网络安全和基础设施安全局(CISA)与国土安全部科学和技术局以及国防部负责研究和工程的国防部副部长办公室一起,于5月26日发布了一项拟议的五步5G安全评估程序,供联邦机构获得运营授权(ATO)。所有机构5G技术采用都需要经过安全评估,然后才能获得ATO。联合提议的流程“5G安全评估流程调查”将允许各机构执行美国国家标准与技术研究院风险管理框架(RMF)的“准备”步骤,以进行系统授权。拟议的流程为联邦政府的5G网络安全评估方法提供了更大的灵活性,允许随着时间的推移引入更多的5G标准,并不断识别新的威胁。以下为指南部分摘译。
执行摘要
第五代(5G)蜂窝网络技术的第一阶段和第二阶段标准已经完成,蜂窝运营商正在推出5G服务。联邦机构使用移动无线已经有好几年了;然而,在5G之前,机构往往只把蜂窝网络当作传输层通信的管道。通过5G,各机构希望利用不同的5G使用场景:低频段、中频段和高频段频谱。5G提供的新功能、能力和服务可以改变任务和业务运营。
为了将一个非机密的联邦系统从原型机转移到生产中,需要进行安全评估以获得操作授权(ATO)。由于5G独立架构(SA)、多址边缘计算(MEC)和网络切片的部署处于早期阶段,联邦政府有机会在蜂窝运营商广泛部署5G服务和功能之前,检查和了解5G服务和功能可能对系统安全ATO带来的安全挑战。对于政府来说,重要的是要采用一种灵活、自适应和可重复的方法来评估任何5G网络部署的安全性和弹性。此外,该方法可能需要扩展到评估系统是否符合现有的联邦网络安全政策、法规和最佳实践,以解决已知的攻击载体、尚未发现的威胁和具体实施的漏洞。
本研究调查了5G可能如何给安全评估流程和框架中定义的传统ATO流程带来独特的挑战。这项研究是美国国土安全部科学技术理事会(S&T)、网络安全与基础设施安全局(CISA)和国防部研究与工程副国防部长的共同努力。这些机构目前都活跃在5G研究和安全领域。
5G系统
5G技术生态系统是复杂的,并仍在不断发展。任何5G网络安全评估方法都必须随着新的5G标准、威胁载体、部署特性和政策的引入而不断扩展和发展。还需要一个共同的理解和词汇来标识和描述关键元素、功能、关系和过程。
为了确定将5G技术纳入联邦系统可能会对ATO流程产生何种影响,有必要完成以下步骤:
- 将5G系统模型定义为通用词汇库以做参考。
- 了解5G和4G系统架构和安全性的差异。
- 了解系统级风险评估中的威胁类型。
5G安全评估过程
研究团队开发了如图ES- 1所示的拟议的五步5G安全评估流程,以进行调查。该过程确定重要的威胁框架、5G系统安全考虑因素、行业安全规范、联邦安全指导文件以及5G系统网络评估的相关组织和方法。它还指出了一些新的5G功能和服务在现有安全指导中存在的潜在差距。
从其调查中,研究团队得出的结论是,正如NIST的风险管理框架(RMF)中所述,RMF是技术中立的,不需要为5G进行修改。拟议的5G安全评估流程可以支持政府机构在RMF系统级“准备”步骤中为5G启用系统开展活动。提出的五步流程旨在实现可重复性,并可应用于广泛的5G系统架构、部署场景和操作环境。
步骤1使用用例定义,识别5G子系统是系统的组成部分、组件配置、应用程序和系统运行涉及的接口。5G技术的复杂性使得为联邦ATO定义安全评估边界的过程具有挑战性。
因此,步骤2涉及到定义边界,以识别需要评估和授权(A&A)的技术和系统,考虑到包含用例的产品和服务的所有权和部署。
在确定评估边界后,步骤3包括对每个5G子系统进行高层威胁分析,以识别缓解网络安全能力(例如,身份、证书和访问管理;网络安全;通信和接口安全),需要由A&A活动来解决。
步骤4涉及创建一个联邦安全指南目录,其中包括RMF、NIST的网络安全框架、供应链风险管理、联邦风险和授权管理计划(FedRAMP)、其他与安全能力相关的NIST和联邦网络安全指南,以及相关行业规范。
步骤5检查安全要求和联邦安全指导和评估程序之间的一致性。如果存在安全需求,但没有评估指南来指导A&A活动,那么就可以确定差距,并解决弥补评估缺陷的替代方案。例如,如果没有开放无线电接入网(O-RAN)的联邦评估指南,则可以考虑国际或商业项目,如O-RAN联盟的测试和集成中心认证。
本文件概述了拟议的5G安全评估流程,并将该流程应用于一个示例,以演示整个流程中每个步骤的考虑事项。
介绍
第五代(5G)技术在公共部门的第一波应用预计将包括一小部分常见用例和“启动”5G项目。在许多情况下,政府提供的流动设备会接驳由流动网络营办商或通讯服务供应商管理的非独立(NSA) 5G流动网络。当5G独立(SA)网络大规模部署时,包括安全在内的一系列更广泛的先进5G功能将可用;然而,为了实现这些新的通信能力,核心网络基础设施的升级将是必需的。
在网络基础设施升级、快速发展的技术标准、充满活力的全球市场(包括许多电信市场的新进入者)以及不断变化和多样化的威胁环境期间,政府必须采用灵活、适应性和可重复的方法来评估任何5G网络部署的安全性和弹性。这种方法必须超越评估系统是否符合政府的网络安全政策、法规和最佳实践,以解决已知的攻击载体、尚未发现的威胁和具体实施的漏洞。
本文档提出了5G安全评估的五步流程,可广泛应用于各种5G系统架构、部署场景和运行环境。全面的过程包括对适用的威胁和漏洞进行分类和映射,以及缓解属性和安全能力。
1.1 动机
5G网络被设计成比4G更安全。然而,5G网络的复杂性——伴随着新功能、新服务,以及预计将服务的设备数量和类型的大规模增加,再加上无线接入网(RAN)和5G核心的虚拟化和分解的使用——扩大了威胁面,并使定义系统边界具有挑战性。实施或计划实施5G系统的联邦企业可能不知道5G技术的纳入如何影响系统风险评估/操作授权(ATO)流程。此外,由于5G的部署处于早期阶段,联邦企业可能还没有准备好访问或意识到5G提供的潜在威胁和安全能力。
高度虚拟化、分布式、多供应商生态系统的全面安全评估很容易涉及多个评估和批准步骤、跨多个涉众的通信,以及不同级别的遵从性指导和法规。繁琐、昂贵和耗时的安全评估过程可能会阻碍5G在公共部门的应用,并可能导致一些组织接受更高水平的风险以节约资源。
企业利益相关方和任务所有者全面评估5G网络及其配套系统要素所需的努力和资源水平会根据多种因素而变化,如独特设备的总数和分解的网络功能。然而,重复获取和使用常见的5G网络组件将最大限度地减少进行端到端5G系统安全评估的步骤和时间。本文件介绍了常见的5G子系统和组件的例子,以强调拟议的5G安全评估流程的五个步骤中每个步骤所获得的效率。
该文件还介绍了一系列潜在的5G“启动”项目,超出了目前由国家和地区MNOs为联邦机构提供的商业移动宽带服务。
1.2 目的
多个联邦机构正在进行5G探索、实验和原型设计。对于联邦机构来说,将一个系统从原型到生产,需要进行安全评估,以获得联邦信息安全现代化法案的遵守。5G技术的复杂性使得定义安全授权边界的过程具有挑战性。随着5G SA的部署处于早期阶段,联邦政府有机会检查和了解5G服务和功能可能为系统安全评估和授权(A&A)带来的安全挑战。
本文介绍了一项调查结果,研究将5G技术纳入非机密联邦系统可能会对安全评估流程和框架(如国家标准与技术研究所(NIST)的风险管理框架(RMF),网络安全框架(CSF)[3])中定义的传统ATO流程带来独特的挑战。以及国防部(DoD)网络安全成熟度模型认证(CMMC)框架。
这项研究是美国国土安全部(DHS)科技局(S&T)、国土安全部网络安全和基础设施安全局(CISA)和国防部负责研究和工程的副国防部长的共同努力。这些机构目前都活跃在5G研究和安全领域。
为了指导调查,国土安全部/国防部研究小组制定了本文件中描述的拟议5G安全评估流程。小组的结论是,拟议的程序不能取代现有的评估框架。相反,它旨在成为一种可重复的方法,供联邦计划/项目经理在为5G支持的系统进行NIST RMF准备步骤时使用。威胁分析、降低安全能力的识别、与联邦安全指南的匹配以及发现现有联邦指南中的潜在漏洞,是作为一种资源提供的,以帮助联邦企业评估与其启用5g系统相关的风险,确定安全需求,并确定需要额外注意的领域。该文件的目标读者是负责设计、部署和保护使用5G技术的联邦系统的联邦5G计划和项目经理和高管。
1.3 文件结构
本文件概述了5G安全评估流程,并通过示例用例说明了每个步骤的注意事项。为了提供该过程的背景,本文包括对5G安全的简要概述、用作参考的系统模型以及可能影响5G子系统的威胁类型的总结。
01
第2节描述了作为过程参考的5G系统模型,解释了4G和5G之间的一些差异,强调了一些5G安全改进,并讨论了5G子系统的高层威胁。
02
第3节介绍了拟议的5G安全评估流程,并将该流程应用于一个假想的5G私有网络部署场景。03
第4节总结了文件的结论。
5G概述
5G技术生态系统是复杂的,并仍在不断发展。任何5G网络安全评估方法都必须随着新的5G标准、威胁载体、部署特性和政策的引入而发展。此外,需要一个公共词汇库来识别和描述关键元素、功能、关系和过程。为了调查5G安全评估流程的必要性,需要采取以下措施:
- 确定一个5G系统模型,作为5G的词汇库,并描绘出5G攻击面以供调查。
- 描述5G及其与前几代蜂窝技术的不同之处。
- 从高层次了解可能影响5g系统的威胁类型。
2.1 5G系统模型
5G系统包括用户设备(User Equipment, UE)、5G RAN和5G Core,还可能包括多址边缘计算(Multi-Access Edge Computing, MEC)和网络切片。由于虚拟化在5G中的广泛使用以及对安全网络编制和管理的关键需求,这些子系统也包括在下面图1所示的5G系统模型中。每个顶级5G系统组件可以表示为单个子系统配置或组件配置的集合。5G网络可能包括多个服务提供商(例如,MEC或Core的云、通信或应用服务提供商),从而为安全风险评估带来额外的复杂性。认识到5G的这一方面,图1显示了每个5G子系统都有一组属性(例如,5G系统是否使用SA或NSA架构,UE是否可以更新/修补、认证或集中管理,或谁拥有RAN以及是否虚拟化)。通过5G系统分解,可以将独特的功能和系统属性应用到系统组件上,为5G安全评估流程调查提供参考模型,便于识别5G威胁。
图1所示的中间层展示了以下5G子系统:
5G终端5G终端可接入网络业务。各种可能的设备类型都支持5G(例如,物联网(IoT)、自动驾驶汽车)。5G终端由硬件、软件、SIM (subscriber identity module)和接口(air interface、local port、sensor)组成。
5G RAN5G RAN支持所有逻辑接入功能,通过5G NR (New Radio)空中接口将终端接入5G系统。虽然5G核心网络支持与其他类型的接入网互通,但只有5G RAN被纳入5G安全评估过程调查的范围。5G RAN包括一个中央单元、分布式单元、无线电单元、多个接口(例如,空中接口、中途、回程、管理),还可能包括一个RAN智能控制器,以控制开放无线电接入点网络(O-RAN)的配置和优化。
5G Core5G Core对用户进行身份验证,为终端用户建立可靠、安全的网络连接,并提供对其服务的访问。除了一组接口(UE、RAN、内核等)外,5G Core还包括一组控制平面、用户(数据)平面、网络数据(其他核心功能)、应用功能(外部应用可以接入核心功能)、网络切片等。
MECMEC是一个运行在网络边缘的云服务,实时或接近实时地提供特定的任务。MEC使计算能力更接近最终用户,使需要独特连接特性(如超低延迟)的应用程序和服务成为可能。除了MEC接口外,MEC还包括一个系统级组件和一个主机级组件,这两个组件进一步分解为MEC主机(平台和虚拟化基础设施)和MEC主机管理。
云当使用虚拟化或云部署模式时,必须使用云/虚拟化。和表示对这些虚拟函数的底层基础设施支持。它可以设置为单个虚拟平台,也可以设置为多个相互连接的虚拟平台(即云)。该子系统由基础设施、从基础设施中提取硬件资源的虚拟化层、子系统组件的资源编排功能、一组接口和网络功能组成,网络功能部署为虚拟(虚拟网络功能[VNF])或云本机容器(云本机网络功能[CNF])组件。
其他业务流程和管理包括所有网络管理功能(故障、配置、计费、性能、安全)以及支持5G RAN、5G Core、MEC和云/虚拟化子系统虚拟化基础设施部署和管理的任何业务流程功能。
图1中的最低层描述了参考设计,它代表了5G子系统的通用实现。除了每个5G子系统的攻击面之外,参考设计可能会引入其他威胁,例如传统RAN中不存在的O-RAN附加接口。这种抽象级别应该有助于多个领域主题专家进行风险评估,以及非技术涉众和决策者的参与。图2给出了一些5G参考设计示例。
图2中的四个参考设计示例可以组合起来表示单个5G系统。5G UE、RAN、Core和MEC解决方案各有一个表示,展示了如何扩展“通用”子系统(如通用UE)的安全需求,包括内部“独特”解决方案架构引入的额外安全需求(如硬件、软件和接口),以及为给定参考设计定义的功能和属性(如额外的传感器、无线电和智能设备的计算能力)。这些要求是拟议的5G安全评估过程的关键输入。另外一个好处是,这些参考设计可以根据需要重用和修改,以封装未来5G系统应用程序或用例的独特功能和操作细节。2.2 5G安全
与4G蜂窝网络技术相比,5G将服务于更多不同类型的设备和更多的使用案例。5G带来的新特性和新业务包括:
增强性能,增加频谱,频谱共享,低频段,中频段和高频段频率。
蜂窝密集服务于大量用户和新技术,如波束形成,以引导无线通信信道的用户和减少干扰。
MEC,将典型的集中式应用程序移动到更靠近网络边缘的地方,以减少延迟,维持高数据传输速率,并吸收大量数据。
网络切片创建多个虚拟网络,在共享的物理基础设施上提供不同质量的服务水平。
虚拟化RAN和5G Core,动态扩展网络功能。
第三代合作伙伴计划(3GPP)是5G的主要标准开发组织,为5G构建了许多安全改进,重点总结如下表。
| 用户安全及隐私加密唯一的设备标识符,以减轻流氓基站。 用户与网络相互认证。 控制(信令)流量和用户(数据)流量的机密性和完整性保护。 能够限制设备使用的无线电技术(例如,关闭2G/3G)。 | RAN安全与隐私使用大量天线和波束形成技术,以减少干扰,使空中窃听攻击更难进行。 RAN被分为分布式单元(DUs)和集中式单元(CUs),其中分布式单元位于天线附近,而集中式单元用于存储敏感信息,放置在一个可信且物理安全的位置。 |
| 核心网络安全使用基于传输层安全的身份验证和加密,转向基于服务的架构。 跨每个接口的Internet协议安全性和基于属性的安全性选项。 基于服务的发现和注册,以支持机密性,完整性和重放保护。 | 漫游安全用于漫游互联的安全网关,以执行控制平面安全策略。 当家庭网络接收到来自服务网络的服务请求时,可以验证设备是否存在于服务网络中。 保护两个网络之间的用户平面流量。 |
| 网络切片与虚拟化网络切片允许隔离数据平面流量,以及不同用户类别的不同安全属性。 软件定义,虚拟化的网络功能,允许快速重新配置,以响应攻击。 | 身份验证用户身份验证由家庭网络完成(有助于防止虚假基站攻击)。 身份验证对RAN是开放的和不可知的。3GPP和非3GPP接入网络(如Wi-Fi)使用相同的认证程序。 |
2.3 5G威胁概况
任何安全风险评估的一个关键输入是威胁分析。5G系统模型支持攻击面描述,用于调查。有许多威胁框架。图3显示了从部分来源提取的对5G子系统的一些威胁。窃听、窃取用户数据或用户位置跟踪等威胁可能会影响用户数据的完整性和保密性,以及对单个用户的服务可用性。其他威胁可能会影响本地或区域网络、应用程序或服务可用性,并对依赖5G执行任务的企业的5G服务和应用的机密性、完整性和可用性产生后续影响。
为了帮助描述威胁,并作为各机构开发自己的5G威胁模型的起点,研究团队将潜在威胁分为以下类别。了解这些威胁有助于企业风险管理人员确定安全活动的优先级,并确定所需的安全能力,以减轻其启用5G系统边界内与5G系统和子系统相关的威胁。威胁分类如下:
通用网络安全威胁这些威胁影响所有5G子系统,包括配置错误、人为错误、未能正确加固软硬件、攻击者横向移动、信息泄漏和一般的未经授权访问攻击。组件配置错误或软硬件加固失败从而可能被攻击者利用来重新配置5G元素,将流量引导给攻击者,或窃取数据。
虚拟化威胁虚拟机和容器业务平台面临的威胁,影响5G Core、RAN、MEC、网络切片、虚拟化、业务编排和管理。威胁包括DoS、虚拟机/容器逃逸、侧通道攻击和云服务消费者配置错误。在多租户虚拟化环境中,一个租户对资源的极度消耗会为相邻租户系统产生DoS事件。这样的事件会阻止或严重降低任务的功能。类似地,托管攻击可能会使邻近的计算工作负载面临资源剥夺、横向移动和数据机密性、完整性或可用性损害的风险。针对5G RAN或核心功能的侧通道攻击可能会导致绕过用户帐户权限、虚拟化边界或受保护的内存区域,从而导致敏感信息的暴露。
网络和管理接口威胁这些威胁影响所有5G子系统的网络、管理和空中接口,包括DoS、干扰、窃听、地址欺骗、流量/消息篡改、系统/协议发现、不当的租户流量隔离和访问控制攻击。空中接口威胁位于终端和RAN之间,使用无线电干扰技术可能会造成干扰,阻止终端访问或导致5G服务丢失。虚拟化/容器化的核心网络功能被部署为共享云基础设施上的租户,租户之间的通信不当隔离可能会使这些虚拟环境面临未经授权的访问或信息机密性的丢失。
应用和服务威胁与5G应用和服务交付相关的威胁会影响所有5G子系统,包括恶意软件和恶意代码注入、DoS和DDoS、应用程序编程接口(API)操纵、利用软件漏洞和访问控制攻击。智能手机等终端很容易受到应用程序和恶意代码的利用,这些应用程序和恶意代码可以将私人数据暴露给威胁行动者。MEC上不受保护或易受攻击的api可能导致对MEC上的应用程序和信息的未经授权访问,并为来自网络内部的进一步攻击提供便利。
不法分子来自RAN中的不法终端、不法基站或无线电单元,以及MEC中的不法网络主机或欺骗组件的威胁可用于攻击5G系统。例如,恶意基站可以使用干扰迫使UE使用恶意基站,然后获取用户信息和位置,而MEC中的恶意组件可以破坏MEC应用程序,删除、修改或窃取数据。
隐私威胁在5G网络中,用户和用户关联信息的处理、共享、存储和通信,以及用户和设备标识和位置跟踪,以及用户、协议和系统欺骗攻击,对终端以及RAN和5G Core中的系统构成威胁。攻击者可以监控RAN和UE设备之间的空中接口,提取不受保护的唯一设备标识符,并跟踪设备用户,而未经授权访问存储在5G核心中的用户数据可能用于身份盗窃或电信欺诈。
环境和物理威胁环境和物理访问控制系统的漏洞和弱点,自然灾害和停电影响RAN, 5G Core, MEC和虚拟化子系统。对端口、设备和设备的物理访问;自然灾害;电磁脉冲;失去动力是最主要的担忧。在RAN中,安装在灯柱上的小电池可能会受到物理盗窃或损坏,而停电或自然灾害可能会损坏/使RAN节点或5G Core的部分无法访问。
供应链威胁在提供、采购以及将软件、固件和硬件组件并入UE、RAN、5G Core和虚拟化子系统时,可能会发生威胁。威胁包括漏洞或恶意组件插入、漏洞或恶意开源组件、对漏洞硬件、固件或操作系统的攻击。恶意代码注入到用于构建用于发布到生产的系统软件的通用代码存储库中,可能会对操作产生严重影响,尤其是当受影响的系统能够访问特权用户系统时,例如用于身份和访问管理或网络健康和配置管理的那些系统。包含来历不明或安全状况不明的固件/硬件组件(例如,在UE或RAN中)可能会将恶意或伪造组件引入这些子系统,造成将敏感用户和网络数据暴露给对手的潜在风险。
人工智能/机器语言(AI/ML)威胁对数据完整性、机密性和UE可用性、RAN和业务流程和管理子系统的威胁。这些威胁影响AI/ML软件和系统,以及依赖于数据的准确性、及时性和可靠性的网络元素和服务,这些数据用于基于AI/ML的决策,如网络功能的动态分配。例如,用于执行算法的分析函数代码的损坏,或在AI/ML算法中插入虚假或受污染的数据,会降低网络运行,对人类安全产生潜在影响。
5G安全评估流程调查的重点是具有5G Core的5G SA架构。然而,随着时间的推移,MNOs会向SA过渡。在这段过渡时期,MNOs将使用美国国家安全局的架构,该架构依赖于4G Core,因此继承了已知的4G漏洞。
系统安全官员和项目经理可以使用这些威胁信息,为启用5g系统的网络安全风险评估过程提供信息。
提出5G安全评估流程
基于对威胁来源的回顾和对RMF过程的了解,研究团队开发了如图4所示的过程来指导其调查。该过程不能取代现有的评估框架。相反,它可以用于为支持5g的系统指导NIST RMF系统级Prepare步骤中的活动。由于联邦系统所有者或信息系统安全官员可能不太了解与5G技术相关的威胁和漏洞,因此该过程有助于识别相关的威胁框架、重要的5G系统安全考虑因素,以及5G系统网络评估的相关组织和方法。
5G系统部署将包括各种配置中的各种系统要素。一些网络元素将集中,而其他的可能在地理上分布。此外,政府实体可以与一个或多个系统集成商和网络运营商共同拥有或运营网络的各个部分。第2.1节中讨论的系统模型的目的是提供一个可以扩展和扩展的框架,以描述5G系统元素的任何配置。为了演示安全评估过程的“最佳案例”应用,下一小节将介绍一个由参考设计元素组成的概念5G系统。5G概念部署场景
联邦政府的许多早期5G采用者预计将选择一种私有5G网络解决方案,该解决方案可以根据特定的安全和性能要求量身定制,以支持特定任务的能力或应用程序。私有5G网络可以在几种配置下建设和运营——从完全独立的解决方案(内部设施+未经许可/共享的频谱接入+政府拥有的基础设施+政府运营商)到混合政府和商业运营组件和服务的“混合”解决方案。本文档中展示的示例部署将是一个全新的、使用网络切片的公私混合实现,如图5所示,它使用了简单但实际的组件、服务和参与者配置。这种概念上的5G解决方案并不旨在服务于单一任务或应用。相反,该网络可以被分割,以满足各种应用和任务需要。
下表简要介绍了关键的部署细节。
| 5G子系统 | 所选择的参考设计 | 描述 | 网站/传输介质 | 初步安全措施 |
|---|---|---|---|---|
| 用户设备 | 政府提供的设备(GFE)如智能手机和平板电脑 | 用于在公共网络和私有网络之间漫游的设备 | N/A | 派生凭证;企业UEM |
| 5G无线接入网 (RAN) | 传统(物理层)RAN | RAN对政府拥有的基础设施进行了分割;没有基于云的解决方案 | 局内频谱/已获牌频谱(扩展容量的可用共享频谱接入) | 网络切片;“强制性”3GPP安全措施 |
| 5G Core | 传统的公共核心 | 在公共5G SA网络上的网络切片 | 运营商的数据中心/光纤回程 | 端到端网络切片;“强制性”3GPP安全措施 |
后续部分重点介绍了图4所示的拟议5G安全评估过程的每个步骤。前面定义的示例专用5G网络由常见的5G子系统元素组成,将用于说明每个流程步骤,并估计由于偏离假设部署场景而产生的额外开销。其总体意图是通过组装少数与一套技术标准紧密一致的5G子系统和服务,降低集成众多分散的5G组件的系统复杂性。正如预期的那样,当采购商用现成设备时,较少的定制通常意味着更低的成本和更快的交付时间。步骤1:定义联邦5G用例
该过程的第一步是定义用例和5G使用场景(增强移动宽带[eMBB]、超可靠低延迟通信、大规模机器类型通信),包括在UE、RAN、Core、MEC的相关5G参考设计中,以及对接口系统和应用程序的描述。从用例及其相关使用场景中,可以描述5G系统元素及其与其他系统和网络的集成。定义用例包括:
01
描述用例的目的(例如,连接设备、可穿戴设备、环境和建筑传感器,为第一反应人员提供态势感知)。02
确定用例包含哪些5G使用场景。许多联邦用例将利用超过一种3GPP 5G使用场景。03
描述支持用例所需的系统、子系统、接口、应用程序、端点、安全性等。04
提供第2.1节中讨论的5G系统模型和参考设计的细节,以及与其他系统、网络或应用程序的接口。步骤2:确定评估边界
5G技术的复杂性使得为联邦ATO定义安全评估边界的过程非常困难。第2步涉及到定义边界以识别需要A&A的技术和系统,考虑包含用例的产品和服务的所有权和部署,以及定义安全能力的实现、管理和监控的角色和职责。在定义了评估边界之后,就可以确定A&A活动要处理的安全需求。边界包括系统中所有被授权运行的组件,不包括系统连接的单独授权系统。边界例子包括以下元素:单一边界(例如,独立的专用网络);系统中的系统(例如,与组成/租户系统共享的网络基础设施);混合(公共与私营)。步骤3:确定安全需求
步骤3是一个多阶段步骤,包括对每个5G子系统进行高层威胁分析,并确定A&A活动将解决的网络安全需求。它需要对考虑中的用例有透彻的理解,从而为评估边界内所采用的技术和外部系统的所有接口提供上下文。该步骤包括执行RMF系统级准备步骤中定义的威胁分析和风险评估。在此过程中,重点是单个5G系统元素和5G连接系统。步骤4:将安全需求映射到联邦指南和行业规范
联邦安全要求超出了国际行业规范所列举的范围。步骤4涉及到创建联邦安全A&A指南目录,该目录对应于评估边界中包含的技术和步骤3中确定的隐含安全能力。例如,RMF适用于所有类别的安全能力,以及与ICAM、供应链风险管理(SCRM)、数据安全、虚拟化/云/容器安全和网络安全保护相关的其他NIST和国防部网络安全指南。步骤5:评估安全指导漏洞
步骤5检查安全功能和可用的联邦安全指南之间的一致性,以指导A&A活动。如果需要安全能力来减轻已识别的威胁并降低联邦企业的风险,那么必须有一种方法来评估其实施的有效性。可适用机构特定政策或政府一般指导或政策,并可成立独立评估组织进行评估。如果存在安全需求,但没有评估指南、政策或组织来验证其对政府操作的有效性,那么就会出现漏洞。当认为安全需求的存在是为了减轻威胁,但没有建立正式的需求时,也会出现漏洞。
结论
5G网络旨在提供比4G网络更安全的改进。然而,5G网络的复杂性——伴随着新的功能、服务,以及5G服务设备数量和类型的预期大规模增长,加上RAN和5G核心的虚拟化和分解,扩大了威胁面,并使定义系统边界变得具有挑战性。实施或计划实施5G系统的联邦企业可能不知道5G技术的纳入如何影响系统风险评估/ATO流程。此外,随着5G在早期阶段的部署,联邦企业可能没有意识到5G的潜在威胁,也没有准备好访问5G提供的安全能力。
为了确定将5G技术纳入联邦系统可能会如何影响ATO流程,研究团队开发了本文件中提出的5G安全评估流程。5G安全评估流程确定了重要的威胁框架、5G系统安全考虑因素、行业安全规范、联邦安全指导文件以及5G系统网络评估的相关组织和方法。该研究团队还发现了一些新的5G功能和服务在现有安全指南中存在的潜在差距,并在本文件中提出了这些差距。
研究小组在调查中得出结论,NIST RMF是技术中立的,不需要为5G进行修改。本文件中描述的5G安全评估流程是一种可重复的方法,联邦项目经理可以在对启用5G的系统进行NIST RMF准备步骤时使用。可广泛应用于5G系统架构、部署场景和运营环境。
文章来源:CISA官网
原文链接:
译者:吴宇昂
Last modified: 2022年 9月 6日
