1、 HYPERLINK / 5G 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)：網(wǎng)絡(luò)安全策略的標(biāo)準(zhǔn)化要求分析 HYPERLINK / 【譯者按】2022 年 3 月, 歐盟網(wǎng)絡(luò)安全局發(fā)布5G 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)：網(wǎng)絡(luò)安全策略的標(biāo)準(zhǔn)化要求分析報(bào)告。報(bào)告通過(guò)評(píng)估現(xiàn)有 5G 生態(tài)系統(tǒng)網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則（2021 年 9 月前發(fā)布）對(duì)實(shí)現(xiàn) 5G 網(wǎng)絡(luò)安全可靠性和彈性的作用，認(rèn)為現(xiàn)有 5G 安全標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則過(guò)于寬泛，適用性有待提升，涵蓋范圍不足，建議循序漸進(jìn)地推動(dòng) 5G 標(biāo)準(zhǔn)化，增加 5G標(biāo)準(zhǔn)制定的針對(duì)性以及各相關(guān)方行動(dòng)一致性，注重提升標(biāo)準(zhǔn)化、彈性和信任。賽迪智庫(kù)網(wǎng)絡(luò)安全研究所對(duì)該報(bào)告進(jìn)行了編譯，期望對(duì)我國(guó)主管部門、研究機(jī)構(gòu)、相

2、關(guān)企業(yè)等提供參考。 HYPERLINK / 【關(guān)鍵詞】5G網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化一、概要本報(bào)告旨在闡述標(biāo)準(zhǔn)化在減少 5G 生態(tài)系統(tǒng)的技術(shù)風(fēng)險(xiǎn)，提升信任度和彈性方面的作用。概括分析了 2021 年 9 月前發(fā)布的 5G 生態(tài)系統(tǒng)網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則，評(píng)估了上述標(biāo)準(zhǔn)文件對(duì) 5G 安全環(huán)境所具有的價(jià)值以及標(biāo)準(zhǔn)的適用性，并針對(duì)提升 5G 安全標(biāo)準(zhǔn)化水平提出建議。本報(bào)告建議要循序漸進(jìn)地推動(dòng) 5G 標(biāo)準(zhǔn)化，考慮新標(biāo)準(zhǔn)的實(shí)用性和必要性及與戰(zhàn)略目標(biāo)間的聯(lián)系，強(qiáng)調(diào) 5G 生態(tài)系統(tǒng)中的所有相關(guān)方需要在評(píng)估風(fēng)險(xiǎn)方法上協(xié)調(diào)一致，以提高風(fēng)險(xiǎn)判斷與評(píng)估的成熟度和完整性。二、5G 生態(tài)系統(tǒng)范圍5G 生態(tài)系統(tǒng)包含以下幾個(gè)維度

3、（表 1）。表 1：5G 生態(tài)系統(tǒng)的維度5G 生態(tài)系統(tǒng)的組成部分定義5G 技術(shù)和功能領(lǐng)域5G 網(wǎng)絡(luò)的基本功能及相關(guān)的支持資產(chǎn)類別，代表 5G 技術(shù)組件及其交互范圍。技術(shù)生命周期流程適用于 5G 服務(wù)和依賴 5G 垂直行業(yè)的生命周期流程。包括：設(shè)計(jì)、構(gòu)建、測(cè)試、運(yùn)行、更新、生命周期結(jié)束。5G 各相關(guān)方與 5G 網(wǎng)絡(luò)和垂直行業(yè)相關(guān)的（公共或私人）實(shí)體。包括：5G 服務(wù)客戶或消費(fèi)者、電信行業(yè)（簡(jiǎn)稱電信）、數(shù)據(jù)中心服務(wù)提供商（DCSP）、連接設(shè)備行業(yè)、網(wǎng)絡(luò)安全評(píng)估、網(wǎng)絡(luò)安全信息交換、標(biāo)準(zhǔn)制定組織（SDO）協(xié)會(huì)聯(lián)盟、研究和創(chuàng)新機(jī)構(gòu)。5G 安全領(lǐng)域、目標(biāo)和措施5G 生態(tài)系統(tǒng)的安全維度，內(nèi)容包括歐盟網(wǎng)絡(luò)安全

4、局在歐洲電子通信規(guī)范安全措施準(zhǔn)則及 5G 補(bǔ)充安全措施中提出的安全領(lǐng)域、目標(biāo)和措施。包括：治理和風(fēng)險(xiǎn)管理、人力資源安全、系統(tǒng)和設(shè)施安全、運(yùn)營(yíng)管理、事件管理、業(yè)務(wù)連續(xù)性管理、監(jiān)控、審查和測(cè)試、威脅意識(shí)。、三、5G 生態(tài)系統(tǒng)標(biāo)準(zhǔn)文件的作用與評(píng)估本報(bào)告從現(xiàn)有標(biāo)準(zhǔn)中選出140 多份文件和150 多項(xiàng)安全措施，詳細(xì)分析并評(píng)估其對(duì) 5G 生態(tài)系統(tǒng)安全的涵蓋程度，相關(guān)結(jié)果見(jiàn)表 2。表 2：按安全領(lǐng)域劃分的現(xiàn)有標(biāo)準(zhǔn)文件涵蓋范圍匯總安全領(lǐng)域適用文件分類5G 生態(tài)系統(tǒng)維度涵蓋范圍結(jié)果各相關(guān)方5G 技術(shù)和功能領(lǐng)域技術(shù)生命周期流程D1 治理和風(fēng)險(xiǎn)管標(biāo)準(zhǔn)全部全部全部現(xiàn)有標(biāo)準(zhǔn)文件與 5G 生態(tài)系統(tǒng)各個(gè)維度有一定關(guān)系，但并

5、非專用于 5G。為充分利用這些文件，各相關(guān)方應(yīng)根據(jù)相關(guān)的 5G 技術(shù)和功能領(lǐng)域及技術(shù)生命周期流程，對(duì)其進(jìn)行大幅理調(diào)整。D2 人力資源安全標(biāo)準(zhǔn)全部全部全部現(xiàn)有標(biāo)準(zhǔn)文件與 5G 生態(tài)系統(tǒng)各個(gè)維度有一定關(guān)系，但并非專用于 5G。為充分利用這些文件，各相關(guān)方應(yīng)根據(jù)相關(guān)的 5G 技術(shù)和功能領(lǐng)域以及技術(shù)生命周期流程，對(duì)其進(jìn)行大安全領(lǐng)域適用文件分類5G 生態(tài)系統(tǒng)維度涵蓋范圍結(jié)果各相關(guān)方5G 技術(shù)和功能領(lǐng)域技術(shù)生命周期流程幅調(diào)整。D3系統(tǒng)和設(shè)施安全標(biāo)準(zhǔn)規(guī)范準(zhǔn)則電信行業(yè)數(shù)據(jù)中心服務(wù)提供商全部運(yùn)行雖然這些標(biāo)準(zhǔn)文件是通用的，但與電信行業(yè)和數(shù)據(jù)中心服務(wù)提供商的相關(guān)度較高。在 5G 環(huán)境中，“運(yùn)行”階段進(jìn)行調(diào)整較為容易

6、，“設(shè)計(jì)”和“構(gòu)建”階段進(jìn)行調(diào)整則需要各相關(guān)方付出很大努力。D4 運(yùn)營(yíng)管 理規(guī)范電信行業(yè)全部運(yùn)行現(xiàn)有標(biāo)準(zhǔn)文件并非專用于 5G，但與電信行業(yè)的相關(guān)度較高。為充分利用這些文件，各相關(guān)方應(yīng)在“設(shè)計(jì)”和“構(gòu)建”階段，根據(jù)相關(guān)的 5G 技術(shù)和功能領(lǐng)域以及技術(shù)生命周期流程，對(duì)其進(jìn)行大幅調(diào)整。D5 事件管 理標(biāo)準(zhǔn)電信行業(yè)全部運(yùn)行現(xiàn)有標(biāo)準(zhǔn)文件并非專用于 5G，但與電信行業(yè)的相關(guān)度較高。為充分利用這些文件，各相關(guān)方應(yīng)在“設(shè)計(jì)”和“構(gòu)建”階段，根據(jù)相關(guān)的 5G 技術(shù)和功能領(lǐng)域以及技術(shù)生命周期流程，對(duì)其進(jìn)行大幅調(diào)整。D6 業(yè)務(wù)現(xiàn)有標(biāo)準(zhǔn)文件并非專用于 5G，但與電信行業(yè)的相關(guān)度較高。為充分利用這些文件，各相關(guān)方應(yīng)在“

7、設(shè)計(jì)”和“構(gòu)建”階段，根據(jù)相關(guān)的 5G 技術(shù)和功能領(lǐng)域以及技術(shù)生命周期流連續(xù)標(biāo)準(zhǔn)電信行業(yè)全部運(yùn)行性管理程，對(duì)其進(jìn)行大幅調(diào)整。D7 監(jiān)控、現(xiàn)有標(biāo)準(zhǔn)文件并非專用于 5G，但與電信行業(yè)的相關(guān)度較高。為充分利用這些文件，各相關(guān)方應(yīng)在“設(shè)計(jì)”和“構(gòu)建”階段，根據(jù)相關(guān)的 5G 技術(shù)和功能領(lǐng)域以及技術(shù)生命周期流審查標(biāo)準(zhǔn)電信行業(yè)全部運(yùn)行和測(cè)試程，對(duì)其進(jìn)行大幅調(diào)整。D8 威脅準(zhǔn)則電信行業(yè)全部運(yùn)行現(xiàn)有標(biāo)準(zhǔn)文件并非專用于 5G，但與電信行業(yè)的相關(guān)度較高。為充分利用這些文件，各相關(guān)方應(yīng)在“設(shè)計(jì)”安全領(lǐng)域適用文件分類5G 生態(tài)系統(tǒng)維度涵蓋范圍結(jié)果各相關(guān)方5G 技術(shù)和功能領(lǐng)域技術(shù)生命周期流程意 識(shí)和“構(gòu)建”階段，根據(jù)相關(guān)

8、的 5G 技術(shù)和功能領(lǐng)域以及技術(shù)生命周期流程，對(duì)其進(jìn)行大幅調(diào)整。四、5G 安全標(biāo)準(zhǔn)化的不足和差距針對(duì) 5G 安全各領(lǐng)域現(xiàn)有標(biāo)準(zhǔn)文件，梳理現(xiàn)有標(biāo)準(zhǔn)文件中部分涵蓋、涵蓋較少或沒(méi)有涵蓋的領(lǐng)域，評(píng)估現(xiàn)有標(biāo)準(zhǔn)文件實(shí)現(xiàn)“理想情況”的程度，以及在實(shí)施中可用的標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則，減少了 5G 技術(shù)和機(jī)構(gòu)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并提供了充分的安全保障。專家組以此作為參照，確定了標(biāo)準(zhǔn)化完整性水平，如表 5 所示。其中顏色代碼規(guī)則如表 3 所示。表 3：標(biāo)準(zhǔn)化完整性的顏色代碼顏色代碼定義現(xiàn)有標(biāo)準(zhǔn)文件綠色單元格表示對(duì)所涉及的相關(guān)方而言，現(xiàn)有標(biāo)準(zhǔn)文件涵蓋了所有安全領(lǐng)域。一定差距黃色單元格表示這些領(lǐng)域存在一定的標(biāo)準(zhǔn)化差距。若現(xiàn)有標(biāo)準(zhǔn)

9、文件僅部分涵蓋該領(lǐng)域，則存在“一定”差距，需要一定努力以彌合差距。較大差距粉色單元格表示這些領(lǐng)域存在較大的標(biāo)準(zhǔn)化差距。若現(xiàn)有標(biāo)準(zhǔn)文件沒(méi)有涵蓋該領(lǐng)域（或涵蓋較少），則存在“較大”差距，需要特別努力以彌合差距。顏色代碼定義沒(méi)有差距/不相關(guān)沒(méi)有顏色的單元格表示這些區(qū)域沒(méi)有差距，或者與相關(guān)方不相關(guān)。表 5 的括號(hào)內(nèi)標(biāo)明了各個(gè)領(lǐng)域的相關(guān)標(biāo)準(zhǔn)文件，并對(duì)現(xiàn)有標(biāo)準(zhǔn)文件參考的簡(jiǎn)寫方式進(jìn)行了分組。如表 4：表 4：參考標(biāo)準(zhǔn)文件簡(jiǎn)寫：簡(jiǎn)寫表示所選文件的涵蓋領(lǐng)域簡(jiǎn)寫所選文件涵蓋ISOIEC27KISO/IEC 27000 系列ISOIEC20KIT 服務(wù)流程圖SUPPLSEC供應(yīng)商安全POLTEMPLATES構(gòu)建安全

10、策略RM網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理ENISATL歐盟網(wǎng)絡(luò)安全局威脅工作SP800HR人力資源安全I(xiàn)AM身份和訪問(wèn)管理DEVSECOPSIT 生命周期安全3GPP-All第三代合作伙伴計(jì)劃技術(shù)規(guī)范NFVSEC網(wǎng)絡(luò)功能虛擬化的安全性eUICC嵌入式通用集成電路卡（eUICC）領(lǐng)域的安全性CRYPTOTECH使用密碼技術(shù)PHYSEC物理和環(huán)境安全HARDEN技術(shù)可靠性VULN漏洞管理THREATMOD威脅建模和安全監(jiān)控SECASSUR安全保障和相關(guān)準(zhǔn)則簡(jiǎn)寫所選文件涵蓋AUDIT審查計(jì)劃和評(píng)估BCM機(jī)構(gòu)和技術(shù)彈性表 5：評(píng)估標(biāo)準(zhǔn)涵蓋范圍和差距不足各相關(guān)方5G 服務(wù)客 戶 或消費(fèi)者電 信行業(yè)數(shù) 據(jù) 中心 服 務(wù)提

11、供商連 接設(shè) 備行 業(yè)網(wǎng)絡(luò)安全評(píng)估各相關(guān)方網(wǎng) 絡(luò) 安 全信 息 交 換各相關(guān)方研 究 和 創(chuàng) 新機(jī)構(gòu)在標(biāo)準(zhǔn)化中的作用通過(guò)實(shí)施標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則，實(shí)現(xiàn)安全使用、部署和運(yùn)營(yíng) 5G 網(wǎng)絡(luò)和/或服務(wù)等安全目標(biāo)審查標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則的實(shí)施情況通 過(guò) 實(shí) 施標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則，安全 交 換 網(wǎng)絡(luò)情報(bào)通 過(guò) 制 定 新的標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則，揭示標(biāo)準(zhǔn)缺漏，并利 用 創(chuàng) 新 推動(dòng)標(biāo)準(zhǔn)化D1治理和風(fēng)險(xiǎn)管理涵蓋該領(lǐng)域的現(xiàn)有標(biāo)準(zhǔn)文件ISOIEC27K、ISO20K、RM、 SP800HR、ENISATL、ISOIECSUPPL、 POLTEMPLATESSECASSURRMRM NFVSECDEVSECOPS、 HARDEN

12、一定差距：現(xiàn)有標(biāo)準(zhǔn)文件部分涵蓋的領(lǐng)域特定行業(yè)的治理和風(fēng)險(xiǎn)管理特定行業(yè)風(fēng)險(xiǎn)登記冊(cè)特定行業(yè)信息安全管理體系（ISMS）和隱私信息管理體系（PIMS）的實(shí)施情況第 三 方 5G風(fēng)險(xiǎn)評(píng)估用 于 共 享治 理 和 風(fēng)險(xiǎn) 管 理 方面 成 熟 做法 的 跨 境信 息 交 流流程D2人力資源安全涵蓋該領(lǐng)域的現(xiàn)有標(biāo)準(zhǔn)文件SP800HR、IAMSP800HRSP800HRISOIEC27K、SP800HR、 IAM一定差距：現(xiàn)有標(biāo)準(zhǔn)文件部分涵蓋的領(lǐng)域特定垂直行業(yè)教育安全內(nèi)容，指定認(rèn)知 計(jì) 劃 和 培 訓(xùn) 內(nèi) 容 ， 例 如 慕 課（MOOC），嚴(yán)肅游戲服務(wù)（注：該領(lǐng)域可實(shí)施軟措施而非標(biāo)準(zhǔn)）人力資源管理流程的評(píng)估

13、方法用 于 人 力資 源 安 全信 息 交 換（ 例 如 成熟做法）的跨境流程特 定 垂 直 行業(yè) 教 育 的 安全內(nèi)容，指定認(rèn) 知 計(jì) 劃 和培訓(xùn)內(nèi)容，例如慕課、嚴(yán)肅游戲服務(wù)D3系統(tǒng)涵蓋該領(lǐng)域的現(xiàn)有標(biāo)準(zhǔn)文件PHYSEC、IAM、3GPP-All、SECASSUR、CRYPTOTECH、NFVSEC、 eUICCAUDIT、 SECASSURDEVSCOPS、eUICC、 CRYPTOTECH和設(shè)施一定差距：現(xiàn)有標(biāo)準(zhǔn)文件部分涵蓋5G 垂直行業(yè)可靠配置和部署5G 微服務(wù)和自動(dòng)化的可靠配置5G 垂直行業(yè)安全性的評(píng)估方法測(cè) 試 平 臺(tái) 環(huán)境和工具安的領(lǐng)域無(wú)線接入網(wǎng)、開(kāi)放無(wú)線接入網(wǎng)、開(kāi)5G 微服務(wù)全放

14、網(wǎng)絡(luò)自動(dòng)化平臺(tái)（ONAP）的安全性和自動(dòng)化配置可靠性的評(píng)估方法較大差距：現(xiàn)有標(biāo)準(zhǔn)文件沒(méi)有涵蓋（或涵蓋較少）的領(lǐng)域適用于5G 解決方案采購(gòu)合同中的供應(yīng)商的信息安全要求可靠配置和部署的自動(dòng)化編排和微服務(wù)的安全性審查（ 注：該領(lǐng)域可實(shí)施軟措施而非標(biāo)準(zhǔn)）涵蓋該領(lǐng)域的現(xiàn)有標(biāo)準(zhǔn)文件ISO20K、RM、 NFVSEC標(biāo)準(zhǔn)ISO20K、RM、 AUDIT標(biāo)準(zhǔn)DEVSECOPS一定差距：固件、數(shù)據(jù)D4運(yùn)現(xiàn)有標(biāo)準(zhǔn)文件部分涵蓋關(guān)于 5G 特定云原生和邊緣部署的高要求聚合和相關(guān)組件的操作5G 運(yùn)營(yíng)第三方風(fēng)險(xiǎn)評(píng)估營(yíng)的領(lǐng)域和安全工作管理較大差距：現(xiàn)有標(biāo)準(zhǔn)文件沒(méi)有涵蓋（或涵蓋較少）的領(lǐng)域5G 特定云原生和邊緣部署完整生命周

15、期的實(shí)施要求，例如：證書(shū)集中管理、可互操作的自動(dòng)化和編排、無(wú)服務(wù)器環(huán)境工業(yè)物聯(lián)網(wǎng)的自動(dòng)化安全評(píng)估測(cè) 試 平 臺(tái) 環(huán)境和工具涵蓋該領(lǐng)域的現(xiàn)有標(biāo)準(zhǔn)文件ISOIEC20K、ISOIEC27K、BCM、 AUDITTHREATMOD、NFVSECISOIEC20K、 ISOIEC27K、 BCM、 AUDITISOIEC20K、ISOIEC27K、BCM、AUDITDEVSECOPS5G 特定端 到 端 事件 管 理 的場(chǎng)景類型，D5事件管理一定差距：現(xiàn)有標(biāo)準(zhǔn)文件部分涵蓋的領(lǐng)域5G 特定端到端事件管理的場(chǎng)景類型，包括 5G 環(huán)境中的事件嚴(yán)重程度標(biāo)準(zhǔn)和閾值事件調(diào)查和證據(jù)監(jiān)管鏈的評(píng)估方法包括 5G 環(huán)境

16、中 的 事件 嚴(yán) 重 程度 標(biāo) 準(zhǔn) 和閾值用于共享事 件 響 應(yīng)方 面 成 熟做 法 的 跨境 信 息 交換流程較大差距：自動(dòng)化事件現(xiàn)有標(biāo)準(zhǔn)文5G 環(huán)境中的自動(dòng)化事件響應(yīng)響應(yīng)性能的件沒(méi)有涵蓋評(píng)估方法（或涵蓋較少）的領(lǐng)域D6業(yè)務(wù)連續(xù)性管理涵蓋該領(lǐng)域的現(xiàn)有標(biāo)準(zhǔn)文件ISOIEC27K、VULN、BCMISOIEC27K、 VULN、 BCM、AUDITISOIEC27K、BCM、AUDIT一定差距：現(xiàn)有標(biāo)準(zhǔn)文件部分涵蓋的領(lǐng)域5G 特定業(yè)務(wù)影響分析信息與通信技術(shù)準(zhǔn)備情況的評(píng)估方法5G 特定災(zāi)難恢復(fù)用 于 共 享業(yè) 務(wù) 連 續(xù)性 方 面 成熟 做 法 的跨 境 信 息交換流程較大差距：現(xiàn)有標(biāo)準(zhǔn)文業(yè)務(wù)連續(xù)

17、性方面的信息件沒(méi)有涵蓋5G 功能和編排的技術(shù)災(zāi)難恢復(fù)計(jì)劃與通信技術(shù)（或涵蓋較準(zhǔn)備情況的少）的領(lǐng)域評(píng)估方法涵蓋該領(lǐng)域的現(xiàn)有標(biāo)準(zhǔn)文件VULN、HARDEN、THREATMOD、 DEVSCOPSAUDITDEVSECOPSD7監(jiān)一定差距：現(xiàn)有標(biāo)準(zhǔn)文件部分涵蓋的領(lǐng)域監(jiān)控能力評(píng)估方法自動(dòng)化測(cè)試平臺(tái)能力評(píng)估方法用 于 共 享監(jiān)測(cè)、審查控和 測(cè) 試 方、面 成 熟 做審法 的 跨 行查業(yè) 信 息 交和換流程測(cè)試較大差距：現(xiàn)有標(biāo)準(zhǔn)文5G 特定日志源件沒(méi)有涵蓋5G 端到端服務(wù)和漫游方面的事件關(guān)（或涵蓋較少）的領(lǐng)域聯(lián)涵蓋該領(lǐng)域的現(xiàn)有標(biāo)準(zhǔn)文件風(fēng)險(xiǎn)源知識(shí)庫(kù)、攻擊方法、事件手冊(cè)中 的 成 熟 做 法 、 THREAT

18、MOD 、ISOIEC27K、RM、SECASSURTHREATMO DTHREATM ODDEVSCOPS、eUICC、 CRYPTOTECHD8威脅意一定差距：現(xiàn)有標(biāo)準(zhǔn)文件部分涵蓋的領(lǐng)域適用于無(wú)線接入網(wǎng)/開(kāi)放無(wú)線接入網(wǎng)、應(yīng)用程序編程接口、開(kāi)放網(wǎng)絡(luò)自動(dòng)化平臺(tái)和云原生技術(shù)的 5G 垂直行業(yè)威脅類型威脅情報(bào)有效性和威脅追蹤能力的評(píng)估方法用 于 共 享威 脅 情 報(bào)的 跨 行 業(yè)信 息 交 換流程實(shí) 施 標(biāo) 準(zhǔn) 的必要條件：新的規(guī)范、測(cè)試平 臺(tái) 環(huán) 境 和工具識(shí)較大差距：現(xiàn)有標(biāo)準(zhǔn)文件沒(méi)有涵蓋自動(dòng)修復(fù)手冊(cè)（或涵蓋較少）的領(lǐng)域*注：對(duì)于研究和創(chuàng)新機(jī)構(gòu)，差距指的是這些機(jī)構(gòu)需要進(jìn)一步完善的領(lǐng)域。*注：該領(lǐng)

19、域可實(shí)施軟措施而非標(biāo)準(zhǔn)。上表（表 5）中確定的安全領(lǐng)域差距總結(jié)如下：安全領(lǐng)域一定差距較大差距D1 治理和風(fēng)險(xiǎn)管理特定行業(yè)治理和風(fēng)險(xiǎn)管理特定行業(yè)風(fēng)險(xiǎn)登記冊(cè)特定行業(yè)信息安全管理體系和隱私信息管理體系的實(shí)施情況第三方 5G 風(fēng)險(xiǎn)評(píng)估用于共享治理和風(fēng)險(xiǎn)管理方面成熟做法的跨境信息交流流程D2 人力資源安全特定垂直行業(yè)教育的安全內(nèi)容，指定認(rèn)知計(jì)劃和培訓(xùn)內(nèi)容，例如慕課，嚴(yán)肅游戲服務(wù)（注：該領(lǐng)域可實(shí)施軟措施而非標(biāo)準(zhǔn)）人力資源管理流程的評(píng)估方法用于人力資源安全信息交換（例如成熟做法）的跨境流程D3 系統(tǒng)和設(shè)施安全5G 垂直行業(yè)用例的可靠性配置和部署微服務(wù)和自動(dòng)化的可靠配置無(wú)線接入網(wǎng)、開(kāi)放無(wú)線接入網(wǎng)、開(kāi)放網(wǎng)絡(luò)自動(dòng)

20、化平臺(tái)的安全性5G 垂直行業(yè)安全性的評(píng)估方法5G 微服務(wù)和自動(dòng)化配置可靠性評(píng)估方法適用于 5G 解決方案采購(gòu)合同中的供應(yīng)商的信息安全要求可靠配置和部署的自動(dòng)化編排和微服務(wù)的安全性審查（注：該領(lǐng)域可實(shí)施軟措施而非標(biāo)準(zhǔn)）D4 運(yùn)營(yíng)管理關(guān)于 5G 特定云原生和邊緣部署的高要求固件、數(shù)據(jù)聚合和相關(guān)組件的操作和安全工作5G 運(yùn)營(yíng)第三方風(fēng)險(xiǎn)評(píng)估5G 特定云原生和邊緣部署完整生命周期的實(shí)施要求，例如：證書(shū)集中管理、可互操作的自動(dòng)化和編排、無(wú)服務(wù)器環(huán)境工業(yè)物聯(lián)網(wǎng)自動(dòng)化安全評(píng)估D5 事件管理5G 特定端到端事件管理的場(chǎng)景類型，包括 5G 環(huán)境中的事件嚴(yán)重程度標(biāo)準(zhǔn)和閾值5G 環(huán)境中自動(dòng)化事件響應(yīng)安全領(lǐng)域一定差距較

21、大差距事件調(diào)查和證據(jù)監(jiān)管鏈的評(píng)估方法用于共享成熟做法的跨境信息交流流程自動(dòng)化事件響應(yīng)性能的評(píng)估方法D6 業(yè)務(wù)連續(xù)性管理5G 特定業(yè)務(wù)影響分析信息與通信技術(shù)準(zhǔn)備情況的評(píng)估方法5G 特定災(zāi)難恢復(fù)用于共享業(yè)務(wù)連續(xù)性方面成熟做法的跨境信息交換流程5G 功能和編排的技術(shù)災(zāi)難恢復(fù)計(jì)劃業(yè)務(wù)連續(xù)性方面的信息與通信技術(shù)準(zhǔn)備情況的評(píng)估方法D7監(jiān)控、審查和測(cè)試監(jiān)控能力的評(píng)估方法自動(dòng)化測(cè)試平臺(tái)能力的評(píng)估方法用于共享監(jiān)測(cè)、審查和測(cè)試方面成熟做法的跨行業(yè)信息交換流程5G 特定日志源5G 端到端服務(wù)和漫游方面的事件關(guān)聯(lián)適用于無(wú)線接入網(wǎng)/開(kāi)放無(wú)線接入網(wǎng)、應(yīng)用程序編程接口、開(kāi)放網(wǎng)絡(luò)自動(dòng)化平臺(tái)和D8 威脅意識(shí)云原生技術(shù)的 5G

22、垂直行業(yè)威脅類型威脅情報(bào)有效性和威脅追蹤能力的評(píng)估方法自動(dòng)修復(fù)手冊(cè)用于共享威脅情報(bào)的跨行業(yè)信息交換流程通過(guò)評(píng)估 5G 安全標(biāo)準(zhǔn)化水平，本報(bào)告得出如下主要結(jié)論：治理和風(fēng)險(xiǎn)管理領(lǐng)域、人力資源安全方面存在一定差距?，F(xiàn)有標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則都過(guò)于寬泛。經(jīng)過(guò)調(diào)整后，才能適用于 5G 技術(shù)和功能領(lǐng)域及相關(guān)生命周期流程。5G 特定標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則更適用于電信行業(yè)的各相關(guān)方（例如，連接設(shè)備行業(yè)的審查機(jī)構(gòu)和各相關(guān)方）。5G 特定標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則基本涵蓋了技術(shù)生命周期的“運(yùn)行”階段，其他階段相關(guān)標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則需要調(diào)整。網(wǎng)絡(luò)安全威脅和IT 安全準(zhǔn)則方面現(xiàn)有知識(shí)庫(kù)可用于5G 云原生架構(gòu)和基于應(yīng)用程序編程接口（API）的架構(gòu)，電信行業(yè)已開(kāi)始利用這些軟件推動(dòng)“云化”。五、有關(guān)建議（一）循序漸進(jìn)地推動(dòng) 5G 標(biāo)準(zhǔn)化，首先需完善現(xiàn)有標(biāo)準(zhǔn)文件。（二）制定新標(biāo)準(zhǔn)應(yīng)考慮實(shí)用性和必要性，及與戰(zhàn)略目標(biāo)間的聯(lián)系。實(shí)用性和必要性。考慮對(duì)于特定安全措施、特定 5G 領(lǐng)域、生命周期特定階段的相關(guān)方而言，創(chuàng)建標(biāo)準(zhǔn)、規(guī)范和準(zhǔn)則是否必要、實(shí)用。與戰(zhàn)略目標(biāo)的聯(lián)系。確保所有新的參考標(biāo)準(zhǔn)文件與應(yīng)實(shí)現(xiàn)的戰(zhàn)略目標(biāo)之間