這份指南并非新的安全要求或框架，而是立足現(xiàn)有標(biāo)準(zhǔn)框架等成果，為政府機(jī)構(gòu)評(píng)估其5G系統(tǒng)安全水平是否符合生產(chǎn)要求，制定出一個(gè)五步走流程。

　　安全內(nèi)參5月27日消息，對(duì)于希望在部門內(nèi)部署5G無線通信項(xiàng)目的聯(lián)邦官員，這份最新發(fā)布的安全指南將幫助他們考量最重要的“運(yùn)營(yíng)授權(quán)”流程。

　　《5G安全評(píng)估》（5G Security Evaluation）指南由美國(guó)國(guó)土安全部（DHS）網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局、國(guó)土安全部科技司、國(guó)防部（DoD）研究與工程司共同牽頭，指派研究小組負(fù)責(zé)具體制定。

　　文件指出，“重要的是，政府應(yīng)采用靈活、自適應(yīng)且可重復(fù)的方法對(duì)任何5G網(wǎng)絡(luò)部署的安全性和彈性做出評(píng)估。此外，具體評(píng)估可能需要在現(xiàn)行聯(lián)邦網(wǎng)絡(luò)安全政策、法規(guī)和最佳實(shí)踐之外更進(jìn)一步，以解決已知攻擊向量、尚未發(fā)現(xiàn)的威脅和特定實(shí)施中存在的漏洞。”

　　整理評(píng)估方案的官員強(qiáng)調(diào)，這份指南并非新的安全要求或框架。相反，它只是為各級(jí)機(jī)關(guān)的5G系統(tǒng)評(píng)估工作，特別是評(píng)估其安全水平是否符合生產(chǎn)要求，制定出一個(gè)五步走流程。整個(gè)流程與美國(guó)國(guó)家標(biāo)準(zhǔn)、技術(shù)風(fēng)險(xiǎn)管理框架等現(xiàn)有評(píng)估機(jī)制掛鉤。

　　網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局網(wǎng)絡(luò)質(zhì)量服務(wù)管理辦公室主管Vincent Sritapan在采訪中表示，“我們經(jīng)常面對(duì)各種各樣的應(yīng)用場(chǎng)景：用于訓(xùn)練的AR/VR，提供數(shù)據(jù)存儲(chǔ)與分析功能的智能湖倉(cāng)等。但關(guān)鍵在于，必須找到一種通行的方式來看待問題并理解政策。我們并不是要重新構(gòu)建評(píng)估機(jī)制，而是立足于現(xiàn)有成果，比如風(fēng)險(xiǎn)管理框架。”

　　各級(jí)機(jī)關(guān)都希望能在未來幾年內(nèi)將5G系統(tǒng)部署落地，因此安全評(píng)估工作就成了通信升級(jí)的關(guān)鍵。作為聯(lián)邦首席信息安全委員會(huì)授權(quán)負(fù)責(zé)發(fā)現(xiàn)常見無線與移動(dòng)問題、開發(fā)解決方案并分享最佳實(shí)踐的專項(xiàng)團(tuán)隊(duì)，聯(lián)邦移動(dòng)工作組（Federal Mobility Group）曾在2020年發(fā)表論文，確定了政府內(nèi)60多項(xiàng)與5G技術(shù)相關(guān)的舉措，其中包括數(shù)十項(xiàng)研發(fā)計(jì)劃。

　　與其他新興技術(shù)一樣，在將5G引入生產(chǎn)環(huán)境之前，各團(tuán)隊(duì)必須首先獲得運(yùn)營(yíng)授權(quán)（ATO）。此次發(fā)布的評(píng)估指南，就是以專項(xiàng)測(cè)試與傳統(tǒng)運(yùn)營(yíng)授權(quán)流程為基礎(chǔ)，面向5G技術(shù)提供評(píng)估調(diào)查指引。

　　Sritapan表示，“很多人單純關(guān)注功能本身。他們可能會(huì)想，「太棒了，我想在技術(shù)新鮮出爐后立馬用上。」但在摸清風(fēng)險(xiǎn)之前，大家不宜輕舉妄動(dòng)。換句話說，在把5G用例納入業(yè)務(wù)的同時(shí)，我們又增添了哪些風(fēng)險(xiǎn)？”

　　5G安全評(píng)估的五個(gè)階段

　　這個(gè)五步走評(píng)估流程的第一步是定義5G用例，包括5G系統(tǒng)、子系統(tǒng)及屬性等關(guān)鍵參數(shù)

　　美國(guó)國(guó)防部5G to NextG倡議的運(yùn)營(yíng)部分負(fù)責(zé)人Dan Massey在采訪中指出，這個(gè)流程將幫助各級(jí)機(jī)構(gòu)考量5G系統(tǒng)的復(fù)雜性，包括最終用戶設(shè)備、無線接入網(wǎng)絡(luò)、5G核心網(wǎng)絡(luò)和邊緣計(jì)算系統(tǒng)等。

　　Massey還提到，“該流程將幫助大家確定系統(tǒng)組件的風(fēng)險(xiǎn)級(jí)別、系統(tǒng)邊界、已知指導(dǎo)方針等，避免從零開始自行摸索。”

　　第二步，定義安全評(píng)估的邊界。考慮到5G技術(shù)極高的復(fù)雜性和相互關(guān)聯(lián)性，這一部分可能會(huì)極具挑戰(zhàn)。

　　Sritapan解釋道，“要使用專用網(wǎng)絡(luò)嗎？是否包含云系統(tǒng)？作為邊界的組成要素，應(yīng)該選擇怎樣的端點(diǎn)和技術(shù)應(yīng)用接口？”

　　第三步，要求對(duì)各個(gè)5G子系統(tǒng)開展“高級(jí)威脅分析”，并進(jìn)一步確定安全要求，如是否采用身份、憑證和訪問管理控制或網(wǎng)絡(luò)安全控制等。

　　第四步，要求同聯(lián)邦指導(dǎo)方針和行業(yè)規(guī)范相匹配，包括與美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所網(wǎng)絡(luò)風(fēng)險(xiǎn)管理框架（NIST RMF）、聯(lián)邦信息流程標(biāo)準(zhǔn)及其他相關(guān)指南掛鉤。

　　第五步，評(píng)估安全指導(dǎo)方針中存在的差距。如果聯(lián)邦指導(dǎo)意見確實(shí)存在差距，文件要求項(xiàng)目主管應(yīng)求助于“由商業(yè)或貿(mào)易團(tuán)隊(duì)建立的行業(yè)認(rèn)證、安全保障計(jì)劃，或者其他最佳實(shí)踐評(píng)估框架。”但文件同時(shí)強(qiáng)調(diào)，在采用這些方法之前，務(wù)必“認(rèn)真”進(jìn)行研究權(quán)衡。

　　Massey總結(jié)道，“我們不會(huì)引入全新的流程或指令。相反，我們認(rèn)為現(xiàn)有方案已經(jīng)夠多，最重要的是把新流程跟現(xiàn)有指導(dǎo)方針匹配起來。當(dāng)然，在實(shí)施過程中難免會(huì)發(fā)現(xiàn)差距。但大多數(shù)情況下，只要我們能夠充分理解自身安全要求，就完全可以把新流程與原有指導(dǎo)意見聯(lián)系起來。這里我想呼吁那些打算部署5G系統(tǒng)的同仁，這絕不是什么龐大、可怕、前所未見的事物。只要按照這份流程有序推進(jìn)，大家就會(huì)發(fā)現(xiàn)它跟以往的工作沒多大區(qū)別，基本原理也并不難理解。”