Файл: Концепция создания и развития сетей 5Gimt2020 в Российской Федерации.pdf
Добавлен: 12.12.2023
Просмотров: 210
Скачиваний: 6
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
63 9) абонентские устройства (UE).
Обеспечение информационной безопасности сети связи 5G/IMT-2020, согласно принципам, заложенным в действующих спецификациях и рекомендациях, основано на следующих подходах с применением зарубежных криптографических алгоритмов, в том числе:
1)
Применение протоколов аутентификации и согласования ключей для взаимной аутентификации абонентского оборудования с сетью 5G (протоколы 5G-
АКА и ЕАР-АКА’).
2)
Обеспечение абонентским устройством (UE) и базовой станцией (gNB) обязательной поддержки шифрования и контроля целостности абонентского и сигнального RRC трафика от UE до gNB, и обязательной поддержки шифрования и контроля целостности сигнального NAS трафика от UE до функции управления доступом и мобильностью (AMF). Шифрование и контроль целостности осуществляется применением базовых алгоритмов SNOW 3G, AES, ZUC.
3)
Использование скрытого идентификатора абонента SUCI и глобального временного уникального идентификатора абонента 5G-GUTI для обеспечения конфиденциальности личности абонента.
4)
Применение защиты интерфейсов базовых станций и формирование сетевого домена безопасности.
5)
Реализация обеспечения информационной безопасности в общей архитектуре сети, на основе криптографических механизмов, заложенных в. сетевых функциях AUSF, SEAF, ARPF, SCMF, SPCF, SIDF.
6)
Применение архитектуры «Network slicing», обеспечивающей изоляцию различных слоев сети с определением для каждого из них собственного уровня безопасности.
7)
Обеспечение возможности реализации криптографической защиты конечными сервисами (V2X, IoT, IMS, и др.), функционирующими поверх сетей 5G.
8)
Поддержка протокола TLS для взаимного защищенного обмена информацией между функциями ядра сети 5G.
9)
Применение защиты сигнального и пользовательского трафика между базовой станцией eNb сети 4G-LTE и базовой станцией gNb сети 5G («Option 3» сценария миграции 4G к 5G).
Анализ перечисленных подходов к обеспечению информационной безопасности показывает, что они основаны на применении иностранных криптографических алгоритмов. Целесообразно, при создании и развитии сетей
5G/IMT 2020 на территории Российской Федерации внедрять механизмы
64 обеспечения информационной безопасности в указанных сетях отечественные криптографические алгоритмы.
Наряду с использованием отечественных криптографических алгоритмов информационная безопасность сетей 5G/IMT-2020 должна гарантироваться применением доверенного программного обеспечения (ПО) и доверенной электронной компонентной базы (ЭКБ).
Учитывая сложность внедрения российских криптоалгоритмов в спецификации международных стандартов, на ранних этапах развития сети 5G в
Российской Федерации видится необходимым применение отечественных криптографических решений в ключевых элементах сети: SIM-картах, оборудовании изготовления ключей, оборудовании аутентификации абонентов.
Дальнейшее повышение уровня информационной безопасности должно вестись путем планомерной работы по увеличению доли доверенного ПО и ЭКБ, а также внедрения российских криптоалгоритмов в спецификации международных стандартов.
Помимо этого, для обеспечения безопасности в сетях 5G должны быть реализованы:
- защита от несанкционированного доступа к ключевой и критически важной информации,
- обеспечение устойчивости функционирования, включая противодействие недокументированному функционалу в ПО, недекларированным возможностям ЭКБ, использование доверенного времени и т.д.,
- разграничение сегментов сети с применением межсетевых экранов,
- защита от компьютерных атак, в том числе DDoS-атак, с применением средств обнаружения и предупреждения компьютерных атак,
- защита от проникновения вредоносного ПО, включая средства антивирусной защиты,
- обеспечение технической готовности к защищенному обмену с субъектами ГосСОПКА,
- средства отладки и разработки программно-технических комплексов, обеспечивающие безопасность информации при использовании информационной инфраструктуры 5G/IMG-2020,
- выполнение требований ГОСТ 56939-2016 «Защита информации.
Разработка безопасного программного обеспечения. Общие требования».
- обеспечение целостности программного обеспечения, настроек и конфигураций,
65
- обеспечение защиты каналов управления.
Важной составляющей обеспечения информационной безопасности является наличие сформированной нормативной базы, по вопросам обеспечения информационной безопасности в сетях связи 5G. Анализ действующей нормативных документов по указанным вопросам выявил необходимость их доработки в части формирования стандартов и методик обеспечения информационной безопасности сетей 5G в рамках деятельности Федерального агентства по техническому регулированию и метрологии (Росстандарта), серии документов ГОСТ Р 53109, с последующим выборочным закреплением их в нормативной базе отрасли «связь». В число задач, требующих решения по данному направлению, должна быть включена разработка следующих документов:
- типового комплекса организационных мер защиты сетей связи;
- политики обеспечения безопасности сетей связи;
- методик проведения аудита информационной безопасности;
- методик обработки и анализа инцидентов;
- рекомендаций по обеспечению управления персоналом;
- рекомендаций по обеспечению безопасной эксплуатации;
- требований по обеспечению непрерывности функционирования сетей связи;
- типовых требований по обеспечению физической безопасности;
- типовых политик конфиденциальности;
- типового порядка архивного хранения документированной информации.
Для решения задачи обеспечения информационной безопасности в сетях 5G, с учетом рассмотренных подходов и принципов, необходимо создание линейки средств криптографической защиты информации (СКЗИ)и межсетевых экранов
(МЭ) соответствующих классов защиты. Указанные СКЗИ должны разрабатываться и производиться в соответствии с «Положением о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных
66 систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)», утвержденного постановлением Правительства Российской Федерации от 16 апреля
2012 г. № 313, и «Положением о разработке, производстве и эксплуатации шифровальных (криптографических) средств защиты информации (Положение
ПКЗ-2005)», зарегистрированного в Минюсте России 3 марта 2005 г. № 6382, а межсетевые экраны в соответствии с действующими требованиями к МЭ.»
Требования, предъявляемые к отечественному оборудованию, предназначенному для защиты оборудования сети пятого поколения приведены ниже.
1 2 3 4 5 6 7 8 9 10
Оборудование
Класс
защищенности
Оборудование центра изготовления ключей
КА
Отечественные USIM-карты
2
КСЗ
Оборудование для изготовления отечественных USIM- карт
КА
Оборудование для программирования и ввода ключевой информации в отечественные USIM-карты и их персонализации
КА
Средство криптографической защиты аутентификации абонента КА
Средство защиты центра коммутации
КА
Средство защиты для базовых станций
КСЗ
Средство защиты для транзитного оборудования
КСЗ
Средство защиты шлюзового оборудования
КА
Абонентские устройства
КСЗ
Примечание: предлагаемый класс защищенности определяется согласно
рекомендациям
Р
1323565.1.012-2017
«Информационная
технология.
Криптографическая защита информации, Принципы разработки и модернизации
шифровальных (криптографических) средств защиты информации».
Для обеспечения последовательного внедрения отечественных решений по обеспечению информационной безопасности сетей 5G в Российской Федерации предлагается следующий план мероприятий.
2
Должны удовлетворять требованиям, утвержденным Постановлением Правительства РФ от 17 июля 2015 года №719, в части требований к интегральным схемам не ниже второго уровня
67
Порядок
внедрения
Мероприятие
Этап-1
Разработка и внедрение отечественных криптоалгоритмов в алгоритмы выработки ключевой информации и протоколы аутентификации
Этап-1
Разработка и внедрение доверенной USIM карты и SIM-чипа, оборудования для их изготовления, персонализации и преперсонализации, а также средств аутентификации абонента в сети.
Создание доверенного ПО сетевых функций обработки и хранения аутентификационных данных абонентов (UDM, ARPF, AUSF, SIDF,
UDR)
Этап-2
Стандартизация отечественных криптоалгоритмов в функциях шифрования и контроля целостности абонентских данных и сигнальных сообщений в документах международных организаций и партнерств
(IETF, 3GPP)
Этап-3
Создание доверенного ПО сетевой функции передачи данных пользователя (UPF)
Этап-3
Создание доверенного ПО сетевых функций блоков обработки сигнальных сообщений (AMF, SEAF, SMF, PCF, SEPP и другие)
Этап-3
Создание доверенного ПО сетевых функций в части мониторинга и управления (Функции NMS, NRF, NSSF, NWDAF и другие).
Этап-4
Создание отечественных реализаций платформ виртуализации и управления инфраструктурой сети (Функции блоков MANO и SDN)
Этап-5
Разработка доверенных абонентских устройств
Этап-5
Создание доверенного ПО центрального модуля Базовой станции (gNB-
CU)
Этап-6
Миграция компонент сети 5G .на сервера общего пользования российской разработки, на базе доверенной ЭКБ
На первом этапе необходимо обеспечить разработку оборудования центра изготовления ключей, USIM-карт, оборудования для изготовления USIM-карт и программирования, средств аутентификации абонентов, которые обеспечат возможностью формирования ключевой информации с соблюдением требований информационной безопасности, а также формирование сессионных ключей для процедур аутентификации абонентов.
На втором этапе предполагается внедрить отечественные криптоалгоритмы в функции шифрования и контроля целостности абонентских данных и сигнальных сообщений, путем включения их в профильные спецификации ассоциации 3GPP, для обеспечения возможности их взаимоувязанной реализации всеми
68 производителями сетевых узлов и абонентских устройств. Успешное массовое внедрение поддержки новых криптографических алгоритмов в наиболее актуальных сегментах сети 5G невозможно без включения таких алгоритмов в профильные спецификации ассоциации 3GPP.
На втором и третьем этапе предполагается поэтапная разработка отечественных программных и программно-аппаратных решений и их внедрение.
Данный подход позволит по мере доступности отечественной ЭКБ реализовать критически важные функции обеспечения безопасности компонентов аутентификации и данных пользователя.
На третьем этапе предполагается создание и внедрение отечественного программного обеспечения всех основных сетевых функций ядра сети с целью снижения рисков реализации недекларированных возможностей программного обеспечения.
На четвертом этапе мероприятий, завершить создание отечественных реализаций аппаратных и программных платформ виртуализации и управления инфраструктурой сети. Наличие отечественной платформы виртуализации и управления инфраструктурой позволит гарантировать отсутствие недекларированных возможностей, как на программном, так и аппаратном уровне.
На пятом этапе, разработать доверенные абонентские устройства и создать доверенное ПО центрального модуля базовой станции (gNB-CU).
На шестом этапе, осуществить миграцию компонент сети 5G с импортных серверов общего пользования, на сервера общего пользования российской разработки, на базе доверенной ЭКБ, по мере их готовности.
69
6. Анализ финансово-экономических показателей различных вариантов
развертывания сетей связи 5G/IMT-2020
6.1. Формирование различных вариантов развертывания сетей связи
5G/IMT-2020 для удовлетворения различных сегментов услуг и сервисов, включая
вариант развертывания сети связи 5G/IMT-2020 единым инфраструктурным
оператором
При разработке вариантов развертывания сетей связи 5G/IMT-2020 для удовлетворения различных сегментов услуг и сервисов учитываются архитектурные особенности разделения сети на сетевые слои, адаптированные к требованиям сегментов услуг.
Для предоставления абоненту услуг определенного сегмента задействуется сетевой слой сети 5G/IMT-2020, который включает в свой состав необходимый набор виртуальных сетевых функций VNF (рис. 6.1). Один абонентский терминал одновременно может использовать до 8 таких сетевых слоев. Особенностью является то, что модуль управления доступом и мобильностью AMF должен быть общим для всех сетевых слоев, обслуживающих абонентский терминал.
UE
UE
NRF
SMF
PCF
Слой 3
PCF
NRF
PCF
SMF
UPF
SMF
PCF
Слой 2
Слой 1
Общий слой 1 и 2
NSSF
Сеть передачи данных DNN1
Сеть передачи данных DNN2
Сеть передачи данных DNN3
AMF
AMF
UPF
Access Node
UPF
UDM/
UDR
AUSF
Рисунок 6.1 - Пример разделения опорной сети 5GC на сетевые слои
Каждый сетевой слой характеризуется информацией S-NSSAI (Single Network
Slice Selection Assistance Information). Информация нескольких сетевых слоев S-
NSSAI (до восьми) группируется в сводную информации о сетевых слоях NSSAI.
Сводная информация NSSAI формируется раздельно для разных сетей мобильной связи в зависимости от идентификатора PLMN-id.
Информация о сетевом слое (вертикальной плоскости) S-NSSAI опорной сети
5GC содержит параметр – тип сетевого слоя/сервиса SST (Slice/Service Type). Тип