開發(fā)、設(shè)計、生命周期支持、安全功能測試、脆弱性發(fā)現(xiàn)等角度出發(fā)，提供了對產(chǎn)品宣稱的安全性進行評估驗證的方法，從而可為產(chǎn)品安全性提供保證，增強其信任度[2].

3) 保護輪廓PP

PP也包含安全問題定義、安全目的以及安全要求3個部分，編制過程與ST類似.但與ST的不同在于ST只針對某一個特定的TOE，而PP是針對某一類TOE提出的其應(yīng)該滿足的最核心的SFR和SAR.

PP一般由監(jiān)管機構(gòu)、認證機構(gòu)、第三方測試機構(gòu)、產(chǎn)品開發(fā)者、產(chǎn)品使用者共同編寫，可用于對某一類產(chǎn)品的安全問題、安全目的及安全要求進行標準化規(guī)定.開發(fā)者可基于PP提供的通用模板，結(jié)合產(chǎn)品的具體實現(xiàn)方式對PP進行細化，從而制定針對某個特定TOE的ST[3].

CC的安全保障組件為證實PP的完備性、一致性和技術(shù)合理性提供了一項評估準則APE(保護輪廓評估)，可用于對PP進行評估.基于已評估的PP制定PP/ST的好處在于可大大減少出現(xiàn)錯誤、不確定性或缺陷的風(fēng)險，實現(xiàn)對PP評估結(jié)果的復(fù)用性，大大提高工作效率.

4) 信息技術(shù)安全評估通用方法CEM

CEM作為CC的配套標準，對評估行為和測試活動進行標準化描述，可將CC中的安全保障要求進一步細化為最小的評估行為集合，將安全性評估方法細化為具體的評估任務(wù).支撐構(gòu)建針對TOE安全性進行評估的方法，為實際工作的實施提供了指導(dǎo)，提升了評估規(guī)范性，為實現(xiàn)評測結(jié)果的一致性、可重現(xiàn)性和互認奠定了基礎(chǔ)[4].

5) 基于CC的評估框架

如圖1所示，PP為某一類TOE描述安全要求，ST為某一特定的TOE描述安全要求，ST和PP之間存在著多對多的映射關(guān)系，即相同的PP可以作為模板被實例化為不同的ST，一個ST可以基于多個PP并結(jié)合特定需求進行編制.針對特定TOE安全性進行評估時需要先編制ST，再基于CEM制定具體的評估方法.

圖1 基于CC的評估框架

1.1.2 基于CC的認證機制

基于CC的評估認證建立了CCRA(CC互認協(xié)定)，明確規(guī)定CC證書只能由證書授權(quán)機構(gòu)頒發(fā)，可在成員國中實現(xiàn)互認.目前加入CC體系互認的國家共計31個，其中，只有17個國家具備CC證書頒發(fā)資格、設(shè)有滿足CCRA要求的評估能力和授權(quán)的評估實驗室，可進行證書的頒發(fā)并接受互認；另外的14個國家只能接受和認可來自上述國家頒發(fā)的認證結(jié)果.基于CC的認證機制主要分為準備、測試評估和認證3個階段，參與方來自產(chǎn)品開發(fā)者、測試評估者以及認證者三方，如圖2所示:

圖2 基于CC的認證機制

1) 準備階段

開發(fā)者需要針對特定產(chǎn)品的實現(xiàn)情況編制安全目標ST文件，基于CC標準明確闡述評估目標TOE所面臨的安全問題、需要達到的安全目標以及采取了何種安全功能和安全保障進行防護，并提供開發(fā)測試、配置管理、操作指南等涉及產(chǎn)品全生命周期管理控制的文檔作為評估證據(jù).

2) 測試評估階段

來自授權(quán)實驗室的測試評估者根據(jù)CEM和開發(fā)者提供的ST及相關(guān)文檔制定具體的評估方法和任務(wù)，指導(dǎo)TOE安全性評估工作的具體實施，驗證TOE安全功能在設(shè)計和實現(xiàn)過程中的充分性和正確性，編寫符合CEM要求的評估報告、評估過程文檔及評估證據(jù).整個過程主要包括安全目標評估活動(ASE)、開發(fā)評估活動(ADV)、指導(dǎo)性文檔評估活動(AGD)、生命周期支持評估活動(ALC)、測試評估活動(ATE)、脆弱性評估活動(AVA)和組合評估活動(ACO)[5].

3) 認證階段

認證機構(gòu)對測試評估過程進行監(jiān)督，并在評估結(jié)束后審核評估者提供的評估報告及相關(guān)文檔，編寫認證報告并頒發(fā)CC證書.

1.1.3 評價及分析

CC作為信息技術(shù)產(chǎn)品安全性評估的通用標準，提出了一個優(yōu)秀的安全性評估模型和方法，對于產(chǎn)品開發(fā)及生命周期管理的安全構(gòu)建提供了保障，極具指導(dǎo)意義.但由于CC抽象層次高，覆蓋范圍廣, 對某些組件的定義缺乏詳細的描述，沒有明確建議和指定威脅建模和測試方法的具體細節(jié)，容易導(dǎo)致開發(fā)者、評估者以及認證者對于組件的理解、選取及細化方式出現(xiàn)分歧，增加了評估結(jié)果的主觀性和不一致性，從而使得評估結(jié)果互認程度降低.

1.2 基于NESAS的測試評估體系

NESAS[6-9]是由GSMA與3GPP共同定義的安全保障框架，旨在聯(lián)合主要運營商、供應(yīng)商、行業(yè)伙伴和監(jiān)管機構(gòu)一起制定凝聚業(yè)界共識的安全規(guī)范和評估機制，滿足通信領(lǐng)域利益相關(guān)方在5G時代對安全評估的訴求，針對網(wǎng)絡(luò)設(shè)備產(chǎn)品提供統(tǒng)一的網(wǎng)絡(luò)安全可衡量、可對比、可操作的通用基準，避免由于安全需求差異和測試方法差異導(dǎo)致的碎片化評估，為設(shè)備廠商和運營商提供安全保證，化解大眾對移動通信網(wǎng)絡(luò)安全性的擔(dān)憂，保障5G網(wǎng)絡(luò)安全可靠和高質(zhì)量發(fā)展.

NESAS主要包括審計評估和測試評估2個部分.安全審計及評估機制相關(guān)規(guī)范由NESAS負責(zé)編制，測試評估標準則是引用了3GPP制定的SCAS系列規(guī)范.

1.2.1 基于3GPP SCAS的評估框架

3GPP TR 33.805[10]討論了CC對網(wǎng)絡(luò)設(shè)備產(chǎn)品的適用性.由于CC較為抽象，評估框架考慮了不同的評估范圍、評估深度和評估技術(shù)手段，直接基于CC的評估方法開展5G網(wǎng)絡(luò)產(chǎn)品安全性評估認證必將帶來測試評估復(fù)雜度高、評估結(jié)果一致性差的問題.為了避免碎片化評估及成本，減少重復(fù)評估認證的次數(shù)，3GPP借用CC的方法論，專門針對通信領(lǐng)域的網(wǎng)絡(luò)產(chǎn)品制定了一套安全要求和測試用例.

基于3GPP SCAS[11]的評估框架如圖3所示，其本質(zhì)上是3GPP聯(lián)合監(jiān)管方、測評方、開發(fā)方和使用方各通信領(lǐng)域利益相關(guān)方，針對網(wǎng)絡(luò)產(chǎn)品編寫統(tǒng)一的PP文檔，對產(chǎn)品面臨的安全問題、安全目的和安全要求進行標準化規(guī)定，拉通安全需求、統(tǒng)一安全共識并建立安全基線標準，為開發(fā)方構(gòu)建安全功能，提供安全保證，為評估方明確安全評估任務(wù)提供具體指導(dǎo).

圖3 基于3GPP SCAS的評估框架

3GPP SCAS系列正在不斷豐富和完善，目前已發(fā)布11個5G網(wǎng)絡(luò)產(chǎn)品相關(guān)安全評估標準，覆蓋通用安全、5G基站和AMF(接入和移動性管理控制功能)、UPF(用戶面功能)、SMF(會話管理功能)等8個5G核心網(wǎng)網(wǎng)元，在研非3GPP接入網(wǎng)關(guān)(non-3GPP inter working function, N3IWF)、網(wǎng)絡(luò)數(shù)據(jù)分析網(wǎng)關(guān)(network data analytics function, NWDAF)等網(wǎng)元，每個安全評估標準都包括2部分，分別是安全保障需求和可評估5G產(chǎn)品是否滿足安全需求的測試用例[12].

1.2.2 基于GSMA NESAS的評估機制

GSMA NESAS構(gòu)建了基于3GPP SCAS評估測試結(jié)果的評估機制，規(guī)范了安全測試實驗室資質(zhì)認可和產(chǎn)品開發(fā)與生命周期管理審計的方法和流程.

GSMA NESAS的評估機制涉及開發(fā)方、測試評估方和審計方3個主體，評估流程分為4個步驟：1)開發(fā)方根據(jù)GSMA提出的產(chǎn)品開發(fā)及全生命周期安全要求提供合規(guī)性證明；2)GSMA指定一個獨立的權(quán)威性審計團隊對文檔進行審計，驗證產(chǎn)品在開發(fā)制造和投入使用的整個生命周期中是否集成了安全的考慮和機制；3)通過審計后，獲得ISO/IEC 17025認可和GSMA認可的安全測試實驗室將基于3GPP SCAS系列規(guī)范對開發(fā)者提供的網(wǎng)絡(luò)設(shè)備進行安全測試，主要關(guān)注安全功能一致性與潛在的脆弱性；4)安全測試實驗室依據(jù)評測結(jié)果出具評測報告.

1.2.3 評價及分析

基于NESAS的評估體系是從移動通信領(lǐng)域相關(guān)利益方的實際需求出發(fā)，在基于CC的評估認證體系基礎(chǔ)上的裁剪和簡化.SCAS系列標準的制定借用了CC提供的評估方法模型，將評估目標限定在網(wǎng)絡(luò)產(chǎn)品，并對每一類網(wǎng)絡(luò)產(chǎn)品建立了基于產(chǎn)業(yè)界共識的統(tǒng)一安全基線要求和測試用例，大大提高了網(wǎng)絡(luò)產(chǎn)品的安全測試評估效率.之前德國已經(jīng)公開表示支持基于NESAS體系開展5G設(shè)備的安全認證，但基于NESAS的評估體系只是提出了安全基線要求，存在一定的局限性，有待進一步完善.

2 歐盟5G安全統(tǒng)一認證思路

2019年6月，歐盟《網(wǎng)絡(luò)安全法》(CSA)正式施行，提出歐盟層面構(gòu)建信息通信技術(shù)產(chǎn)品、服務(wù)和流程的網(wǎng)絡(luò)安全統(tǒng)一認證框架，通過“一次認證”實現(xiàn)歐盟成員國之間的安全能力互認.此前，歐盟尚無統(tǒng)一網(wǎng)絡(luò)安全認證制度，主要依靠各成員國自行組織認證，由于成員國認證制度、依據(jù)的技術(shù)標準不統(tǒng)一，相同產(chǎn)品或服務(wù)在不同成員國之間需重復(fù)認證.歐盟網(wǎng)絡(luò)安全認證將在2023年底前完成評估(含云安全、IoT安全、5G安全等)，逐步由自愿性采用向強制性認證過渡.

德國聯(lián)邦信息安全辦公室(BSI)公開支持基于NESAS體系開展的5G設(shè)備安全認證，并牽頭聯(lián)合GSMA制定與CSA基線安全需求相適配的NESAS-CSA框架，推動其成為歐盟5G安全認證統(tǒng)一標準.2020年3月 BSI正式提案NESAS-CSA全盤架構(gòu)，保留基于3GPP SCAS的技術(shù)規(guī)范，主要針對基于GSMA NESAS審計規(guī)范的上層認證機制進行修訂，以適配歐盟統(tǒng)一認證的實施和管理.

NESAS-CSA框架引入證書取代目前檢測實驗室出具的測評報告，對產(chǎn)品的標準符合性進行明確聲明，因此，NESAS-CSA將重新定義安全檢測實驗室的認證需求和流程、產(chǎn)品測試認證流程和管理機構(gòu)組成及職責(zé)，整個認證機制將修改3個環(huán)節(jié):一是刪除GSMA組織范圍的內(nèi)容，由歐盟政府層面主導(dǎo)認證框架治理小組，基于歐洲網(wǎng)絡(luò)安全認證小組(ECCG)的職權(quán)范圍明確其職責(zé)；二是引入國家認可機構(gòu)，基于ISO/IEC 17065/17024明確制定對審計或評估人員(包括審計員、評估測試員和認證人員)資質(zhì)的認可機制和流程；三是引入國家安全認證機構(gòu)，基于ISO 17025對第三方檢測實驗室進行認證授權(quán).一旦審計方和測試方獲得資質(zhì)認可和認證授權(quán)，將可以頒發(fā)證書，實現(xiàn)5G安全評測結(jié)果在歐盟范圍內(nèi)的互認.

需要注意的是，由于NESAS體系技術(shù)規(guī)范部分僅提出了單一的安全基線要求和測試規(guī)范，不能直接滿足CSA多級別(基礎(chǔ)級、充分級、高級)認證的需求，因此，BSI目前正推動NESAS-CSA作為歐盟5G安全認證的基線標準，后續(xù)考慮向高安全級別認證增強.

3 啟示及建議

隨著歐盟5G安全認證體系工作逐步推進，現(xiàn)有ICT產(chǎn)品、服務(wù)和流程都將納入強制性認證機制，我國企業(yè)進入歐盟電信服務(wù)市場需符合歐盟層面規(guī)定的產(chǎn)品安全認證等強制性安全要求.我國5G電信服務(wù)及產(chǎn)品提供商想要“走出去”，需緊跟國際動態(tài)，開展統(tǒng)一的5G安全測評.一方面，可為設(shè)備廠商提供透明、科學(xué)、客觀、可驗證的技術(shù)測評，支撐基礎(chǔ)電信企業(yè)5G設(shè)備選型、網(wǎng)絡(luò)安全建設(shè)和運營，為垂直行業(yè)應(yīng)用安全解決方案提供評估驗證和指引；另一方面，可進一步通過推動測評結(jié)果的國際互認，有效降低碎片化評估及成本，提振全球產(chǎn)業(yè)界對5G產(chǎn)品安全性的信心.

基于NESAS的評估體系是從移動通信領(lǐng)域相關(guān)利益方的實際需求出發(fā)，在基于CC的評估認證體系基礎(chǔ)上針對網(wǎng)絡(luò)產(chǎn)品進行裁剪，受到了業(yè)界高度認可，并將作為歐盟5G安全統(tǒng)一認證標準的重要參考.

建議參考歐盟網(wǎng)絡(luò)安全認證做法，加快構(gòu)建與國際接軌的5G安全評測體系，從安全基線、安全機制和安全管理方面開展測試評估，確保5G設(shè)備及產(chǎn)品安全性.與此同時，加強與GSMA交流合作，積極參與GMSA和3GPP標準規(guī)范制定，除網(wǎng)絡(luò)設(shè)備評測之外，后續(xù)可持續(xù)借用CC方法論擴大5G安全測評范圍及測評等級，不斷提升我國5G安全檢測認可度和國際影響力，推動NESAS向更高級更廣范圍安全測評演進，構(gòu)建基于統(tǒng)一技術(shù)標準的評測互認體系，助力5G全球產(chǎn)業(yè)鏈健康發(fā)展.