摘要：随着5G商用化进程加速，5G安全问题已成为国际关注焦点，运营商在部署5G网络设备时，确保设备安全性符合要求至关重要。本文分析了构建5G网络设备安全评测体系的意义，介绍了两个国际设备安全评测方法的基本情况，分别是通用准则（Common Criteria，CC）和网络设备安全保证计划（Network Equipment Security Assurance Scheme，NESAS），并对推动我国5G网络设备安全评测工作提出了建议。

   关键词：5G安全；5G网络设备安全评测体系；CC；NESAS

1、引言

   5G作为新一代信息通信技术的主要发展方向之一，是实现万物互联的关键基础设施，也是加速各行各业融合应用的源动力。5G的商用化加速给科技、经济及社会各领域带来深刻变革的同时，也将给国家公共安全、网络信息安全以及个人数据安全等方面带来更广范围、更深程度的挑战。

   基础网络设备是网络稳定运行的根基，若设备存在安全漏洞，将给整个网络系统与使用网络的用户隐私带来安全风险，尤其是在5G时代，高速率、低时延、大连接等特点扩大了安全风险的影响范围，加快了影响的扩散速度。因此，5G网络设备的安全性不容忽视，构建完善的5G网络设备安全评测体系至关重要。

   5G网络设备安全评测体系是指评估机构依据5G网络设备安全评测标准，采用被认可的方法对5G网络设备及相关系统的安全性进行评价与测试。建立国际互认的5G网络设备安全评测体系，具有重要意义：一是评测结果可作为运营商或其他购买商选择设备的可靠依据，从而让使用者对设备的安全性有全面认识，提高对已评测设备安全的信任；二是公认的安全评测体系有助于提升5G网络设备从设计开发、生产制造到运行维护全部流程的安全水平，从而推进5G产业的安全发展；三是网络设备的安全性保障为5G网络的安全运行奠定了基础。

2、国际设备安全评测方法介绍

   目前，国际上已有评测设备安全性的参考方法，包括通用准则（Common Criteria，CC）和网络设备安全保证计划（Network Equipment Security Assurance Scheme，NESAS）。

2.1  CC

   CC是评测信息技术产品和系统安全等级的基本准则，该准则从信息安全的保密性、完整性和可用性出发，提出了目前国际公认的信息技术安全性的认证方法[1]。

（1）CC的发展历程

   1985年，美国国防部针对评估计算机操作系统的安全性发布了世界上第一个信息技术评估标准——《可信计算机系统安全评估准则》（Trusted Computer system Evaluation Criteria，TCSEC）。之后，英国、法国、德国、荷兰及加拿大等国家基于TCSEC的基本概念，开始研究并相继发布了关于信息技术安全性评估的准则，这使得对信息技术的评估更加全面、灵活，同时也提高了国际上对信息安全评估的重视及研究力度。1996年1月，美国、加拿大、英国等6个国家联合成立的CC工作组发布了CC1.0版本；1998年，发布了2.0版本，并将其提交给国际标准化组织（International Organization for Standardization，ISO）[2]；1999年6月，ISO以CC2.0版本为基础，形成了ISO/IEC15408草案，并在广泛征求意见后，于1999年12月正式发布了信息安全评估领域的国际标准ISO/IEC15408：1999。在之后的近20年间，信息安全技术及产业飞速发展，CC也经历了两次修订，直到2015年，CC发展委员会（Common Criteria Development Board，CCDB）提出了修订第四版本的建议。第四版CC现正处于研究制定中，其结构和概念将出现较大改变。

（2）CC的主要内容

   CC提出了评估信息技术产品和系统安全性的架构，即把对评估对象（Target of Evaluation，TOE）提出的安全要求分为安全功能要求和安全保障要求。CC在ISO/IEC15408：2009及之前的版本中均以3部分内容出现，在修订中的第四版本里，增加了评估方法和活动规范的框架、预定义的安全要求包两部分内容，变为5个部分结构组成（见图1）。

图1 CC的组成

   第一部分介绍了ISO/IEC15408的整体情况，定义了信息技术安全评估的概念和原则，提出了安全评估的通用模型。该部分还介绍了制定信息技术安全目标、选择和定义信息技术安全需求的架构，同时也为编写产品及系统的高级规范提供了准则。

   第二部分规定了规范信息技术安全行为的安全功能要求，建立了一组以“类-族-组件”结构出现的功能组件，作为表示TOE功能要求的标准方法[3]。

   第三部分规定了一种描述TOE保障要求的标准方法。与第二部分一样，该部分的保障组件也是按照“类-族-组件”进行分类，组件是最小构件块。正在修订的第四版本中，提出了模块化评估方法，并增加了相应的保障组件。

   第四部分规定了评估方法和活动规范的框架，是正在修订的最新版本中引入的全新内容。该部分为描述通用的功能测试方法及测试活动提供支持，对测试方法的制定过程进行规范，同时将通用评估方法（Common Evaluation Methodology，CEM）中的工作单元部分进行细化，提高了功能测试方法的普适性及测试结果的可重复性[4]。

   第五部分描述了预定义的7个安全保障包，并为后续加入其他安全功能包提供基础[4]。

   采用CC对信息技术产品和系统进行评测认证，其认证结果会得到通用准则互认协议（Common Criteria Recognition Arrangement，CCRA）签署国家的认可。目前，签署CCRA的国家共有31个，其中有17个属于证书颁发（Certificate Authorizing）国家，14个属于证书使用（Certificate Consuming）国家。证书颁发国家均设立认证机构，认证机构授权得到CCRA认可的评测实验室对产品或系统进行安全评测，同时对评测实验室进行监管，并定期进行监督审计。信息技术产品和系统的评估保障等级（Evaluation Assurance Level，EAL）共7级，经其中一个CCRA成员国认证达到EAL4+的产品，其认证结果在所有CCRA成员国中皆被认可。该认证体系的应用，在明确产品安全性的同时，也缓解了需在不同国家进行多次测试的压力，降低了产品安全认证的复杂性。

（3）评价与分析

   CC源于6国的信息技术安全性评估准则，经历多年的应用与修订，其内容较为全面，并已得到多国认可，成为信息技术产品及系统的基本评估准则，我国也于2001年3月发布了等同采用CC的国家标准GB/T 18336。

   但CC适用于所有信息技术产品，包括硬件和软件，并没有专门针对评测网络设备安全性的方法。同时，CC主要是对信息技术产品与系统的技术评估，没有涉及到通过行政组织、官方人员、程序的控制等行政性安全管理措施实现的信息技术安全。

2.2  NESAS

   NESAS为证明网络设备是否满足一系列的安全需求、设备供应商是否按照安全要求进行产品开发提供了安全基线，同时也为运营商和设备供应商提供了安全保证的技术参考。

（1）NESAS的发展背景

   在许多国家，运营商的任务之一是部署并运行可靠的移动网络，网络能否安全运行依赖于设备供应商生产的网络设备安全性。对于运营商来说，了解供应商提供设备的安全级别十分重要。为了协助运营商确定网络设备的安全水平，降低商业风险，全球移动通信系统协会（Global System for Mobile Communications Assembly，GSMA）联合第三代合作伙伴计划（3rd Generation Partnership Project，3GPP）共同制定了NESAS。其中，GSMA定义了移动通信行业的安全需求、设备厂商的产品开发及产品全生命周期流程评估框架，并于2019年10月发布1.0版本；3GPP定义了用于评测网络设备安全性的测试标准，即SCAS（Security Assurance Specification）系列标准，该系列标准已于2019年9月完成并发布。

（2）NESAS的主要内容

   GSMA提出评测网络设备安全性的方法有两种：一是评定设备供应商开发和产品生命周期流程的安全性，由GSMA选择的安全审计员（需来自世界级的安全审计公司，如Atsec、Nccgroup）审查设备厂商是否将安全性融入到自定义的产品生命周期流程中；二是检测网络设备的安全性，依据一套预定义的安全测试标准，由获得ISO/IEC 17025认证并被GSMA承认的安全检测实验室对所有网络设备进行客观测试，将网络设备所达到的安全级别可视化[5]。针对方法一，GSMA制定了系列文档，包括FS.13（网络设备安全保障计划概述）、FS.14（安全测试实验室认证需求及流程）、FS.15（设备商开发及产品全生命周期审计方法）和FS.16（设备商开发及产品全生命周期安全需求），用于审计设备生产过程的安全性；针对方法二，NESAS采用了3GPP制定的SCAS系列标准，包括通用安全保障需求、网络产品安全保障方法论及针对5G网元功能发布的系列标准，用于评测5G网络设备本身的安全性。

   根据这两种方法，GSMA定义了评价5G网络设备安全性的流程（见图2）。

图2 NESAS 5G网络设备安全评测流程

   设备供应商可定义各自的流程，描述如何将安全性融入在产品的设计、开发、实现和维护过程中，并根据FS.16对流程的合规性进行自我评定。设备供应商可在GSMA任命的独立审计专家组中选择一位审计员并向其证明内部所有流程与NESAS定义的安全需求一致。若审计员在审计后认为该设备供应商的内部流程符合NESAS的要求，则可在GSMA的NESAS网站上发布审计报告。通过审计的设备商将生产的设备交给NESAS安全测试实验室，根据3GPP定义的SCAS系列标准对网络设备的安全等级进行测试，并验证通过审计的设备商内部流程是否已应用于被测的网络设备中；最终，测试实验室依据评测结果出具评测报告。

（3）评价与分析

   NESAS作为一个移动产业的志愿计划，给多方提供了行业解决方案。对于网络运营商来说，该方案的实施可以增加对网络设备安全性的信心；对设备供应商来说，可在设计之初就将安全性融入产品中，促进设备供应行业形成的安全产品文化，同时也节约了向多个运营商证明其产品安全性的成本；对监管部门来说，一个统一的安全评测体系可减少大量的安全性测试负担，提高了效率。但NESAS体系还未得到国际的统一认可，其影响力有待提升。

3、我国5G网络设备安全评测体系的构建

   随着5G商用步伐的加快，5G网络设备安全评测已逐渐成为运营商、设备供应商、垂直行业及监管部门的关注焦点，我国也致力于建立安全可靠、开放透明、合作共赢的5G全球生态链。根据前文对CC国际认证和NESAS保障体系的总结及分析，后者对5G网络设备的安全性评测更具有针对性，值得借鉴。关于推动我国5G网络设备的安全评测工作，可从3方面开展。

（1）同步参与国际标准研究，加快国内相关标准推出

   NESAS等国际设备安全评测标准在持续演进中，我国应鼓励运营商、设备商、科研机构等相关单位积极参与标准的研究工作，提高在国际标准上的话语权。同时，结合我国实际情况，加快国内5G安全评测标准的制定与推出。

（2）推动5G设备安全测试能力建设，提高实验室国际化水平

   加大5G安全技术研发投入，加速开展5G安全测试研究工作，推动5G设备安全测试能力建设。同时，关注国际上安全测试实验室认证需求及流程动态（如GSMA等），鼓励国内有关实验室参与国际上相关认可实验室的申请工作，提高我国安全测试实验室国际化水平。

（3）加快我国5G设备安全评测体系构建，推动国际互认

   健全我国行业政策和安全框架，完善设备安全评测机制，构建我国5G设备安全评测体系。同时，加强5G安全领域国际交流与合作，推动我国5G安全设备检测工作与国际接轨，实现5G设备安全检测体系国际互认。

参考文献

[1] 李守鹏, 方关宝, 李鹤田. 信息技术安全性评估通用准则(CC)的主要特征[C]. 中国计算机学会信息保密专业委员会学术年会论文集, 2001:146-154.

[2] 逄淑宁, 封莎. 信息技术安全评估通用准则CC综述[J]. 电信网技术, 2011,(8):59-63.

[3] ISO/IEC/JTC1.ISO/IEC 15408 Information technology-security techniques-evaluation criteria for IT security[S]. Switzerland:ISO/IEC, 2009. 

[4] 高金萍, 石竑松, 贾炜, 等. 通用评估准则国际标准的修订进展[J]. 信息技术与标准化, 2018,(5):64-67.

[5] GSMA. Network equipment security assurance scheme [EB/OL]. (2019-10-04)[2019-12-30]. https://www.gsma.com/security/network-equipment-security-assurance-scheme/.