專欄文章

GSMA NESAS認證計畫概述

詮隼科技/鄭仲翔

隨著行動網路的快速發展，行動網路業者(MNO, Mobile Network Operator)必須運行一個可靠且強壯的行動網路，若是出現問題將追究相關法律責任。在網路安全方面，MNO只能在控制層進行安全控制，在網路設備層的安全只能依賴設備商。因此對於MNO來說，如何去衡量網路設備的安全水平、如何去選擇一個安全的網路設備變得相當重要。而對於網路設備商來說，如何向MNO證明自己的產品安全水平、如何去呈現自己擁有符合安全標準的能力，也是一個需要解決的問題。

在這樣的時空背景下，3GPP與GSMA就共同主導NESAS (Network Equipment Security Assurance Scheme)^[1]志願計畫，其針對支援3GPP定義功能網路產品的供應商構建安全認證框架，以提升行動產業的安全層級。第一階段為針對產品開發及生命週期管理流程的評估。NESAS計畫的第二階段，是供應商須將網路設備產品提交給3GPP定義是否合格，且須透過ISO/IEC 17025^[2]認證的測試實驗室，進行安全測試評估，測試實驗室最後將記錄評估結果並撰寫報告，之後再提供給供應商，由供應商自行決定是否將結果對外公開。

    圖1、NESAS流程概述^[1]

GSMA會指派多個審計組織組成專家小組(IAT，Independent Audit Teams)，主要負責針對流程進行審核。設備廠商則從中挑選一個組織，作為審核旗下銷售發展與產品生命週期程序的組織。獲選的審計組織會進一步指派自己的審計團隊，依照GSMA定義的NESAS辦法進行審議，並將結果記錄在審計報告中。若設備廠商通過審計，確定符合NESAS規範、滿足所有NESAS的安全要求，該廠商的審計結報就能在GSMA的NESAS網站上發布，並交由NESAS安全測試實驗室進行安全評估。

NESAS安全檢測實驗室可以由廠商自行建立，也可以是由外部的獨立第三方擔任，每一家實驗室都經過ISO/IEC 17025認證機構的檢驗，以此證明有能力完成具實質效益的網路產品檢測，其內容包含：測試程序、文件體系、流程維護等。廠商選用的NESAS安全檢測實驗室，會依照SCAS的資安準則，評定受測的網路產品。同時，NESAS也會確認，通過內部評估與獨立審計的發展暨產品生命週期程序，已經應用於受測的網路產品上。檢驗結束後，NESAS安全檢測實驗室會發布一份評估報告。可依NESAS審計報告與SCAS評估報告的內容宣稱網路設備符合5G網路安全標準。

NESAS提供了滿足產業與其他利益相關者所需的解決方案，透過該計畫行動網路業者得以根據NESAS報告判定網路設備是否符合行動網路營運之安全需求，而對於網路設備商來說，其提供了一個可以證明自身產品與能力符合國際標準的平台，形成完整5G產業安全防護網。

參考資料：

[1] GSM Association, “Network Equipment Security Assurance Scheme - Overview. Version 2.0,” 2021. https://www.gsma.com/security/wp-content/uploads/2021/02/FS.13-NESAS-Overview-v2.0.pdf (accessed Apr. 08, 2021).

[2] L.Steinborn, “International Standard ISO/IEC 17025 General Requirements for the Competence of Testing and Calibration Laboratories,” 2021. doi: 10.3109/9780203026656-20.