這份指南并非新的安全要求或框架，而是立足現(xiàn)有標(biāo)準(zhǔn)框架等成果，為政府機構(gòu)評估其5G系統(tǒng)安全水平是否符合生產(chǎn)要求，制定出一個五步走流程。

　　安全內(nèi)參5月27日消息，對于希望在部門內(nèi)部署5G無線通信項目的聯(lián)邦官員，這份最新發(fā)布的安全指南將幫助他們考量最重要的“運營授權(quán)”流程。

　　《5G安全評估》（5G Security Evaluation）指南由美國國土安全部（DHS）網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局、國土安全部科技司、國防部（DoD）研究與工程司共同牽頭，指派研究小組負(fù)責(zé)具體制定。

　　文件指出，“重要的是，政府應(yīng)采用靈活、自適應(yīng)且可重復(fù)的方法對任何5G網(wǎng)絡(luò)部署的安全性和彈性做出評估。此外，具體評估可能需要在現(xiàn)行聯(lián)邦網(wǎng)絡(luò)安全政策、法規(guī)和最佳實踐之外更進(jìn)一步，以解決已知攻擊向量、尚未發(fā)現(xiàn)的威脅和特定實施中存在的漏洞?！?/p>

　　整理評估方案的官員強調(diào)，這份指南并非新的安全要求或框架。相反，它只是為各級機關(guān)的5G系統(tǒng)評估工作，特別是評估其安全水平是否符合生產(chǎn)要求，制定出一個五步走流程。整個流程與美國國家標(biāo)準(zhǔn)、技術(shù)風(fēng)險管理框架等現(xiàn)有評估機制掛鉤。

　　網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局網(wǎng)絡(luò)質(zhì)量服務(wù)管理辦公室主管Vincent Sritapan在采訪中表示，“我們經(jīng)常面對各種各樣的應(yīng)用場景：用于訓(xùn)練的AR/VR，提供數(shù)據(jù)存儲與分析功能的智能湖倉等。但關(guān)鍵在于，必須找到一種通行的方式來看待問題并理解政策。我們并不是要重新構(gòu)建評估機制，而是立足于現(xiàn)有成果，比如風(fēng)險管理框架。”

　　各級機關(guān)都希望能在未來幾年內(nèi)將5G系統(tǒng)部署落地，因此安全評估工作就成了通信升級的關(guān)鍵。作為聯(lián)邦首席信息安全委員會授權(quán)負(fù)責(zé)發(fā)現(xiàn)常見無線與移動問題、開發(fā)解決方案并分享最佳實踐的專項團隊，聯(lián)邦移動工作組（Federal Mobility Group）曾在2020年發(fā)表論文，確定了政府內(nèi)60多項與5G技術(shù)相關(guān)的舉措，其中包括數(shù)十項研發(fā)計劃。

　　與其他新興技術(shù)一樣，在將5G引入生產(chǎn)環(huán)境之前，各團隊必須首先獲得運營授權(quán)（ATO）。此次發(fā)布的評估指南，就是以專項測試與傳統(tǒng)運營授權(quán)流程為基礎(chǔ)，面向5G技術(shù)提供評估調(diào)查指引。

　　Sritapan表示，“很多人單純關(guān)注功能本身。他們可能會想，「太棒了，我想在技術(shù)新鮮出爐后立馬用上?！沟诿屣L(fēng)險之前，大家不宜輕舉妄動。換句話說，在把5G用例納入業(yè)務(wù)的同時，我們又增添了哪些風(fēng)險？”

　　5G安全評估的五個階段

　　這個五步走評估流程的第一步是定義5G用例，包括5G系統(tǒng)、子系統(tǒng)及屬性等關(guān)鍵參數(shù)

　　美國國防部5G to NextG倡議的運營部分負(fù)責(zé)人Dan Massey在采訪中指出，這個流程將幫助各級機構(gòu)考量5G系統(tǒng)的復(fù)雜性，包括最終用戶設(shè)備、無線接入網(wǎng)絡(luò)、5G核心網(wǎng)絡(luò)和邊緣計算系統(tǒng)等。

　　Massey還提到，“該流程將幫助大家確定系統(tǒng)組件的風(fēng)險級別、系統(tǒng)邊界、已知指導(dǎo)方針等，避免從零開始自行摸索。”

　　第二步，定義安全評估的邊界。考慮到5G技術(shù)極高的復(fù)雜性和相互關(guān)聯(lián)性，這一部分可能會極具挑戰(zhàn)。

　　Sritapan解釋道，“要使用專用網(wǎng)絡(luò)嗎？是否包含云系統(tǒng)？作為邊界的組成要素，應(yīng)該選擇怎樣的端點和技術(shù)應(yīng)用接口？”

　　第三步，要求對各個5G子系統(tǒng)開展“高級威脅分析”，并進(jìn)一步確定安全要求，如是否采用身份、憑證和訪問管理控制或網(wǎng)絡(luò)安全控制等。

　　第四步，要求同聯(lián)邦指導(dǎo)方針和行業(yè)規(guī)范相匹配，包括與美國國家標(biāo)準(zhǔn)技術(shù)研究所網(wǎng)絡(luò)風(fēng)險管理框架（NIST RMF）、聯(lián)邦信息流程標(biāo)準(zhǔn)及其他相關(guān)指南掛鉤。

　　第五步，評估安全指導(dǎo)方針中存在的差距。如果聯(lián)邦指導(dǎo)意見確實存在差距，文件要求項目主管應(yīng)求助于“由商業(yè)或貿(mào)易團隊建立的行業(yè)認(rèn)證、安全保障計劃，或者其他最佳實踐評估框架?！钡募瑫r強調(diào)，在采用這些方法之前，務(wù)必“認(rèn)真”進(jìn)行研究權(quán)衡。

　　Massey總結(jié)道，“我們不會引入全新的流程或指令。相反，我們認(rèn)為現(xiàn)有方案已經(jīng)夠多，最重要的是把新流程跟現(xiàn)有指導(dǎo)方針匹配起來。當(dāng)然，在實施過程中難免會發(fā)現(xiàn)差距。但大多數(shù)情況下，只要我們能夠充分理解自身安全要求，就完全可以把新流程與原有指導(dǎo)意見聯(lián)系起來。這里我想呼吁那些打算部署5G系統(tǒng)的同仁，這絕不是什么龐大、可怕、前所未見的事物。只要按照這份流程有序推進(jìn)，大家就會發(fā)現(xiàn)它跟以往的工作沒多大區(qū)別，基本原理也并不難理解?！?/p>