2022 年 5 月 26 日,美国国土安全部科学技术局、网络安全与基础设施安全局、国防部研究与工程部长办公室联合发布《5G 安全评估流程指南》。这份指南并非新的安全要求或框架,而是立足于现有标准框架等成果,为政府机构评估其 5G 系统安全水平是否符合生产要求而制定的一个五步安全评估流程。该流程要求联邦政府的 5G 网络安全评估方法具有灵活性,以考虑不断引入新的 5G 标准、部署功能和政策,以及不断识别新的威胁向量。联邦机构利用该流程可以评估、理解和解决其技术评估标准和政策的安全性及弹性评估差距。
第五代(5G)蜂窝网络技术的第一阶段和第二阶段的标准已经完成,蜂窝运营商正在推出 5G 服务。联邦机构使用移动无线网络已有多年;然而在 5G 出现之前,各机构倾向于将蜂窝网络仅仅视为传输层通信的管道。5G 出现之后,各机构希望扩展 5G 的不同使用场景,即低、中、高频段的频谱。但是,要将非机密的联邦系统从原型过渡到生产,需要进行安全评估才能获得操作授权(Authorization To Operate,ATO)。由 于 5G 独 立 体 系 结 构(Standalone,SA)、 移 动 边 缘 计 算(Mobile Edge Computing,MEC)和网络切片的部署还处于早期阶段,在移动运营商广泛部署 5G 服务和功能之前,联邦政府要了解和研究 5G 服务和功能,这可能会给系统安全带来挑战。对于政府而言,需要一种灵活、自适应和可重复的方法对任何 5G 网络部署的安全性和弹性做出评估。此外,该方法需要评估系统是否符合现有的联邦网络安全政策、法规和最佳实践,以解决已知的攻击向量、尚未发现的威胁和具体实施中存在的漏洞。
2022 年 5 月 26 日,美国国土安全部科学技术局、网络安全与基础设施安全局、国防部研究与工程部长办公室联合发布《5G 安全评估流程指南》。本文探讨了 5G 对安全评估流程和框架,如美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)的风险管理框架(Risk Management Framework,RMF)中定义的传统 ATO 流程带来的独特挑战。这项工作是由美国国土安全部科学技术局、网络安全和基础设施安全局以及国防部研究与工程部长办公室领导的研究小组共同开发的,这些机构目前都活跃在 5G 研究和安全领域。
1. 背景
当 5G 网络大规模部署时,核心网络基础设施的升级将是必需的。在网络基础设施升级、技术标准迅速演变、充满活力的全球市场(包括许多电信市场的新进入者)以及不断变化和多样化的威胁环境期间,政府必须采用灵活、自适应和可重复的方法来评估任何 5G 网络部署的安全性和弹性。
本文提出了 5G 安全评估五步流程,可广泛应用于各种 5G 系统架构、部署场景和运行环境。步骤一要求使用用例定义,以确定作为系统一部分的 5G 子系统、组件配置、应用程序和系统操作中涉及的接口。5G 技术的复杂性使得联邦ATO 定义安全评估边界的过程极具挑战性。因此,步骤二涉及定义边界,以确定需要评估和授权(Assessment and Authorization,A&A)的技术和系统,同时考虑到包含用例的产品和服务的所有权和部署。定义评估边界后,步骤三包括对每个 5G 子系统进行高级威胁分析,以确定需要通过评估和授权来解决被降低的网络安全能力(例如,身份、凭据和访问管理,网络安全,通信和接口安全)。步骤四涉及创建一个联邦安全指南目录,其中包括 RMF、NIST 的网络安全框架、供应链风险管理、联邦风险和授权管理计划(Federal Risk and Authorization Management Program,FedRAMP)、其他与安全能力相关的 NIST 和联邦网络安全指南,以及相关行业规范。步骤五检查安全要求和联邦安全指导及评估程序之间的一致性。如果存在安全需求,但没有评估指南来指导 A&A 活动,那么就可以确定差距,并制定弥补评估缺陷的替代方案。例如,如果没有开放无线电接入网(Open Radio Access Network,O-RAN)的联邦评估指南,则可以考虑国际或商业项目,如 O-RAN 联盟的测试和集成中心认证。
2. 5G 安全及威胁概述
2.1 5G 安全
与 4G 蜂窝网络技术相比,5G 将服务于更多不同类型的设备和更多的使用案例。5G 引入了新的功能和服务,主要包括:(1)性能增强的新空口(New Radio,NR),频谱增加,频谱共享,低、中、高频段频率;(2)为大量用户提供服务的小区加密技术和波束形成等新技术,可将无线通信信道定向到用户并减少干扰;(3)MEC 将典型的集中式应用程序移至更靠近网络边缘的位置,以缩短延迟、维持高数据传输速率并摄入大量数据;(4)网络切片可以创建多个虚拟网络,在共享的物理基础设施上提供不同质量的服务水平;(5)虚拟化的无线接入网络(Radio Access Network,RAN)和 5G 核心,以动态扩展网络功能。
第 三 代 合 作 伙 伴 项 目(3rd Generation Partnership Project,3GPP)是 5G 的主要标准开发组织,进行了许多 5G 安全方面的改进,其要点总结如表 1 所示。
表 1 5G 安全的改进(独立架构)
续表
2.2 5G 威胁现状
威胁分析是任何安全风险评估的一个关键要素,为了帮助描述威胁,并作为各机构开发自己的 5G 威胁模型的起点,研究团队将潜在威胁进行了分类。了解这些威胁有助于企业风险管理人员确定安全活动的优先级以及所需的安全能力,以减轻其启用 5G 系统边界内与 5G 系统和子系统相关的威胁。威胁类别包括:
(1)一般网络安全威胁。这些威胁影响所有 5G 子系统,包括配置错误、人为错误、未能正确加固软硬件、对手横向移动、信息泄露和一般的未经授权访问攻击。组件配置错误或软硬件加固失败可能会被攻击者利用并重新配置5G 元素,将流量引导给攻击者,或窃取数据。
(2)虚拟化威胁。对虚拟机(Virtual Machine,VM)和容器服务平台的威胁影响到 5G 核心、RAN、MEC、网络切片、虚拟化以及协调和管理胁包括持续拒绝服务(Denial of Service,DoS)、虚拟机 / 容器逃逸、侧信道攻击和云服务消费者错误配置。在多租户虚拟化环境中,一个租户的极端资源消耗可以为相邻的租户系统创建一个 DoS 事件。这个事件可以阻止或严重降低任务功能。同样,主机托管攻击,如虚拟机 / 容器逃逸或侧信道攻击,可以使相邻的计算工作负载面临资源被剥夺、横向移动和数据保密性、完整性或可用性被破坏的风险。对 5G RAN 或核心功能的侧信道攻击可能导致绕过用户账户权限、虚拟化边界或受保护的内存区域,而暴露敏感信息。
(3)网络和管理界面威胁。这些威胁影响所有 5G 子系统的网络、管理和空中接口,包括DoS、干扰、窃听、地址欺骗、流量 / 消息篡改、系统 / 协议发现、不适当的租户通信隔离和访问控制攻击。空中接口威胁位于用户终端(User Equipment,UE)和 RAN 之间,使用无线电干扰技术可以造成干扰,从而阻止 UE 的访问或造成 5G 业务的丢失。虚拟化 / 容器化的核心网络功能作为租户部署在共享云基础设施上,租户之间的通信隔离不当可能会使这些虚拟环境面临未授权访问或机密性信息丢失(例如用户数据、网络配置等)。
(4)应用和服务威胁。与 5G 应用和服务交付相关的威胁会影响所有 5G 子系统,包括恶意软件和恶意代码注入、DoS 和分布式拒绝服务攻击(Distributed Denial of Service,DDoS)、应 用 程 序 编 程 接 口(Application Programming Interface,API)操纵、利用软件漏洞和访问控制攻击。智能手机等终端很容易受到应用程序和恶意代码的利用,这些应用程序和恶意代码可以将私人数据暴露给威胁者。MEC 中未受保护或易受攻击的 API 可能导致对 MEC 的应用程序和信息的未授权访问,并助长来自网络内部的进一步攻击。
(5)恶意元素。来自恶意 UE、恶意基站或 RAN 中的无线电单元以及恶意网络主机或MEC 中的欺骗组件的威胁可被用来攻击 5G 系统。例如,恶意基站可以使用干扰迫使 UE 使用恶意基站,然后捕获用户信息和位置,而 MEC中的恶意组件可以破坏 MEC 应用,删除、改变或窃取数据。
(6)隐私威胁。对 UE、RAN 和 5G 核心中涉及 5G 网络用户间相关信息的处理、共享、存储和通信系统的威胁,包括窃听、用户及设备标识符和位置跟踪,以及用户、协议和系统欺骗攻击。攻击者可以监控 RAN 和 UE 设备之间的空中接口,以提取不受保护的唯一设备标识符并跟踪设备用户,而未经授权访问存储在 5G核心区的用户数据可用于身份盗窃或电信欺诈。
(7)环境和物理威胁。环境和物理访问控制系统的漏洞和脆弱点、停电及自然灾害将影响 RAN、5G 核心、MEC 和虚拟化子系统。其中,对端口、设备和装置的物理访问、自然灾害、电磁脉冲和断电是最主要的问题。在 RAN 中,放置在灯柱上的小电池可能会受到物理盗窃或损坏,而停电或自然灾害可能会损坏 RAN 节点或 5G 核心,导致其无法被访问。
(8)供应链威胁。威胁可能发生在 UE、RAN、5G 核心和虚拟化子系统的软件、固件和硬件组件的供应、获取和整合过程中。威胁包括漏洞或恶意组件插入、漏洞或恶意开源组件,以及对漏洞硬件、固件或操作系统的攻击。恶意代码注入用于构建系统软件以发布到生产中的通用代码库,会对运营产生严重影响,特别是当受影响的系统可以访问特权用户系统时,如用于身份和访问管理或网络健康和配置管理的系统。包含来历不明或安全态势未知的固件 /硬件组件(例如在 UE 或 RAN 中)可能会将恶意或假冒组件引入这些子系统,从而导致将敏感用户和网络数据暴露给对手。
(9) 人 工 智 能 / 机 器 学 习(Artificial Intelligence/Machine Language,AI/ML)的威胁。对 UE(例如物联网或网络物理设备的网关)、RAN、协调和管理子系统的数据完整性、机密性和可用性的威胁。这些威胁影响到 AI/ML 软件和系统,以及依靠数据的准确性、及时性和可信度来进行基于 AI/ML 的决策(如网络功能的动态分配)的网元和服务。例如,用于执行算法分析功能的代码损坏或虚假、受污染的数据插入 AI/ML 算法将使得网络运行速率降低,对人身安全造成潜在影响(例如,在使用自动驾驶车辆或智能城市交通管理时)。
3. 建议的 5G 安全评估流程
3.1 5G 概念部署场景
在联邦政府中,许多早期的 5G 使用者会选择一种私有的 5G 网络解决方案,该方案可以根据特定的安全和性能要求进行定制,以支撑特定任务的执行。私有 5G 网络可以在多种配置下构建和运行,从完全独立的解决方案(内部部署 + 未授权 / 共享频谱接入 + 政府拥有的基础设施 + 政府运营商)到混合政府和商业运营组件、服务的“混合”解决方案。本文展示的示例部署将通过一个全新的、使用网络切片的公私混合方式来实现。该方案使用了简单且实际的组件、服务和参与者配置,并不旨在服务于单一的任务或应用,相反,该网络可以被分割,以满足各种应用和任务需要。其关键部署细节如下文所述。
(1)网络基础设施。私有网络将由网络运营商交付,它通过运营商的公共 RAN 和 SA 核心网络基础设施进行传输。网运营商将获取、安装和维护 RAN 基础设施(包括塔、基站和无线电)。政府可以选择创建子网支持多个租户组织,或通过创建额外的切片来满足独特的应用性能需求。
(2)频谱。私有网络的无线部分将使用网络运营商授权的频谱产品。对于对安全性或弹性要求不高的用例,可以通过共享中频频谱 [ 例如公民宽带无线电服务(Citizens Broadband Radio Service,CBRS)] 的方式来实现网络容量的增加。
(3)安全。政府必须明确规定满足本地3GPP 安全措施和特性的联邦法规和安全要求。此外,根据部署场景和相关任务风险,每个网段可能需要额外地进行安全增强和远程访问控制。例如,运营商可以通过其网络切片产品提供“端到端”安全,但是,其安全能力可能无法满足政府的安全要求甚至需要额外的安全缓解措施。政府提供的智能设备将使用基于软件的公共密钥基础设施(Public Key Infrastructure,PKI)证书,并由企业的统一终端管理(Unified Endpoint Management,UEM)系统进行远程管理。与政府的周边安全解决方案、零信任架构或其他有线 / 无线网络和网关的整合也可按成本增加。
(4)网络管理。网络切片的 RAN 部分的管理和协调将由政府独家控制。其他层的故障、配置、记账、性能和安全功能可以由政府或授权承包商应用于 RAN 部分。
(5)云计算。本例部署方案中政府运营的部分不包括 MEC 解决方案或任何公共云基础设施或服务。预计网络运营商的数据中心和边缘云节点将在商品硬件上执行虚拟化的网络功能。
3.2 第一步:定义联邦 5G 用例
该过程的第一步是定义用例和 5G 使用场景(增强移动宽带、超可靠低延迟通信、大规模机器类型通信),它包括在 UE、RAN、核心、MEC 以及与接口系统和应用程序的相关 5G 参考设计之中。根据用例及其相关使用场景,可以描述 5G 系统元素及其他系统和网络的集成。定义用例包括:(1)描述用例的用途(例如连接设备、可穿戴设备、环境传感器和构建传感器,以便为第一响应者提供态势感知);(2)标识用例包含的 5G 使用场景。许多联邦用例将利用第三代合作伙伴计划的 5G 使用场景;(3)描述支持用例所需的系统、子系统、接口、应用程序、端点、安全性等;(4)提供 2.1 节中讨论的 5G 系统模型和参考设计的细节,以及与其他系统、网络或应用程序的接口。
由于示例网络部署场景是一种简化的最佳场景,以下备选部署场景详细说明了对安全评估过程的潜在影响。
(1)交付专用 5G 网络。超大规模云提供商正在迅速推进将托管服务交付专用 5G 网络作为一个新兴市场。这些服务包括预先配置好的网络设备和管理系统软件,这些软件可以快速安装到经过许可的频谱和共享的中段 CBRS频谱(仅在美国可用)。使用这种托管服务不会简化或减少评估单个设备(包括 SIM 卡)和软件组件所需的工作量,但可以加快网络的部署。
(2)中立主机网络(Neutral Host Network,NHN)。为了减少成本开支和运营费用,拥有多个租户组织的政府网站可以选择分担 RAN 基础设施成本,并将网络运营外包给合格的第三方。中立主机让多个组织和用户共享网络(包括共享 RAN 和核心网络)。由于网络设备和可能的频谱将被共享,硬件占用和基础设施投资会大大减少。因此,NHN 部署将形成一个更简单、更快的安全评估过程,该过程可能会涉及更多的利益攸关方和增加行政管理费用(例如谅解备忘录、分开收费和计费)。
3.3 第二步:确定评估边界
5G 技术的复杂性使得为联邦 ATO 定义安全评估边界的过程变得困难。第二步涉及定义边界以识别需要 A&A 的技术和系统,考虑包含用例的产品和服务的所有权和部署,以及定义安全能力的实现、管理和监控的角色和职责。在定义评估边界后,就可以确定 A&A 活动要处理的安全需求。边界包括系统中所有被授权运行的组件,不包括系统连接的单独授权系统。边界示例包括:
(1)单一边界(如独立的专用网络);
(2)系统中的系统(如与组成 / 租户系统共享的网络基础设施);
(3)混合(如公共和私人)。
由于目前已定义了专用 5G 网络的实例,因此评估边界是明显的。大部分的公共核心网位于网络运营商的数据中心,网络流量通过端到端网络切片进行分割。独特的安全需求可能需要对核心网络元素、流程和供应商进行详细评估。否则,评估边界可能包括运营商提供的网络切片、政府运营 RAN 段的基础设施构建和运行,以及端点设备。
但是,如果一个政府租户组织被分配了一个政府网络切片子网,那么该组织可以获得一个 MEC 节点来提供靠近网络边缘的额外处理。MEC 的安装将引入威胁向量,需要进行安全评估。如果第三方 MEC 解决方案自带管理系统,也将纳入考核范围。
3.4 第三步:确定安全需求
第三步是一个多阶段步骤,包括对每个 5G子系统进行高级威胁分析,并确定 A&A 活动要解决的网络安全要求。它要求彻底了解所考虑的用例,以便为评估边界内采用的技术和与外部系统的所有接口提供背景。该步骤包括执行RMF 系统级准备步骤中定义的威胁分析和风险评估。在此过程中,重点关注单个 5G 系统元素和 5G 连接系统。
为 了 简 化 对 需 求、 评 估 策 略 和 指 导 的 映射,将 2.2 节中总结的各种威胁的安全功能进行了分类。例如,身份验证、授权和最低权限访问控制被归入身份、凭证和访问管理(Identity,Credential, and Access Management,ICAM)类别,而入侵检测、网络分段和端口 / 协议安全被归入网络安全类别。
3.4.1 用户设备
以私有 5G 网络为例,政府配备(Government Furnished Equipment,GFE)智能设备是网络终端,受到来自政府专用 5G 网络内部和外部的一系列威胁。由于对 GFE 设备的安全风险和漏洞进行了预评估,这一步主要是针对那些完全符合安全保护要求的设备完成的,并且是最新的。GFE智能设备提供端点安全保护,由企业设备管理系统管理,并使用个人身份验证、公共访问卡凭据、基于软件的凭据进行身份验证。根据机构的指导,这些安全能力的应用允许 GFE 设备可以立即在政府 5G 网络上使用。如果非 GFE智能设备被引入私人 5G 网络,则有必要对适用的硬件、ICAM、应用、数据和通信安全要求进行全面评估。
3.4.2 5G 无线接入网
根据系统评估边界和配置,5G RAN 基础设施可以包括来自一个或多个地理位置的基础设施元素,并涉及各种网络交换机 / 路由器、基站以及接入点 / 小区站点设备和软件。例如,私有5G 网络涉及一个带有 RAN 切片的局域 RAN 段,以支持多租户应用程序。所有硬件和软件组件,包括云 / 边缘平台以及内部和外部系统接口,都将接受威胁和安全能力分析。某些安全条件和保证需求可能要求进行更广泛的调查,可能涉及第二级(及以上)供应商,以及每个软件材料清单的完整性证明。
如果 RAN 段采用开放的、分类的 RAN 解决方案,与传统的 RAN 解决方案相比,将有更多的一级供应商(及其组件硬件和 / 或软件产品) 涉及这个安全评估步骤。互操作性和渗透测试的水平可能会提高,识别和缓解潜在的开放 RAN 攻击向量的能力也会提高。
3.4.3 5G 核心网络
5G 核心网络是 5G 系统的核心。它通过可靠且安全的连接方式将终端用户与网络所提供的服务连接起来。5G 核心网提供的基本功能包括用户认证与授权、数据连接、移动管理、用户数据管理、策略管理及控制。根据运营商的网络切片实现,这种分段技术可能会减轻核心网络某些方面的评估结果。然而,由于网络切片是一项新技术,其威胁向量还没有完全被理解,因此还需进一步的测试。
如果共享频谱接入(例如 CBRS 频谱)被纳入专用 5G 网络,则需要采取额外的措施,确保商业运营商获得许可,并进行适当的流量管理,在网络的许可频谱部分实现高保证流量。在审查时可能需要额外的措施。
3.4.4 部署环境和运营责任的考虑
一个系统不仅仅是各部分的总和。在评估单个 5G 系统元素时亦是如此,还有一些额外的安全需求和考虑因素会影响端到端系统的整体保障。在确定安全需求时,了解所涉及技术的预期部署环境以及谁将拥有和操作相关系统也很重要。例如,部署环境的属性可能会引入额外的风险或缓解措施,从而严重影响网络的安全状况。如果在基站设备位于政府场所的情况下,实际访问可能仅限于获得授权的政府和承包商人员。如果特定地点或特定部署的属性被接受为系统安全能力,这些属性将被包括在评估范围内。
此外,由于子系统所有者和操作者遵守他们的操作和维护政策,系统安全评估必须确定是否有新的漏洞被引入。如果一个系统是为政府独家拥有和运营而建立的,那么该系统就需要适用于政府的网络安全要求。
3.5 第四步:将安全要求映射到联邦指南和行业规范中
联邦安全要求满足国际行业规范中列举的要求。第四步涉及创建联邦安全 A&A 指南目录,该目录与评估边界中包含的技术和第三步确定的隐含安全能力相一致。例如,RMF 适用于所有类别的安全能力,以及与 ICAM、供应链 风 险 管 理(Supply Chain Risk Management,SCRM)、数据安全、虚拟化 / 云 / 容器安全和网络安全保护相关的其他 NIST 和国防部网络安全指南。联邦系统可能需要具有以下可审核的安全能力:
(1)由《采办政策》《行政命令》《国防授权法案》以及《行政命令 13556》(受控非机密信息)定义的 SCRM;
(2)由 NIST SP 800-37、NIST SP 800-53A和国防部指令 8510.01 定义的 RMF;
(3)由 FIPS 199、FIPS 200 和 FIPS 140-2/3界定的联邦信息处理标准(Federal Information Processing Standards,FIPS);
(4)由美国国防信息系统局的安全技术实 施 指 南、 美 国 国 家 信 息 安 全 联 盟(National Information Assurance Partnership,NIAP)的通用标准和保护配置文件定义的组织特定政策和 / 或安全指南定义的系统强化;
(5)体系结构,如组织零信任参考架构和采用原则和 / 或 NIST SP 800-207 定义的结构;
(6)联邦或国防部、PKI 和 ICAM 政策界定的信任根基;
(7)联合国家安全局、CISA 出版物系列中阐述的 5G 基础设施安全指南;
(8)持续诊断和缓解程序,如由 DHS 或NIST SP 800-137 定义的程序。商业服务提供商可能被要求遵守《联邦采办条例》或《国防联邦采办条例补充》、NIST SP 800-171、国防部网络安全成熟度模型认证或FedRAMP 或国防部 FedRAMP+ 云服务。
3.6 第五步:评估安全指导方针的差距
第五步检查安全功能和可用的联邦安全指南之间的一致性,以指导 A&A 活动。如果需要安全能力来缓解已识别的威胁并降低联邦企业的风险,那么必须有一种方法来评估其实施的有效性。可采用机构特定政策或一般政府指导及政策,和 / 或成立独立评估机构进行评估。如果存在安全需求,而没有评估指导、政策或组织来验证其对政府运营的有效性,则会发现差距。当认为安全需求的存在是为了减轻威胁,但没有建立正式的需求时,也会出现缺口。
在缺乏美国政府评估计划或公认的政府标准的情况下,风险管理人员可能会确定替代评估制度,如行业认证、商业贸易团体创建的安全保证计划或其他最佳实践评估框架。然而,在尝试使用评估替代品之前,风险管理人员应仔细评估任何此类方法的适用性和全面性。例如,在检查启用 5G 的物联网设备安全时,发现缺乏 NIAP 通用标准保护配置文件指导安全实施或执行安全评估。经过合理评估后,机构将会发现现有的行业认证计划可以作为合适的评估替代方案。
通过初步分析,本研究发现了一些差距。此外,研究团队预计,3GPP、欧洲电信标准协会和 O-RAN 联盟将继续致力于开展项目研究和安全规范制定,并可能会发现其他威胁。
4.结语
5G 网络旨在提供比 4G 网络更好的安全性。然而,具有新功能和服务的 5G 网络极具复杂性,同时 5G 网络设备数量和类型预计将大幅增加,再加上 RAN 和 5G 核心的虚拟化和分解使用,扩大了威胁面,使得界定系统边界具有很大的挑战性。实施或计划实施 5G 系统的企业可能没有意识到纳入 5G 技术对系统风险评估 /ATO 过程的影响。此外,由于 5G的部署尚处于早期阶段,企业可能没有意识到5G 面临的潜在威胁,也没有准备好访问 5G 提供的安全功能。
为了确定在联邦系统中纳入 5G 技术可能对 ATO 过程产生的影响,研究团队制定了本文提出的五步 5G 安全评估流程,确定了 5G 系统网络评估的重要威胁框架、5G 系统安全考虑因素、行业安全规范、联邦安全指导文件以及相关组织和方法。通过调查,研究小组得出结论:NIST RMF 是技术中立的,不需要对 5G 进行修改。本文描述的 5G 安全评估流程是一种可重复的方法,联邦计划 / 项目管理者在为 5G 系统进行 NIST RMF 的准备步骤时可以使用,也可以应用于广泛的 5G 系统架构、部署场景 / 用例等其他操作环境。