5G网络安全标准化白皮书 (2021版).pdf

5 5G G 网络安全标准化白皮书网络安全标准化白皮书（2021 版）版）全国信息安全标准化技术委员会通信安全标准工作组2021 年 5 月5G 网络安全标准化白皮书2021编写单位编写单位中国移动通信集团有限公司、中国电子技术标准化研究院、中国信息通信研究院、国家计算机网络应急技术处理协调中心、中国信息安全测评中心、华为技术有限公司、阿里云计算有限公司、中兴通讯股份有限公司、中国信息通信科技集团有限公司、大唐移动通信设备有限公司、亚信科技（成都）有限公司、高通无线通信技术（中国）有限公司、北京时代新威信息技术有限公司、北京百度网讯科技有限公司、杭州安恒信息技术股份有限公司编写人员编写人员李慧镝张滨杨建军赵刚袁捷上官晓丽于生多张峰邱勤孙彦王秉政赵蓓李祥军粟栗刘贤刚徐思嘉姚相振江为强于乐刘畅齐旻鹏王国宇刘胜兰林美玉舒敏杨红梅贵重何鹏张弘扬王光涛韩晓露武冰梅王军张大江陈星杜雪涛张晨刘婧璇王文磊陈悦王姣吴荣林兆骥游世林毕晓宇薛辉杜志敏任若冰柳扬樊洞阳贾强彭伟营王新杰王连强王海棠唐佳伟版权声明：如需转载或引用，请注明出处版权声明：如需转载或引用，请注明出处5G 网络安全标准化白皮书2021摘要摘要|ABSTRACTABSTRACT本白皮书介绍了5G的概念、关键技术和产业发展情况，梳理了国内外政策法规标准现状，分析了5G在终端安全、IT化网络设施安全、通信网络安全、行业应用安全、数据安全、网络运维安全等方面存在的安全风险和网络安全标准化需求，提出了5G网络安全标准框架和重点标准研制建议，旨在为5G技术安全应用、5G与产业融合安全有序发展提供标准化技术支撑。全文结构如下：全文结构如下：第1章介绍了本白皮书编写的背景。第2章介绍了5G概念与应用场景、5G关键技术与安全特性。第3章介绍了国内外的5G网络安全法规与政策、5G网络安全标准化现状。第4章介绍了5G网络安全风险，包括终端安全风险、IT化网络设施安全风险、通信网络安全风险、行业应用安全风险、数据安全风险和网络运维安全风险。第5章基于5G网络安全标准化需求，给出了5G网络安全标准框架。第6章给出了5G网络安全标准化工作推进建议。第7章给出了本白皮书所引用的参考文献。附录A介绍了国内外已发布及在研的相关标准。附录B介绍了5G网络安全标准应用实践案例。附录C给出了相关术语定义。受编制时间、水平所限，疏漏在所难免。针对此版白皮书如有任何意见或建议，敬请联系 。目录|CONTENTS1 引言.12 5G 技术概述.22.1 5G5G 概念与应用场景概念与应用场景.22.2 5G5G 关键技术与安全特性关键技术与安全特性.32.2.1 IT 化网络设施化网络设施.32.2.2 服务化网络架构服务化网络架构.42.2.3 边缘化计算资源边缘化计算资源.52.2.4 增强的安全能力增强的安全能力.63 5G 网络安全政策与标准现状.93.1 5G5G 网络安全法规和政策网络安全法规和政策.93.1.1 美国美国.93.1.2 欧盟欧盟.93.1.3 国内现状国内现状.103.2 5G5G 网络安全标准化现状网络安全标准化现状.113.2.1 国外标准化情况国外标准化情况.113.2.2 国内标准化情况国内标准化情况.134 5G 网络安全风险.174.1 终端安全风险终端安全风险.174.2 ITIT 化网络设施安全风险化网络设施安全风险.174.3 通信网络安全风险通信网络安全风险.174.4 行业应用安全风险行业应用安全风险.184.5 数据安全风险数据安全风险.184.6 网络运维安全风险网络运维安全风险.185 5G 网络安全标准框架.195.1 总体原则总体原则.195.2 5G5G 网络安全标准化需求网络安全标准化需求.19（1 1）基础共性类需求）基础共性类需求.19（2 2）终端安全类需求）终端安全类需求.20（3 3）ITIT 化网络设施安全类需求化网络设施安全类需求.20（4 4）通信网络安全类需求）通信网络安全类需求.20（5 5）5G5G 业务与应用安全类标准业务与应用安全类标准.20（6 6）数据应用安全类需求）数据应用安全类需求.20（7 7）网络安全运营类需求）网络安全运营类需求.205.3 5G5G 网络安全标准框架网络安全标准框架.215.3.1 基础共性类标准基础共性类标准.215.3.2 终端安全类标准终端安全类标准.225.3.3 IT 化网络设施安全类标准化网络设施安全类标准.225.3.4 通信网络安全类标准通信网络安全类标准.235.3.5 应用与服务安全类标准应用与服务安全类标准.245.3.6 数据安全类标准数据安全类标准.245.3.7 安全运营管理类标准安全运营管理类标准.245.4 5G5G 网络安全重点标准研制建议网络安全重点标准研制建议.256 5G 网络安全标准化工作推进建议.276.1 加快推进加快推进 5G5G 网络安全标准体系建设与重点标准研制网络安全标准体系建设与重点标准研制.276.2 提前布局提前布局 5G5G 融合应用安全风险与保障研究融合应用安全风险与保障研究.276.3 大力开展大力开展 5G5G 网络安全标准验证与实施网络安全标准验证与实施.286.4 深度参与深度参与 5G5G 网络安全国际标准化工作网络安全国际标准化工作.287 参考文献.30附录 A 国内外已发布及在研相关标准.33附件 B 5G 网络安全标准应用实践案例.39附录 C 术语定义.445G 网络安全标准化白皮书202111引言当前，以第五代移动通信技术（以下称 5G）为代表的新一轮科技和产业变革正在快速兴起，成为世界各国经济发展的重要技术支撑和全球产业竞争的战略高地。2019 年起，全球各大运营商竞相加快 5G 网络部署，各大机构积极探索 5G 与重点行业的融合创新。截至 2020 年底，全球 131 个国家的 412 家运营商采取各种方式投资5G，59 个国家和区域的 140 个运营商已推动 5G 商用，全球共建成超 100 万个 5G 基站。其中，我国累计建成 5G 基站 71.8 万个，占比超全球总量的 70%，形成全球最大规模的 5G 网络，实现所有地级以上城市 5G 网络全覆盖。5G 凭借全新的架构，引入网络功能虚拟化、服务化网络架构、边缘计算等新型关键技术，大幅提升了移动网络业务能力，通过超高清视频、智能电网、工业互联网、智慧交通、智慧城市等应用，开启了万物广泛互联、人机深度交互的新时代，为产业数字化、生活智慧化、数字化治理提供有力支撑。在全球范围内 5G 广泛商用、规模快速扩大的背景下，5G 网络安全问题也成为各方关注焦点。5G 网络安全包括终端安全、IT 化网络设施安全、通信网络安全、行业应用安全、数据安全、网络运维安全等多个方面。虽然 5G 较 4G 拥有更为完善的安全特性，但随着 5G 融合应用的不断深入，又将面临的新网络安全威胁与风险。为促进 5G 与相关产业的健康安全发展，切实发挥标准在网络安全工作中的基础性、规范性、引领性作用，有效指导和体系化推进相关重点标准研究制定工作，本白皮书在充分调研国内外 5G 网络安全发展情况的基础上，针对 5G 典型应用场景和关键环节，研究提出 5G 网络安全标准框架，给出标准化工作推进建议。20215G 网络安全标准化白皮书225G 技术概述2.12.15G5G 概念与应用场景概念与应用场景5G 即第五代移动通信技术（The 5thGeneration Wireless communication），是继 2G、3G 和 4G 系统之后的延伸，其设计目标是高数据速率、低传输延迟、提升传输质量、节省能源、降低成本、提高系统容量和大规模设备连接。5G 不仅用于人与人之间的通信，还适用于人与物、物与物之间的通信，被视为促进各行业智能化升级、推动数字经济发展的关键技术之一。2015 年发布的 ITU-R M.2083-0 建议书 IMT Vision Framework and overallobjectives of the future development of IMT for 2020 and beyond 提出了 5G（IMT-2020）的关键技术特征及指标建议，包括峰值数据速率、用户体验数据速率、频谱效率、移动性、延迟、连接密度、网络能效、区域业务容量等。基于全面提升的网络性能指标，ITU-R M.2083-0 建议书进一步定义了 5G 的三大应用场景：增强移动宽带（Enhanced Mobile Broadband,eMBB）、海量机器类通信（Massive MachineType Communication，mMTC）和超可靠低时延通信（Ultra Reliable and Low LatencyCommunication,uRLLC），如图 1 所示。5G 结合其三大应用场景，与智慧家庭、智慧城市等社会生活领域结合，与超高清视频和 VR/AR 等多媒体应用、车联网和工业互联网等行业融合，渗透到生产和生活的各领域，为经济与社会发展注入强劲动力。图1 ITU定义的5G关键指标和应用场景增强移动宽带（eMBB）是以人为中心的应用场景，集中表现为超高的传输数据速率，广覆盖下的移动性保证。以常用的视频业务为例，4G 网络的平均用户体验速度下行为 3050Mbps、上行为 68Mbps，能够满足一路高清视频的在线播放需求，无法满足高清直播、多路视频会议的需求；而 5G 网络5G 网络安全标准白皮书20213的平均用户体验速度下行为 100Mbps、上行为 50Mbps，用户体验会有明显的提升。海量机器类通信（mMTC）以大规模物联网为应用场景，支持密集环境下的海量机器类通信，使得人与机器、机器与机器的大规模通信成为可能。mMTC的海量体现在两个方面：首先，5G 网络可连接的物联网设备量远大于 4G，每平方公里可支持 100 万个连接；其次，联网设备和业务的种类也大大丰富了，支持多种使用不同通信模式的终端，比如：仅作为主叫不作为被叫被寻址的终端、仅在固定时间间隔激活和通信的终端。大部分物联网终端具有资源受限的特点和低功耗工作要求，5G 在架构和协议设计上做了优化，简化了连接建立和管理模型，可最大限度降低物联网终端的功耗。超可靠超低时延通信（uRLLC）以无人驾驶、远程医疗、智能制造等关键通信为应用场景，必须严格满足业务需求的时延和可靠性。4G 网络时延最小只能达到 20ms 左右，但是 5G 系统本身可将端到端时延降低到 110ms、且在高速移动（500KM/H）情况下保持高可靠性（99.999%）连接。同时，5G系统架构支持边缘计算，可进一步降低业务时延，确保时延敏感场景下高速通信、及时执行命令和发送反馈。2.22.25G5G 关键技术与安全特性关键技术与安全特性2.2.12.2.1 ITIT 化网络设施化网络设施传统移动通信网络基于网元设备实现网络功能。5G 在网络基础设施层面引入了包括网络功能虚拟化（Network Function Virtualization，NFV）、软件定义网络（Software Defined Network，SDN）等 IT 技术，并支持通过网络切片将网络划分为虚拟专网，从而能够低成本、灵活快速地满足行业应用对网络的高安全性和可定制化需求。网络功能虚拟化：NFV 技术实现了计算和存储资源的虚拟化，实现了软件与硬件的解耦，使网络功能不再依赖于专有通信硬件平台、专用操作系统，实现了 5G 网络基础设施的云化，支持资源的集中控制、动态配置、高效调度和智能部署，缩短网络运营的业务创新周期。软件定义网络：SDN 技术实现了通信连接的软件定义，将数据通信设备拆分为控制面和数据面，控制面集中控制并提供可编程接口，实现了根据组网和业务需要灵活定义网络传输通道，可灵活调度流量并编排安全能力。20215G 网络安全标准化白皮书4网络切片：网络切片是为满足垂直行业对网络能力可定制化、通信及信息安全可控化的需求而出现的，它可将一个物理网络切分成功能、特性各不相同的多个逻辑网络，同时支持多种业务场景。基于网络切片技术，可以隔离不同业务场景所需的网络资源、提高网络资源利用率。2.2.22.2.2 服务化网络架构服务化网络架构传统移动通信网络架构基于固定网元、固定连接，网络功能的可扩展性受限。为了满足5G时代灵活部署的需要，5G采用了服务化架构（Service-basedArchitecture,SBA），将原有的网元按照“微服务”的理念拆分为松耦合、细粒度的网络功能（Network Function，NF），通过服务调用、服务组合的方式实现核心网的基本功能。5G核心网内的应用功能（Application Function,AF）指应用层的各种服务，它既可以是运营商内部应用，也可以是第三方应用，其他网元可通过AF的服务化接口Naf对其进行访问。3GPP将5G核心网定义为一个可分解的网络体系结构，引入了控制面和用户面分离，其中核心网用户面采用传统架构和接口，用户面功能（User Plane Function，UPF）负责数据包的路由转发、与外部数据网络的数据交互等，核心网控制面网元采用服务化架构设计，彼此之间通信采用服务化接口，从而提供多个网络功能服务。5G服务化架构中，将网络功能以服务的方式对外提供，不同的网络功能服务之间通过标准接口进行互通，支持按需调用、功能重构，从而提高核心网的灵活性和开放性。如图2所示，5G核心网将控制面拆分为多个网络功能：接入和移动性管理功能（Access and Mobility Management Function,AMF）主要负责终端接入和移动性管理，对应的服务化接口为 Namf；会话管理功能（Session Management Function,SMF）负责会话管理，对应的服务化接口为 Nsmf；策略控制功能（Policy Control Function，PCF）负责策略管理，对应的服务化接口为 Npcf；网络切片选择功能（Network Slice Selection Function，NSSF）负责判断应该为 UE 提供何种网络切片服务，对应的服务化接口为 Nnssf；网络开放功能（Network Exposure Function，NEF）负责开放网络能力给AF，对应的服务化接口为 Nnef；网络存储功能（Network Repository Function，NRF）负责 NF 以及 NF 上提供的服务的统一管理，包括注册、发现、授权等功能，对应的服务化接口为 Nnrf；5G 网络安全标准白皮书20215统一数据管理（Unified Data Management,UDM）负责用户数据管理等，对应的服务化接口为 Nudm。5G独立组网架构中，SBA化的核心网控制面及用户面对外交互时所涉及的业务接口包括：N1：控制面与用户终端之间的接口。N2：控制面与无线接入网之间的接口。N3：用户面和无线接入网之间的接口。N4：控制面和用户面之间的接口。N6：用户面和数据网络之间的接口。N9：用户面的漫游接口。图2 5G独立组网架构2.2.32.2.3 边缘化计算资源边缘化计算资源3G/4G 时代，网络服务普遍采用云端协同的方式，即远端的云计算或者云数据中心和终端相互配合完成网络服务的提供和访问。5G 时代，大量高可靠低时延业务出现，对网络传输和服务计算的时延效率提出更高需求，边缘计算（MEC,Multi-access Edge Computing）的应用需求更为广泛。5G 网络本身也支持更加灵活的边缘计算服务。20215G 网络安全标准化白皮书6边缘计算作为 5G 网络新型网络架构的主要特征之一，部署在无线基站、接入机房等网络边缘，通过将计算能力和 IT 服务环境下沉，就近向用户提供服务，从而构建一个具备高性能、低时延与高带宽的电信级服务环境。边缘计算平台在网络边缘靠近用户的位置上，提供IT服务和云计算的能力，降低核心网的负载开销和用户业务时延，为用户提供本地视频、位置定位、视频质量优化、流量分析等低时延和高带宽业务。边缘计算采用开放应用编程接口（API）、网络功能虚拟化（NFV）等技术，通过边缘节点上应用程序 APP 对外提供服务。2.2.42.2.4 增强的安全能力增强的安全能力基于前几代移动通信演进过程中发现的安全问题和积累的运维经验，5G 网络对安全机制考虑更加充分,具有以下特点：（1）更全面的数据安全保护在数据安全保护方面，5G相对于之前的通信网络对用户数据的完整性保护要求更严格，5G 不仅只是对网络信令进行完整性保护，还增强了对用户数据的完整性保护。从 3G 到 4G，系统的设计要求主要是保证系统空口的吞吐效率最大化和时延最小化，通信系统对网络信令进行完整性保护、避免被恶意篡改，对用户数据并未进行完整性保护。在 5G 通信中，数据应用越来越广泛，对用户数据的完整性保护要求更严格，需要进行更全面的数据安全保护。除信令外，5G 通信中对用户数据也可进行完整性保护，确保用户数据在空中接口传输时不会被恶意篡改。（2）更丰富的认证机制支持在认证机制支持方面，5G 相对于之前的通信网络具有更丰富的认证机制支持，不仅增强了归属网络对认证的控制，还具有更加灵活的可扩展框架。在 3G 至 4G 网络中，所使用的认证与密钥协商（Authentication and KeyAgreement，AKA）认证机制具备很高的安全性。AKA 协议是 3GPP 在研究 2G 安全脆弱性的基础上,针对 3G 接入域安全需求提出的，其使用挑战应答机制完成用户和网络间的身份认证，同时基于身份认证对通信加密密钥进行协商，通过认证和加密手段更好地预防攻击行为。5G 支持多种接入技术（如 4G 接入、WLAN 接入以及 5G 接入），为了使用户可以在不同接入网间实现无缝切换，5G 网络认证一方面继承了 AKA 框架，在机制和能力上进行增强并形成了 5G-AKA，增强归属网络对认证的控制，不仅提供对用户的认5G 网络安全标准白皮书20217证，还提供对访问网络的认证，防止访问网络虚报用户漫游状态、产生恶意扣费等情况。另一方面，5G 网络采用统一的认证框架，引入了扩展认证协议（ExtensibleAuthentication Protocol，EAP），其具有较好的灵活性和可扩展性，既可运行在数据链路层上，也可以运行于 TCP 或 UDP 协议之上，不仅支持多种认证协议和各种应用场景下的双向身份鉴权，还支持垂直行业的多种已有应用，扩展适配垂直行业应用所需的新认证能力。（3）更严密的用户隐私保护在用户隐私保护方面，5G相对于之前的通信网络具备更严密的加密措施，能在更大力度上保护用户隐私不受侵犯。在2G至4G网络中，通信网络和终端通常使用临时移动用户识别码（TemporaryMobile Subscriber Identity，TMSI）交互，用于避免国际移动用户识别码（International Mobile Subscriber Identity，IMSI）被攻击者窃取。但当终端初始接入网络，TMSI和IMSI未能同步时，通信网络会请求终端发送IMSI进行认证，IMSI会短暂出现在信道上，攻击者可能获取IMSI并进一步攻击或追踪用户。5G通信网络利用用户卡上存储的归属运营商的公钥对永久用户标识进行加密，不再明文传输国际移动用户识别码。为抵御中间人攻击，归属运营商的公钥直接预置在用户卡内，有效地保护了用户的隐私。其次，在5G通信网络中，切片选择辅助信息NSSAI（Network Slice Selection Assistance Information）可区分不同类型的5G网络切片，在用户初始接入网络时，NSSAI知识基站及核心网网元将其路由到正确的切片网络，5G网络可对NSSAI敏感信息进行隐私保护。（4）更灵活的网间信息保护在网间信息保护方面，5G新增了安全边界保护代理（Security Edge ProtectionProxy，SEPP），能有效保护在网络中互联互通信息的机密性和完整性。在3G/4G系统中，运营商的数量和网络部署规模也在不断扩大，为防止信令在网络间传输过程中被窃听、篡改甚至伪造，3GPP制定了基于域划分的网络域/IP层安全机制、基于公钥基础设施提供认证服务的认证框架协议，以保护网间信息互联互通。在5G网络中引入了SEPP，其作为运营商核心网控制面之间的边界网关，所有跨运营商的信息传输均需要通过SEPP进行处理和转发，SEPP在运营商之间建立TLS安全传输通道，对传输的信息中需要进行保护的字段进行机密性和完整性保护，从而有效防止数据在传输过程中被篡改和窃听。20215G 网络安全标准化白皮书8表 2-1 5G 网络与 4G 网络的安全能力对比能力类型4G4G5G5G数据安全保护对网络信令进行完整性保护。对网络信令和用户数据进行完整性保护。认证机制支持使用 AKA 认证机制。使用增强的 5G-AKA 认证机制，并引入 EAP 构建更灵活的可扩展框架。用户隐私保护通信网络和终端通常使用临时移动用户识别码 TMSI 交互。利用用户卡上存储的归属运营商的公钥对永久用户标识进行加密。网间信息保护基于域划分的网络域/IP层安全机制、基于公钥基础设施提供认证服务的认证框架协议。新增了安全边界保护代理 SEPP，对传输信息进行机密性和完整性保护。5G 网络安全标准白皮书2021935G 网络安全政策与标准现状3.13.15G5G 网络网络安全法规和政策安全法规和政策3.1.13.1.1 美国美国美国力图在5G技术创新、应用发展、安全生态建设等方面占据全球领导地位。2018年9月，美国联邦通信委员会（FCC）发布了“5G加速计划”，主要从频谱资源投入、基础设施建设、修订法规三个方面提出了促进5G发展的举措。2018年10月，白宫发布关于制定美国未来可持续频谱战略的总统备忘录，提出“美国必须率先实现第五代无线技术（5G）”。2018年12月，国际战略研究中心（CSIS）发布5G将如何塑造创新和安全报告，指出5G技术是下一代数字技术的支柱，将对未来几十年的国际安全和经济产生影响。2019年4月，美国国防部国防创新委员会发布5G生态系统：国防部的风险与机遇，介绍了5G发展历程、目前全球竞争态势以及5G技术对国防部的影响与挑战，并在频谱政策、供应链和基础设施安全等方面提出了建议。2019年5月，美国联合全球30多个国家发布了非约束性政策建议“布拉格提案”。2020年3月，美国白宫发布了美国5G安全国家战略，正式制定了美国保护5G基础设施的框架，阐明了美国要与最紧密的合作伙伴和盟友共同领导全球安全可靠的5G通信基础设施的开发、部署和管理的愿景。2020年12月，美国国防部发布5G技术实施方案报告，从技术、安全、标准、政策以及应用合作等方面提供5G安全路线图，重点提到计划扩大在包括3GPP在内的标准制定组织中的活动力度；响应国防部方案，美国国家标准与技术研究院（NIST）设立了“5G安全演进”项目，并于2021年2月发布5G网络安全实践指南草案,旨在帮助使用5G网络的组织以及网络运营商和设备供应商提高安全能力。3.1.23.1.2 欧盟欧盟欧盟高度重视5G发展，并着力构建各成员国统一的安全框架。早在2015年，欧盟正式公布5G合作愿景（EU vision for 5G Communication），力求确保欧洲在下一代移动技术全球标准中的话语权。2017年的发布网络与信息安全指令和2018年发布的欧洲电子通信守则要求成员国针对5G网络和相关基础技术的安全保障尽快制定国家战略，明确战略执行机构、风险评估计划、应急处置措施和部门协作机制等。2019年3月，欧盟批准生效网络安全法案，赋予欧盟网络和信息安全局20215G 网络安全标准化白皮书10（ENISA）一项重要任务，即推动建立欧盟首个统一的网络安全认证制度，该认证将适用于欧盟市场的所有信息通信设备、服务和流程（包含5G）。欧盟委员会还通过了5G网络安全建议，呼吁欧盟成员国完成国家风险评估并审查国家安全措施，并在整个欧盟层面共同开展统一风险评估工作，同时就一个通用的缓解措施工具箱进行商议。2019年10月，欧盟遵循ISO/IEC 27005信息技术-安全技术-信息安全风险管理中的风险评估方法，分析了5G网络的主要威胁和威胁实施者、受威胁的资产、各种脆弱点以及战略风险，发布了欧盟5G网络安全风险评估报告。2020年1月29日，欧委会通过欧盟5G安全工具箱，通过一系列战略和技术措施解决欧盟5G网络安全风险评估报告中所有已识别出的风险。3.1.33.1.3 国内现状国内现状在我国，党和政府高度重视 5G 网络技术的发展及应用。中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要指出“加快 5G 网络规模化部署，用户普及率提高到 56%，推广升级千兆光纤网络”，“构建基于 5G 的应用场景和产业生态，在智能交通、智慧物流、智慧能源、智慧医疗等重点领域开展试点示范”，体现了国家对于发展 5G 的决心。2019 年 6 月，工信部发放 5G 商用牌照，加速推动 5G 发展应用。2019 年 11 月，工信部印发“5G工业互联网”512工程推进方案（工信厅信管201978 号），明确到 2022 年实现一批面向工业互联网特定需求的 5G 关键技术突破，加快垂直领域“5G+工业互联网”的先导应用；2020 年 3 月，工信部印发关于推动 5G 加快发展的通知（工信部通信202049 号），全力推进 5G 网络建设部署，加大 5G 技术研发力度与应用推广；2020 年 5月，政府工作报告提出“加强新型基础设施建设，发展新一代信息网络，拓展5G 应用”，再次就加快 5G 网络等新型基础设施建设做出战略部署。在推动 5G 发展的同时，5G 网络安全也被提高到国家战略层面。相关法律法规、政策文件的要求对于加快建设 5G 安全保障体系，合理规划标准化体系等方面具有重要指导意义。在法律法规层面，网络安全法主要从网络安全责任制、关键信息基础设施保护、个人信息保护三个方面提出保障 5G 网络安全发展的要求。中华人民共和国电信条例规定，任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动，不得有危害电信网络安全和信息安全的行为。网络安全审查办法要求“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的”，应当通过“有关部门组织的国家安全审查”。已被全国人大列入立法计划的数据安全法个人信息保护法也对网络数据提出严格的管理要求。在政策方面，关于推动 5G 加快发展的通知要求加强 5G 网络基础设施安全保障、强化 5G 网络数据安全保护、培育 5G 网络安全产业生态，构建 5G 安全保障体系，并要求开展安全评估，积极防范安全风险。2021 年 3 月，工信部科技司在5G 网络安全标准白皮书2021112021 年工业和信息化标准工作要点中明确，将推动开展 5G 及下一代移动通信、网络和数据安全等标准的研究与制定。3.23.25G5G 网络安全标准化现状网络安全标准化现状3.2.13.2.1 国外标准化情况国外标准化情况3.2.1.1 ISO/IEC JTC1目前，国际标准化组织 ISO/IEC JTC1 SC27(信息安全、网络安全和隐私保护分技术委员会)已发布的与 5G 网络安全相关的标准主要集中在信息安全管理、供应链安全管理等方面，在研 5G 网络安全相关的标准主要聚焦网络虚拟化安全。ISO/IECJTC1 在 5G 网络安全领域的重点标准包括：ISO 27000信息技术 安全技术 信息安全管理系统系列标准明确了在组织内部建立信息安全管理目标，以及完成这些目标所用方法的体系，其中ISO/IEC 27005信息技术 安全技术 信息安全风险管理标准被欧盟用于开展 5G 网络安全风险评估。ISO/IEC 27036信息技术 安全技术 供应商关系信息安全围绕供应商关系信息安全展开研究，主要阐述了 ICT 供应链信息安全中面临的相关风险,实施信息安全的要求和 ICT 供应链信息安全的标准内容等。在研标准 ISO/IEC 27033-7信息技术 网络安全 第七部分：网络虚拟化安全指南旨在分析网络虚拟化安全性的主要挑战和风险，提供网络虚拟化安全性的框架，并提出针对网络虚拟化设施、虚拟化网络功能、虚拟化控制和资源管理等的安全实施指南。3.2.1.2 ITU-T国际电信联盟电信标准化部门（ITU-T）已发布的标准聚焦在 IT 化网络设施安全领域，主要围绕基于 SDN 的业务链安全、SDN/NFV 网络中软件定义安全。此外，ITU 正在针对 5G 网络安全基础、IT 化网络设施安全、网络安全、数据安全和安全运营管控展开标准研究。ITU-T 在 5G 网络安全领域的重点标准包括：ITU-T X.1043基于软件定义网络的服务功能链的安全框架和要求和ITU-T X.1046 软件定义网络/网络功能虚拟化网络中的软件定义安全框架两项标准。其中 X.1043 对基于 SDN 的业务链安全、网元安全、接口安全、业务链策略管理及相关安全机制进行了规定，X.1046 提出了 SDN/NFV 网络的软件定义安全框架，并对框架中组件功能、接口功能以及流程等进行了20215G 网络安全标准化白皮书12规定，同时提出了部署实践参考。ITU-T X.5Gsec-guide基于 ITU-T X.805 的 5G 通信系统安全导则主要针对基于 ITU-T X.805 的 5G 通信系统展开安全研究，通过结合该系统在运用边缘计算、网络虚拟化、网络切片等技术时所产生的特点，研究其在 3GPP网络架构和非 3GPP 网络架构下的安全威胁和安全能力。ITU-T X.5Gsec-ecs5G 边缘计算服务的安全框架根据 5G 边缘计算的部署方式以及典型的应用场景，分析 5G 边缘计算的安全威胁、安全需求，提出 5G 边缘计算服务安全框架。ITU-T X.5Gsec-t5G 生态系统中基于信任关系的安全框架研究 5G 生态系统中的信任关系和安全边界，制定 5G 生态系统的安全框架。3.2.1.3 3GPP第三代合作伙伴计划标准化组织（3GPP）聚焦在 5G 基础共性、应用与服务安全和 IT 化网络设施安全等方面。3GPP 在 5G 网络安全领域重点标准包括：在安全基础共性方面，发布了 3GPP TS 33.501 5G 系统的安全架构和流程、3GPP TR 33.841256 位算法对 5G 的支持研究、3GPP TR 33.834长期密钥更新程序（LTKUP）的研究三项基础共性类标准，分别对 5G 系统的安全架构和流程、256 比特密钥长度和密码算法、长期密钥更新等进行了规定。在 IT 化网络设施方面，3GPP TR 33.848虚拟化对安全性的影响研究分析了虚拟化对网络架构的影响，安全威胁和相应的安全需求。3GPP TR33.818适用于 3GPP 虚拟网络产品的安全保证方法（SECAM）和安全保证规范（SCAS）针对虚拟化网络产品的安全保障方法展开研究和分析。在应用与服务安全方面，发布了 3GPP TS 33.535在 5G 中基于 3GPP 凭证的应用程序的身份验证和密钥管理，该标准以 5G 物联网场景下的应用层接入认证和安全通道建立为切入点，研究了利用 5G 网络安全凭证为上层应用提供认证和会话密钥管理能力的解决方案。针对 5G 在物联网、垂直行业、位置服务、车联网、超可靠低时延特性等方面的安全威胁及需求，展开了研究制定并评估了对应的解决方案。在通信网络方面，3GPP TR 33.813网络切片增强的安全性研究针对 5G网络设备的安全保障、5G 网络引入服务化接口安全、5G 网络中伪基站安全、5G 切片安全等问题，研究了 5G 移动通信网网络切片的安全增强技术，包括网络切片安全特性、关键问题、安全需求及解决方案。5G 网络安全标准白皮书2021133.2.1.4 NIST美国国家标准与技术研究院（NIST）提出了 NIST SP 800-37信息系统和组织的风险管理框架，定义了信息系统风险管理框架，可用于指导 5G 网络的安全部署应用。NIST SP 800-53信息系统和组织的安全和隐私控制、NIST SP 800-207零信任架构、NIST SP 800-82工业控制系统安全指南、NIST SP 800-160网络安全工程技术指南等分别针对控制措施和隐私保护、零信任架构、工业控制系统安全、安全工程技术等提供了与 5G 网络安全部署应用相关的安全实施指南。此外,NIST 正在推进5G 网络安全实践指南的制定，目前已完成了相关草案的编制。该指南向 5G 网络运营商和用户提出减缓 5G 网络安全风险的方法，包括通过增强系统的体系结构组件、启用 5G 标准中引入的安全功能、提供基于云的安全支持基础架构等安全措施，以帮助使用 5G 网络的组织、网络运营商和设备供应商提高安全能力，并为电信和公共安全界提供参考。3.2.23.2.2 国内标准化情况国内标准化情况3.2.2.1 强制性国家标准国家标准化管理委员会于2021年2月发布了强制性国家标准GB 40050-2021 网络关键设备安全通用要求，该标准主要用于落实网络安全法中第二十三条中关于网络关键设备安全的要求，为 5G 网络设备的安全性提供了技术保障和依据。标准主要内容包括了网络关键设备的安全功能要求和安全保障要求。其中，安全功能要求聚焦于设备的技术安全能力，安全保障要求则对网络关键设备提供者在设备全生命周期的安全保障能力提出要求。3.2.2.2 TC260 推荐性国家标准在 5G 网络安全标准研究方面，全国信息安全标准化技术委员会（TC260）针对5G 网络安全推动了 5G 网络安全标准体系 研究，涵盖了安全基础共性、终端安全、IT 化网络设施安全、应用与服务安全、数据安全和安全运营管理等方面，并持续完善相关配套标准。TC260 在 5G 网络安全领域相关的重点标准包括：在基础共性方面，GB/T 22239-2019信息安全技术 网络安全等级保护基本要求，规定了第一级到第四级等级保护对象的安全保护的安全通用要求和安全扩展要求，用于指导网络运营者按照网络安全等级保护制度的要求，履行网络安全保护义务。在终端安全方面，GB/T 30284-2020信息安全技术 移动通信智能终端操20215G 网络安全标准化白皮书14作系统安全技术要求、GB/T 34975-2017信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法、GB/T 35278-2017信息安全技术 移动终端安全保护技术要求、GB/T 37093-2018信息安全技术 物联网感知层接入通信网的安全要求分别对通用固件和操作系统安全、移动智能终端安全、终端侧应用软件安全开展了研究。在 IT 化网络设施安全方面，TC260 已发布标准主要聚焦于云平台安全，GB/T31167-2014信息安全技术 云计算服务安全指南、GB/T 35279-2017信息安全技术 云计算安全参考架构、GB/T 34942-2017信息安全技术 云计算服务安全能力评估方法、GB/T 31168-2014信息安全技术 云计算服务安全能力要求，提出了针对云计算服务的安全指南、安全参考架构、安全能力评估方法和安全能力要求。在网络安全方面，在研标准信息安全技术 边缘计算安全技术要求分析边缘计算系统因云边协同控制、计算存储托管、边缘能力开放等引入的安全风险,提出了边缘计算安全参考模型，并从应用安全、网络安全、数据安全、基础设施安全、物理环境安全、运维安全、安全管理等方面提出边缘计算的安全技术要求。该标准可用于指导边缘计算相关方提高边缘基础设施研发、测试、生产、运营过程中应对各种安全威胁的能力。在应用与服务安全方面，GB/T 37971-2019信息安全技术 智慧城市安全体系框架、GB/Z 386492020信息安全技术 智慧城市建设信息安全保障指南从安全角色和安全要素的视角提出了智慧城市安全体系框架，为智慧城市建设全过程的信息安全保障机制与技术建设提供指导。此外，TC260 正在开展新业务应