【编者按】2019年5月,捷克外交部曾举办“5G安全大会”,召集北约、欧盟成员国家发布《布拉格倡议》。2020年2月,欧盟委员会出台了《5G安全工具箱》,并呼吁成员国落实其中的系列措施。该倡议和工具箱都从国家安全的层面看待5G安全问题,旨在对“某些国家政府对5G供应商施加影响”的高风险供应商设置限制。在此基础上,2020年5月,应美国国务院的请求,战略与国际研究中心(CSIS)发布了《电信网络和服务的安全性和信任标准》,提出了判断电信供应商可信性的31条标准。这些标准将政治因素放在首位,要求政府或电信运营商慎重考虑存在风险因素的供应商。
1、引言
根据美国国务院的请求,战略与国际研究中心(CSIS)召集了来自亚洲、欧洲和美国公司或研究中心的25名专家组成工作组,制定一个评估电信设备供应商可信性的标准。该标准是《布拉格倡议》和《欧盟5G工具箱》的补充,为政府及网络运营商提供了一个判断可信性和安全性的新工具。
通信技术正在改变我们的生活和工作方式。这带来了风险也带来了机遇:通信技术的快速发展升级将提高依赖性和脆弱性。通信网络软件和硬件的全球供应链可能存在安全问题,包括从不可信的供应商采购和部署通信技术时存在的安全风险。国家面临的一个重要议题是如何评估不同供应商所提供技术的可信性和安全性。考虑到国家安全敏感性,电信系统应当只选择可信的供应商或制造商来源。
出于这些考虑,在《布拉格倡议》和《欧盟5G工具箱》的基础上,CSIS为政府及网络运营商制定了综合而客观的标准,用以判断可信性和安全性。该标准使评估供应商的可信性和安全性时主要依赖于公开可获得的信息,并且可以对国内政策进行描述从而指导开展负责任和必要的电信网络保护行动。该标准来源于不同的评估工具,例如外国投资审查、国家安全审查、商业实践等,允许通过基于事实的方法,判断一个供应商的可信度。政府也可以采用该标准集中评估所有公司的风险和安全性。
2、政治和治理标准
(1)如果供应商总部所在的国家具有一个民主选举出来的政府,其显著的标志就是该国有真正独立的反对党、政府可以被更换、三权分立,而供应商遵守该国法律和政府指示行动,那么该供应商就是具有更高可信度的。
(2)如果供应商总部所在的国家具有一个独立的司法系统,显著的标志是有记录显示其尊重“推定无罪”原则、公开听证权利、不被无故延长受审期间,以及其法庭或仲裁程序不被政治干预,那么该供应商就是具有更高可信度的。
(3)如果供应商总部所在国家关于网络和连接服务监管的法律政策尊重限制政府行使权力的法律规则,并且有证据显示这些限制性规则发挥了作用,那么该供应商就是具有更高可信度的。
(4)如果供应商总部所在的国家与采购商所在国家是安全伙伴关系,或者采购商国家政府与供应商国家政府之间有合作性的安全协议,那么该供应商就是具有更高可信度的。
(5)如果供应商总部所在的国家有足够记录显示其保护个人数据,其显著标志是多边协议、法律、监管、执法行动,或者其数据保护是由一个独立机构来行使决策权的,那么该供应商就是具有更高可信度的。
(6)如果供应商总部所在的国家有足够记录显示其遵守国际人权承诺,包括媒体自由,以及无审查、随意拘押等与人权实践和国际规范相违背的情况,那么该供应商就是具有更高可信度的。
(7)如果供应商在竞标时经历的采购流程不是仅仅基于成本因素,而是考虑了劳工状况、交易实践、人权、环境标准等因素,那么该供应商就是具有更高可信度的。
(8)如果供应商表现出来的行为方式和实践超出了普遍接受的国际商业规范,即公司与所在国政府之间存在相互依赖关系,那么该供应商就是更低可信的。评判标准如:法定或正式地要求政府或政党代表列入供应商的行政管理体系,这些代表可随意访问公司的数据、参与公司的行动,或者可迫使公司进行情报目的的行动而该公司却无权向独立的司法机构提起上诉。
(9)如果供应商总部所在国家的法律强制其与政府合作或给予政府特殊权利,那么该供应商就是更低可信的。
(10)如果供应商所在国家的政府涉及掠夺性的贸易实践(如倾销、无条件国家补贴、人为的低价)或其他旨在实现不公平优势地位的实践,那么该供应商就是更低可信的。
3、商业实践评估标准
(11)如果供应商的所有权关系透明,并且公司治理结构可经受独立的核验,那么该供应商是具有更高可信度的。
(12)如果供应商被公开交易或遵循披露信息或可被检查的监管要求,那么该供应商是具有更高可信度的。
(13)如果供应商的财务公开且透明,在采购、投资、订立合同过程中采用最佳实践,并且保存记录供公众或监管者审查,那么该供应商是具有更高可信度的。
(14)如果供应商能表明其遵守国际公认的会计标准(如GAAP或IFRS),那么该供应商是具有更高可信度的。
(15)如果供应商具有尽职调查历史和遵守伦理道德的行为,如尊重其他公司的知识产权,那么该供应商是具有更高可信度的。
(16)如果供应商有着不透明的所有权结构,如国有或限定其所有权必须为单一国家的公民,那么该供应商是更低可信的。不透明表现为不寻常的所有权安排,掩盖了所有人、控制者或影响者,或者使用任何其他机制掩藏供应商与某个外国政府之间的依赖关系。
(17)如果供应商从隐藏的或不透明的财务支持、优惠政策、补贴或其他并不商业公平的财务机制中获益,缺乏透明,参与旨在排除竞争者的掠夺性定价,迫使其他供应商退出市场,或者参与其他旨在不公平地为竞争者设立不利条件的政府行动,那么该供应商是更低可信的。
4、网络安全风险缓解标准
如果某个供应商并未达到上述可信性标准,尽管缺少可信度,但在以下情况下,由于使用该供应商技术的风险可被部分地缓解,同时网络的安全性能够得到提升,政府或运营商可以决定给该供应商颁发有限的许可。
(18)该供应商成功地通过了独立、可靠的第三方评估,可靠的国家风险评估,或者电信基础设施中技术和非技术(如供应商遵守的法律和政策框架)方面的安全评估流程。
(19)采购国或第三方的评估或认证能够证实被评估的技术确实被部署在其使用的产品之中。
(20)供应商的产品和服务是根据国际认可、开放、基于一致同意的电信技术标准而设计、构建和维护的。
(21)供应商能够提供关于元器件、软件来源的保证,并且在其提供给客户的交付物中使用“开源”代码时,具备处理安全性和知识产权要求的政策和程序。
(22)供应商遵守关于产品及服务的维护、更新、修复的透明性相关的商业和技术实践。
(23)针对客户发现的安全漏洞,供应商在合理期间内存有一份处理和修复的记录。
(24)供应商以符合国家网络安全政策及规则的方式向运营商提供运营支持,而运营商也遵守信息安全治理政策、遵守数据保护和法律和要求,并且可验证地遵循这些要求。
(25)供应商能够表明其具备足够的监督,并且与其产品的元器件第三方供应者订立合同绑定安全和质量保证。
(26)供应商遵循安全开发实践,并且能够对软件工具与源代码的整个生命周期管理进行存档。
(27)供应商实施了可验证的技术性措施,确保在网络运营商的安全政策下为其支持的网络采用严格的访问控制(限制访问授权用户、访问授权用户活动流程或授权设备)以及安全监控措施。
5、政府选择供应商时提升信任度的行动
(28)政府应当具备政策和法定工具,以获得供应商的风险概况,并且判断供应商是否能够基于独立评估以及应用上述非技术性标准的评估来表明其可信度。供应商应当能够表明其在产品中使用了安全设计、软件工程和有效的安全流程。
(29)政府和私企应当在其所有的网络系统中时常进行脆弱性评估和风险缓解措施。供应商产品的风险评估应当既有技术性的,也有非技术性的,考虑了可适用的法律环境以及供应商生态系统的其他方面,这些方面可能与政府和私企维护安全的工作相关。
(30)政府应当在全国网络基础设施中采取避免“单一化”的政策,鼓励可信任的和安全的网络及系统元器件制造商的多样性和可持续性。然而,多样的需求并不足以满足针对高风险商家的风险缓解战略需要。
(31)政府应当鼓励和支持网络运营商采用最佳安全实践,并且实施现有电信标准中的安全措施(包括安全网络设计与架构、安全运营规则、监控和限制功能外包)。
编译 | 黄紫斐/赛博研究院研究员
本文由赛博研究院出品,转载请注明:本文来源于赛博研究院公众号。
更多精彩内容请关注“赛博研究院”公众号。
