第五节 新兴技术的网络安全问题越发得到重视
人工智能、云计算、5G 等网络新技术、新应用持续发展并进一步同各产业深度融合,对网络安全产生重大而深远的影响。2021年,世界各国通过强化云服务数据安全保护、加强人工智能技术应用的规范和限制、多措并举防范5G安全问题等,强化新兴技术自身及应用中的网络安全保障能力。
一、强化云服务数据安全保护
2021年2月,新加坡计算机紧急响应小组(SingCERT)发布《加强云服务安全性指南》。该指南概述了造成云攻击的常见原因,包括网络钓鱼电子邮件、身份验证绕过、修改电子邮件转发规则等,旨在通过进一步普及和关注引起云服务安全问题的原因,探索治理数据泄露等云服务数据安全问题的对策。
2021年5月,法国政府发布《国家云计算战略计划》。该计划提出,使用美国公司授权的云计算技术的法国企业必须把相关数据存储在欧洲,方能获得法国政府的认可,以确保法国云数据得到更好的保护,避免法国数字主权受到损害,最大限度绕开《云法》等美国法律的长臂管辖,同时也能确保法国云计算企业的未来竞争力。
2021年5月,欧洲证券和市场管理局发布《云服务提供商外包指南》,旨在帮助公司和主管当局识别、处理和监测云外包事项所带来的风险和挑战。该指南概述了对关键合同要素、信息安全、访问和审计权、转包和云外包协议监督的要求。在信息安全方面,该指南规定公司应在内部政策和程序、云外包书面协议中设定信息安全要求,并持续监测此类要求的遵守情况,包括保护机密数据、个人数据或其他敏感数据。
2021年6月,法国数据保护局发布了首个专门针对欧洲云基础设施服务提供商的行为准则,包括适用范围、数据保护要求、安全措施透明度要求、遵守行为准则方式、行为准则监管等,为云基础设施服务提供商符合欧盟《通用数据保护条例》(GDPR)等数据保护行为准则要求提供帮助和指导。
2021年10月至12月,美国国家安全局(NSA)和国土安全部网络安全和基础设施安全局(CISA)陆续发布《5G云基础设施安全指南》系列报告,特别关注适用于5G 基础设施部署相关的威胁、漏洞等环节的应对措施,旨在提升5G云基础设施安全防护能力。其中,《5G云基础设施安全指南:保护敏感数据免受未经授权的访问》重点诠释如何保护敏感数据免受未经授权的访问,旨在保护5G 核心云基础设施内数据的保密性、完整性和可用性,确保数据在数据全生命周期内都得到保护。《5G云基础设施安全指南:确保云基础设施的完整性》主要内容包括5G 云安全面临的挑战和威胁、确保云基础设施的完整性等。
二、加强人工智能技术应用的规范和限制
2021年4月,欧盟委员会出台《人工智能法(提案)》,旨在应对人工智能使用风险。该提案规定禁止以下情形的人工智能实践:利用个人无法认知的方式部署潜意识技术以扭曲个人行为,或利用诸如儿童、残疾人等弱势群体的脆弱性,实质性扭曲与该人群有关的行为,导致对其身体或心理造成伤害;公共部门运用人工智能手段,基于个体一段时间内的社会行为或个性化特征数据,对该个体可信度进行不当评分或归类,导致该个体受到不利或不公平对待;除寻找特定犯罪受害者或失踪儿童、侦查定位犯罪嫌疑人、处理紧急人身安全或恐怖袭击外,出于执法目的在公共空间使用“实时”远程生物识别系统。
2021年5月,英国中央数字和数据办公室、内阁办公室和人工智能办公室发布《自动化决策的伦理、透明度和可责性框架》,旨在规范算法的自动化决策。该框架要求组织:在服务中使用自动化决策时要测试,以避免任何意外结果或后果;安全处理数据,保护公民合法权益;为所有用户和公民提供公平的服务;帮助用户和公民了解自动化决策如何对其产生影响等。
2021年10月,欧洲议会通过《欧洲议会关于刑法中的人工智能及警方、司法部门出于刑事事由使用人工智能的决议》,呼吁全面禁止在公共场所进行自动面部识别,并对警方使用人工智能进行预测性警务活动实施严格限制措施。此外,该决议希望禁用试图根据公民的行为或个性对公民的信用进行评分的社会评分系统。
2021年11月,联合国教科文组织通过《人工智能伦理问题建议书》,明确禁止使用人工智能系统进行社会评分和大规模监控,认为此类技术极具侵入性,侵犯人权和基本自由。
三、多措并举防范5G安全问题
2021年2月,欧盟网络安全局发布《第三代合作伙伴项目(3GPP)5G安全规范报告》,旨在帮助欧盟成员国监管部门更好地了解5G 安全、3GPP安全规范和运营商为保障5G 网络安全所必须实现的关键安全控制标准化环境,并呼吁欧盟成员国确保和评估运营商及其供应商针对现有5G 标准的安全措施实施情况。
2021年6月,欧盟网络安全局准备成立5G网络安全认证特设工作组,准备制订欧盟5G 网络安全候选认证计划。该计划一方面要满足云安全联盟(CSA)要求,确保与欧盟网络安全认证等方案保持一致,并探索重新使用欧盟通用标准和云服务方案的可能性;另一方面要做好与欧盟网络与信息安全(NIS)合作小组已建立的5G安全解决方案套件的无缝对接。
2021年6月,罗马尼亚通过《关于采取涉及国家利益的信息和通信基础设施及5G网络实施条件的若干措施的法律》,为5G网络软件和硬件供应商的经营许可内容设置了严格的条款,并要求通信运营商只能在其5G 网络中使用由总理根据最高国防委员会(CSAT)意见批准的制造商提供的技术、设备和软件,还将电信运营商更换无执照组件的期限从5年延长至7年(若无执照组件是核心设备,则该期限为5年)。
2021年7月,欧盟网络安全局对外发布《欧盟电子通信规范(EECC)5G安全补充措施实施指南》,以对《EECC安全措施指南》进行补充。该指南包括5G 安全技术配置文件,就如何确保移动网络运营商安全、降低5G网络风险提供指导。该指南分别从政策层面和技术层面落实欧盟5G 工具箱有关内容,提出有关建议措施。