美国NIST与CISA合作建立5G安全评估程序五步骤

CISA与OUSD R&E合作建立美国联邦机关之5G安全评估程序
美国联邦政府于今年五月间推出「五步骤5G安全评估程序调查」(5G Security Evaluation Process Investigation)，以解决针对5G的新特性与服务而兴起的现有安全评估指引与标准的不足之处，美国联邦政府的「网络安全与基础设施安全署」(Cybersecurity and Infrastructure Security Agency, CISA)与「国防部研究工程防卫部长」(OUSD R&E)合作，共同开发了此一评估程序。

CISA?、NIST?、MITRE Corporation合作发掘技术评估之安全与韧性落差
此一共同评估程序的目的在于提供单一的、弹性的途径，供联邦机关运用以进行评估、理解及处理他们的技术评估(technology assessment)标准与政策中的安全与韧性评估落差。CISA视此一联邦机关「风险管理架构准备」(RMF Prepare)步骤中可使用的反覆程序为联邦机关针对新的5G执行的重要工具。

此一程序将确保政府事业系统受到保护，并使网路罪犯无法通过5G技术经由后门进入机关网络。评估程序的目标是让联邦政府更加了解5G网络部署的安全与韧性，更具体地说，联邦机关试图在联邦局处进行安全评估与取得营运授权(authorization to operate, ATO)之前，成为先行者。

CISA、NIST与MITRE Corporation共同组成研究小组，以调查5G将为现行安全评估程序与架构所定义的传统ATO程序，带来什么样的挑战，例如：对于NIST的风险管理架构(Risk Management Framework, RMF)所形成的挑战。

五步骤之5G安全评估调查程序
此一跨机构小组所提出的5G调查程序，包括下列五个步骤：

• 界定联邦5G使用个案：寻求使用个案定义以识别系统营运所涉及的5G次系统、组成设定(component configurations)、应用与介面。使用个案实例被提升了移动宽频、超可靠、低延迟通讯、大规模机器型态通讯。
• 识别评估边界：有鉴于5G技术的复杂性使得联邦ATO程序难以界定安全评估界线，因而，此一步骤对5G安全评估而言极为重要。此一步骤涵盖了界定边界以识别必须要进行评估与授权(assessment and authorization, A&A)的技术与系统，并考量使用构成个案的商品与服务之所有权(ownership)与部署。
• 识别安全要件：识别安全要件是多阶段步骤，包括：针对每个5G次系统执行高阶威胁分析，并识别A&A活动将要处理的网络安全要件。此一步骤试图识别缓解式网络安全能力，如：A&A活动需要处理的身分、认证(credential)、存取管理、网络安全(network security)、沟通与介面安全。
• 于联邦指引中擘划安全要件：此一步骤寻求建立联邦指引的新目录，此一指引涵盖RMF、NIST的网络安全架构、供应链风险管理、联邦风险与授权管理方案(FedRAMP)，以及与安全能力与适用产业规格相关的其他NIST与联邦网络安全指引。
• 评估安全指引落差与替代方案：第五个步骤必须识别在哪里的安全要件存在，但缺乏评估指引以引导A&A活动。此外，当我们相信安全要件存在可缓解威胁，但事实上正式要件却未被建立时，也会存在落差。

CISA的5G安全评估程序遵循NIST的5G Cybersecurity指引
CISA与NIST的5G实务指引融洽地相互协调，CISA的5G安全评估程序遵循NIST的国家网络安全National Cybersecurity Center of Excellence (NCCoE)。

CISA的5G安全评估程序遵循了NIST的国家网络安全卓越中心(NCCoE)所出版的实务指引草案：5G Cybersecurity，NCCoE指出其所提出的解决方案包含组织可用以经由搭配5G安全特性与第三方安全管控的多种途径，更佳地确保5G网络安全。

NIST与产业界伙伴合作检视各种安全评估途径
NIST经由与范围广泛的各种产业伙伴在研究联盟(consortium)中合作，此一联盟成员包括：AT&T, Intel, Nokia, T-Mobile, and Palo Alto Network等主要电信与安全厂商。

如同CISA的评估程序调查一样，NCCoE初版强调5G技术新式、演进特性所固有的挑战，5G正位于、技术同时地被标准机关指定、被设备厂商所执行网络营运商所部署、被消费者所采用的转型点上。

从NIST的观点来看，现实的挑战在于5G标准虽然处理5G组成间的可交互操作介面，但它们并不处理其支持及营运5G系统的基础的信息技术组成，这使得组织难以以其安全途径地有信心地运用5G。因此NCCoE与5G与网络安全技术供应商合作，以开发采用可信任与安全的云原生(cloud-native)代管基础环境之范例解决方案。

此计划的第一阶段也将显示5G安全特性如何解决先前一代的移动通讯标准LTE等已知的安全挑战，聚焦于4G独立部署。NCCoE计划聚焦于针对两个焦点领域的典型安全5G独立部署:

• 基础环境安全焦点领域：这提供完整式5G网络之可信赖平台及整体式安全参考架构。
• 5G独立式安全焦点领域：此领域可促成以展现5G SA部署之现有网络安全能力的方式，进行5G Core的安全特性的基础式设定。

此计划的未来阶段将包括扩大聚焦于5G特定使用个案之安全，这些焦点领域的可能实力为网络切片(network slicing)安全、漫游安全及5G边缘计算，CISA和NIST正邀请各界针对提案给予意见。

版权声明：除特殊说明外，本站所有文章均为 字节点击 原创内容，采用 BY-NC-SA 知识共享协议。原文链接：https://byteclicks.com/38929.html 转载时请以链接形式标明本文地址。转载本站内容不得用于任何商业目的。本站转载内容版权归原作者所有，文章内容仅代表作者独立观点，不代表字节点击立场。报道中出现的商标、图像版权及专利和其他版权所有的信息属于其合法持有人，只供传递信息之用，非商务用途。如有侵权，请联系 gavin@byteclicks.com。我们将协调给予处理。

赞