5G供應鏈安全現狀及標準化建議

張祺琪 韓曉露 段偉倫

1(中國信息通信科技集團有限公司武漢虹旭信息技術有限責任公司 武漢 430205) 2(中國信息通信科技集團有限公司戰略規劃部 北京 100191)

1 我國5G供應鏈現狀及供應鏈安全問題分析

5G正在引領著全球科技革命，以5G技術為代表的新型基礎設施建設加快推進.5G供應鏈產品和服務的提供商圍繞5G特有的增強型移動帶寬、大規模機器類通信、高可靠低時延通信場景需求，從原材料、元器件開始，制成模組等中間產品，生產出最終產品，最后由銷售網絡把5G產品提供給公共網絡和垂直行業的運營商，并向消費者提供各種5G服務.這樣5G各級供應商、制造商、分銷商、運營商、服務提供商等被連成一個整體的功能網鏈結構，依據特定的邏輯關系和時空布局關系也形成一定的技術經濟關聯，形成5G供應鏈生態，如圖1所示.5G產業鏈上游部分由關鍵芯片及各類模組組成.5G產業鏈中游分為2部分：一是信息通信基礎設施，包括無線基站系統、網絡設備、儀器儀表，二是網絡規劃/服務/運行維護.5G產業鏈下游部分涉及終端設備及各類應用場景.

在5G網絡建設過程中，5G的供應鏈安全問題日益突出：一是受突發事件影響、國際環境影響造成供應鏈中斷，如戰爭、地震、臺風等不可抗力；二是錯誤配置、資源濫用，或者因惡意控制導致正常的業務中斷，對業務網運行造成嚴重的影響；三是未經認證檢測的5G設備被攻擊者植入后門或者存在漏洞，將導致整個供應鏈被控制，造成網絡安全事件；四是5G供應鏈產品和服務提供商通常分布在多地、多層級.異地供應方、供應方層級的增多，必然降低供應鏈的透明度和增加安全風險控制成本.

5G供應鏈從企業流、信息流、物流、資金流等多個方面對5G產業周期的各環節中進行動態控制.5G供應鏈安全要求5G的運營者以及設備、組件、元器件、儀器儀表、生產裝備、原材料等供應方，能夠將開發、設計、運營的5G產品或服務提供給5G需求方，確保5G供應鏈安全風險得到識別和控制，5G供應鏈完整性、保密性、可用性、可控性等目標得到實現.只有確保5G供應鏈安全，才能實現5G產業整個生命周期的安全.

2 國內外ICT供應鏈安全標準進展分析

信息與通信技術(簡稱ICT)指代所有通信設備以及與之相關的各種服務和應用軟件.ICT供應鏈則是指為滿足供應關系，將需方與供方通過資源和過程進行連接的網鏈結構，涉及產品及服務的供需雙方.5G作為ICT領域重要產業，其供應鏈安全要求必然應符合ICT供應鏈安全框架要求，因此，本文對ICT領域供應鏈安全標準進展進行了分析研究，為5G供應鏈標準的研制提供指引和方向.

1) ISO 28000系列標準

ISO 28000供應鏈安全管理體系系列標準將供應鏈定義為一組相互聯系的資源和過程，以原材料的采購為起點，經各種運輸方式將產品或服務交付最終用戶.ISO 28000標準制定的目標是幫助運輸和物流行業建立一個可認證的供應鏈安全管理體系，改進供應鏈的全面安全.該系列標準主要包括：ISO 28000《供應鏈安全管理體系規范》、ISO 28001《供應鏈安全的最佳實踐規范——評估和計劃》、ISO 28002《供應鏈恢復能力的開發——要求及使用指南》、ISO 28003《提供審核和認證功能的實體的需求》、ISO 28004《ISO/PAS 28000實施指南》.

2) ISO/IEC 27036

在ISO/IEC 27000信息安全管理體系標準中，ISO/IEC 27036《供應方關系的信息安全》是首部針對ICT供應鏈安全的國際標準.ISO/IEC 27036適用于供需雙方對供應方關系進行信息安全管理，標準針對供應方關系規定了供應方關系信息安全管理的框架.該標準由4部分組成：ISO/IEC 27036-1《第1部分：概述和概念》、ISO/IEC 27036-2《第2部分：通用要求》、ISO/IEC 27036-3《第3部分：ICT供應鏈安全指南》、ISO/IEC 27036-4《第4部分：云服務的安全指南》.

3) ISO/IEC 27034

ISO/IEC27034《應用安全》是國際標準化組織通過的首個關注建立安全軟件程序流程和框架的標準.標準分為6個部分，包括應用安全性綜述和概念、組織規范性框架、應用安全管理流程、應用安全驗證、應用安全控制數據結構、應用安全指導.標準通過定義軟件開發安全流程和框架，提升了ICT供應鏈對抗威脅的能力[1].

4) ISO/IEC 27005

ISO/IEC27005《信息安全風險管理》提供了適用于信息安全的風險管理方法.該標準通過提供有效管理風險的框架，幫助組織解決信息安全管理問題，為組織提供相關指導.其本質是風險管理的指導方針，提供了通用的風險管理過程和風險處置過程，可用來實現對ICT供應鏈的安全風險管控.

5) ISO/IEC 20243

ISO/IEC 20243：2018《開放可信技術供應商標準——減少被惡意污染和偽冒的產品》旨在解決產品生命周期中硬件、軟件產品在完整性方面所面臨的特定威脅.該標準將供應商的產品生命周期定義為包括其設計和開發產品的工作，以及該生命周期的供應鏈方面，延伸到設計、采購、建造、執行、運營、維護和報廢等階段.通過標準中列舉的實踐活動，可有效降低供應商被惡意污染和偽冒產品方面的風險.

6) ISO/IEC15288

ISO/IEC/IEEE 15288：2015《系統生命周期過程》建立了過程描述的通用框架，用于描述系統的生命周期.標準提供了支持定義、控制和改進組織或項目中使用的系統生命周期的過程，從這些過程中選出的集合可以在整個生命周期中應用，以管理和執行系統生命周期的各個階段.通過該框架采購方、供應商等多個相關利益方，可以共同構建模型，對系統全生命周期中相關問題達成共識.

7) NISTIR 7622

NISTIR 7622為美國國家標準與技術研究院(NIST)的網絡供應鏈風險管理實踐指南.該標準旨在提供廣泛的實踐，通過這些實踐的實施，將有助于降低聯邦信息系統的供應鏈風險.標準提供了一套概念上可重復的、商業上更合理的供應鏈保證方法和實踐，提供一種了解整個供應鏈的方法和可見性.在整個ICT系統生命周期中，該方法可提升ICT供應鏈風險的能力[2].

8) GB/T 36637—2018

GB/T 36637—2018 《信息安全技術 ICT供應鏈安全風險管理指南》于2018年正式發布.該標準主要針對我國ICT供應鏈安全問題，旨在提升網絡運營者的ICT供應鏈安全管理水平，切實保障我國重要信息系統和關鍵信息基礎設施的ICT供應鏈安全風險.同時ICT產品、服務的供應方、需求方也可通過落地該標準，極大地提升供應鏈安全管理能力，第三方測評機構在對ICT供應鏈開展安全風險評估時也可參考此標準[3].

綜上所述，現有的ICT供應鏈標準往往是從技術或流程方面開展研究，如關注風險管理或關注供需關系.因此要建立符合不同應用場景、不同行業的ICT供應鏈安全標準體系，如5G領域供應鏈安全標準.

3 國內外關鍵信息基礎設施安全標準進展分析

關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等[4].因此，5G供應鏈安全應劃入關鍵信息基礎設施安全的保護范圍，其相關標準也應與關鍵信息基礎設施安全標準要求相符合.

1) 歐盟

歐盟于2004年成立歐盟網絡與信息安全局(ENISA)，用以應對日益嚴峻的網絡與信息安全挑戰，該組織是歐盟最高網絡安全常規機構，負責管理歐盟信息安全事務.

ENISA于2014年發布《識別關鍵信息基礎設施服務和資產的方法論》，文章指明了如何識別關鍵信息基礎設施中的服務和資產，并提供了識別的步驟及方法.2016年，ENISA發布了《保護關鍵信息基礎設施的考量、分析和建議》和《數字服務提供商實施最低安全控制措施技術指南》，分別從開展公私合作、風險評估、安全事件演練、信息共享和建立控制措施等方面提出標準化建議.此外，ENISA還在工控系統、互聯網基礎設施、智能電網、健康醫療、金融、船舶等領域發布了相關安全規定.2017 年11 月，ENISA發布了《關鍵信息基礎設施領域的物聯網安全基線指南》，該報告基于前期發布的專項報告，通過分析物聯網的安全需求、威脅態勢、風險趨勢，設置了物聯網安全基線，提出切實可行的對策，旨在指導歐洲在關鍵信息技術設施領域如何應用物聯網.

2) 美國

2013年美國政府啟動保護關鍵基礎設施信息安全戰略.2014年NIST起草的《提升美國關鍵基礎設施網絡安全的框架規范》正式出臺，該規范提出了一個美國關鍵信息基礎設施安全防護基礎框架，包括識別、保護、監測、響應和恢復5個層面.框架引用了國際標準、行業標準、團體標準相關條款以及NIST的特別出版物，并進一步考慮了如何通過對框架的完善實現對標準體系的擴充.

2017年NIST發布了《提供關鍵信息基礎設施網絡安全路線圖V1.1(草案)》，路線圖提出了在關鍵基礎實施框架下一步工作中計劃延展的12個領域，包括：網絡攻擊生命周期、網絡供應鏈風險管理、網絡安全人員、一致性評估、隱私管理、身份管理等.

為支撐該框架，美國能源部和國土安全部聯合開發了網絡安全能力成熟度模型(C2M2)，從10個安全域對組織內網安全實踐實現情況和制度化程度進行安全能力評估[5].

3) 中國

為配合《關鍵信息基礎設施安全保護條例》的制定與實施，《關鍵信息基礎設施安全保護基本要求》等 8 項標準正在積極研制中，標準族從邊界識別、安全控制措施、安全框架、安全保障、安全防護、安全應急等方面提供了體系化的管理架構，為各部門實施行業內關鍵信息基礎設施安全管理提供標準支撐[6]：

① 《信息安全技術 關鍵信息基礎設施安全防護能力評價方法》

從關鍵信息基礎設施網絡安全保護的過程維度，該標準將關鍵信息基礎設施安全防護能力成熟度分成4個等級，規定了不同級別應進行的基本實踐和能力要求，給出了不同成熟度的評價指標.可用于指導關鍵信息基礎設施運營者對其網絡安全防護能力成熟度進行全面評估，為進一步提升網絡安全防護能力提供參考和依據.

② 《信息安全技術 關鍵信息基礎設施邊界確定方法》

該標準給出了基于信息流的關鍵信息基礎設施邊界確定方法，可將組成關鍵信息基礎設施的重要軟硬件設備、系統識別出來，明確保護對象，確定保護范圍.為關鍵信息基礎設施運營者開展關鍵信息基礎設施邊界識別工作提供參考.

③ 《信息安全技術 關鍵信息基礎設施安全控制措施》

該標準規定了關鍵信息基礎設施運營者在識別認定、安全防護、檢測評估、監測預警、事件處置等環節應實施的安全控制措施.關鍵信息基礎設施運營者根據自身具體情況和識別的安全風險，選擇應采取的安全控制措施，確保將安全風險控制在可接受的范圍.相關安全控制措施也可供關鍵信息基礎設施安全保護工作部門和關鍵信息基礎設施安全保護的其他參與者參考.

④ 《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》

該標準規定了關鍵信息基礎設施識別認定、安全防護、檢測評估、監測預警、事件處置等環節的基本要求.主要用于關鍵信息基礎設施的規劃設計、開發建設、運行維護、退役廢棄等階段的安全保護工作，可適用于關鍵信息基礎設施運營者，也可供關鍵信息基礎設施安全保護工作部門、關鍵信息基礎設施安全保護的其他參與者參考.

⑤ 《信息安全技術 關鍵信息基礎設施安全保障指標體系》

該標準適用于關鍵信息基礎設施安全保障評價工作，用于評價關鍵信息基礎設施安全保障狀況的指標及其釋義.為負責國家行業主管或監管部門判斷信息安全態勢提供支撐，為關鍵信息基礎設施的運營者信息安全保障工作的實施和改進提供支持.

⑥ 《信息安全技術 關鍵信息基礎設施安全檢查評估指南》

該標準給出了關鍵信息基礎設施檢查評估工作的方法、流程和內容.適用于網信部門和有關部門開展關鍵信息基礎設施安全檢查評估，也適用于關鍵信息基礎設施運營者開展安全自查評估.

⑦ 《信息安全技術 關鍵信息基礎設施安全控制評估方法》

該標準規定了關鍵信息基礎設施安全控制評估的原則、原理、實施流程，提出了針對關鍵信息基礎設施中16類安全控制族的評估方法，以及關鍵信息基礎設施安全控制的綜合評估方法.該標準適用于信息安全測評服務機構、關鍵信息基礎設施的主管部門及運營單位對關鍵信息基礎設施所具備的安全控制能力進行測試評估.網絡安全監管職能部門依法進行的關鍵信息基礎設施安全監督檢查可以參考使用.

⑧ 《信息安全技術 關鍵信息基礎設施服務機構通用要求》

通過對政府部門、事業單位、研究機構、國有大型企業等關鍵信息基礎設施建設單位和運營單位對關鍵信息基礎設施服務機構的實際需求進行研究，識別關鍵信息基礎設施服務機構的通用要求，提出通用能力描述框架，構建完備的關鍵信息基礎設施服務認證體系，為構建良性的關鍵信息基礎設施服務認證體系奠定基礎.

目前各國關鍵信息基礎設施標準中缺乏供應鏈安全標準，需制定相關標準，為關鍵信息基礎設施進行統籌建設提供指導.

4 國內外5G安全標準進展分析

5G供應鏈涉及5G設備、組件、元器件、儀器儀表、生產裝備、原材料等多方面供需關系，對5G產品或服務的開發、設計、運營提出了全方位要求.5G供應鏈安全以5G安全為基礎展開，在5G安全的基礎上，從全供應鏈角度進行完善與補充.分析5G安全標準的要求，可以有效識別未來5G供應鏈安全標準關注重點.

1) ISO 27000

國際標準化組織ISO/IEC JTC1 SC27(信息安全、網絡安全和隱私保護分技術委員會)發布的ISO27000《信息技術安全技術信息安全管理系統》系列標準，明確了如何在組織內部建立一個成熟的信息安全管理體系.其中，ISO/IEC27005《信息技術安全技術信息安全風險管理》標準介紹了一般性的風險管理過程，并給出了根據不同通信系統以及不同安全問題和威脅選擇控制措施的方法.ISO/IEC27005被歐盟用于開展5G 網絡安全風險評估[7].

2) ITU-T 5G相關標準

國際電信聯盟電信標準化部門(ITU-T)針對5G網絡安全基礎、IT化網絡設施安全、網絡安全、數據安全和安全運營管控進行了一系列的標準研究.包括：

① ITU-TX.5Gsec-guide《基于ITU-TX.805的5G通信系統安全導則》主要針對基于ITU-TX.805的5G通信系統展開安全研究，通過結合該系統在運用邊緣計算、網絡虛擬化、網絡切片等技術時所產生的特點，研究其在3GPP網絡架構和非3GPP 網絡架構下的安全威脅和安全能力.

② ITU-TX5Gsec-ecs《5G邊緣計算服務的安全框架》根據5G邊緣計算的部署方式以及典型的應用場景，分析5G邊緣計算的安全威脅、安全需求，提出5G邊緣計算服務安全框架.

③ ITU-TX.5Gsec-t《5G生態系統中基于信任關系的安全框架》研究5G生態系統中的信任關系和安全邊界，制定5G生態系統的安全框架[8].

3) 3GPP 5G相關標準

第三代合作伙伴計劃標準化組織(3GPP)聚焦在5G基礎共性、應用與服務安全和IT 化網絡設施安全等方面.3GPP在5G網絡安全領域重點標準包括:

① 3GPP TS33.501《5G系統的安全架構和流程》規定了5G系統的安全架構和流程，確定5G 安全框架分為接入域安全、網絡域安全、用戶域安全、應用域安全、服務域安全、安全可視化和配置安全6個域.

② 3GPP TR33.841《256位算法對5G的支持研究》中指出，基于5G復雜、眾多的應用場景，應將256 b密鑰算法引入到5G系統[9].

③ 3GPPTS33.535《在5G中基于3GPP憑證的應用程序的身份驗證和密鑰管理》，以5G物聯網場景下的應用層接入認證和安全通道建立為切入點，考慮到5G在物聯網、垂直行業、車聯網、超可靠低時延特性、位置服務等方面的安全威脅及需求開展研究，制定并評估了對應的解決方案[10].

④ 3GPPTR33.813《網絡切片增強的安全性研究》針對5G網絡設備的安全保障、5G網絡引入服務化接口安全、5G網絡中偽基站安全、5G切片安全等問題，研究了5G移動通信網網絡切片的安全增強技術，包括網絡切片安全特性、關鍵問題、安全需求及解決方案[11].

4) NIST SP800

SP800是NIST發布的一系列關于信息安全的指南.其中NISTSP800-53《信息系統和組織的安全和隱私控制》、NIST SP800-207《零信任架構》、NIST SP800-82《工業控制系統安全指南》、NIST SP800-160《網絡安全工程技術指南》等分別針對控制措施和隱私保護、零信任架構、工業控制系統安全、安全工程技術等，提供了與5G網絡安全部署應用相關的安全實施指南.

此外,NIST正在推進《5G網絡安全實踐指南》的制定.該指南向5G網絡運營商和用戶提出減緩5G網絡安全風險的方法，以幫助使用5G網絡的組織、網絡運營商和設備供應商提高安全能力，并為電信和公共安全界提供參考.

5) 國內5G相關標準

全國信息安全標準化技術委員會(TC260)針對5G網絡安全推動了《5G網絡安全標準體系》研究，涵蓋安全基礎共性、終端安全、IT化網絡設施安全、應用與服務安全、數據安全和安全運營管理等方面，并持續完善相關配套標準.

全國通信標準化技術委員會(TC485)正在推進關于5G 網絡相關標準的研究，在研標準主要涵蓋基礎共性、通信網絡安全等方面.如：《5G移動通信網通信安全技術要求》主要圍繞5G移動通信網中的通信安全總體技術要求展開研究，為運營商和監管機構在5G安全方面工作的開展提供技術參考；《5G移動通信網絡設備安全保障要求核心網網絡功能》《5G移動通信網絡設備安全保障要求基站設備》主要圍繞5G設備安全，從核心網網絡功能、基站設備等方面，對5G移動通信網絡設備安全提出保障要求.

中國通信標準化協會(CCSA)發布的5G網絡安全相關行業標準YD/T3628—2019《5G移動通信網安全技術要求》，明確了對5GSA網絡和NSA網絡的基本安全要求，包括5G網絡安全架構、安全需求、安全功能實現等.在研標準《5G網絡中的IPSec需求和方案研究》主要圍繞5G網絡中的IPSec需求和方案開展研究.在研標準《5G數據安全總體技術要求》從5G業務應用、5G終端設備、5G無線接入、5G核心網等方面規定了5G數據安全的總體技術要求.在研標準《5G移動通信網通信管制技術要求》主要關注5G移動通信網通信管制技術要求.

綜上，已發布及在研的5G安全相關標準多聚焦于5G網絡安全、5G技術安全、5G設備安全，缺少從5G供應鏈全局部署的標準意見.因此急需制定5G供應鏈相關標準，彌補此項空缺.

5 我國5G供應鏈安全標準化建議

目前我國對5G安全、ICT供應鏈安全、關鍵信息基礎設施安全方面均已有體系化的標準研究，但5G供應鏈安全相關標準仍較為匱乏，尤其是缺乏有效的5G供應鏈安全風險評估機制和手段[12].

因此需要結合ICT供應鏈安全要求、關鍵信息基礎設施供應鏈安全要求、5G應用場景安全要求等，制定和完善5G供應鏈安全標準.

同時，為貫徹落實網絡強國戰略，落實《中華人民共和國網絡安全法》《國家網絡空間安全戰略》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》有關開展關鍵信息基礎設施供應鏈安全評估的要求，支撐國家網絡安全審查工作機制的落地執行，建議加強5G供應鏈安全評估標準研制，建立一套完備且系統的、可行的、具有可操作性的5G供應鏈安全評估工作的指標體系[13]：

1) 充分借鑒ICT供應鏈安全、關鍵信息基礎設施安全、5G安全相關標準，重點圍繞供應鏈安全開展標準研究，針對關鍵芯片和模組生產企業、5G通信基礎設施相關的無線基站系統設備制造企業、網絡設備制造企業、儀器儀表生產企業、網絡規劃設計企業、網絡運營企業、網絡運行維護企業、終端及應用場景相關廠商，提出不同的安全保障要求，確保5G供應鏈上下游運行同步安全.

2) 配套研究5G供應鏈安全相關評估方法、審計要求、風險管理等系列標準，形成體系化標準規定，確保5G供應鏈安全要求在5G產業鏈運行過程中可以有效實施與應用.

3) 選取供應鏈安全風險最為突出和急迫的5G產業領域，積極推進5G供應鏈安全標準應用試點工作，驗證標準研究成果，遴選出應用效果優良的標準項目，實時進行標準成果轉化和推廣應用，為實施有效的具有可操作性的ICT供應鏈安全風險評估和管理體系提供有益參考.

通過開展5G供應鏈安全標準研制，有效解決5G供應鏈安全無標準、無體系、無依據的被動局面，推動各方提升供應鏈安全管理水平，更好地提供5G產品和服務，在保障5G安全以及國家網絡空間安全等方面發揮積極作用.