Файл: Концепция создания и развития сетей 5Gimt2020 в Российской Федерации.pdf

63 9) абонентские устройства (UE).
Обеспечение информационной безопасности сети связи 5G/IMT-2020, согласно принципам, заложенным в действующих спецификациях и рекомендациях, основано на следующих подходах с применением зарубежных криптографических алгоритмов, в том числе:
1)
Применение протоколов аутентификации и согласования ключей для взаимной аутентификации абонентского оборудования с сетью 5G (протоколы 5G-
АКА и ЕАР-АКА’).
2)
Обеспечение абонентским устройством (UE) и базовой станцией (gNB) обязательной поддержки шифрования и контроля целостности абонентского и сигнального RRC трафика от UE до gNB, и обязательной поддержки шифрования и контроля целостности сигнального NAS трафика от UE до функции управления доступом и мобильностью (AMF). Шифрование и контроль целостности осуществляется применением базовых алгоритмов SNOW 3G, AES, ZUC.
3)
Использование скрытого идентификатора абонента SUCI и глобального временного уникального идентификатора абонента 5G-GUTI для обеспечения конфиденциальности личности абонента.
4)
Применение защиты интерфейсов базовых станций и формирование сетевого домена безопасности.
5)
Реализация обеспечения информационной безопасности в общей архитектуре сети, на основе криптографических механизмов, заложенных в. сетевых функциях AUSF, SEAF, ARPF, SCMF, SPCF, SIDF.
6)
Применение архитектуры «Network slicing», обеспечивающей изоляцию различных слоев сети с определением для каждого из них собственного уровня безопасности.
7)
Обеспечение возможности реализации криптографической защиты конечными сервисами (V2X, IoT, IMS, и др.), функционирующими поверх сетей 5G.
8)
Поддержка протокола TLS для взаимного защищенного обмена информацией между функциями ядра сети 5G.
9)
Применение защиты сигнального и пользовательского трафика между базовой станцией eNb сети 4G-LTE и базовой станцией gNb сети 5G («Option 3» сценария миграции 4G к 5G).
Анализ перечисленных подходов к обеспечению информационной безопасности показывает, что они основаны на применении иностранных криптографических алгоритмов. Целесообразно, при создании и развитии сетей
5G/IMT 2020 на территории Российской Федерации внедрять механизмы

64 обеспечения информационной безопасности в указанных сетях отечественные криптографические алгоритмы.
Наряду с использованием отечественных криптографических алгоритмов информационная безопасность сетей 5G/IMT-2020 должна гарантироваться применением доверенного программного обеспечения (ПО) и доверенной электронной компонентной базы (ЭКБ).
Учитывая сложность внедрения российских криптоалгоритмов в спецификации международных стандартов, на ранних этапах развития сети 5G в
Российской Федерации видится необходимым применение отечественных криптографических решений в ключевых элементах сети: SIM-картах, оборудовании изготовления ключей, оборудовании аутентификации абонентов.
Дальнейшее повышение уровня информационной безопасности должно вестись путем планомерной работы по увеличению доли доверенного ПО и ЭКБ, а также внедрения российских криптоалгоритмов в спецификации международных стандартов.
Помимо этого, для обеспечения безопасности в сетях 5G должны быть реализованы:
- защита от несанкционированного доступа к ключевой и критически важной информации,
- обеспечение устойчивости функционирования, включая противодействие недокументированному функционалу в ПО, недекларированным возможностям ЭКБ, использование доверенного времени и т.д.,
- разграничение сегментов сети с применением межсетевых экранов,
- защита от компьютерных атак, в том числе DDoS-атак, с применением средств обнаружения и предупреждения компьютерных атак,
- защита от проникновения вредоносного ПО, включая средства антивирусной защиты,
- обеспечение технической готовности к защищенному обмену с субъектами ГосСОПКА,
- средства отладки и разработки программно-технических комплексов, обеспечивающие безопасность информации при использовании информационной инфраструктуры 5G/IMG-2020,
- выполнение требований ГОСТ 56939-2016 «Защита информации.
Разработка безопасного программного обеспечения. Общие требования».
- обеспечение целостности программного обеспечения, настроек и конфигураций,

65
- обеспечение защиты каналов управления.
Важной составляющей обеспечения информационной безопасности является наличие сформированной нормативной базы, по вопросам обеспечения информационной безопасности в сетях связи 5G. Анализ действующей нормативных документов по указанным вопросам выявил необходимость их доработки в части формирования стандартов и методик обеспечения информационной безопасности сетей 5G в рамках деятельности Федерального агентства по техническому регулированию и метрологии (Росстандарта), серии документов ГОСТ Р 53109, с последующим выборочным закреплением их в нормативной базе отрасли «связь». В число задач, требующих решения по данному направлению, должна быть включена разработка следующих документов:
- типового комплекса организационных мер защиты сетей связи;
- политики обеспечения безопасности сетей связи;
- методик проведения аудита информационной безопасности;
- методик обработки и анализа инцидентов;
- рекомендаций по обеспечению управления персоналом;
- рекомендаций по обеспечению безопасной эксплуатации;
- требований по обеспечению непрерывности функционирования сетей связи;
- типовых требований по обеспечению физической безопасности;
- типовых политик конфиденциальности;
- типового порядка архивного хранения документированной информации.
Для решения задачи обеспечения информационной безопасности в сетях 5G, с учетом рассмотренных подходов и принципов, необходимо создание линейки средств криптографической защиты информации (СКЗИ)и межсетевых экранов
(МЭ) соответствующих классов защиты. Указанные СКЗИ должны разрабатываться и производиться в соответствии с «Положением о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных

66 систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)», утвержденного постановлением Правительства Российской Федерации от 16 апреля
2012 г. № 313, и «Положением о разработке, производстве и эксплуатации шифровальных (криптографических) средств защиты информации (Положение
ПКЗ-2005)», зарегистрированного в Минюсте России 3 марта 2005 г. № 6382, а межсетевые экраны в соответствии с действующими требованиями к МЭ.»
Требования, предъявляемые к отечественному оборудованию, предназначенному для защиты оборудования сети пятого поколения приведены ниже.

67
Порядок
внедрения
Мероприятие
Этап-1
Разработка и внедрение отечественных криптоалгоритмов в алгоритмы выработки ключевой информации и протоколы аутентификации
Этап-1
Разработка и внедрение доверенной USIM карты и SIM-чипа, оборудования для их изготовления, персонализации и преперсонализации, а также средств аутентификации абонента в сети.
Создание доверенного ПО сетевых функций обработки и хранения аутентификационных данных абонентов (UDM, ARPF, AUSF, SIDF,
UDR)
Этап-2
Стандартизация отечественных криптоалгоритмов в функциях шифрования и контроля целостности абонентских данных и сигнальных сообщений в документах международных организаций и партнерств
(IETF, 3GPP)
Этап-3
Создание доверенного ПО сетевой функции передачи данных пользователя (UPF)
Этап-3
Создание доверенного ПО сетевых функций блоков обработки сигнальных сообщений (AMF, SEAF, SMF, PCF, SEPP и другие)
Этап-3
Создание доверенного ПО сетевых функций в части мониторинга и управления (Функции NMS, NRF, NSSF, NWDAF и другие).
Этап-4
Создание отечественных реализаций платформ виртуализации и управления инфраструктурой сети (Функции блоков MANO и SDN)
Этап-5
Разработка доверенных абонентских устройств
Этап-5
Создание доверенного ПО центрального модуля Базовой станции (gNB-
CU)
Этап-6
Миграция компонент сети 5G .на сервера общего пользования российской разработки, на базе доверенной ЭКБ
На первом этапе необходимо обеспечить разработку оборудования центра изготовления ключей, USIM-карт, оборудования для изготовления USIM-карт и программирования, средств аутентификации абонентов, которые обеспечат возможностью формирования ключевой информации с соблюдением требований информационной безопасности, а также формирование сессионных ключей для процедур аутентификации абонентов.
На втором этапе предполагается внедрить отечественные криптоалгоритмы в функции шифрования и контроля целостности абонентских данных и сигнальных сообщений, путем включения их в профильные спецификации ассоциации 3GPP, для обеспечения возможности их взаимоувязанной реализации всеми

68 производителями сетевых узлов и абонентских устройств. Успешное массовое внедрение поддержки новых криптографических алгоритмов в наиболее актуальных сегментах сети 5G невозможно без включения таких алгоритмов в профильные спецификации ассоциации 3GPP.
На втором и третьем этапе предполагается поэтапная разработка отечественных программных и программно-аппаратных решений и их внедрение.
Данный подход позволит по мере доступности отечественной ЭКБ реализовать критически важные функции обеспечения безопасности компонентов аутентификации и данных пользователя.
На третьем этапе предполагается создание и внедрение отечественного программного обеспечения всех основных сетевых функций ядра сети с целью снижения рисков реализации недекларированных возможностей программного обеспечения.
На четвертом этапе мероприятий, завершить создание отечественных реализаций аппаратных и программных платформ виртуализации и управления инфраструктурой сети. Наличие отечественной платформы виртуализации и управления инфраструктурой позволит гарантировать отсутствие недекларированных возможностей, как на программном, так и аппаратном уровне.
На пятом этапе, разработать доверенные абонентские устройства и создать доверенное ПО центрального модуля базовой станции (gNB-CU).
На шестом этапе, осуществить миграцию компонент сети 5G с импортных серверов общего пользования, на сервера общего пользования российской разработки, на базе доверенной ЭКБ, по мере их готовности.

69
6. Анализ финансово-экономических показателей различных вариантов
развертывания сетей связи 5G/IMT-2020
6.1. Формирование различных вариантов развертывания сетей связи
5G/IMT-2020 для удовлетворения различных сегментов услуг и сервисов, включая
вариант развертывания сети связи 5G/IMT-2020 единым инфраструктурным
оператором
При разработке вариантов развертывания сетей связи 5G/IMT-2020 для удовлетворения различных сегментов услуг и сервисов учитываются архитектурные особенности разделения сети на сетевые слои, адаптированные к требованиям сегментов услуг.
Для предоставления абоненту услуг определенного сегмента задействуется сетевой слой сети 5G/IMT-2020, который включает в свой состав необходимый набор виртуальных сетевых функций VNF (рис. 6.1). Один абонентский терминал одновременно может использовать до 8 таких сетевых слоев. Особенностью является то, что модуль управления доступом и мобильностью AMF должен быть общим для всех сетевых слоев, обслуживающих абонентский терминал.
UE
UE
NRF
SMF
PCF
Слой 3
PCF
NRF
PCF
SMF
UPF
SMF
PCF
Слой 2
Слой 1
Общий слой 1 и 2
NSSF
Сеть передачи данных DNN1
Сеть передачи данных DNN2
Сеть передачи данных DNN3
AMF
AMF
UPF
Access Node
UPF
UDM/
UDR
AUSF
Рисунок 6.1 - Пример разделения опорной сети 5GC на сетевые слои
Каждый сетевой слой характеризуется информацией S-NSSAI (Single Network
Slice Selection Assistance Information). Информация нескольких сетевых слоев S-
NSSAI (до восьми) группируется в сводную информации о сетевых слоях NSSAI.
Сводная информация NSSAI формируется раздельно для разных сетей мобильной связи в зависимости от идентификатора PLMN-id.
Информация о сетевом слое (вертикальной плоскости) S-NSSAI опорной сети
5GC содержит параметр – тип сетевого слоя/сервиса SST (Slice/Service Type). Тип