20215GEECC安全措施指南.docx

《20215GEECC安全措施指南.docx》由会员分享，可在线阅读，更多相关《20215GEECC安全措施指南.docx（35页珍藏版）》请在优知文库上搜索。

1、5G补充EECC安全措施指南第二版目录介绍51.1 目标和范0S512政策背景613本文件的结构6背景5G风险和措施721欧盟协调5G网络安全的方法722术语和定义723 5G资产824 5G风险825 5G网络安全工具箱中的姬解措施1026 EECC安全措施技术指南125G技术简介133.1 领域DI治理和风险管理1432领域D2人力资源安全1533领域D3系统和设施的安全1634领域D4运营管理1835领域D5事件管理193.6 领域D6业务连续性管理193.7 领域D7监控、审计和测试203B领域D8威胁意识21特定5G技术的安全性234.1网络虚拟化安全2442网络切片安全2643边缘

2、计算安全26附件一缩略语列表附件IlSGPP安全参考列表293032附件三工具箱映射1,介绍本文档包含5G技术简介，它补充了安全指南EEeC下的措施1.以下简称本指南。5G技术概况为国家主管部门提供了有关如何确保5G网络安全的额外指导。本文件是与欧盟国家电信安全机构的专家（即ECASEC专家蛆（以前称为ECASEC专家组）密切合作制定的。第13a条专家组），以及5GNISCG工作流程的成员网络安全。图1:EECC下的ENISA安全措施指南的结构ENISAGUIDELINE-SECURITYMEASURESUNDERTHEEECCEU TOOLBOXON 5G SECURITYAUDIENCE:

3、 NATIONAL AUTHORITIESFortelecom SECURrrYMAINGUIDELINE(theframework)SyncedwithEECC40,418domansr29securityobjectivesTechnologyneutralGUIDELINESUPPLEMENT(o5Gprofile”)AdditionalguidanceandchecklistsforNationalAuthoritiesSyncedwithSGToolboxTechnologyspecify考虑到5G技术的动态性质和相关威胁形势，本文档应随着技术和风险的发展而更新。ENISA可能会考虑

4、使用本补充指南的替代电子格式，以更好地支持定期更新。1.1目标和范围本文件的目的是为主管当局提供有关如何确保5G网络和服务提供商采取适当安全措施的额外指导。本）卜充明确并细化了EECC下专门针对5G技术的安全措施指南中更通用的安全措施,考虑到5G技术的复杂性以及部署和配置选项的多样性，对于不同的5G网络和服务部署,风险和必要的安全措施都会有很大不同。这意味着针对副情况深入评估设置和安全性非常重要，例如S过对MNo进行审计2。,https7vww.enisa.europa.eu）ublicationsguidelineon-scriM附评估中给出的JWS定义力IS）用户提供移动网JeIB旁.在於

5、三方砌下M自己多刖阕K方7谶姒W网络:KM南曲第三方遑一耳恸幽T蒯了-或来精色修改上述定义.2.3 5G资产当本文件中提及关SI或敏感网络组件或功能时，这蝴件或功能的识别应耳于协飒险评估第221段中定义的资产敏感性的高雄分类并与其保持一致。为了便于参考，我们复制了下面引用的第2.21段中的表格。表3:铲（根据协调风险评估）核心网络功能批判的管理职能；用户设备数据传慵嫄；访丽3;网络服务的用BSaS权：悬其用户和网珞数据的存健;与第三方移娴的按.招核心网络功觌H外茄应用程序;将最蛙用户设备归震于网络切片NFV管理和网络ift推批判的（数千）管理系既和支持服务（MANO除外）中/高安全管理系晚;,

6、计费和其他支持网络性能等系蜕无城接入网络高的基站运输和传输功能中儒底层网络设备（路由器、交换机等）；过废略（防火瞅IPS.）互联网络交换中/高MNo场所外部的IP网络；第三方提供的网络服务有关所列资产类别的更多详细信息一请参阅协调风险的第2.22-2.27段评怙。备注：上述资产列表是通用的高级列表，着眼于5G架构的整体元素。在识别特定资产时，移动网络运营商应遵循循南中崎访法，并针对其特定环境进行自己的分析，并确定哪些特定资产做国内（请参阅指南第4.1节）。随着向5G网络和服务的过渡，Itt类资产列表预计将进行更新，以考虑引入的新资产（也如第3节中进一步建议的那样）,并且理想情况下应与上述资产列

7、表保持一致，特别是在估计资产方面关键性。2.4 5G风险协调风险评估确定了由具体风险场景说明的几个主要风险类别，视了威幽油者可以用来达到其目标的可能攻击路径O为了便于参考，我们在下表中列出了这些风险，并复制了协调风险评估中的文本。表4:风险（根据协调风险评估）的EI-相关风险情景安全措施不足WlL屐用蹒计算节点来损害信息机密性并造成破坏分布刘族.R2:缺乏访问控制：具炯珞M理员e三面包国丸行不加fi作.噂棚般/充盘性和/或可用性连规。分包鹿的行为可能是由于第三国施加的法律要求或承包商员工的流氓行为。R3:产品质量低：戢或国家却的行为者使用恶球件滥用质般的网络组件或影响核心网络中鳏族（例如网络虚

8、拟化H-5G供应链相关风险场景功能的无意漏洞进行间谍活动。R4:对单个网络内任何单T共应商的依赖或在全国范围内缺乏多样性：移动网络运营商从单T共应商处来购大敏感网络姐件或服务。由于供应商未能提供（例如.由于第三国的贸易球或其他商业情况）.该供应商提供的设备和/或更新的可用性随后急剧减少。结果.供应硒设备质量由于优先考虑保证供应而不是提高产品安全性而下降OR5:j35G供应链进行国家十陵:敌对国家行为者对其管辖礴内的供应商通过（有意或无意做入的漏洞提供对敏感网络资产的访问。川-与主要威胁行为者作案手法相关的风险情景IV-与5G网络和其他关键系线之间的相互R6:有蛆织犯罪或有组织犯罪集团针对最终用

9、户利用5G网珞:有蛆织犯罪集团通过控制5G网络架构的关键部分，破用仲脸,以琳依腿普喇脚辎的企业i三商本身。三,使滕似的漱承径,存幽湖喘胸也可能以最终用户为目标，硼崛向网三用户注入虚假消息作为大规模.网络钓鱼攻击或在线诈骗的一部分，耽丽过使用受损的网纷燃取有关用户的机密数据（例如第二因素身份粉证码以获取更多利润。R7:关BMUt设施或服务的产.中断:怒翼SMf能够通过航第专用网珞切片来破卬*燃R务,从市撕牌务的可用性以及该服务中使用的偃总题K的完整性.依赖性相关的风险场景V-与最终用户设备相关的风险场景R8：由于电力供应或其他支持系统中断而导致网络大规模故隙：由于自然灾害或国冢国家支持的行为者或

10、有a嘲膜团对电网的攻击而造成的大规模电力供应中断。R9:娜轲（物联网利用:黑客组织成国家支持的行为者控翎联网（传感器、冢用电器等将低安全设备，以便通过压倒其信令0面来攻击网络。备注：上述协调风险评估中确定的风险列表可被视为通用的、高级别的风险列表，被认为与整个欧盟的MS相关。实际上,移动网络运营商应遵循专指三中H塔的方法,根腐蛹礴衔自己的磁评估，用蜓庭院风险雌附f的峭第4.1节）。向&G网珞和服务的过渡.加飒险评怙狡计将迸行更新,以考虑特定的5G风险（也如第3节中进一步建议的刃解）,并且最好与上述风险列表保持一致我们建议读者参阅ENISA5G威胁态势7,了解更详细、瑚术性的信息5G网络威胁概述。，有关5G网搭ENISA威胁态势的信息,请弁阅第4节和表15。