A finales de mayo ZTE desveló que había renovado ISO/IEC 27701 y en el mes de juno ha anunciado dos aprobaciones más. En concreto, el fabricante ha indicado que ha superado la evaluación NESAS (Network Equipment Security Assurance Scheme) de la GSMA para su 5G NR gNodeB y siete dispositivos de red 5GC. La compañía pasó con éxito la auditoría de seguridad para sus procesos de desarrollo y ciclo de vida del producto en junio de 2020. Más adelante, la empresa llevó a cabo las pruebas de seguridad NESAS en sus productos de red 5G de acuerdo con las normas de seguridad definidas en las especificaciones de garantía de seguridad (SCAS) por el 3GPP en marzo de 2021.
SGS Brightsight, un laboratorio de pruebas de seguridad NESAS acreditado por la GSMA, realizó las pruebas SCAS. Las pruebas abarcan la seguridad de la interfaz aérea, la seguridad de la arquitectura orientada al servicio (SOA), la seguridad del acceso, la seguridad del plano de control/usuario, la seguridad general del producto de red, la seguridad de la transmisión, la seguridad de O&M, las pruebas de vulnerabilidad y solidez, etc.
Como mecanismo global y eficiente de evaluación de la ciberseguridad, NESAS ha tenido en cuenta los comentarios de las distintas partes interesadas y también ha reforzado de forma iterativa su capacidad, para satisfacer las necesidades de seguridad de los operadores de redes, los proveedores de equipos, los reguladores y las autoridades nacionales de seguridad.
Certificado CC EAL3+ para su 5G RAN
Asimismo, el proveedor ha logrado la certificación EAL3+ de Common Criteria (CC) para su 5G RAN. Esta especificación verifica que la seguridad de sus productos RAN 5G ha alcanzado el máximo nivel en la industria.
Los Criterios Comunes para la Evaluación de la Seguridad de las Tecnologías de la Información son una norma internacional ampliamente reconocida basada en la norma IEC/ISO15408. En la actualidad, hay 31 naciones que participan en el reconocimiento mutuo de la certificación CC, además, los principales operadores de telecomunicaciones internacionales valoran ampliamente la certificación CC en sus proyectos de adquisición por su alta calidad e imparcialidad.
La certificación CC define siete niveles de garantía de evaluación (EAL) para un objetivo de evaluación (TOE) una vez completada la certificación, entre los cuales el EAL3 (probado y comprobado metódicamente) es, hasta ahora, el nivel más alto alcanzado por un producto a nivel de sistema en el ámbito de las telecomunicaciones. El EAL3+ significa que el TOE cumple el EAL3 y otros requisitos aumentados para la funcionalidad de seguridad evaluada.
El certificado obtenido por ZTE es el primer certificado CC EAL3+ del sector para una solución de sistema, que comprende 15 productos RAN 5G, como AAU/RRU, BBU, Unified Management Expert (UME), etc. La solución interactúa con los equipos de usuario (UE) e implementa funciones como la gestión de recursos radioeléctricos, la compresión y encriptación de cabeceras IP de flujos de datos, el enrutamiento de datos en el plano de usuario, la programación y transmisión de datos y la gestión de la movilidad. El UME se utiliza para gestionar el sistema a través de una interfaz web.
El laboratorio de evaluación de CC acreditado SGS Brightsight, de los Países Bajos, realizó la evaluación, que abarca la seguridad en todo el ciclo de vida del producto, incluido su diseño, desarrollo, pruebas, producción y entrega. El organismo de certificación TÜV Rheinland Nederland B.V., en el marco del Esquema Holandés de Certificación en el Área de Seguridad Informática (NSCIB), emitió el certificado a ZTE y declaró que la evaluación cumple todas las condiciones para el reconocimiento internacional del Cer