20215GEECC安全措施指南.docx

5G补充EECC安全措施指南第二版目录介绍51.1 目标和范0S512政策背景613本文件的结构6背景5G风险和措施721欧盟协调5G网络安全的方法722术语和定义723 5G资产824 5G风险825 5G网络安全工具箱中的姬解措施1026 EECC安全措施技术指南125G技术简介133.1 领域DI治理和风险管理1432领域D2人力资源安全1533领域D3系统和设施的安全1634领域D4运营管理1835领域D5事件管理193.6 领域D6业务连续性管理193.7 领域D7监控、审计和测试203B领域D8威胁意识21特定5G技术的安全性234.1网络虚拟化安全2442网络切片安全2643边缘计算安全26附件一缩略语列表附件IlSGPP安全参考列表293032附件三工具箱映射1,介绍本文档包含5G技术简介，它补充了安全指南EEeC下的措施1.以下简称本指南。5G技术概况为国家主管部门提供了有关如何确保5G网络安全的额外指导。本文件是与欧盟国家电信安全机构的专家（即ECASEC专家蛆（以前称为ECASEC专家组）密切合作制定的。第13a条专家组），以及5GNISCG工作流程的成员网络安全。图1:EECC下的ENISA安全措施指南的结构ENISAGUIDELINE-SECURITYMEASURESUNDERTHEEECCEU TOOLBOXON 5G SECURITYAUDIENCE: NATIONAL AUTHORITIESFortelecom SECURrrYMAINGUIDELINE("theframework")SyncedwithEECC§40,418domansr29securityobjectivesTechnologyneutralGUIDELINESUPPLEMENT(o5Gprofile”)AdditionalguidanceandchecklistsforNationalAuthoritiesSyncedwithSGToolboxTechnologyspecify考虑到5G技术的动态性质和相关威胁形势，本文档应随着技术和风险的发展而更新。ENISA可能会考虑使用本补充指南的替代电子格式，以更好地支持定期更新。1.1目标和范围本文件的目的是为主管当局提供有关如何确保5G网络和服务提供商采取适当安全措施的额外指导。本）卜充明确并细化了EECC下专门针对5G技术的安全措施指南中更通用的安全措施<,考虑到5G技术的复杂性以及部署和配置选项的多样性，对于不同的5G网络和服务部署,风险和必要的安全措施都会有很大不同。这意味着针对副情况深入评估设置和安全性非常重要，例如S过对MNo进行审计2。,https7vww.enisa.europa.eu）ublicationsguidelineon-scri<y-measures-under-th-eecc'本补充的范BB不包括5G网络的完整审核指南.但主管部门可以参考遵行本指南第5.6节中给出的审计通信月赌提供商的一般指南。12政策背景该指南和本补充文件是负责执行EECC第40条的国家主管部门的指南。该指南和本朴充文杵还涉及欧盟5G镇解措施工具箱的支持行动SA01。它还就工具箱下的技术安全措施（特别是TMol向欧盟成员国提供指导。通过实施徜南3和科卜充文件中的措施，可以全部或部分实施其他技术措施,本补充文件进一步提供了参考内容。13本文件的结构本文档的结构如下：第2节包含必要的背景信息,flW5G网络网括安全的简短介绍,总结欧盟协调一致的5G网络网络安全方法的成果,列出关键资产以及在全联盟风险评估中确定的关愧风险,并总结BJ335G网络安全工具箱中有哪些内容。第3节包含5G技术梃况,为国家当局提供有关5G网络适当安全措施的补充指导。该配置文件包含针对指南中8个安全域中每个安全域的简短一般指导和具体指导。最后，在第4节中，我们简要讨论5G网络的一些具体技术方面，这些方面从网络安全的角度来看，它£）特别令人感兴趣对于每项关键技术,我Inffi供±管当局可能希望考虑的相关行业标准和最佳实践的信息或参考。1.4版本和变更EMSA会在必要时经主管当局同意定期更新指南和本补充材料。补充的第二版是对2020年12月10日发布的初始版本的外噌更新。补充的更新与指南（现为第四版的更新同时进行。第二版朴充的主要变化：- 根掂第四版指南，将安全目标4的名称更新为-第三方依赖项的安全性”- 附加安全检查编号安全目标14中添加了26个- 表13中的修订证娓映射“域D6的附加指导清单”2背景：5G风险及措施2.1欧盟对5G网络安全的协调方法欧盟委员会关于5G网络网络安全的建议（以下简称“建议”圻2019年3月26日发布，指出5G网络的网络安全对于保护欧盟的经济和社会并网保欧盟的技术主权至关里要。陛建议呼吁成员国完成国家风险评估并审查国家措施,在欧盟层面共同开展协调的风险两古，并准备可能的媛解措施工具箱O基于各个国家风险评估，委员会和成员国在ENISA的支持下，制定了单一的欧盟5G网络网络安全协调风险评估3（以下简称协调风险评估”）。此次协调风险评估确定主要威胁和威胁行为者、最敏蛔主却丽和韧双险,为了便于参考，我Ine2.2节中重申了主要资产.叔3节中重申了主要风险。22术语和定义本文件中使用的术选和定义遵循协调风险评估第1.12和1.24段中的术语和定义。为了方便参考.我们将它们列在这里。表2:定义移动网络运蓄商-移动网络运营商4向用户提供移动网络服务5、运营自己的网络或在第三方6的利助下的实体。移动网络运营商的供应商向移动网络运营商提供服务或基础设施以构建和屋运营其网络的实体。该类别包括：-电信设备制造商；其他第三方供应商，例如云基此谢随供商、系的飒鼠安全礴噂包商、传输设§碘商。联同设备制造商和相关服务提供商提供将连接到5G网络（例如智能手机、联网锚,电子幽的对象或服务的实体以及托管在5G控制CI面中的相关服务组件（如富于服务的架构或移动边缘计算中定义）在EECCWHTMNO是公共电子通Al同端或公共电子通信网络提供荏的一种类电可用的电子遇见“务5在本文件中移动网临留务第的是5G网格,因比相依的术UlMZO用于表示提供5G移动网格厦务的交体6tt>M附评估中给出的JWS定义力IS）用户提供移动网JeIB旁.在於三方砌下M自己多刖阕K方7谶姒W网络:KM南曲第三方遑一耳恸幽T蒯了-或来精色修改上述定义.2.3 5G资产当本文件中提及关SI或敏感网络组件或功能时，这蝴件或功能的识别应耳于协飒险评估第221段中定义的资产敏感性的高雄分类并与其保持一致。为了便于参考，我们复制了下面引用的第2.21段中的表格。表3:铲（根据协调风险评估）核心网络功能批判的管理职能；用户设备数据传慵嫄；访丽3;网络服务的用BSaS权：悬其用户和网珞数据的存健;与第三方移娴的按.招核心网络功觌H外茄应用程序;将最蛙用户设备归震于网络切片NFV管理和网络ift推批判的（数千）管理系既和支持服务（MANO除外）中/高安全管理系晚;,计费和其他支持网络性能等系蜕无城接入网络高的基站运输和传输功能中儒底层网络设备（路由器、交换机等）；过废略（防火瞅IPS.）互联网络交换中/高MNo场所外部的IP网络；第三方提供的网络服务有关所列资产类别的更多详细信息一请参阅协调风险的第2.22-2.27段评怙。备注：上述资产列表是通用的高级列表，着眼于5G架构的整体元素。在识别特定资产时，移动网络运营商应遵循循南中崎访法，并针对其特定环境进行自己的分析，并确定哪些特定资产做国内（请参阅指南第4.1节）。随着向5G网络和服务的过渡，Itt类资产列表预计将进行更新，以考虑引入的新资产（也如第3节中进一步建议的那样）,并且理想情况下应与上述资产列表保持一致，特别是在估计资产方面关键性。2.4 5G风险协调风险评估确定了由具体风险场景说明的几个主要风险类别，视了威幽油者可以用来达到其目标的可能攻击路径O为了便于参考，我们在下表中列出了这些风险，并复制了协调风险评估中的文本。表4:风险（根据协调风险评估）的EI-相关风险情景安全措施不足WlL'屐用蹒计算节点来损害信息机密性并造成破坏分布刘族.R2:缺乏访问控制：具炯珞M理员e三面包国丸行不加fi»作.噂棚般/充盘性和/或可用性连规。分包鹿的行为可能是由于第三国施加的法律要求或承包商员工的流氓行为。R3:产品质量低：戢或国家却的行为者使用恶球件滥用质般的网络组件或影响核心网络中鳏族（例如网络虚拟化H-5G供应链相关风险场景功能的无意漏洞进行间谍活动。R4:对单个网络内任何单T共应商的依赖或在全国范围内缺乏多样性：移动网络运营商从单T共应商处来购大敏感网络姐件或服务。由于供应商未能提供（例如.由于第三国的贸易球或其他商业情况）.该供应商提供的设备和/或更新的可用性随后急剧减少。结果.供应硒设备质量由于优先考虑保证供应而不是提高产品安全性而下降OR5:j®35G供应链进行国家十陵:敌对国家行为者对其管辖礴内的供应商通过（有意或无意做入的漏洞提供对敏感网络资产的访问。川-与主要威胁行为者作案手法相关的风险情景IV-与5G网络和其他关键系线之间的相互R6:有蛆织犯罪或有组织犯罪集团针对最终用户利用5G网珞:有蛆织犯罪集团通过控制5G网络架构的关键部分，破用仲脸,以琳依腿普喇脚辎的企业i三商本身。三,使滕似的漱承径,存幽湖喘胸也可能以最终用户为目标，硼崛向网三用户注入虚假消息作为大规模.网络钓鱼攻击或在线诈骗的一部分，耽丽过使用受损的网纷燃取有关用户的机密数据（例如第二因素身份粉证码以获取更多利润。R7:关BMUt设施或服务的产.中断:怒翼SMf能够通过航第专用网珞切片来破卬*燃R务,从市撕牌务的可用性以及该服务中使用的偃总题K的完整性.依赖性相关的风险场景V-与最终用户设备相关的风险场景R8：由于电力供应或其他支持系统中断而导致网络大规模故隙：由于自然灾害或国冢国家支持的行为者或有a嘲膜团对电网的攻击而造成的大规模电力供应中断。R9:娜轲（物联网利用:黑客组织成国家支持的行为者控翎®联网（传感器、冢用电器等将低安全设备，以便通过压倒其信令0面来攻击网络。备注：上述协调风险评估中确定的风险列表可被视为通用的、高级别的风险列表，被认为与整个欧盟的MS相关。实际上,移动网络运营商应遵循专指三中H塔的方法,根腐蛹礴衔自己的磁评估，用蜓庭院风险雌附f的峭第4.1节）。向&G网珞和服务的过渡.加飒险评怙狡计将迸行更新,以考虑特定的5G风险（也如第3节中进一步建议的刃解）,并且最好与上述风险列表保持一致我们建议读者参阅ENISA5G威胁态势7,了解更详细、瑚术性的信息5G网络威胁概述。，有关5G网搭ENISA威胁态势的信息,请弁阅第4节和表15。2.5 5G网络安全工具箱中的媛解措施2020年1月29日,NIS合作小组发布了欧盟风险媛解措施工具箱8（“工具箱”），以解决协调风险评估中发现的风险。同日，除盟委员会通过了一份通讯（欧盟的安全5G部署实施欧盟工具箱$,其中认可了工具箱的结论，强调了有效和快速实施的$要性.并晒成员国采取具体拼施实施它们的步现该工具箱磔定了微软可以采取的两组措施：战略和技术措施,它还确定了一些可以支持、协助实施或提高战略和技术措施有效性的支持行动。MITIGATING MEASURESContribute to the mitigation ofSUPPORTINGACTIONSMay be mitigated byStrategic measures Regulatory powers, Third party suppliers, Diversification of suppliersTechnical measures Baseline network security, 5G specific network security Standardisation and certificationEnable, assist and improve effectiveness of 5G supply and Resilience and 我们在下表中总结了工具箱中的战略和技术措施缙e chainEnabled, supported or made more effective with support of表5:工具箱中的战略措施列表*https:ec.europa.eWdigitasingemarketennewsCyberSeCUrrty5gnetw<xks-egoolboxriskmiOgating-measures9CommissionCommunicationCOM(2020)50.!龈5G部誉实施欧三S工具箱2020年1月29日，httpsec.efopa.eewsroo11Vdaedocument.cfm?doc_ld=64481表6：工具箱中的技术措葩列表TMOl确保星统安全要求的应用（安全网络、ISlt和架构）TMO2确保和评估现有5G标准中安全措施的实施TMO3确保严格的访问控制TM04提高虚拟化网络功能的安全性TMO5确保安全的5G网络管理、运营和监控TMO6加强物理安全TM07加强软件完整性、更新和补丁管理TM08通过健全的采的条件提高供应商流程的安全标准TM09使用欧盟5G网珞认证。蛆件'客户设备和/或供应商流程TMIo对其他非5G特定ICT产品和服务使用欧盟认证10TMIl加强弹住和连续性计划表7:工具箱中的支持操作列表10互联设备、云服务2.6EECC下的安全措施指南<ENISAEECC安全措施指南（简称&指南:，为主管当局提供了有关实旅EECC第40条和第41条的技术细节的指导。它为当局提供有关如何确保提供商评估风险并采取适当安全措施的指导。它包含29个高级安全目标的列表，分为8个域O槌据安全目标,它列出了提供商为实现安全目标可飒取的详细安全指危这些措施分为三个日益黛杂的级别。安全目标和安全措施的总体结构如下图所示。图3:安全目标和安全措施的总体结构8 DOMAINS29 SECURITY OBJECTIVESDx Security domainSO ×: Security objectiveSO x: Security objectiveSO x: Security objectiveSO x: Security objectiveDx Security domain该指南分为8个安全域：SO x: Security objectiveSO x: Security objectiveSO x: Security objective- D1:融- D2:- D3：辍和雌般全D4ds：wm- D6:业务连续性管理- D7:监控.审树砸t- D8:磁细该指南是技术中立的，安全措施适用于不同类型的网络和服务以及不同类型的电子通信提供商。3. 5G技术简介本节（5G技术简介是对通用且与技术无关的指南的补充，通过澄清和细化5G网络和服务的安全措施，为5G提供了额外且更具体的指南。在监管提供5G网络的移动网络运营商时，主管部门应提出一些高层次的一般性问题：1. MNO是否已羟制定了一般安全措施，例如皿安全措施指南中包含的安全措施？2. MNo是否根据5G网络部署和运营的要求更新了风险评估、资产清单和操作程序,并相应加强了一般安全措施？3. MNO是否实施3GPP12等相关5G标准中的具体安全措施，包括与安全相关的可选控制措施，同附嫄则是否也适用于MNo在网络中使用的产品和设备？4. MNO在整体风险评估中是否考虑了与5G网络具体相关的关键新技术（例如虚拟化、切片、峥懈等）.并是否部署了足够的控制措施来减轻相关风险？在本节的其余部分中，我们为主管当局提供了8个安全域中每个域的详细指导，如下所示：对于每个域，我们首先列出所有底层安全目标；-然后，我们强调那些可能被认为对5G网络和月赌特别重要的目标，并提供其相关性的简要理由；对于每个突出的目标，我们还提供了一份清单，其中包含主管当局可能考虑的其他要素；-最后,我们参考了To。IboXl3中的相关技术措施。备注：考虑到所提供的月类型和感知的总体风险水口,主管当局可能需要考虑要求实施最高至3级的措施，特别是对于那些确定的安全目标（在上述步赛#2中特别重要。然而，最终由主管当局蟒适当的复杂程度，解t考虑指南第4.2节（关于最低安全措施的备注并提供的指导。在评估3GPP标准安全控制的实施情况时,主曾当局可能会发现参考本补充附录Il中提供的参考列表很有用。13此外,科卜充文忤的Rt忤三"（“充的超南女物域与工具箱中的相关技术搭施之间的映射哀.除了赛超蟋TMol之外,礴按闾联描J酮卜充相胸来解决这快问涉及所有安全域3.1领域D1：治理和风险管理域D1（治理和风险管理廊盖以下安全目标：SO1:信息安全政策SO2SO3:安角踝!则SO4:第三方依陵项的安全性该安全域对于确保移动网络运营商采取适当的措施和流程来持续、充分地管理信息安全风险非常重要。特别重要的是.确保审查和更新风险清单,以考虑5G网络特有的关健风险,特别是协调风险评估中艇的风险,并采取适当的技术措施来减轻与5G相关的供应链风险网络。根需评估高风险供应商的国冢方法（根据工具箱措施SMo3）,这可能还包括要求MNO对其主要供应商的风险状况迸行评估,施0与最后隹相关的评估协调风险评估中提到：供应商的产品整体质和网络安全实践，包硼其自身供应链的控例度以及是否对安全实践给予足够的优先级。本节进一步列出的一回南包括在这方面可以考虑的检查示例14。主管当局应密切关注目标So2（治理和风险管理JOSO4（第三方依赖项的安全性），检查这些目标下的措胞是否得到实施,并考虑下表中建议的额外检查。这解决了ToOlboX测TM08的问题,并在某科醒度上解决了TMO9和TMIO的问题。表8:域Dl的附加指导清单是否考了与漕在风应托管服务,供商I包括居住在其他同法管辖区的供应商沃富提供相关的威胁?3SO2在评估网络和服务安全的主要风险时.是否考虑了对单一5G设备供应商的漕在依赖？L机一六）4SO作为合同安排的一部分MNO是否对第三方提出安全要来？是否有机制来监控供应商是否满足上述合同安排？evi5SO4MNO是否要求供应商遵守针对5G网络蛆件、客户设留种或供应商流程或其他非5G特定ICT产品和服务（例如最终用户设留和,或云服务的相关欧98认证计划16?evi6SO7SOMNO是否要求供应商证明内部信息安全流程的质水CI,包括在产品开发流程中内安全设计？e(vi4MNO是否要求供痛商在产品的整个生命周期中遵守最住安践和行业标准?同Ml此外.主管当局也可能希望在结当的情;兄下探索和利用供应商的柢念句倨度,如!侬MS,所应用的那样.MJffl.翻801j三全日刹H件2（https7ec.europa.u,grovh,tls-databaserisdindx.cfmsearch1?trisaction=se8rch.detail&year=2020&num=496&mLang=EN）.特别要求公共电信网络金莺商和日益要的公共电传服务去供商在内买关键部件之前法当选择关键部件的碘网和触高或供应应适当的选择还包括对供应物的可IS度造行道当的检受，义务公司必旃狭海供应拗全面声明,以证明文可砒该声明幽话及所有安全1联姐件和谈（如果信用挞及供应霖本身（制造商，包括供f三商.以及卖方依供应商（如果JS用£1.已讯别风险列表是否与协调风险评估中确定的5G网络主要风险一致?-*J-1's在这里,以及奉节中,清单表最后一列中的引用是指指南中与建议的检查最相关的相应措施和相关证矣并以以下格式提供【措施IDn证据ID,当欧殷认证计划不可用时,其他SiM解决方案,Wjoaantkiiitsjs据行业标准,w三ac.14#1以需要考虑的检查,考号158SO4MNO是否要求供应商为其产品的定期安全和津造利讯提供支持？IeJMJ9SO4MNO是否要求供应¢5保证其产品中不存在故意引入的澹洞.并及时SgtM卜其产品中的任何已知能洞17?IeJMJelFvil10SO411SO4MNo是否要求供应商保证充分保护客户的机密信息，并且不向第三方（特别是外国情报或安全机构M来自或罚关其客户的机密信息？IelMJ12SO4MNO是否要求供应商支持MNO调查和林救安全事杵19?同M在审查和完瞽与采购相关的MNO要求时（与上述强调的安全目标So4第三方依赖项的安全性相关）,主管当局可能还会发现探索与ICT安全要求相关的技术报告和最佳实践很有用采购,例如下面列出的两份ENlSA报告。联实照技术中立的文件,R中包阚安全ICT产品和械务的明料.雌ICT安全指南电子通信租务提供商的果的3.2领域D2蹒特及*or山安全.2014实用工具,供个体提供商在与ICT产品和外包服务供应商打交道时更好地管理安全风险。说郎的可能导致用户电子通信服务由S的安登风险映射到完整的安全要求框架,谢SJR领用于用于电子通信网络和服务核心运营的ICT产品和外包服务供应商。https:/www.enisa.europa.eu/pu信息/信息通信技术采购安全指南域D2（人力资源安全海釜以下安全目标：SO5:背景调SSO6:5±KRftJlSO7:SO8:处垂砌彷3此安全域中的许多措施涉及人员，在谢情兄F,人员不仅包话员工，还蹄事的睇三捌户。这在5G网络背景下尤其量要，瞄为了管理关键网络功能,越来越依粮分包商（包括来自第三国的分包商）。此外,关键人员的充分知识对于解决欧SS协调风险评估中发现的重要脆翳性之一至关重要.该评估特别适用于如果供应海被It了温烟,主管当局可能还希望确保移踞网络运营俺向他们披寡此类H洞,9包括与SG网络安全速接相关的所有3GPP可送安全功能"理想情况下，安全应该是移动网络运营商和供应商之间的共同责任。移动网络运营商：秋急过培训W专业人员来保护、监控和维护5G网络和服务。主曾当局应密切关注目标SO5（背景检查JQSO6（安全知识和培训），检查这些目标下的措施是否得到实施,并考虑下表建议的Ia外检刑这涉及Tlbox测TM05和TMo6。表9:域D2的附加指导清华3.3领域D3:域D3（系统和设施安金雳差以下安全目标：SO9:辘椰利段全SO10:SO11:网络和信息系统的访问控制SO12:蹴和信息系统的完整性S013:酶极SO14:保护安全关健数据这些安全目标包含用于确保网络和系统的物理和邃辑安全的各种控制。因此，域D3在确保关傕或敏感网络组件或功能的技术保护方面可旄发挥着核心作用，因为协调风险评ft中确定的大多数技炳¾以及随后工耳箱中宜定的大级斓关技术措施都是怡怡关系到5G网络及相关信息系统和设施的物理和逻辑安全。因此.主者当局应密切关注目标SO9（物理和环境安全）、SO11（网络和信息系统的访问控制）、SO12（网络和信息系统的完整性）、SO13（加密的使用JflSO14（保护该领域下的安全关键数据），检查这些目标下的措施是否得到实施，并考虑下表中建议的一些额i2MyTToolboxSJ*TM03,TMO6所MO7的礴,并与工具箱测TM02和TMo4。表10:域D3的附加指导清单请注意,如果此安全目标被解释为.此检2E可能会极视为不直接Ii于SO12的逍国仅与软件完整性有关。如果从更广泛的意义上解移,即涉及网络和信息系统的一般完整性,那么可以在延国内考虑保护包含数据或最跨科IE仃嵌入式软件本身的收件IoUJ以考虑此相会的整网射.例如将其与SO10-供应安全相关（尽管在此上下文中的供庖更多地涉及电力供应等公用事业）、S。4-第三方依赖项的安全（如果为供应商定义了义务且至SO9-物理安全（如果尚未在网珞中部署的资产包含在范围内）。22例如CVSS分数7.0-10.023通过SUCI和SIDF进行SUPI阳1IC解除序越2,例如TLS1.2或1.3或PRINS25SBA廊TLSl.2或1.3以需要考虑的检查21SO13是台采用加定米保开1用尸炉和5fc¾5Nj时用尸柳吕i耐TJ研雷Ti，<-H-.=J22SO14根据最佳实践.是否有适当的控制措施来保护UICC（或eUICC，6中的加击密钥材料Q(-.=)(=)23SO14是否根据最佳实现制定了造当的控制措施来保护用于加密订户永久标识符（SUPI）的圈辆材料？LK日根据最健实践,是否有牯当的控制指施来保护用于加$网络元件之）司或不同网络之间的通信的任何其他加密密留材料27?24SO14=1(=125S014是否有蚕当的控制措施来保护VNF私忸以物证5G核心网络中的NF交换？*26SO14如果加密密钥材料存储在第三方密钥服务器上,是否与旅刻8提供商签订了正当的合同安排以确保该密钥材料的安全？3.4领域D4：运营管理域D4（运营管理周盖以下安全目标：SO15SO16:变革管理S。17:考虑到5G网络基础设施关键要素的技术复杂性和软伟噫度的提高.移动网络运营商拥有良好且最新的运营程序尤为重要.特别是与资产管理相关的暇序.以了解关键资产并拥有健全的变革管理机制，因此,主管当局应密切关注目标So16（变更管理flSO17（资产管理），检查这些目标下的措施是否得到实施.并考虑下表中建议的额外检行。此地址为工具箱测TM070表11:域D4的附加指导清单2SO16条件，则向主管当局报告？僮的【二、国3SO16成界化网络环境的变史（例如通过软忤定义的网络蛆件的修林是否包含在变更管理政策和程序中？(b.d(Jv)<?air鉴于5G向Jt于软件的同蜡的状变MNO是否考虑转向软件开发生命周期最住实践,施CML持图I曲特娱开发（CMCD）和DevSecOps?.-Jl112：.,1资产重要性评估是否与协调风险评估中确定的关键资产列表一致？55017。叫M6SON7MNO是否建立了相关信息存储库/注用表,其中包含存关己部技术和姐件的详细信S.并且此类注册表是否得到适当维护（例如,根笼网格变化及时更新）？(b.cl(ii.v)7SO17移动网络运营商的资产管理政物程序中是否设想了机制,用于对其触®产进行定期评估并对其物理网翩严a行分类（例如核心网络资产、像脚播处的I效区MClmM26即使NUICC制i制转移到MNO，这可能包括（但不限于用于远程啾N32的加卷密例材料#P)以需要考虑的检杳参考号8SO17资产IJ理政第，程序是否已更新，以反映SG网络可能会被虚以化的事买VNF以自动方赶谢匕和退役,并且此类更新是否包念足梦的规定.wms网络（包括数据流的皇好理解.信任啦堀虚网师在的物理主机的位Jt和状态,MclWM3.5领域D5:事傕理域D5（事件管理施盖以下安全目标：SoI8:事件管蝴序SO19:新懒测能SO20:事佛姑和碉新一代移动网络的技术复杂性、对提供设备和/或服务的供应商和/或托管服务提供商的潜在依赖（有时使用来自第三国的远程连接以及威胁形势的整体复杂性需要成熟的事件管理能力.包艺梆件检测就此外，向I联主丽拴面确出艮告对5G网络和服务运营产生重大影响的事件也同样重要。Eifc,主管当局应密切关注目标SO19（事件检测能力JOSO20（事件报告和通信）,检查这些目标下的措施是否得到实施.并考虑下表建獭外检查，这涉及工具箱测TM050表12:域D5的附加指导清单域D6（业务连续性管理将前以下安全目标：SO21:服务连续怅瞬和应急i优SO22:勉磔触“例如网冷运营中心（woe犯/或安全运营中心（Soc）,其可以用于以下日的：及附亥或It大事件贰事件R侬循工具箱技术MfcTMK中定的一般央求MS殿跑的女鼓可能会*1所不同该领域措施的实施可确保强大的网络弹性以及足够的灾难恢复和业务连续住能力。虽然这可能已经成为MNO运营的重要俎成部分.<as得强调其在5G网络背景下的重要性，如协调风险评估和工具箱所示。在协调风险评估中，由于电力供应或其他支持系统中断而导级的大现模网络故牌被明确强调为5G网络已确定的9个重大风险之一。因此，工具箱技术措领MIl呼吁移动网络运营商进一步加强相应的弹性和连续性计划。主管当局应密切关注目标SO21（服务注续性战略和应急计划JMSO22（灾难恢复能力），检查这些目标下的措胞是否得到实施.并考虑下表建议的额外检查。这涉及ToOIbOX技术措施TMIlo表13:域D6的附加指导清单域D7,唱史审栩哂,渊&以下安全目标:SO23:监控和记录策略SO24:SO25:网络和信息系统测试SO26:5三SO27三4W如前所述,除了拥在强大的事件检测和管理功能之外.搞有凝杂的监控和日志记录功能对于检利和分析安全事件也非常重要.这可能特别与颈期远程访问关键或微惑网络组件或功能的环境相关，尤其是当从第三国和/或被认为是高风险的供应商或服务提供商建立此类访问时。特别是,协通风险评估将移动网络运营触泛适当的3应硼定为关键Jt洞之一。SfcToolbox技术措施TM05以及技术搭施TM03都强调了产格监控和记录的必要性.同时,考虑到虚拟化和软件化的增加,测试和安全评估在5G网络中的康要性可能会更高。虽然没有明晌表示g比如说.由于贸易制裁、市场状况或类似情况工具箱中提到，这与一强技术措施隐含相关，特别是技术措施TMO731。最后,实施适当的合规性监控可确保持续符合印联标准，并且在5G背景下,这还可以礴保符合工具箱（技术措施TM02襄求的3GPP等相关5G标准。因此，主管当局应密切关注目标SO23（监控和记录政策）.SO25（网络和信息系既测试）.SO26（安全评估WSO27（合规性监控），检者这些目标下的措施是否得到实施,以及考虑下表中建议的额外检超这涉及工具箱测量TMo3、TMo5和TMo7.并与工具箱测TM02和TMO4相关。表14域D7的附加指导清单是否根据工具箱技术措SSTM05的建议制定了足够的监控能力以倒5供满，W可见性并至少对关键或微感网络组1SO23胁？2SO23监控和日志记录政策是否还包括监控VPN和从远程位置远程访问5G网络32?IbxH=J3SO23是否对漫游和互连进行监控（例如消息监控和过混功能.以识到厢阻止格式错误、禁止和未经授权的辘包,fl认接口只能由正确的外部应用程序和/或网络访问，并启用审计日志记录和交付数据传输至SIEM以分析相关威胁向）?bl(三.四4SO25所有补丁（尤其是针对关健或敏感网络组件或功能的补丁是否在部署之前在受控环境中进行了安全测试？IaMujiil5S26描和渗透测试？aE(i画6SO27合规性监控政策和程序中是否包含对相关5G标准（例如3GPP、ETSlNFV33合规性的监控？(c«)IiVV)3.8领域D8:蝴意识域D8,屋胁意汉,谢盖以下安全目标：SO28:威胁情报SO29:向用户谢S威胁在现杂且不Bi变化的5G威胁环境中，有些画%保运营5G网络的移动网络运营商了解当前和新出现的威胁，并在（重新评估安全风险时将其考虑在内。削,83«安全目标SO29中的建议，用户对已知威胁和图雨的i识可能会提高向最终用户提供的5G服务的整体安全性。主管当局可能希望特别关注目标So28（威胁情报和SO29（告知用户戚胁）,检查指施M2019年6月发布的Toolbox实的报否通过参考几家强源这种安全投就相关性的MS的最佳实践.M地证实了良好安谢U的ML关于安全测试最佳实践的一般指导要考虑的来源之一是美国NlST特别出版ISSP-800-115.信«安全测试和评估技术指南htlps：/ISaPpS.ntgov/PUbliCationgLpdfcfm?pubjd=152164“这可能包拓女芸SJ当的K&换术解决方室,例如用于远程连接S3对3GPPIOETSINFV标港相关技术规范能引用可分别兄奉朴充文件的附件Il利第4节这些目标已得到实施,并考虑进行下表建议的额外检杳。这涉及工具箱措施TMO5,并与工具箱支持行动SA09相关，并可能有助于娱解协调风险评估中的风险9(在本文件的表3中列出)。表15D8域的附加指导清单2s28是否有相关且最新的来源和出版物34和/或相关的CTl工具和。台35系统地咨询或使用？-三9f-,m3SO29是否有适当的楸侠告知用户潜在属受攻击的最终用户设备(包括物联网设备以及相关风险?4SO29是否向消费者和企业提供了有关传统网络环境(与SS736、GTP37和Diameter38信令协议相关声的信令威胁的指导,例如蛔踪缄拦就呼叫电油附和SMS消息、金融欺诈S三相邀字身份盗窃并强调使用SMS作为多因素身份脸证机制的风险？闻W.ENlSA5GIKfeM绣援借.王加hWp.A>W*eniasurop8Wpw忸61ton4"84hr8Hand8C8pex¾nee*5l<8或砌手电值和移XWHtCTl蟀人加公共也织和机力的其他