衡量 5G 和未来网络的安全性

大家读完觉得有帮助记得关注和点赞！！！

抽象

在当今日益互联和快节奏的数字生态系统中，移动网络（如 5G）和未来几代（如 6G）发挥着关键作用，必须被视为关键基础设施。确保其安全性对于保护个人用户和依赖这些网络的行业至关重要。 维护和改善系统安全状况的一个基本条件是能够有效地测量和监控其安全状态。在这项工作中，我们解决了对 5G 和未来网络的安全状态进行客观测量的需求。我们介绍了一个状态机模型，旨在捕获网络功能的安全生命周期以及生命周期中不同状态之间的转换。这样的模型可以在每个节点本地计算，也可以通过将测量结果聚合到安全域或整个网络来分层计算。我们确定了三个基本安全指标 - 攻击面暴露、系统漏洞的影响和应用的安全控制的有效性 - 它们共同构成了计算整体安全分数的基础。通过实际示例，我们说明了我们提出的方法的实际应用，为在 5G 和 6G 安全运营中制定风险管理和明智的决策策略提供了有价值的见解，并为在 6G 网络预期的动态威胁环境中进行有效的安全管理奠定了基础。

索引术语：

可观测性， 安全自动化， 安全指标， 5G， 6G

第一介绍

预计 6G 运营商将具备衡量和量化网络安全态势的能力，因为这使他们能够在风险管理方面做出明智的决策，满足监管要求，并建立对 5G 和 6G 网络安全的信任[1].
预计首批 6G 部署将在 2030 年之前实现[2]，由于一些不可避免的趋势，了解和缓解网络风险环境的需求将带来独特的挑战。其中，由于数据的规模和异构性，预计 6G 架构的分布式趋势将增加10与 5G 相比。最后，开放网络的持续趋势将具体化为一个由多个利益相关者域组成的系统，其中相互信任并不总是被考虑或可能，因为服务交付可能涉及多方（例如，服务可以由服务提供商提供，服务提供商从云提供商那里租赁虚拟资源，其基础设施由基础设施提供商提供）。
这些因素，以及系统中嵌入的技术发展和功能，强调了测量在推动自动化安全管理和提供对部署的整体安全态势的可量化评估方面的重要作用。从本质上讲，复杂性和挑战正在推动安全管理和编排的执行方式，从当前基于静态评估并专注于主要离线执行的合规性的模型转变为运行时安全模型，该模型由于系统动态而不断重新评估，转向 DevSecOps作模式。在这种环境中，自动化不再是可有可无的。
集成高级安全自动化、通过零接触配置减少人为干预以及通过基于意图的安全性简化安全管理，是解决 6G 网络复杂性的重要帮助，因为它使网络运营商能够主动管理感知到的威胁级别。此外，AI 和 ML 技术的采用增强了大规模自动化作，实现了自我配置、自我优化、自我组织和自我修复功能。这些功能以安全措施为基础，不仅可以简化人工作员的工作量，还可以最大限度地降低网络配置错误的风险，从而提高弹性和安全性。
在本文中，我们研究了开发可量化分数的关键问题，该分数可用于有效评估 5G 和 6G 部署的整体安全态势。预计该分数不仅将推动安全自动化和基于意图的管理，而且还可以作为当前安全态势的可理解指标，促进技术和非技术利益相关者之间的沟通。
在我们的方法中，我们开发了一个更全面的模型，该模型考虑了 5G 和 6G 移动网络系统的潜在切入点（即攻击面）、组件的各个漏洞（这些漏洞可能与软件、协议和配置相关）以及应用的安全控制的有效性。目标是提供对安全态势的客观整体理解，以实现主动风险管理和明智的决策，以支持移动网络运营。
在本文中，我们有以下贡献：

• •
  引入一个全面的有限状态机模型，以捕获移动网络中网络功能的安全生命周期，并提供一种结构化方法来理解安全状态转换。
• •
  使用定义的有限状态模型来建议和定义三个不同的安全指标，这些指标为安全状态分数的客观计算产生内在因素。
• •
  提出一种数学方法，根据建议的指标计算网络安全状况。
• •
  通过测量三个安全指标（攻击面级别、漏洞影响级别和安全控制有效性），对移动网络中的安全态势进行全面评估。
  本文的其余部分组织如下。第 II 节介绍了一个安全状态机模型，该模型用于提供一种系统的方法来识别和定义安全指标。第 III 节讨论了构成总分的主要安全指标，并说明了如何计算这些指标。第四部分讨论了相关工作并定位了我们的工作。第 V 节提供了如何在 6G 中使用安全指标的示例。第六部分重点介绍了一些潜在的研究方向，并得出了结论。

第二安全状态机模型

为了确定相关的安全指标并扩展现有工作，我们利用有限状态机 （FSM） 模型创建了安全状态机模型。安全状态机模型用于识别影响网络功能安全状况的不同状态。FSM 提供了对由于网络功能环境或周围环境的变化而导致的安全状况变化的理解。此外，我们定义了安全状态的分层级别，这些级别代表了可以收集和计算测量值的不同层，该层次结构提供了粒度和可解释性，以了解网络的哪些部分和哪些网络功能具有需要增强的不良安全状态，以及它们对整体网络安全状况的影响和贡献。

II-A 型分层安全级别

安全状态可以在分层级别中测量和表示。如图 1 所示。网络可以具有三个安全状态级别，其中一个级别是另一个级别的子集。基础级别是本地安全状态，它表示单个网络节点的安全状态，例如，网络节点可以是下一代节点 B （gNB）、中央单元 （CU） 或无线电分布式单元 （DU） 等。这仅提供了网络节点状态的单一封闭视图，没有环境因素影响其安全状态。
第二级是域安全状态，它表示一组网络功能的安全状态，这些功能被分组到一个域中，该域实施安全策略并由单个颁发机构管理。域状态将是一个域中的本地安全状态组。例如，在物理部署中，它可以显示位于同一地理区域中的 gNB 组，或者被定义为位于同一安全域中，其中一组安全策略和要求应用于这组 gNB。相反，在云部署中，域可以是构成应用程序集群的工作节点。最后一个级别是 Network Security State，它表示整个网络的状态，它是现有域状态的聚合。

图 1：安全状态层次结构级别

II-B 型安全有限状态模型

识别网络节点经历的不同安全状态，可以了解从一种状态传输到另一种状态的可能事件。这反过来有助于定义与观察到的状态相关的安全指标，并允许计算安全状况分数。此外，安全状态机模型有助于了解指标之间的关系和依赖关系（如果有）。图 3 说明了本文中确定的指标之间的关系示例。

图 2：安全状态机模型
如图 2 所示，状态被标识为模型中的节点，状态可以概括为 Secure、Attack Surface Expanded、Vulnerability Exposed、Attack Surface Compromised 和 Protected。在移动网络功能（例如 RAN Central Unit）的初始部署中，假定它处于安全状态，因为它遵循安全设计规则，根据安全基准和基线进行强化，已识别漏洞和威胁扫描，并配置了与初始威胁假设相匹配的缓解控制。问题在于部署网络功能后的运营阶段，网络或底层基础设施（例如，作系统、容器、容器编排器等）发生变化。这些更改导致从初始安全状态转变为攻击面扩展状态。对网络功能的更改可能与新配置或网络功能范围内的任何其他更改有关，无论是在应用程序级别（例如，添加新功能）还是在系统级别（例如，添加新库或新功能，例如在容器上部署网络功能）， 等。此外，这些变化可能是间接的，并且是由周围网络引起的，例如，连接并连接到小区的新用户设备 （UE） 被视为一种变化，因为它会影响攻击面，添加到 gNB 的新小区或添加到 CU 的 DU 或网络的任何其他拓扑变化。此外，在网络中检测到的新攻击可能会对网络功能的安全状态产生影响，因为它需要网络功能评估自身并测量其状态，以了解它是否受到攻击中使用的漏洞的影响，或者其攻击面是否暴露。前面的示例说明了可能发生的更改，这些更改有助于扩大网络功能的攻击面。评估切入点是必不可少的，首先要了解变化的因果效应及其对增加或减少切入点的贡献。其次，评估攻击者可以利用和破坏网络功能的可能入口点。
在更改后确定网络功能的入口点后，将对其进行评估，以描述是否存在任何可通过已识别的攻击面滥用的漏洞。因此，从攻击面的扩展过渡到漏洞暴露状态。一个重要的方面是评估漏洞是否可以被利用，以及漏洞在被利用的情况下会产生什么影响。如果漏洞可被利用，则更有可能通过攻击面导致系统遭到入侵，这反过来又将状态从漏洞暴露转移到受损状态。
最后，识别和实施适当的缓解控制措施将实现网络功能受损状态与受保护状态之间的过渡，如果缓解控制措施配置正确有效，将导致网络功能恢复到符合为网络功能或整个网络设置的安全要求的安全状态。

第三安全指标

美国国家标准研究院 （NIST） 在[3]安全指标是可量化的度量，用于通过收集和分析与所测量对象的相关数据来了解服务系统的安全状态和态势。在本文中，我们定义了指标，并提供了计算它们的数学模型。
本文中确定的安全指标可以聚合以最终计算安全状态的分数，也可以单独用于不同的目标和需求。例如，一个移动网络测量网络功能中的漏洞影响级别可能很有趣，以便确定可以首先修补网络功能中的哪些网络功能和哪些漏洞。另一个示例可能是，在网络的一部分或特定网络功能上为所需的威胁级别设置单独的目标很有趣。度量定义和使用的这种模块化允许在网络中设置单独的要求，从而更好地理解安全缺陷。此外，模块化有助于促进基于风险的决策，其中考虑了成本，以便根据优先风险投资安全缓解解决方案。
在本节中，我们将详细描述作为第 II 节中描述的 FSM 结果定义的安全指标。此外，我们还提供了一个示例，说明如何计算保护无线电控制平面堆栈的无线电安全控制的安全控制有效性。此外，我们还提供了另一个实际示例，说明如何计算无线电中央单元控制平面网络功能 （CU-CP） 的错误配置漏洞分数，以达到自动修补人为错误引起的漏洞的目的。

图 3：度量关系

III-A 系列安全控制有效性指标

安全控制有效性是指安全控制成功实现其保护、缓解或减少系统内安全风险或威胁的预期目的的程度。它实质上衡量安全控制在保护资产、系统或数据免受潜在安全事件或泄露方面的表现。
安全控制有效性指标取决于两个指标：安全控制覆盖率 和安全控制正确性。安全控制覆盖率确定是否存在必要的控制措施（例如，已部署防火墙），而安全控制正确性衡量控制措施的实施情况（例如，防火墙规则是否有效）。

S⁢CC⁢V表示满足安全要求的控件的可用性。它遵循与已实施的安全控制的二进制关联。结果是 binary values 的向量，具体取决于控件的可用性。例如，如果无线电接口存在安全要求，以确保无线电控制平面堆栈上的高级别保护，则转换为确保机密性和完整性保护，如[4].因此，为了满足要求，需要配置加密和完整性算法。例如，如果仅实现其中一个控件，则：

然后，前面的方程将导致0.5由于只实现了一个控件，例如，如果实现了加密控件，则向量将为：

在这个安全需求示例中，安全控制效果将等于S⁢c⁢E = S⁢CC⁢V由于加密算法是作为首选项列表实现的，其中首选项通常不反映加密算法的强度，而是所用算法对底层基础设施的影响，特别是如果在软件中处理加密[5][6].因此，（S⁢CC⁢R） 将等于1.但是，如果已经发现 Null 加密方案[4]存在于算法列表中，并被视为首选，则这将影响控件的正确性和罚分 （PN） 将从S⁢CC⁢R.在这种情况下，风险会增加，因为不会对通信链路应用加密或完整性保护。将扣除的罚分基于安全控制的上下文，在无线电相关控制的上下文中，罚分是单元中当前连接的 UE 数量的一个系数。这是因为单元的安全配置是全局配置，它将影响将附加和连接到单元的所有 UE。可以按如下所示实现罚分：

哪里U⁢EC⁢o⁢n⁢n表示一次单元中连接的 UE 数t和U⁢ET是可以连接到单元的 UE 总数，换句话说，单元的容量（以连接的 UE 表示）。因此，如果存在100连接到设计最大容量为300连接的 UE，则惩罚值可以按如下方式计算：

此方程式将导致罚值为0.33和最终的安全控制正确性 （S⁢CC⁢R） 变为0.66它来自以下内容：

最后，（S⁢c⁢E） 分数将是0.5和0.66这将导致0.33.这可以解释为无线电安全控制的有效性只是30%，因此剩余的70%表示当前缓解控制满足安全要求的缺点或差距，即无线电控制平面堆栈的全面保护。
此指标可用于评估网络切片安全状态，特别是检查切片流量之间的有效隔离是否与预定义的策略和要求一致。

III-B 型漏洞级别指标

安全漏洞是指系统、网络、软件应用程序或硬件设备中的弱点或缺陷，攻击者可以利用这些弱点或缺陷来破坏系统的安全性并成功进行攻击。漏洞可能是由设计缺陷、实现错误、错误配置或其他因素引起的。漏洞的存在增加了扩大攻击面的可能性，从而为攻击者提供了破坏系统的机会。在本文中，我们将漏洞进一步分类如下：

• •
  **软件漏洞：**描述软件堆栈中的漏洞，包括运行电信功能的应用程序、云原生服务、作系统和容器映像，以及针对 AI/ML 模型的可能漏洞。

• •
  **协议漏洞：**描述不同接口上的网络协议栈中的漏洞，例如 3GPP 接口（IP、Radio）和 OAM 接口。

• •
  **配置漏洞：**描述由于人为错误导致错误配置而引入的漏洞。
  漏洞指标衡量系统特定入口点的漏洞的影响和可利用性，并有助于基于优先级的修复决策（例如，修补软件）。其中，前一个类别都可以显示自己的独立量度。因此，漏洞指标的总分可以分为上述定义的三个子指标。
  GSMA 公司[7]已将人为威胁确定为移动网络面临的主要紧迫威胁之一，GSMA 之前的报告中也强调了这一点，该报告强调了人为错误配置所表现出来的人为错误的影响。在本文中，我们试图介绍如何利用定义的漏洞指标来提供一种解决方案，以优先考虑和自动修补未来 6G 移动网络中的错误配置。自动配置漏洞管理是一个可以从漏洞指标中受益的用例，特别是错误配置漏洞指标（即基于人为错误）。它及时有效地修补系统中的错误配置漏洞，并根据其关键性、漏洞的影响考虑修补网络功能的上下文，以便于基于优先级的修补。
  要计算配置错误的漏洞指标，可以识别和定义许多相关措施，主要是不合规规则的比率 （RN⁢C）、漏洞影响 （V我⁢m⁢p）、资产重要性 （一个C⁢r）、依从性持续时间 （DN⁢C）和环境影响 （E⁢n⁢v我⁢m⁢p).此指标可以针对单个网络功能（即本地安全状态）、分组到一个域中的一组网络功能（实施安全策略并由单个颁发机构管理）或整个网络（即现有域的状态组合）计算（即 network 状态）：

• • 对于本地安全状态，资产关键性和环境影响度量的权重等于 0，因为周围环境的贡献/影响不被考虑/不相关。要获取本地安全状态 （V⁢u⁢l⁢M⁢e⁢tLH⁢u⁢m⁢一个⁢n），其余三个度量可以平均：

  

• • 对于域状态，错误配置漏洞指标 （V⁢u⁢l⁢M⁢e⁢tDH⁢u⁢m⁢一个⁢n）的计算方法中，可以先对每个网络函数 （x），然后对所有网络函数的结果求平均值 （X） 中：

下面详细介绍了每个度量的派生。
**不合规规则的比率衡量标准：**此度量 （RN⁢C） 表示不合规规则 （NN⁢C） 在规则总数 （NT⁢R） 对应于单个网络功能。计算此度量的一个可能示例是通过一个可以定义如下的方程：

的值RN⁢C范围介于0和1,0是所需的值，并且1是最差的值。
**漏洞影响：**此度量 （V我⁢m⁢p） 表示单个网络函数的漏洞。可以使用以下公式获得：

哪里RN⁢C⁢一个是每个配置的不合规属性的比率，RO⁢M是数量级的比率。RN⁢C⁢一个可以通过除以不符合属性的数量 （NN⁢C⁢一个） 对于每个配置在属性总数 （NT⁢一个） 获取该配置。计算此度量的一个可能示例是通过可定义如下的方程式：

另一方面RO⁢M表示影响的数量级，它取决于所考虑的上下文 （RO⁢M∈[0,1]).例如，可以考虑无线电上下文。在这种情况下，RO⁢M将等于计算时连接的 UE 数乘以网络函数可以承受的最大连接 UE 数。 另一个上下文示例是 transport，其中评估 IPsec 隧道的配置合规性。在这种情况下，RO⁢M将等于在网络功能上配置的不合规 IPsec 隧道配置的数量与可为网络功能配置的 IPsec 配置数量之比。 因为RO⁢M和RN⁢C⁢一个的十进制值范围介于 0 和 1 之间，表示脆弱性影响度量的乘积也将介于 0 和 1 之间，但中等影响将趋向于 0（乘法运算得出的大多数值将集中在 0 附近;范围将被拉伸，中等影响将在 0.25 左右）。要将 medium impact 值移回 0.5，可以使用缩放作。
缩放函数示例可以定义如下：

• •
  对于值<0.25:

  

  因此，低影响值将在0和0.5.

• •
  对于值>0.25:

  

因此，高影响值的范围介于0.5和1.
**不合规措施的持续时间：**此度量 （DN⁢C） 表示网络函数的不合规规则的平均修补时间。它会定期更新，直到完成修补（对于每个规则）。修补完成后，特定规则的相应值将恢复为零。DN⁢C可以使用以下公式为每个网络函数计算：

对于R⁢u⁢l⁢e⁢sN⁢C:

哪里TN⁢C⁢x是要修补（或保持未修补）的每个规则的间隔，TS⁢C是配置的扫描周期，而TT⁢P是修补时间的上限（例如，根据披露漏洞的行业最佳实践，为 90 天）。 措施DN⁢C然后可以使用以下方法获得：

哪里NN⁢C是不符合规则的数量。
**资产关键性度量：**资产重要性度量 （一个C⁢r） 用于反映域中网络功能的关键性，并且可以由多个变量表示，例如数据敏感性、可用性、位置、依赖关系等。所选变量可以具有二进制值（例如，data sensitivity： sensitive1或不敏感0). 选择一个C⁢rmeasure 的 Measure 中，可以计算可能的组合总数，并且可以对结果值进行分组。例如，如果选择了三个输入，则可能的组合总数为8 (23），组数为4（即，第 1 组：全 0，第 2 组：一个 1，第 3 组：两个 1，第 4 组：全 1）。在这种情况下，每个组都将有一个分数。考虑相同的示例，这四个组将有分数0,0.33,0.67和1分别。请注意，0是表示光谱一端（最低临界度）的期望值，并且1表示另一个 （最高关键性）。
表 I 显示了上述计算方法示例（基于三个输入：数据敏感性、可用性和位置）。

|-------|---------|----------|----------|------|
| | 数据敏感度 | 可用性 | 位置 | 得分 |
| 第 1 组 | 0 （不敏感） | 0 （容忍延迟） | 0 （内部公开） | 0 |
| 第 2 组 | 1 （敏感） | 0 （容忍延迟） | 0 （内部公开） | 0.33 |
| 第 2 组 | 0 （不敏感） | 1（高可用性） | 0 （内部公开） | 0.33 |
| 第 2 组 | 0 （不敏感） | 0 （容忍延迟） | 1（外部暴露） | 0.33 |
| 第 3 组 | 0 （不敏感） | 1（高可用性） | 1（外部暴露） | 0.67 |
| 第 3 组 | 1 （敏感） | 0 （容忍延迟） | 1（外部暴露） | 0.67 |
| 第 3 组 | 1 （敏感） | 1（高可用性） | 0 （内部公开） | 0.67 |
| 第 4 组 | 1 （敏感） | 1（高可用性） | 1（外部暴露） | 0.67 |

表 I：资产重要性度量的计算示例
**环境影响措施：**此度量 （E⁢n⁢v我⁢m⁢p）可以是域中相邻网络功能（即直接连接到特定网络功能）的本地安全状态的函数（例如，平均值）。计算此度量的一个可能示例是通过可定义如下的方程式：

哪里V⁢u⁢l⁢M⁢e⁢tL,xH⁢u⁢m⁢一个⁢n是网络函数的本地安全状态x和X是直连网络函数的总数。

III-C 系列Attack Surface Exposure 指标

攻击面表示攻击者可以用来攻击系统的系统资源的子集。作者在[8]根据系统资源定义了一个攻击面，该攻击面由攻击者用于进行攻击的一组入口点（例如，无线电接口）、攻击者用于连接到系统的系统通道（例如，控制平面协议）以及发送到系统以破坏或威胁系统的数据项（例如缓冲区状态报告）组成。在这项工作中，我们利用攻击面的相同定义和形式来引入量化的攻击面暴露指标。攻击面的正式定义如下：

哪里一个⁢S表示攻击面，E引用入口点，C表示频道，D表示数据。
因此，对系统的不同入口点进行更精细的视图，最终将更好地解释为攻击面计算的分数，以准确了解需要优先排序的攻击面的位置，因此我们将 6G NF 中存在的攻击面分类如下：

• •
  **3GPP 无线电攻击面：**描述无线电接口内的攻击面
• •
  **3GPP 网络攻击面：**描述 3GPP 中定义的基于 IP 的接口的攻击面，例如 F1、E1、N2、N3、SBA 接口等。
• •
  **O-RAN 网络攻击面：**描述 O-RAN 架构中 O-RAN 接口的攻击面，例如 E2、A1、O1、O2。
• •
  **运营和管理 （OAM） 攻击面：**描述用于 OAM 目的的接口的攻击面。
• •
  **平台攻击面：**描述平台层的攻击面，可以包括底层主机（即 OS）、编排层（即 K8s）或其他支持服务。
  攻击面暴露指标是衡量网络功能的攻击面（例如，入口点、通道、数据）如何因事件触发的网络或网络功能环境的变化而增加或减少的指标。此指标可以单独用于了解网络更改的因果关系和安全影响。以 RAN 为例，重点关注 3GPP 无线电攻击面，一个小区代表入口点，信道代表无线电协议，而数据是可以在每个协议中调用并用于攻击无线电系统的函数、过程和方法。通常，攻击面暴露指标可以通过下面定义的公式计算：

一个⁢SE表示攻击面暴露指标，而∑我=0eD我是每个入口点的攻击面中可能受到攻击的数据项的总和e.O⁢ME⁢P⁢我表示一个入口点的数量级。数量级是一个基于上下文的值，与利用攻击面的数据组件的资源相关。以无线电接口为例，数量级可以是潜在攻击 UE 与每个单元（入口点）支持的 UE 总数的比率。数量级可以用以下等式表示：

哪里U⁢EP⁢一个表示当前潜在攻击 UE 的数量，并且U⁢EC⁢o⁢n⁢n⁢e⁢c⁢t⁢e⁢d是计算指标时单元格中当前连接的 UE 的总数。此外E⁢PC表示当前配置的入口点数量（例如，配置的 cells 数量），以及E⁢PM⁢一个⁢x是允许的最大入口点数（例如，定义为 DU、CU 或 gNB 容量的一部分的最大信元数）。

四相关工作

学术界和工业界在衡量安全性方面都做出了努力。在本文中，我们试图分析这两个方面，以突出我们为补充现有工作而提供的进步。
工业解决方案通常专注于单个指标，以便为系统或服务的安全状况提供可量化的分数。现有的解决方案侧重于通过分析漏洞的关键性和可利用性来衡量漏洞，其中软件漏洞是重点。使用的另一种方法是测量配置与安全配置的合规性。现有的解决方案没有解决组合不同指标来了解系统状况的问题。利用配置合规性作为衡量安全性的方法的示例由[9]，其中解决方案将安全状况与要遵循的基准清单相关联。这种方法提供了不完整的安全态势视图，因为它是静态的，不会随着环境及其要求的变化而变化。其他解决方案，如[10]侧重于将安全状态评估与漏洞的可利用性相关联，这可能很有用，但为了了解要采取的纠正措施，需要进一步了解存在的控制类型及其性能。
用于测量复杂系统（如移动网络）安全性的学术文献存在几个问题。也许最紧迫的问题是风险评估过程的主观性，如[11]和[12].依赖专家判断来评估风险可能会导致风险评估中的不一致和偏差，从而难以制定有效且可作的步骤来应对安全风险。另一个问题是在确定量化和比较安全风险的指标和措施方面缺乏特异性，如[13].缺乏明确定义的安全评分可能会使开发一种全面且适应性强的方法来管理风险变得具有挑战性。此外，排除网络的影响，如[13]，这是分布式系统中的一个重要因素，其中不同组件的作可能会产生超出节点本身的深远影响。
完成的工作[14]以 5G 网络为领域，专注于定义漏洞指标和攻击面指标，以评估 5G 网络功能的安全态势。但是，它没有考虑安全控制的存在对安全状态的影响。为缓解而实施的安全控制是评估安全状况的关键因素。
也许在[15]最接近本文。这项工作确定了可以作为计算和评估安全状态的输入的不同指标。但是，某些指标是主观的，不能用于自动化的目的。例如，有一个已确定的指标来衡量攻击，其中攻击可以是零日攻击、针对性攻击、恶意软件传播。这种措施的缺点是它依赖于检查不同数据源的人类分析师来得出数值结论。该过程容易出错且无法自动化，因此存在提供虚假安全感的风险。
据我们所知，所研究的文献和最新技术并未考虑导致安全状态发生变化的因素。此外，现有工作未考虑部署安全控制的效果及其有效性如何影响安全状态。此外，在计算指标或分配分数时对主观性的依赖。指标需要客观，主观性是指标的一个阻碍性特征，并且是在不同部署中使用不同计算方法重用指标的障碍。
我们的贡献在于，我们提供了一种基于定义的安全状态模型的方法，该方法用于识别影响安全状态和指标关系的指标。此外，提供的量度及其子量度是使用确保其有用的属性定义的，例如，定义的量度是客观的、动态的、可比较的，可以是自动化的，当然，它们是定量的，标量值没有单位。

V安全指标 支持基于意图的安全管理

如第 III 节所述，在 5G 和 6G 部署中建立安全指标为零接触安全自动化功能奠定了基础，而该功能取决于此类指标的可观察性。现成的可量化指标的可用性使决策更加高效，同时减少人工干预。此外，它还提供有关环境中 6G 节点的态势感知和安全态势的信息。

图 4：支持基于意图的安全管理的安全指标
安全指标是基于意图的安全管理的重要推动因素。就其核心本质而言，由 TMForum 和 ETSI ZSM 定义的基于意图的管理网络[16]是一个自主元件，采用闭环自动化。MAPE-K 作为闭环自动化架构[17]的第一阶段是监控阶段，负责收集、处理和观察之后提供给分析阶段的指标和 KPI。因此，拥有正确的指标和 KPI 是实现自主元件所承诺的自动化水平的重要组成部分，自主元件是 6G 网络中零接触网络和安全性的驱动组成部分[18].
如图 4 所示，它显示了基于意图的安全管理循环的高级视图。结果表明，在最高级别上，人类作员或意图所有者负责定义安全要求，在这种情况下，设置的安全要求是将安全状态保持在特定的可量化分数 70%，并且此安全状态将全局应用于所有域 RAN， 运输和核心。安全需求和范围被推向 E2E 管理和编排，E2E 管理和编排是负责将高级业务意图分解为较低级别意图的层，然后每个新意图将被推送到其各自的网络域。
每个域都有其 intent 处理程序，该处理程序负责将 intent 进一步分解为进一步的 intent 或将作用于托管资源的低级驱动。意图处理程序将负责收集数据并监控前面部分中讨论的指标，因此它将评估指标计算的输出是否满足意图中的要求，如果满足，则它将报告分数并且意图要求已满足， 如 Transport 域和 Core 域中所示。但是，如果未满足要求（如 RAN 域中所示），则 intent 处理程序将向上层报告分数较低的原因以及哪个指标对违反 intent 的影响最大。

六结论和未来工作

本文解决了测量移动通信系统安全状态的问题。随着未来网络（即 6G）向自动化和基于意图的管理发展，由于部署的复杂性、异构性和规模增加的挑战，安全性的可衡量性成为基石。能够客观地量化和衡量安全性有助于做出更好的决策、明智的风险管理，并通过零接触配置增强对已部署网络的信任，这些网络不易出错。
在未来的工作中，我们将对各种用例进行实证实验，以验证数学模型。此外，我们将尝试使用这些指标来设计和开发一个封闭的安全自动化循环，其中循环将由 Intent 管理，而指标将是 Intent 模型中定义的要求。
最后，这一领域仍有挑战有待探索。一个挑战与输出分数的数学性质有关，即不确定性和误差容限。此外，另一个挑战是能够解释分数，以便为监督自动化循环的人类提供见解。