CISA与OUSD R&E合作建立美国联邦机关之5G安全评估程序
美国联邦政府于今年五月间推出「五步骤5G安全评估程序调查」(5G Security Evaluation Process Investigation),以解决针对5G的新特性与服务而兴起的现有安全评估指引与标准的不足之处,美国联邦政府的「网络安全与基础设施安全署」(Cybersecurity and Infrastructure Security Agency, CISA)与「国防部研究工程防卫部长」(OUSD R&E)合作,共同开发了此一评估程序。
CISA 、NIST 、MITRE Corporation合作发掘技术评估之安全与韧性落差
此一共同评估程序的目的在于提供单一的、弹性的途径,供联邦机关运用以进行评估、理解及处理他们的技术评估(technology assessment)标准与政策中的安全与韧性评估落差。CISA视此一联邦机关「风险管理架构准备」(RMF Prepare)步骤中可使用的反覆程序为联邦机关针对新的5G执行的重要工具。
此一程序将确保政府事业系统受到保护,并使网路罪犯无法通过5G技术经由后门进入机关网络。评估程序的目标是让联邦政府更加了解5G网络部署的安全与韧性,更具体地说,联邦机关试图在联邦局处进行安全评估与取得营运授权(authorization to operate, ATO)之前,成为先行者。
CISA、NIST与MITRE Corporation共同组成研究小组,以调查5G将为现行安全评估程序与架构所定义的传统ATO程序,带来什么样的挑战,例如:对于NIST的风险管理架构(Risk Management Framework, RMF)所形成的挑战。
五步骤之5G安全评估调查程序
此一跨机构小组所提出的5G调查程序,包括下列五个步骤:
CISA的5G安全评估程序遵循NIST的5G Cybersecurity指引
CISA与NIST的5G实务指引融洽地相互协调,CISA的5G安全评估程序遵循NIST的国家网络安全National Cybersecurity Center of Excellence (NCCoE)。
CISA的5G安全评估程序遵循了NIST的国家网络安全卓越中心(NCCoE)所出版的实务指引草案:5G Cybersecurity,NCCoE指出其所提出的解决方案包含组织可用以经由搭配5G安全特性与第三方安全管控的多种途径,更佳地确保5G网络安全。
NIST与产业界伙伴合作检视各种安全评估途径
NIST经由与范围广泛的各种产业伙伴在研究联盟(consortium)中合作,此一联盟成员包括:AT&T, Intel, Nokia, T-Mobile, and Palo Alto Network等主要电信与安全厂商。
如同CISA的评估程序调查一样,NCCoE初版强调5G技术新式、演进特性所固有的挑战,5G正位于、技术同时地被标准机关指定、被设备厂商所执行网络营运商所部署、被消费者所采用的转型点上。
从NIST的观点来看,现实的挑战在于5G标准虽然处理5G组成间的可交互操作介面,但它们并不处理其支持及营运5G系统的基础的信息技术组成,这使得组织难以以其安全途径地有信心地运用5G。因此NCCoE与5G与网络安全技术供应商合作,以开发采用可信任与安全的云原生(cloud-native)代管基础环境之范例解决方案。
此计划的第一阶段也将显示5G安全特性如何解决先前一代的移动通讯标准LTE等已知的安全挑战,聚焦于4G独立部署。NCCoE计划聚焦于针对两个焦点领域的典型安全5G独立部署:
此计划的未来阶段将包括扩大聚焦于5G特定使用个案之安全,这些焦点领域的可能实力为网络切片(network slicing)安全、漫游安全及5G边缘计算,CISA和NIST正邀请各界针对提案给予意见。
