全球5G安全評估認證體系演進及現狀

焦 楊 韓文婷

(中國信息通信研究院 北京 100191)

(jiaoyang@caict.ac.cn)

5G網絡作為全面構筑經濟社會數字化轉型的關鍵基礎設施，將與經濟社會各領域深度融合，刺激和釋放新動能.隨著世界主要國家紛紛搶占5G網絡發展制高點、將5G作為謀求競爭新優勢的戰略方向，5G安全問題也受到了前所未有的關注.一方面，5G網絡引入了網絡功能虛擬化、網絡切片、邊緣計算、服務化架構、網絡能力開放等新技術，打破了傳統電信網絡的封閉性，對數據保護、安全防護和運營部署等方面均提出了更高要求.另一方面，5G應用領域從移動互聯網拓展到物聯網，安全問題將波及到工業、交通、醫療和能源等關系國家命脈的重要行業領域，5G網絡安全的重要性超過以往任何一代網絡.建立基于統一標準的5G安全國際評測認證體系，對5G安全風險進行客觀評估和應對成為信息通信領域各利益相關方的共同訴求.

在此之前，國際上在計算機安全領域獲得廣泛認可的是基于CC的安全評估認證體系，主要用于對信息技術產品安全性進行評估認證.2019年，GSMA(全球移動通信系統協會)與3GPP(第三代移動通信伙伴)兩大重量級行業組織合作，召集全球主要運營商、供應商、行業伙伴和監管機構共同制定了5G與LTE安全保障規范，專門制定了適合通信領域的網絡設備安全保障框架.目前，基于NESAS的5G安全評估體系已逐漸成熟.

本文將深入分析CC評估認證體系和NESAS測試評估體系的內在關聯與區別，研究全球5G安全評估認證體系現狀及演進歷程，梳理歐盟開展5G安全統一認證計劃的工作思路，結合我國實際情況提出下一步建議.

1 方法論的演進

1.1 基于CC的評估認證體系

CC是國際上計算機領域公認的信息安全認證標準，最初由美國、英國和加拿大等西方國家制定并維護，后被國際標準組織ISO/IEC采納升級為國際標準ISO/IEC 15408[1]，現已成為國際公認的信息技術產品安全性評價規范.CC標準體系的主要思想和框架取自于歐洲的ITSEC(Information Technology Security Evaluation Criteria)和美國的FC(Federal Criteria)等信息安全準則，提出了安全測評的通用模型和技術框架，可靈活地應用于多種類型的信息技術產品的研發、生產、測試和評估.

1.1.1 基于CC的評估框架

CC沒有針對特定類型產品提出具體的要求，而是通過提供一套覆蓋信息技術產品各類安全功能要求和安全保障要求的通用組件及標準化描述，構建了一個抽象程度較高、可用于對各類計算機相關產品或信息技術產品的安全功能進行評估的通用框架和方法論，具有很強的擴展性和普適性.

CC的主要思想和框架充分突出了評估對象(target of evaluation, TOE)、安全目標(security target, ST)、保護輪廓(protection profile, PP)和信息技術安全評估通用方法(common methodology for information technology security evaluation, CEM)4個核心概念，是基于CC開展認證評估的基礎.

1) 評估目標TOE

CC抽象層次較高，制定過程中為了盡可能地覆蓋更廣的IT產品范圍，提出了TOE的概念，以明確被評估的對象.TOE是指一組包含配置說明的軟、硬件集合，在特定情況下可以是某一個IT產品、某一個IT產品的某一部分或某一組IT產品的集合等，如軟件應用、操作系統、集成系統等.

2) 安全目標ST

一般由開發者針對某個特定的TOE進行制定，包含安全問題定義、安全目的以及安全要求3個部分.其中，安全問題定義需要基于預期的TOE部署環境，從TOE涉及的資產出發，梳理分析TOE可能受到的安全威脅、組織安全策略；安全目的則是針對提出的每一個安全問題，通過一種簡單抽象的方式描述相應的安全措施和解決方案，以確保所有安全威脅都可以被應對、每一個組織安全策略都可以被有效實施、每一個安全假設都可以被滿足；安全要求則是基于CC提供的安全功能組件和安全保障組件對安全目的進行細化和標準化描述，其中，安全功能要求(security function requirement, SFR)是對安全目的的轉化，一個SFR代表著一種當前安全產業界應用最廣泛的技術或方法的規范描述，至少可支撐一個安全目的；安全保障要求(security assurance requirement, SAR)則是從開發、設計、生命周期支持、安全功能測試、脆弱性發現等角度出發，提供了對產品宣稱的安全性進行評估驗證的方法，從而可為產品安全性提供保證，增強其信任度[2].

3) 保護輪廓PP

PP也包含安全問題定義、安全目的以及安全要求3個部分，編制過程與ST類似.但與ST的不同在于ST只針對某一個特定的TOE，而PP是針對某一類TOE提出的其應該滿足的最核心的SFR和SAR.

PP一般由監管機構、認證機構、第三方測試機構、產品開發者、產品使用者共同編寫，可用于對某一類產品的安全問題、安全目的及安全要求進行標準化規定.開發者可基于PP提供的通用模板，結合產品的具體實現方式對PP進行細化，從而制定針對某個特定TOE的ST[3].

CC的安全保障組件為證實PP的完備性、一致性和技術合理性提供了一項評估準則APE(保護輪廓評估)，可用于對PP進行評估.基于已評估的PP制定PP/ST的好處在于可大大減少出現錯誤、不確定性或缺陷的風險，實現對PP評估結果的復用性，大大提高工作效率.

4) 信息技術安全評估通用方法CEM

CEM作為CC的配套標準，對評估行為和測試活動進行標準化描述，可將CC中的安全保障要求進一步細化為最小的評估行為集合，將安全性評估方法細化為具體的評估任務.支撐構建針對TOE安全性進行評估的方法，為實際工作的實施提供了指導，提升了評估規范性，為實現評測結果的一致性、可重現性和互認奠定了基礎[4].

5) 基于CC的評估框架

如圖1所示，PP為某一類TOE描述安全要求，ST為某一特定的TOE描述安全要求，ST和PP之間存在著多對多的映射關系，即相同的PP可以作為模板被實例化為不同的ST，一個ST可以基于多個PP并結合特定需求進行編制.針對特定TOE安全性進行評估時需要先編制ST，再基于CEM制定具體的評估方法.

圖1 基于CC的評估框架

1.1.2 基于CC的認證機制

基于CC的評估認證建立了CCRA(CC互認協定)，明確規定CC證書只能由證書授權機構頒發，可在成員國中實現互認.目前加入CC體系互認的國家共計31個，其中，只有17個國家具備CC證書頒發資格、設有滿足CCRA要求的評估能力和授權的評估實驗室，可進行證書的頒發并接受互認；另外的14個國家只能接受和認可來自上述國家頒發的認證結果.基于CC的認證機制主要分為準備、測試評估和認證3個階段，參與方來自產品開發者、測試評估者以及認證者三方，如圖2所示:

圖2 基于CC的認證機制

1) 準備階段

開發者需要針對特定產品的實現情況編制安全目標ST文件，基于CC標準明確闡述評估目標TOE所面臨的安全問題、需要達到的安全目標以及采取了何種安全功能和安全保障進行防護，并提供開發測試、配置管理、操作指南等涉及產品全生命周期管理控制的文檔作為評估證據.

2) 測試評估階段

來自授權實驗室的測試評估者根據CEM和開發者提供的ST及相關文檔制定具體的評估方法和任務，指導TOE安全性評估工作的具體實施，驗證TOE安全功能在設計和實現過程中的充分性和正確性，編寫符合CEM要求的評估報告、評估過程文檔及評估證據.整個過程主要包括安全目標評估活動(ASE)、開發評估活動(ADV)、指導性文檔評估活動(AGD)、生命周期支持評估活動(ALC)、測試評估活動(ATE)、脆弱性評估活動(AVA)和組合評估活動(ACO)[5].

3) 認證階段

認證機構對測試評估過程進行監督，并在評估結束后審核評估者提供的評估報告及相關文檔，編寫認證報告并頒發CC證書.

1.1.3 評價及分析

CC作為信息技術產品安全性評估的通用標準，提出了一個優秀的安全性評估模型和方法，對于產品開發及生命周期管理的安全構建提供了保障，極具指導意義.但由于CC抽象層次高，覆蓋范圍廣, 對某些組件的定義缺乏詳細的描述，沒有明確建議和指定威脅建模和測試方法的具體細節，容易導致開發者、評估者以及認證者對于組件的理解、選取及細化方式出現分歧，增加了評估結果的主觀性和不一致性，從而使得評估結果互認程度降低.

1.2 基于NESAS的測試評估體系

NESAS[6-9]是由GSMA與3GPP共同定義的安全保障框架，旨在聯合主要運營商、供應商、行業伙伴和監管機構一起制定凝聚業界共識的安全規范和評估機制，滿足通信領域利益相關方在5G時代對安全評估的訴求，針對網絡設備產品提供統一的網絡安全可衡量、可對比、可操作的通用基準，避免由于安全需求差異和測試方法差異導致的碎片化評估，為設備廠商和運營商提供安全保證，化解大眾對移動通信網絡安全性的擔憂，保障5G網絡安全可靠和高質量發展.

NESAS主要包括審計評估和測試評估2個部分.安全審計及評估機制相關規范由NESAS負責編制，測試評估標準則是引用了3GPP制定的SCAS系列規范.

1.2.1 基于3GPP SCAS的評估框架

3GPP TR 33.805[10]討論了CC對網絡設備產品的適用性.由于CC較為抽象，評估框架考慮了不同的評估范圍、評估深度和評估技術手段，直接基于CC的評估方法開展5G網絡產品安全性評估認證必將帶來測試評估復雜度高、評估結果一致性差的問題.為了避免碎片化評估及成本，減少重復評估認證的次數，3GPP借用CC的方法論，專門針對通信領域的網絡產品制定了一套安全要求和測試用例.

基于3GPP SCAS[11]的評估框架如圖3所示，其本質上是3GPP聯合監管方、測評方、開發方和使用方各通信領域利益相關方，針對網絡產品編寫統一的PP文檔，對產品面臨的安全問題、安全目的和安全要求進行標準化規定，拉通安全需求、統一安全共識并建立安全基線標準，為開發方構建安全功能，提供安全保證，為評估方明確安全評估任務提供具體指導.

圖3 基于3GPP SCAS的評估框架

3GPP SCAS系列正在不斷豐富和完善，目前已發布11個5G網絡產品相關安全評估標準，覆蓋通用安全、5G基站和AMF(接入和移動性管理控制功能)、UPF(用戶面功能)、SMF(會話管理功能)等8個5G核心網網元，在研非3GPP接入網關(non-3GPP inter working function, N3IWF)、網絡數據分析網關(network data analytics function, NWDAF)等網元，每個安全評估標準都包括2部分，分別是安全保障需求和可評估5G產品是否滿足安全需求的測試用例[12].

1.2.2 基于GSMA NESAS的評估機制

GSMA NESAS構建了基于3GPP SCAS評估測試結果的評估機制，規范了安全測試實驗室資質認可和產品開發與生命周期管理審計的方法和流程.

GSMA NESAS的評估機制涉及開發方、測試評估方和審計方3個主體，評估流程分為4個步驟：1)開發方根據GSMA提出的產品開發及全生命周期安全要求提供合規性證明；2)GSMA指定一個獨立的權威性審計團隊對文檔進行審計，驗證產品在開發制造和投入使用的整個生命周期中是否集成了安全的考慮和機制；3)通過審計后，獲得ISO/IEC 17025認可和GSMA認可的安全測試實驗室將基于3GPP SCAS系列規范對開發者提供的網絡設備進行安全測試，主要關注安全功能一致性與潛在的脆弱性；4)安全測試實驗室依據評測結果出具評測報告.

1.2.3 評價及分析

基于NESAS的評估體系是從移動通信領域相關利益方的實際需求出發，在基于CC的評估認證體系基礎上的裁剪和簡化.SCAS系列標準的制定借用了CC提供的評估方法模型，將評估目標限定在網絡產品，并對每一類網絡產品建立了基于產業界共識的統一安全基線要求和測試用例，大大提高了網絡產品的安全測試評估效率.之前德國已經公開表示支持基于NESAS體系開展5G設備的安全認證，但基于NESAS的評估體系只是提出了安全基線要求，存在一定的局限性，有待進一步完善.

2 歐盟5G安全統一認證思路

2019年6月，歐盟《網絡安全法》(CSA)正式施行，提出歐盟層面構建信息通信技術產品、服務和流程的網絡安全統一認證框架，通過“一次認證”實現歐盟成員國之間的安全能力互認.此前，歐盟尚無統一網絡安全認證制度，主要依靠各成員國自行組織認證，由于成員國認證制度、依據的技術標準不統一，相同產品或服務在不同成員國之間需重復認證.歐盟網絡安全認證將在2023年底前完成評估(含云安全、IoT安全、5G安全等)，逐步由自愿性采用向強制性認證過渡.

德國聯邦信息安全辦公室(BSI)公開支持基于NESAS體系開展的5G設備安全認證，并牽頭聯合GSMA制定與CSA基線安全需求相適配的NESAS-CSA框架，推動其成為歐盟5G安全認證統一標準.2020年3月 BSI正式提案NESAS-CSA全盤架構，保留基于3GPP SCAS的技術規范，主要針對基于GSMA NESAS審計規范的上層認證機制進行修訂，以適配歐盟統一認證的實施和管理.

NESAS-CSA框架引入證書取代目前檢測實驗室出具的測評報告，對產品的標準符合性進行明確聲明，因此，NESAS-CSA將重新定義安全檢測實驗室的認證需求和流程、產品測試認證流程和管理機構組成及職責，整個認證機制將修改3個環節:一是刪除GSMA組織范圍的內容，由歐盟政府層面主導認證框架治理小組，基于歐洲網絡安全認證小組(ECCG)的職權范圍明確其職責；二是引入國家認可機構，基于ISO/IEC 17065/17024明確制定對審計或評估人員(包括審計員、評估測試員和認證人員)資質的認可機制和流程；三是引入國家安全認證機構，基于ISO 17025對第三方檢測實驗室進行認證授權.一旦審計方和測試方獲得資質認可和認證授權，將可以頒發證書，實現5G安全評測結果在歐盟范圍內的互認.

需要注意的是，由于NESAS體系技術規范部分僅提出了單一的安全基線要求和測試規范，不能直接滿足CSA多級別(基礎級、充分級、高級)認證的需求，因此，BSI目前正推動NESAS-CSA作為歐盟5G安全認證的基線標準，后續考慮向高安全級別認證增強.

3 啟示及建議

隨著歐盟5G安全認證體系工作逐步推進，現有ICT產品、服務和流程都將納入強制性認證機制，我國企業進入歐盟電信服務市場需符合歐盟層面規定的產品安全認證等強制性安全要求.我國5G電信服務及產品提供商想要“走出去”，需緊跟國際動態，開展統一的5G安全測評.一方面，可為設備廠商提供透明、科學、客觀、可驗證的技術測評，支撐基礎電信企業5G設備選型、網絡安全建設和運營，為垂直行業應用安全解決方案提供評估驗證和指引；另一方面，可進一步通過推動測評結果的國際互認，有效降低碎片化評估及成本，提振全球產業界對5G產品安全性的信心.

基于NESAS的評估體系是從移動通信領域相關利益方的實際需求出發，在基于CC的評估認證體系基礎上針對網絡產品進行裁剪，受到了業界高度認可，并將作為歐盟5G安全統一認證標準的重要參考.

建議參考歐盟網絡安全認證做法，加快構建與國際接軌的5G安全評測體系，從安全基線、安全機制和安全管理方面開展測試評估，確保5G設備及產品安全性.與此同時，加強與GSMA交流合作，積極參與GMSA和3GPP標準規范制定，除網絡設備評測之外，后續可持續借用CC方法論擴大5G安全測評范圍及測評等級，不斷提升我國5G安全檢測認可度和國際影響力，推動NESAS向更高級更廣范圍安全測評演進，構建基于統一技術標準的評測互認體系，助力5G全球產業鏈健康發展.