2、合规框架与标准:3GPP安全标准体系、ETSI、NIST、国标(GB/T)等合规要求、等级保护2.0在核心网的应用
各位好,我是老周。今天咱们聊聊核心网合规里最绕不开的那张“网”——各种标准体系。说实话,我刚入行那会儿,看着3GPP、ETSI、NIST、GB/T这些缩写,头都大了。后来做渗透测试做多了,才发现这些标准不是用来“供着”的,而是用来“保命”的。
你想想看,核心网一旦出事,那就是全网瘫痪或者数据泄露。合规不是束缚,是底线。我习惯把合规框架理解成“安全建设的骨架”,没有它,你做的安全措施就是散的。
2.1 3GPP安全标准体系:核心网的“宪法”
3GPP(第三代合作伙伴计划)是移动通信领域最权威的标准组织。它的安全标准体系,说白了就是定义了“从基站到核心网,从信令到用户面,每一步该怎么安全地走”。
我个人习惯把3GPP安全标准分成三层来看:
- TS 33.xxx 系列:这是核心安全规范。比如TS 33.501讲5G安全架构,TS 33.102讲3G/4G的认证与密钥协商。我做过一个项目,客户问“5G核心网到底要防什么”,我直接甩给他TS 33.501的目录——里面写得清清楚楚。
- TS 33.2xx 系列:网络域安全。说白了就是核心网内部网元之间怎么互信。比如N2、N4接口的IPSec怎么配,证书怎么管。嗯,这里要注意,很多厂商默认不开启IPSec,觉得“内网安全”,这是大坑。
- TS 33.4xx 系列:安全算法与协议。比如加密算法(AES、SNOW 3G、ZUC)、完整性保护算法。我记得有一次做合规审计,发现某厂商的NRF(网络存储功能)之间居然用明文传输NF Profile,这就是违反了TS 33.501的要求。
核心要点:3GPP标准是“必须遵守”的基线,不是“参考建议”。在渗透测试中,我经常拿3GPP标准里的安全要求当checklist,一条一条过。比如“N2接口是否启用了IPSec?”、“SEAF是否实现了AKA流程?”——这些在标准里都有明确说法。
2.2 ETSI:欧洲的“安全守门员”
ETSI(欧洲电信标准化协会)在核心网安全领域,主要贡献是NFV安全和MEC安全。我接触ETSI标准最多的是在虚拟化核心网项目里。
ETSI GS NFV-SEC 系列标准,专门讲NFV环境下的安全。比如:
- NFV-SEC 001:NFV安全架构。它把安全分成了“基础设施安全”、“虚拟网络功能安全”、“管理编排安全”三层。说白了,就是告诉你“虚拟机别乱跑”、“VNF之间要隔离”、“MANO不能被攻破”。
- NFV-SEC 003:安全监控与审计。我建议做核心网运维的同事,一定要看这个。它讲了怎么对虚拟化环境做日志采集、异常检测。我曾经遇到一个案例,攻击者通过VNF的漏洞横向移动,就是因为没有按ETSI标准做VNF间的微隔离。
个人经验:ETSI标准在合规审计里,经常被用来评估“虚拟化安全”是否到位。比如等级保护2.0里要求“虚拟化平台应具备安全隔离能力”,具体怎么落地?ETSI NFV-SEC 001就是最好的参考。
2.3 NIST:美国的“安全方法论”
NIST(美国国家标准与技术研究院)的标准,我把它叫做“安全建设的操作手册”。它不像3GPP那么技术细节,也不像ETSI那么聚焦NFV,它更关注风险管理和安全控制。
在核心网领域,最常用的是:
- NIST SP 800-53:安全与隐私控制。里面有几百个控制项,比如“访问控制”、“审计与问责”、“系统与通信保护”。做合规审计时,我经常把3GPP的安全要求映射到NIST的控制项上。比如“3GPP要求N2接口加密”,对应NIST的“SC-8(传输机密性与完整性)”。
- NIST SP 800-37:风险管理框架。它讲了一套“分类-选择-实施-评估-授权-监控”的流程。我习惯用它来指导核心网的安全评估项目。先定系统边界,再选安全控制,最后做渗透测试验证。
避坑指南:我曾经遇到一个团队,直接拿NIST SP 800-53的完整控制列表去套核心网,结果发现很多控制项不适用(比如物理安全控制对虚拟化核心网意义不大)。我的建议是:先做“裁剪”,只选跟核心网相关的控制项,比如AC-3(访问控制强制)、AU-3(审计记录内容)、SC-7(边界保护)。
2.4 国标(GB/T):中国的“合规红线”
在国内做核心网,GB/T标准是绕不过去的。我参与过多次等保测评,最常用的国标有:
- GB/T 22239-2019:信息安全技术 网络安全等级保护基本要求。这是等保2.0的核心标准。里面针对“移动互联安全”有专门章节,比如“应保证移动终端与移动应用之间的通信安全”、“应保证移动应用与后台服务之间的通信安全”。说白了,就是核心网对外暴露的接口必须加密、认证。
- GB/T 25069-2010:信息安全技术 术语。虽然是个术语标准,但在合规审计里很重要。因为不同厂商对同一个安全概念叫法不同,统一术语才能避免扯皮。
- GB/T 32922-2016:信息安全技术 IPSec VPN安全接入规范。核心网里很多网元间通信依赖IPSec,这个标准就是告诉你IPSec该怎么配、密钥怎么管。
核心要点:国标是“强制要求”,不是“推荐标准”。在等保测评中,如果核心网系统被定为第三级或以上,那么GB/T 22239里的每一项要求都必须满足。我见过一个案例,某运营商核心网因为没做“远程管理身份鉴别”,被等保测评直接判定为“不符合”。
2.5 等级保护2.0在核心网的应用
等保2.0在核心网的应用,我总结为“三个关键点”:
- 定级:核心网系统通常定级为第三级(S3A3G3)或第四级。因为一旦被破坏,会严重危害国家安全、社会秩序。我建议在定级时,一定要把“核心网”和“支撑网”分开定级,别混在一起。
- 安全要求落地:等保2.0的“安全通用要求”和“安全扩展要求”都要看。比如“安全通信网络”要求“应采用密码技术保证通信过程中数据的完整性”,对应到核心网就是N2/N3/N4接口的IPSec或TLS。“安全计算环境”要求“应实现操作系统和数据库系统的安全配置”,对应到核心网就是NFVI(网络功能虚拟化基础设施)的加固。
- 渗透测试验证:等保测评里的“渗透测试”环节,我建议重点测三个方向:一是信令面(比如Diameter/SBI接口的fuzzing),二是管理面(比如OAM接口的弱口令、未授权访问),三是用户面(比如UPF的数据泄露风险)。
个人经验:等保2.0在核心网落地时,最容易出问题的是“安全管理制度”和“安全运维管理”。很多团队只关注技术,忽略了“人”和“流程”。比如“应建立安全事件报告和处置流程”,这个在核心网运维里特别重要。我曾经遇到一个安全事件,因为流程不清晰,从发现到处置花了4个小时——这在核心网场景下是不可接受的。
2.6 知识体系总览
下面这张图,是我自己梳理的“核心网合规与标准体系”框架。它把3GPP、ETSI、NIST、国标、等保2.0串在了一起,方便你理解它们之间的关系。
这张图的核心逻辑是:核心网安全是目标,四大标准体系是输入,等保2.0是落地抓手,最终输出合规审计报告和渗透测试报告。说白了,就是“用标准指导实践,用实践验证合规”。
最后提醒一句:标准是死的,人是活的。别为了合规而合规,要理解每个标准背后的安全意图。比如3GPP要求N2接口加密,不是为了让你多买几台加密机,而是为了防止信令被篡改导致核心网被劫持。这个逻辑想通了,你做的安全措施才有灵魂。
公众号:蓝海资料掘金营,微信deep3321