文│ 中国信息通信研究院 杨红梅
近年来,西方国家将5G安全的重要性提升到了新的高度,并以5G 网络安全为由,对中国和中国企业施加障碍甚至进行封锁。在这一大背景下,捷克政府于 2019 年和 2020 年组织召开了两届 5G 安全会议,本文将简要介绍这两次会议的主要内容。
一、第一届布拉格 5G 安全会议
2019 年 5 月,捷克政府在布拉格组织召开了第一届 5G 安全会议,邀请了欧盟、北大西洋公约组织(NATO)及美、德等三十多个国家的技术专家和政府官员,讨论如何降低与开发、部署、运营和维护相关的 5G 网络安全风险,旨在提高与会各国对网络安全和 5G 复杂性的认识,并创建不同国家之间在网络安全方面新的合作模式。会议形成了《布拉格提案》(以下简称提案),作为西方部分国家构建和维护 5G 网络及服务的共同行动指南。
提案提出了 10 个主要观点。具体如下:网络安全不仅仅是技术问题、网络威胁不仅应考虑技术性质还应考虑其非技术性质、5G 网络中断可能造成严重影响、需要国家层面的安全措施、有必要开展适当的风险评估、安全措施具有广泛性、网络安全没有普适解决方案、确保安全的同时应支持创新、安全需要一定的经济成本、应将供应链安全风险视为风险评估的一部分。同时,提案从政策、技术、经济、安全四个方面给出了部署 5G 网络时应考虑的措施建议。下面对主要观点进行分析。
1. 5G 网络安全问题不仅涉及技术因素,还涉及非技术因素,建议各国联合多领域多部门共同开展5G 安全风险评估
提案认为,网络安全不能被视为纯粹的技术问题,而是与国家战略、政策、法律框架,以及经过适当培训和教育的专门人员等内容都有关联。由于 5G 网络的大规模部署及广泛应用,一旦网络中断或被未经授权的通信系统访问将会影响网络服务、暴露大量数据信息,甚至对社会进程造成严重的破坏。
提案指出,各国有必要联合多领域多部门共同开展 5G 安全风险评估。高水平的网络安全风险评估不应仅由主要利益相关方(即运营商、设备供应商等)参与,而应与其他所有领域和部门(如教育、外交、研发等)的利益相关方共同参与评估。开展系统的、详细的安全风险评估应涵盖网络安全的技术和非技术方面,制定和部署基于风险的安全框架,同时考虑利用政策手段消除安全风险。
2. 所有利益相关方应参与保障 5G 供应链安全
提案认为,保障供应链安全至关重要。由于通信基础设施的运营商往往依赖于其设备供应商的技术,因此保障供应链安全是所有利益相关方(例如运营商、设备供应商等)共同的责任。目前,主要的供应链安全风险来自供应链的跨境复杂性,应将这些风险纳入安全风险评估,并设法防止有害设备的渗透以及恶意代码和功能的使用。
3. 强化新技术和供应商的安全风险评估,综合考虑技术能力、法律环境、第三国影响等多维度因素
在新技术方面,要着重评估 5G 网络的边缘计算、网络功能虚拟化技术带来的安全风险;在供应商方面,为维护供应链的安全可控,提案认为 5G网络设备、模块、软件等供应商的安全风险评估应综合考虑多种因素,包括安全标准的遵从性、产品服务的安全水平等技术性因素,以及公司组织架构和管理模式的透明性、营商所处的法律与政策环境、第三国治理模式等非技术性因素,以保障 5G网络在设计、建设以及运营等环节的安全性。
4. 基于国际标准和最佳安全实践,推动构建多方参与、全生命周期的 5G 网络安全体系
在网络部署方面,各国应加强交流协作,推动形成具有国际共识的 5G 安全标准和最佳安全实践,以指导 5G 网络在设计、建设、维护等全生命周期的安全部署,同时在产品发布和运维时,及时进行漏洞检测和防护措施更新。在协作方面,要求行业所有相关方共同参与,提升网络、系统和设备等关键基础设施的安全性。在互操作方面,为适应 5G网络全球化发展,将推广具有清晰互操作性的网络安全指南,同时制定相应政策,保障网络间数据交互的高效和安全。
5. 在尊重公民隐私和公开透明的前提下,制定国家安全法律和网络监管政策
出于维护国家安全的需要,各国通常会要求网络配合执法机关收集必要数据,这引发对利用 5G网络设备进行不正当数据收集的担忧,而各国对于网络监管政策的差异性,也使得网络的互操作性较差。因此提案倡议各国在制定相关法律和政策时,一方面应规范执法数据收集功能的使用流程,不得侵犯用户隐私。另一方面要求网络监管政策能够有利于网络的全球化发展,确保网络受到公开透明的监管。
6. 加大 5G 研发投入,在公正公平的资助下增加5G 产品和技术方案的多样性
提案建议,一是加大 5G 研发投资力度,丰富设备供应商和技术方案,确保供应链安全。二是应使用采购、投资和承包方面的标准最佳实践,公开透明地为通信网络和网络服务提供资金。三是应建立监督措施,有效管理影响电信网络发展的主要金融和投资手段。
二、第二届布拉格 5G 安全会议
2020 年 9 月 23 日至 24 日,第二届布拉格 5G安全会议在线上召开,捷克共和国作为东道主主持了会议,会议邀请到包括政府、研究机构和大型运营商在内的 1100 名代表,会议主题包括 5G 技术研发、关键基础设施防护、供应链安全、供应商风险评估、Open RAN 等。
本届会议重点聚焦防范供应链安全风险。各国关注点从单个企业、行业风险上升至整体产业链生态风险,旨在共同合作抵制不可信供应商参与 5G建设。此外,Open RAN 技术对 5G 安全性的影响在本届会议上也受到了高度重视。
英国表示,计划推出的《电信安全法案》将通过提高安全标准、引入增强的电信安全框架,对电信安全职责和运营商要求进行严格规定和特定控制,以确保电信运营商和设备供应商的安全性。在战略规划方面,针对当前电信接入网市场中缺乏有效选择和竞争的问题,英国认为 Open RAN 技术的发展将减少对大型供应商的依赖性,降低网络建设成本和提高弹性,提升电信市场的竞争力和活力。英国倡导盟友间继续展开密切合作、开发和部署新的技术解决方案,保护现有供应链、消除供应商准入门槛和加大投资调控,进一步推动电信供应市场中的多元化竞争、创新和安全。
美国总结了布拉格提案发布以来在 5G 安全方面取得的进展,包括:在普遍服务基金中剔除中国供应商设备;拒绝中国运营商进入美国市场等。另外,美国还重点宣传了“清洁网络”成效,赞扬了目前已加入“清洁网络”并积极推动剔除中国设备制造商产品的 30 多个国家和其运营商,呼吁更多的国家电信企业加入清洁网络的阵营。此外,美国还强调了 Open RAN 技术在改变 5G 网络架构、成本和安全性上的重要性,鼓励公私部门继续合作以加快推动 Open RAN 技术的发展与部署。
三、启示
在 5G 安全方面,我国面临的国际环境依然复杂严峻,西方国家对我国的打压还在持续,以“清洁网络”计划和发展 Open RAN 新技术为借口,继续挤压我国企业生存空间,遏制我国科技发展,同时提升其自身国际市场竞争力。我国应继续加快 5G创新发展,加强 5G 核心关键环节攻关,同时,坚持国际合作、开放共赢的原则,进一步加大国际合作和开放力度,加强 5G 安全领域的沟通交流,推动 5G 全球化发展。
(本文刊登于《中国信息安全》杂志2021年第2期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
