這份指南并非新的安全要求或框架，而是立足現有標準框架等成果，為政府機構評估其5G系統(tǒng)安全水平是否符合生產要求，制定出一個五步走流程。

　　安全內參5月27日消息，對于希望在部門內部署5G無線通信項目的聯(lián)邦官員，這份最新發(fā)布的安全指南將幫助他們考量最重要的“運營授權”流程。

　　《5G安全評估》（5G Security Evaluation）指南由美國國土安全部（DHS）網絡安全與基礎設施安全局、國土安全部科技司、國防部（DoD）研究與工程司共同牽頭，指派研究小組負責具體制定。

　　文件指出，“重要的是，政府應采用靈活、自適應且可重復的方法對任何5G網絡部署的安全性和彈性做出評估。此外，具體評估可能需要在現行聯(lián)邦網絡安全政策、法規(guī)和最佳實踐之外更進一步，以解決已知攻擊向量、尚未發(fā)現的威脅和特定實施中存在的漏洞?！?/p>

　　整理評估方案的官員強調，這份指南并非新的安全要求或框架。相反，它只是為各級機關的5G系統(tǒng)評估工作，特別是評估其安全水平是否符合生產要求，制定出一個五步走流程。整個流程與美國國家標準、技術風險管理框架等現有評估機制掛鉤。

　　網絡與基礎設施安全局網絡質量服務管理辦公室主管Vincent Sritapan在采訪中表示，“我們經常面對各種各樣的應用場景：用于訓練的AR/VR，提供數據存儲與分析功能的智能湖倉等。但關鍵在于，必須找到一種通行的方式來看待問題并理解政策。我們并不是要重新構建評估機制，而是立足于現有成果，比如風險管理框架?！?/p>

　　各級機關都希望能在未來幾年內將5G系統(tǒng)部署落地，因此安全評估工作就成了通信升級的關鍵。作為聯(lián)邦首席信息安全委員會授權負責發(fā)現常見無線與移動問題、開發(fā)解決方案并分享最佳實踐的專項團隊，聯(lián)邦移動工作組（Federal Mobility Group）曾在2020年發(fā)表論文，確定了政府內60多項與5G技術相關的舉措，其中包括數十項研發(fā)計劃。

　　與其他新興技術一樣，在將5G引入生產環(huán)境之前，各團隊必須首先獲得運營授權（ATO）。此次發(fā)布的評估指南，就是以專項測試與傳統(tǒng)運營授權流程為基礎，面向5G技術提供評估調查指引。

　　Sritapan表示，“很多人單純關注功能本身。他們可能會想，「太棒了，我想在技術新鮮出爐后立馬用上?！沟诿屣L險之前，大家不宜輕舉妄動。換句話說，在把5G用例納入業(yè)務的同時，我們又增添了哪些風險？”

　　5G安全評估的五個階段

　　這個五步走評估流程的第一步是定義5G用例，包括5G系統(tǒng)、子系統(tǒng)及屬性等關鍵參數

　　美國國防部5G to NextG倡議的運營部分負責人Dan Massey在采訪中指出，這個流程將幫助各級機構考量5G系統(tǒng)的復雜性，包括最終用戶設備、無線接入網絡、5G核心網絡和邊緣計算系統(tǒng)等。

　　Massey還提到，“該流程將幫助大家確定系統(tǒng)組件的風險級別、系統(tǒng)邊界、已知指導方針等，避免從零開始自行摸索?！?/p>

　　第二步，定義安全評估的邊界?？紤]到5G技術極高的復雜性和相互關聯(lián)性，這一部分可能會極具挑戰(zhàn)。

　　Sritapan解釋道，“要使用專用網絡嗎？是否包含云系統(tǒng)？作為邊界的組成要素，應該選擇怎樣的端點和技術應用接口？”

　　第三步，要求對各個5G子系統(tǒng)開展“高級威脅分析”，并進一步確定安全要求，如是否采用身份、憑證和訪問管理控制或網絡安全控制等。

　　第四步，要求同聯(lián)邦指導方針和行業(yè)規(guī)范相匹配，包括與美國國家標準技術研究所網絡風險管理框架（NIST RMF）、聯(lián)邦信息流程標準及其他相關指南掛鉤。

　　第五步，評估安全指導方針中存在的差距。如果聯(lián)邦指導意見確實存在差距，文件要求項目主管應求助于“由商業(yè)或貿易團隊建立的行業(yè)認證、安全保障計劃，或者其他最佳實踐評估框架?！钡募瑫r強調，在采用這些方法之前，務必“認真”進行研究權衡。

　　Massey總結道，“我們不會引入全新的流程或指令。相反，我們認為現有方案已經夠多，最重要的是把新流程跟現有指導方針匹配起來。當然，在實施過程中難免會發(fā)現差距。但大多數情況下，只要我們能夠充分理解自身安全要求，就完全可以把新流程與原有指導意見聯(lián)系起來。這里我想呼吁那些打算部署5G系統(tǒng)的同仁，這絕不是什么龐大、可怕、前所未見的事物。只要按照這份流程有序推進，大家就會發(fā)現它跟以往的工作沒多大區(qū)別，基本原理也并不難理解?！?/p>