1.2.2 5G相關標準

3GPP SA3（隱私與安全組）自2016年開始啟動5G安全的設計工作，于2017年正式開展5G安全架構、需求和解決方案的研究，已于2019年3月正式完成Rel-15標準中關于安全的主要安全框架、需求和機制的制定工作，并于2020年7月發(fā)布Rel-16標準。

ITU-T基于ITU-T X.805的 5G 通信系統安全導則，主要研究3GPP和非3GPP網絡架構下，結合多接入邊緣計算、網絡虛擬化、網絡切片等特點的 5G 通信系統的安全威脅和安全能力。

ISO于2013年至2016年發(fā)布了ISO/IEC 27036供應商關系信息安全系列標準，提出了關于供應商關系管理的信息安全要求和指南；于2018年啟動ISO/IEC 27033-7網絡虛擬化安全研究，針對網絡虛擬化的特點、用例和安全風險，為 5G 等網絡設施建設運維提供參考。5G安全國際標準與 5G 發(fā)展相關標準基本保持同步。5G安全國際標準化工作主要在 3GPP （第三代合作伙伴）、GSMA（全球移動通信系統協會）、ITU-T（國際電信聯盟電信標準分局）、ISO（國際標準化組織）、歐洲電信標準化協會（European Telecommunications Standards Institute，ETSI）等國際組織中開展。ITU 主要定義 5G 愿景和關鍵能力，3GPP、ETSI 等重點制定5G安全架構和流程、5G安全技術方案，GSMA 聚焦產業(yè)需求和實現，目標是推動產業(yè)發(fā)展。另外，還有一些國家或區(qū)域性組織，如中國通信標準化協會（China Communications Standards Association，CCSA）、日本的無線工業(yè)及商貿聯合會（Association of Radio Industries and Businesses，ARIB）、韓國的電信技術協會（Telecommunications Technology Association，TTA）等，都在積極推動國家與區(qū)域性5G安全標準發(fā)展，搶占新技術戰(zhàn)略制高點。

1.3GPP標準

3GPP分階段制定5G安全標準。其中，Rel-15版本規(guī)定5G安全基本機制與功能，于2018年6月完成了 eMBB 場景的相關安全標準；由于受到Rel-15 版本凍結時間推遲及疫情影響，Rel-16版本的完成時間比原計劃推遲了6個月，于2020年7月正式凍結。Rel-16版本是歷史上第一個通過線上會議審議完成的技術標準，它基于 Rel-15 安全基礎架構，提升原有能力并拓展新能力，面向 mMTC 和uRLLC 場景進行安全優(yōu)化，覆蓋了三大場景的安全技術要求，包括切片安全、固移融合、垂直行業(yè)＆局域網（Local Access Network，LAN）安全、5G 物聯網（Internet of Thing，IoT）安全、安全能力服務開放等，并提供5G網絡設備的安全保障能力，為我國 5G 新基建注入了新動能。Rel-17階段圍繞多接入邊緣計算（Multi-access Edge Computing，MEC）平臺安全解決方案、5G 垂直行業(yè)安全、5G 統一安全認證標準演進開展研究工作。

2.GSMA標準

為了協助運營商確定網絡設備的安全水平，降低商業(yè)風險，GSMA 聯合 3GPP 共同制定了網絡設備安全保障計劃（Network Equipment Security Assurance Scheme，NESAS）。該計劃包含產品管理流程安全審計和產品安全檢測兩部分內容。

GSMA 管理整個 NESAS，定義并維護 NESAS 規(guī)范，側重評估活動的管理和程序要求，包括供應商開發(fā)和產品生命周期過程的認證、測試實驗室認證，以及網絡設備的安全評估。另外還定義了爭議解決流程，于2019年10月發(fā)布了1.0版本，NESAS 2.0將對1.0版本進行補充完善，并在第三方組件漏洞管理、漏洞修復、供應鏈安全審計需求等方面開展研究。

產品管理流程安全審計部分涉及的標準有：《網絡設備安全保障計劃（NESAS）總體概述》（GSMA FS.13）、《安全測試實驗室認證需求及流程》（GSMA FS.14）、《設備商開發(fā)及產品生命周期審計方法》（GSMA FS.15）、《設備商開發(fā)及產品生命周期安全需求》（GSMA FS.16）等。

3GPP 在安全保障規(guī)范（Security Assurance Specification，SCAS）中規(guī)定了實現移動網絡功能的網絡產品的安全要求和測試用例，該系列標準已于2019年9月完成。SCAS系列標準中的測試內容主要包括安全技術基線要求、操作系統安全、萬維網（World Wide Web）服務安全、網絡設備安全、基本脆弱性。

3.ITU

國際電信聯盟是聯合國的一個重要專門機構，也是聯合國機構中歷史最長的一個國際組織，簡稱“國際電聯”、“電聯”或“ITU”。ITU 的組織結構主要分為電信標準分局（ITU-T）、無線電通信部門（ITU-R）和電信發(fā)展部門（ITU-D）。ITU-T SG17 研究組（數據網絡和電信軟件研究組）聚焦安全、網絡、通信軟件相關研究。在5G安全方面，該研究組重點研究 5G 通信系統安全指南，提供有關信息安全治理的概念和原則；研究電信運營商數據生命周期的各個階段面臨的安全威脅及風險，并提出相應的安全技術要求；此外還涉及 5G MEC安全、信任模型和量子算法等方向。

4.ETSI

ETSI由其安全技術委員會負責網絡安全領域相關工作，包括研究網絡安全需求、制定網絡安全標準、與外部團體如歐盟網絡安全局（ENISA）協作，以及響應網絡安全和信息與通信技術部門安全相關的政策要求等。

目前，ETSI 已發(fā)布了一系列網絡功能虛擬化（Network Functions Virtualization，NFV）安全相關標準，涵蓋 NFV 存在的安全問題、NFV 相關開源管理軟件安全使用建議、敏感數據的保護機制和建議等。此外，ETSI還研究VNF套件、NFV系統的自動動態(tài)安全策略管理、安全功能生命周期管理以及安全監(jiān)測功能等的安全需求。

5.ISO

安全方面，ISO 主要提出了針對加密算法、設備和服務之間的連接安全建議，開展網絡虛擬化安全的風險分析，提供網絡虛擬化安全的框架并提出實施指南以及供應鏈安全管理體系規(guī)范等。

在我國，全國信息安全標準化技術委員會（TC260）針對5G安全專門立項研究項目《5G安全標準體系》，并持續(xù)推動網絡關鍵新技術、垂直應用相關重點標準的立項。全國通信標準化技術委員會（TC485）也積極開展 5G 通信網絡安全標準化工作，2019年12月24日，經工業(yè)和信息化部批準正式發(fā)布并實施《5G 移動通信網 通信安全技術要求》《5G 移動通信網 核心網總體技術要求》等行業(yè)標準。

在國內行業(yè)標準上，5G安全國內通信行業(yè)標準推進主要由中國通信標準化協會下設的 TC5/WG5（無線通信技術工作委員會/無線安全與加密工作組）組織開展，通信行業(yè)標準約 10 余項，主要涉及 5G 移動通信網、網絡功能虛擬化、5G網絡及設備安全保障要求等，已發(fā)布的5G安全要求以網元安全規(guī)范為主。5G安全相關國內標準組織主要有中國通信標準化協會（CCSA）、全國通信標準化技術委員會（TC485）、全國信息安全標準化技術委員會（TC260）等。

CCSA TC5/WG5、TC8（網絡與信息安全委員會）以及 NTC4（電信網安全防護特設組）研究制定5G安全相關研究報告和行業(yè)標準。全國通信標準化技術委員會（TC485）和全國信息安全標準化技術委員會（TC260）研究制定5G安全相關國家標準。

2019年11月，IMT-2020（5G）推進組成立了安全工作組，重點推進5G安全技術研究與標準化相關工作，組織開展 5G 設備、網絡及應用安全測試驗證，促進5G安全標準與產品成熟。推進組規(guī)范經測試驗證成熟后，將成果輸入 TC260、TC485 和 CCSA 等組織，從而形成國家或行業(yè)標準。

2020年5月，安全工作組發(fā)布了 5G 設備安全系列測試規(guī)范：《5G安全試驗設備安全保障測試規(guī)范-通用部分》《5G安全試驗設備安全保障測試規(guī)范-核心網設備》及《5G安全試驗設備安全保障測試規(guī)范-基站》。依據該系列測試規(guī)范，中國信息通信研究院牽頭，組織運營商、設備商共同開展 5G 設備安全性測試。

安全工作組后續(xù)研究方向包括5G安全評測體系、5G行業(yè)應用安全分級指南、5G 組網安全、切片安全、MEC安全、業(yè)務安全及偽基站檢測與防御等。

各主要標準組織5G安全重點成果見表1-1。

除以上標準外，我國也積極啟動了5G安全相關認證和評測標準及相關工作的研究和推進。

（1）NESAS評估認證。

GSMA 為了促進產業(yè)相關方對網絡設備的安全性達成共識，確保網絡設備制造與運營安全良性發(fā)展，牽頭制定了網絡設備安全保障計劃（NESAS），推動開展 NESAS 評估認證工作。

NESAS評估認證相關工作推進情況：標準方面，NESAS管理規(guī)范及3GPP SCAS標準已啟動產業(yè)實施，標準新版本持續(xù)演進；落地實施方面，在歐洲獲得產業(yè)支持，但目前審計機構及檢測實驗室數量較少，審計機構有ATSEC、NCC Group，檢測實驗室有西班牙的Epoche等，國際認可度有待提高。

（2）我國5G安全評測。

我國設備及網絡安全檢測與審查相關工作主要分以下幾大類：設備進網檢測、網絡關鍵設備安全檢測、關鍵信息基礎設施安全保護、網絡安全等級保護、網絡安全審查等。

依據的相關文件有《電信設備進網管理辦法》《網絡關鍵設備安全檢測實施辦法》《關于關鍵信息基礎設施安全保護工作有關事項的通知》《網絡安全等級保護條例》《網絡安全審查辦法》等。

目前，我國正在研究制定5G安全評測相關制度政策、實施辦法、技術標準等，積極推進相關工作進展，以確保5G安全與 5G 發(fā)展同步推進。

5G安全評測相關工作推進情況：2020年5月，IMT-2020（5G）推進組安全工作組正式啟動了 5G 設備安全測試工作，為后續(xù) 5G 設備安全相關評測工作奠定基礎。5G網絡安全、業(yè)務安全等相關標準和評估測試工作也在加快推進過程中。