NESAS 是 GSMA 提出的網絡設備安全規范，定義了一組網絡通信設備需要遵循的全生命周期安全流程。原文: GSMA 5G Cybersecurity Knowledge Base

 

GSMA 網絡設備安全保障計劃(NESAS, Network Equipment Security Assurance Scheme)是針對設備供應商的研發和產品生命周期定義的一組安全流程需求。

 

GSMA NESAS 計劃受 FS.14、FS.15 和 FS.16 中相關規定管轄，而該計劃范圍僅限于設備供應商研發和產品生命周期安全需求。

 

NESAS 的需求數量相對較少，從而保證維持合理的評估成本，并將重點放在關鍵控制上。

 

NESAS 強調在整個研發和產品生命周期中通過安全設計(security by design)實現安全性。

 

此外，還涵蓋版本控制、變更跟蹤、源代碼審查、安全測試、員工教育、漏洞補救流程和漏洞補救獨立性。

 

GSMA NESAS 對 5G 的安全需求如下所示:

需求 1 - 安全性設計(Security "By Design")

網絡產品必須在整個研發和產品生命周期中通過設計實現安全性，架構和設計決策必須基于一組在整個研發和產品生命周期中跟蹤的安全原則。

 

5G 安全架構原則包括領域分離、分層和封裝。5G 安全設計原則包括最小特權原則、最小化攻擊面原則、集中化參數驗證和集中化安全功能、為錯誤和異常處理做好準備，以及通過設計保護隱私。

 

在設計階段，必須執行威脅分析流程，以確定潛在威脅以及相關解決措施。

需求 2 - 版本控制系統

在網絡產品的整個生命周期內，設備供應商必須在硬件、源代碼、構建工具和環境、二進制軟件、第三方組件和客戶文檔上使用版本控制系統，確保明確所有更改的責任明確、獲得有效授權以及完整性。

 

目標是能夠在完成的網絡產品中跟蹤所有上述元素。

需求 3 - 變更跟蹤

設備供應商必須建立一個全面、有文件記錄的、跨網絡產品線的流程，以確保在研發和產品生命周期中隨時可能出現的、影響網絡產品的所有需求和設計變更都得到管理和跟蹤，并以系統、實時的方式管理網絡產品中受影響產品組件的生命周期。

 

目標是確保網絡產品中所有受影響網絡產品組件的開發流程以一致的方式應用所有變更。

需求 4 - 源代碼審查

設備供應商必須確保用于網絡產品的新代碼或者變更的源代碼依據一定的編碼標準進行了適當的審查。如果可行，還應該通過使用源碼分析工具和自動化來實現評審，目標是降低可能在網絡產品中引入軟件漏洞的風險。編碼標準最佳實踐的一個例子是卡耐基梅隆大學的 SEI CERT。

需求 5 - 安全測試

安全測試是對安全功能的驗證，包括正向和反向測試，以及網絡產品的漏洞測試。網絡產品將在公平的操作環境中從安全角度進行測試。漏洞測試應測試網絡產品對未定義/意外輸入的魯棒性。目標是確保安全功能已經過驗證，并且在網絡產品交付之前檢測并解決潛在漏洞。

需求 6 - 員工教育

對參與網絡產品設計、管理、開發、實施、測試和維護的所有人員進行持續教育，以確保所有人保持最新的角色相關安全知識和意識。目標是確保所有員工都有與其角色相關的安全知識和意識，并保持在高水平上。

需求 7 - 漏洞修復流程

NESAS 的第 7 項需求要求設備供應商必須建立流程，以處理在已發布的網絡產品(包括第三方組件)中發現或與之相關的漏洞。

 

該流程要求以適當的方式解決漏洞，如有必要，應按照現有維護合同的約定，及時向所有受影響的移動網絡運營商分發補丁或升級軟件。

 

目標是減少潛在漏洞對網絡產品的影響，并防止第三方組件缺乏支持、不可用或易受攻擊。

 

這一需求對于確保及時識別和處理漏洞，降低網絡惡意攻擊的風險至關重要。

 

設備供應商需要清楚了解其產品中可能存在的漏洞，并制定修復流程，概述如何解決這些漏洞。

需求 8 - 漏洞補救獨立性

NESAS 的第 8 項需求要求設備供應商應能夠獨立提供補丁或軟件升級解決安全漏洞，避免與修改網絡產品功能的其他非相關補丁耦合。

 

目標是確保安全補救措施能夠快速交付，并獨立于功能交付計劃。

 

該需求認識到需要一種簡化的漏洞補救方法，設備供應商需要有能力提供獨立于網絡產品的其他修改或升級的安全補救措施，以便能夠及時有效的交付。

 

從而確保網絡產品無論是否引入新的特性和功能，都能保持安全。

 

同時降低修改或升級導致網絡中斷的風險。

 

---

 

你好，我是俞凡，在 Motorola 做過研發，現在在 Mavenir 做技術工作，對通信、網絡、后端架構、云原生、DevOps、CICD、區塊鏈、AI 等技術始終保持著濃厚的興趣，平時喜歡閱讀、思考，相信持續學習、終身成長，歡迎一起交流學習。

微信公眾號：DeepNoMind