当地时间5月2-3日,布拉格5G安全大会在捷克首都召开,来自欧盟、北约,以及美国、德国、日本和澳大利亚等32国以及4个全球移动网络组织的代表参加了这一会议。作为5G的重要建设者,中国未获邀参加上述会议。
会后与会各国代表发布的一份非约束性协议(‘布拉格提案’)指出,网络安全不仅是一个技术问题,还应该考虑第三国政府影响供应商的“整体风险”,5G的安全应当考虑供应商所在国的法律环境、治理模式、有无安全合作协议等更广泛的内容。
(5月2-3日,布拉格5G安全大会在捷克首都召开。图片来源:VentureBeat)
会议指出,5G网络将在全世界范围内实施,保护各国电信基础设施免受网络威胁至关重要,各国必须对5G网络的可靠性和安全性持有最高程度的信任。网络安全不能被视为纯粹的技术问题,一个安全、可靠和有弹性的基础设施需要适当的国家战略、健全的政策、全面的法律框架等。如果因安全需要,各国的5G应该容忍增加成本。
作为迄今为止有关5G安全的最高级别政府官方会议,上述会议将对全球范围的5G治理政策产生重大影响。中国以及华为等中国公司并未参加上述会议。
工信部赛迪研究院互联网研究所副所长陆峰告诉21世纪经济报道记者,此前通信领域的安全会议都是“就技术安全讨论技术安全”,而此次布拉格5G安全会议则将技术安全跟意识形态、国家治理模式、法治环境等其他内容关联起来,“其他方面他们不认可,他们就认为该国公司的技术就不安全。”
在他看来,上述“布拉格提案”显然是针对中国企业的。这些网络安全官员正在为中国电信公司“量身订做”一些条件,让后者无法满足这些要求,进而将中国公司排除在外。
当前,全球5G部署在即,荷兰、奥地利、比利时、捷克、法国、德国、希腊等国都准备今年拍卖5G牌照,华为等中国公司在5G技术上取得了局部的领先。美国则一直在寻求说服其盟友禁止使用华为等中国电信设备制造商的产品和技术。
美国联邦通信委员会主席派(Ajit Pai)在会上指出,5G安全决策需有“更长远的考虑”,而不是在廉价部件上省钱,“因为5G将对我们的军队、我们的产业、我们的关键基础设施(从港口到电网)、我们的企业家等等产生根本性的影响。”
(5月3日,美国白宫就5G“布拉格提案”发表新闻秘书声明)
会后,美国白宫发布声明称,美国支持捷克大会主席公布的关于5G安全的布拉格提案,作为各国在设计、建设和管理其5G基础设施时考虑的一系列建议。美国政府计划将布拉格提案作为行动指南。
美国声明称,由于改变游戏规则的下一代无线电信网络(即5G)将成为新的全球系统,与会者讨论了5G网络架构中的重要安全因素,包括电信网络和基础设施供应链的安全性以及与易受第三国政府影响的供应商相关的风险。“这些关切必须成为每个国家评估5G供应商的重要因素。”
陆峰指出,中国应当警惕,美国正在打造经济竞争领域的“北约组织”,意识形态、国家治理模式、法治环境是其遴选合作伙伴的重要依据,并对其他国家形成排他性限制,未来,美国用这种手段来打击中国高科技公司将成为一种“新常态”,而欧盟GDPR中的跨境数据传输白名单制度、美国云法案中的司法协作适格国家等安排也都采取了类似的措施。
附:布拉格5G安全大会“布拉格提案”全文
(翻译:北京师范大学网络法治国际中心执行主任吴沈括、北京师范大学刑科院暨法学院硕士研究生胡涵)
前言:全球数字化世界中的通信网络
沟通是我们社会的基石。它几乎定义了我们生活的方方面面。然而,我们使用通信技术的快速发展和规模增加了我们的依赖性和脆弱性。
5G网络和未来的通信技术将改变我们的沟通方式和我们的生活方式。运输、能源、农业、制造业、医疗、国防和其他部门将通过这些下一代网络得到显着增强和改变。高速低延迟技术有望实现真正的数字变革,刺激增长,实现创新和福祉。将使日常活动的自动化和充分发挥其潜力的物联网成为可能。
然而,这些发展给重要的公共利益带来了重大风险,并对国家安全产生了影响。今天,恶意行为者在网络空间中运作,其目的是破坏我们社会的凝聚力,并使国家或企业的正常运作陷入瘫痪。这包括试图控制或破坏我们的通信渠道以及传输的信息。在数字化社会中,这会产生严重的后果。
因此,沟通渠道的安全性变得至关重要。破坏传输信息的完整性、保密性或可用性甚至中断服务本身都会严重妨碍日常生活、社会功能、经济和国家安全。通信基础设施是我们社会的基石,5G网络将成为新数字环境的基石。
关于5G网络安全的重要性
考虑到5G网络的安全性对国家安全、经济安全和其他国家利益以及全球稳定至关重要,主席认为5G网络的架构和功能必须以适当的安全水平为基础。
欧盟成员国强调了他们自己的持续进程,旨在确定欧盟委员会在2019年3月26日发布的建议书中发布的关于5G网络安全问题的欧盟共同办法。
为了支持正在进行的讨论,如何降低与开发、部署、运营和维护复杂通信基础设施(如5G网络)相关的安全风险,主席认识到存在以下观点:
网络安全不仅是一个技术问题
网络安全不能被视为纯粹的技术问题。一个安全、可靠和有弹性的基础设施需要适当的国家战略、健全的政策、全面的法律框架以及经过适当培训和教育的专业人员。强大的网络安全支持保护公民自由和隐私。
网络威胁的技术和非技术性质
在处理网络安全威胁时,不仅应考虑其技术性质,还应考察利用我们对通信技术的依赖性的恶意行为者的具体政治、经济或其他行为。
5G网络中断可能造成的严重影响
由于基于5G的网络的广泛应用,未经授权的通信系统访问可能会暴露前所未有的信息量,甚至会破坏整个社会过程。
国家层面的进路
为确保高水平的网络安全而采取的政策和行动不应仅由主要利益相关方(即运营商和技术供应商)实现,而应由显著影响总体安全水平的其他领域和部门的所有相关利益攸关方予以检视,例如教育、外交、研究和开发等。保护通信基础设施的网络安全不仅仅是一个单纯的经济或商业问题。
适当的风险评估至关重要
系统的、不断的风险评估,涵盖网络安全的技术和非技术方面,对于创建和维护真正有弹性的基础架构至关重要。应制定和部署基于风险的安全框架,同时考虑到现有技术政策和减轻安全风险的手段。
安全措施的广泛性
网络安全措施需要足够广泛,以覆盖整体安全风险范围,即运营和战略层面的人员、流程、物理基础设施和工具等等。
没有一般性解决方案
在制定适当措施以提高安全性时,关于最佳路径的抉择应反映出独特的社会和法律框架、经济、隐私、技术自给自足以及对每个国家都很重要的其他相关因素。
在支持创新的同时确保安全性
创新是现代社会发展和经济增长的主要动力。它还促进了新的安全解决方案。政策、法律和规范应允许安全措施灵活地协调安全与特定国情之间的互动。应该通过这种灵活性鼓励创造力和创新。
安全需要成本
实现适当的安全水平有时需要更高的成本。如果安全需要,应该容忍增加的成本。同时,安全性并不必然意味着更高的成本。
供应链安全
所有利益相关方的共同责任是推动供应链安全。通信基础设施的运营商往往依赖于源自其他供应商的技术。主要的安全风险来自提供ICT设备的日益全球化的供应链的跨境复杂性。应根据相关信息将这些风险视为风险评估的一部分,并应设法防止有害设备的渗透以及恶意代码和功能的使用。
考虑到这些观点,主席要求负责任地开发、部署和维护5G网络和未来的通信技术,并考虑以下建议和最佳实践——
布拉格提案
主席建议在四个不同类别中提出以下建议,以准备5G和未来网络的到来。
A.政策
通信网络和服务的设计应考虑到弹性和安全性。应使用国际的、开放的、基于共识的标准和风险导向网络安全最佳实践来构建和维护它们。应促进明确的全球互操作网络安全指引,以支持网络安全产品和服务,提高所有利益相关者的防御能力。
根据国际法,每个国家都有自由制定自己的国家安全和执法要求,这些要求应尊重隐私,并遵守保护信息免受不当收集和滥用的法律。
规制网络和连通性服务的法律和政策应遵循透明度和公平性原则,同时考虑到全球经济和可互操作的规则,并充分监督和尊重法治。
应考虑第三国政府对供应商影响的总体风险,特别是关于其治理模式,是否缺乏安全合作协议或类似安排(如数据保护方面的充分性认定),或者该国是否是关于网络安全、打击网络犯罪或数据保护的多边性、国际性或双边性协议的缔约国。
B.技术
在产品发布之前和系统运行期间,利益相关方应定期在所有组件和网络系统中进行漏洞评估和风险消解,并培育促进查找/修复/补丁文化,以消解已识别的漏洞并快速部署修复程序或补丁。
供应商产品的风险评估应考虑所有相关因素,包括适用的法律环境和供应商生态系统的其他方面,因为这些因素可能与利益相关方维持最高可能的网络安全水平的努力相关。
在建设弹性和安全性时,应该考虑到恶意网络活动并不总是需要利用技术漏洞,例如:如果发生内部人攻击。
为了增加全球通信的益处,各国应采取政策,以实现高效和安全的网络数据流。
利益相关者应考虑伴随5G网络推出的技术变革,例如:使用边缘计算和软件定义的网络/网络功能虚拟化,以及它对通信信道整体安全性的影响。
根据现有技术和相关的商业和技术实践,客户-无论是政府、运营商还是制造商-必须能够了解影响产品或服务安全级别的组件和软件的来源和谱系,包括产品和服务的维护、更新和补救的透明度。
C.经济
多样化和充满活力的通信设备市场和供应链对于安全和经济复苏至关重要。
对研发的有力投资有利于全球经济和技术进步,是一种可能增加技术解决方案多样性的方式,对通信网络的安全产生积极影响
应使用采购、投资和承包方面的标准最佳实践,公开透明地为通信网络和网络服务提供资金。
国家赞助的5G通信网络和服务提供商的扶持、补贴或融资应该遵循公开市场竞争原则,同时考虑到贸易义务,尊重公平原则,商业上合理,公开透明地进行。
有效监督影响电信网络发展的主要金融和投资工具至关重要。
通信网络和网络服务提供商应具有透明的所有权、合作伙伴关系和公司治理结构。
D.安全、隐私和弹性
包括行业在内的所有利益相关方应共同努力,以促进国家关键基础设施网络、系统和连接设备的安全性和弹性。
应促进经验和最佳实践的分享,包括酌情提供协助以及消解、调查、响应和从网络攻击、损害或中断中恢复。
供应商和网络技术的安全和风险评估应考虑到法治、安全环境、供应商渎职行为以及对开放、可互操作、安全标准和行业最佳实践的遵从性,以促进充满活力和强大的网络安全产品和服务供应进而应对不断上升的挑战。
风险管理框架应遵循数据保护原则,以确保使用网络设备和服务的公民的隐私。
更多内容请下载21财经APP