2025年5G工业互联网安全协议

2025年5G工业互联网安全协议鉴于双方（以下简称“甲方”和“乙方”）希望在5G技术与工业互联网深度融合的背景下，利用5G网络为工业互联网系统（包括但不限于5G网络切片、工业互联网平台、连接的工业设备、传输和存储的工业数据等）提供安全稳定的服务，为保障相关系统安全，防止网络攻击、数据泄露、服务中断等安全事件的发生，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规、国家及行业网络安全标准与最佳实践，经友好协商，达成如下协议：第一条目的与依据本协议旨在明确双方在5G工业互联网环境下的安全责任与管理要求，共同维护网络空间安全，保障工业生产、运营及相关数据的安全、完整、可用。第二条适用范围本协议适用于双方合作涉及的以下内容：1.用于工业场景的5G网络及其资源，特别是为甲方提供的网络切片；2.工业互联网平台（包括基础设施即服务IaaS、平台即服务PaaS、软件即服务SaaS等）；3.通过5G网络连接的工业设备，包括但不限于传感器、控制器、执行器、机器视觉系统、工业机器人等；4.在上述系统内传输和存储的工业数据，包括生产数据、设备状态数据、操作指令、工艺参数、质量信息等；5.双方人员及根据双方授权或委托参与相关活动的第三方人员（如系统集成商、运维人员、供应商等）在上述活动中的安全职责。第三条定义与术语除非上下文另有解释，本协议中使用以下术语含义：1.5G核心网：指5G网络中的控制平面和用户平面功能集合，负责移动管理、会话管理、用户数据管理等功能。2.5G无线接入网：指5G网络中负责用户设备无线接入的部分，包括基带设备（gNB）等。3.网络切片：指在5G网络中，运营商通过网络功能虚拟化（NFV）和软件定义网络（SDN）技术，将物理网络资源逻辑隔离，为不同用户或应用场景提供定制化、有服务质量（QoS）保障的虚拟网络。4.工业互联网平台：指提供工业数据采集、存储、处理、分析、应用开发、运行管理等服务的信息技术系统。5.工业控制系统（ICS）：指用于工业生产过程控制的硬件和软件系统，包括但不限于分布式控制系统（DCS）、可编程逻辑控制器（PLC）、人机界面（HMI）等。6.关键信息基础设施：指在国民经济、社会治理、国防建设、公共安全等领域中，对国家安全、国民经济、社会稳定和公众利益具有重要影响的网络、信息系统和数据资源。7.边缘计算：指将计算、存储、应用服务等功能部署在网络边缘（靠近数据源或用户侧）的计算范式。8.零信任安全模型：指不信任任何内部或外部的用户或设备，要求对所有访问请求进行持续验证和授权的安全架构理念。9.纵深防御原则：指在系统中部署多层、多样化的安全措施，以增加攻击者成功入侵的难度。10.最小权限原则：指用户或进程只被授予完成其任务所必需的最小权限。11.数据分类分级：指根据数据的重要性和敏感性对其进行分类和分级，并实施相应的安全保护措施。12.强身份认证：指采用多种认证因素（如“你知道的”、“你拥有的”、“你生物特征的”）来验证用户身份的方法。13.网络准入控制（NAC）：指在网络访问前，对用户或设备的身份、安全状态进行验证和控制的技术。14.入侵检测/防御系统（IDS/IPS）：指用于监测网络或系统中的恶意活动或政策违规行为，并能够采取相应动作（如阻断连接）的系统。15.漏洞：指软件、硬件或配置中存在的弱点，可能被攻击者利用来危害系统安全。16.勒索软件：指一种恶意软件，通过加密用户文件并要求支付赎金来恢复访问权限。17.DDoS攻击：指分布式拒绝服务攻击，指多个受感染的计算机协同攻击目标主机，使其无法提供正常服务。第四条安全管理原则双方同意共同遵守以下安全管理原则：1.责任共担原则：双方根据各自的角色和职责，共同承担保障5G工业互联网安全运行的责任。甲方负责提供安全的基础设施（包括5G网络切片），乙方负责使用环境的安全配置和管理、应用安全及数据安全等。2.纵深防御原则：在5G网络、工业互联网平台、工业设备和数据传输等各层面部署多层次的安全防护措施。3.零信任原则：在访问控制、身份认证等方面遵循零信任安全模型，实施最小权限访问控制。4.最小权限原则：严格限制用户、进程和设备的访问权限，遵循“按需授权、及时回收”的原则。5.数据分类分级原则：对工业数据进行分类分级，实施差异化安全保护。6.安全默认原则：新设备、新服务、新部署应默认配置为安全状态，开启必要的安全防护功能。7.持续改进原则：定期进行安全评估和检查，根据评估结果和新的威胁情报，持续优化安全策略和措施。第五条具体安全要求与责任双方同意各自承担以下安全责任，并协同落实相关安全要求：1.网络安全要求：*甲方责任：为乙方提供的工业专用5G网络切片，应提供逻辑隔离、专用资源（如带宽、时延、可靠性等），保障切片内部的安全性和服务质量。采取必要措施保护5G核心网（特别是UPF功能）的安全，防止未授权访问和干扰。对无线空口采用5G标准强加密和认证机制。定期对网络设备进行安全配置核查和漏洞扫描。*乙方责任：在接入甲方提供的5G网络前，确保其网络设备、安全设备符合甲方要求，并按甲方规定进行配置。在其网络边界及与甲方网络连接处，部署必要的安全防护设备（如防火墙、IPS等），并负责其配置、维护和更新。遵守甲方的网络接入安全策略和NAC要求。2.平台与系统安全要求：*甲方责任（如为乙方提供平台）：确保工业互联网平台本身符合国家网络安全等级保护要求，具备身份认证、访问控制、数据加密、漏洞管理、安全审计、日志记录等功能。提供安全的平台接口供乙方应用接入。保障边缘计算节点（如部署）的安全运行和管理。*乙方责任（如为平台提供方或应用开发者）：确保其开发或使用的工业应用系统遵循安全编码规范，通过安全测试。在其部署的系统和应用中实施必要的安全配置和加固。对其管理的所有系统、应用、数据进行安全保护。*共同责任：双方共同制定并执行设备安全策略，包括设备身份认证、漏洞管理、安全加固和生命周期管理等。对工业设备（特别是ICS设备）的安全配置进行定期核查。建立安全配置管理基线，并定期进行符合性检查。3.数据安全要求：*甲方责任：保障在5G网络传输（无线接口及核心网接口）中对乙方工业数据实施有效加密。根据乙方要求，在平台或存储环节对工业数据进行加密存储。协助乙方落实数据分类分级策略。*乙方责任：对其产生的、传输的、存储的工业数据承担最终安全责任。确保数据在传输和存储时进行充分加密。实施严格的数据访问控制，遵循最小权限原则。对其需要脱敏的数据进行有效处理。遵守数据跨境传输相关法律法规要求。4.身份与访问管理（IAM）要求：*甲方责任：为乙方提供安全的用户认证服务接口。对其管理平台或系统的用户身份进行管理。*乙方责任：对其用户（包括自身员工和授权第三方）实施强身份认证（推荐使用MFA）。建立完善的用户账号和权限管理流程，定期审查和审计。确保离职人员账号及时停用。5.安全运营与事件响应要求：*共同责任：*建立统一的安全监控机制，对网络流量、系统日志、设备日志、应用日志进行集中收集、分析和告警。明确日志的保留期限。*建立漏洞管理流程，包括漏洞扫描、评估、通报和修复。及时共享双方发现的网络安全漏洞信息。*制定并定期演练安全事件响应计划，明确检测、分析、遏制、根除、恢复、事后总结等环节的流程、联系人及协作机制。*定期对相关人员进行网络安全意识教育和技能培训。*对网络设备、系统、应用的安全配置进行基线管理、变更控制和定期核查。6.第三方风险管理：*任何一方在引入第三方服务商（如系统集成商、云服务提供商、维护人员等）参与涉及5G工业互联网安全的活动时，应将其纳入安全管理范围，明确其安全责任和要求，并对其进行安全评估或审查。第六条违约责任与争议解决1.任何一方违反本协议约定，给对方造成损失的，应承担赔偿责任（包括直接经济损失和间接损失）。损失赔偿应以实际发生损失为限，但具体赔偿金额由双方协商确定或依据相关法律规定裁决。2.如因一方违约导致网络安全事件发生，违约方应负责采取补救措施，消除安全事件影响，并承担由此产生的相关费用（如调查费、修复费等）。3.争议解决方式：因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权向[请在此处填写具体的仲裁委员会名称或法院名称]提起仲裁/诉讼。第七条协议的变更、解除与终止1.本协议的任何变更，须经双方协商一致，并签署书面补充协议。补充协议与本协议具有同等法律效力。2.除本协议另有约定外，任何一方未经对方书面同意，不得单方面解除本协议。3.出现以下情况之一，本协议可终止：*双方合作项目结束；*本协议约定的其他终止条件出现；*因不可抗力导致协议目的无法实现；*双方协商一致同意终止。4.协议终止后，双方应按照约定处理善后事宜，包括但不限于：安全责任的交接、保密信息的处理、安全配置的恢复或销毁、数据备份与返还（如适用）等。第八条保密条款1.双方应对在本协议履行过程中获知的对方的商业秘密、技术信息、安全配置、运营数据、客户信息等非公开信息（以下简称“保密信息”）承担保密义务。2.未经对方书面同意，任何一方不得向任何第三方（包括关联公司，除非为履行本协议所必需）泄露、披露或使用保密信息。但法律法规另有规定或监管机构要求的除外。3.本保密义务不因本协议的终止而解除，持续有效期限为本协议终止后[例如：三（3）]年。4.以下信息不属于保密信息：已经公开的信息；非通过保密义务获得的信息；接收方能证明在从对方获得前已知晓的信息；接收方从有权披露的第三方合法获得且无保密限制的信息。第九条通知与送达1.双方在本协议首页载明的地址、联系人及联系方式为有效联系方式。任何一方变更联系方式，应提前[例如：五（5）]日书面通知对方。2.所有根据本协议发出的通知、文件等，均应采用书面形式（包括但不限于专人递送、挂号信、注册信使、有认证功能的电子邮件），寄往上述地址或联系方式。3.通知在以下时间视为送达：*专人递送：交付时；*挂号信/注册信使：寄出后[例如：三（3）]日；*电子邮件：发送时（如发送至有效电子邮件地址）。4.任何一方变更联系方式后未及时通知对方，导致未能收到通知的，视为该方已收到通知。第十条法律适用与管辖本协议的订立、效力、解释、履行及争议解决均适用[请在此处填写具体国家或地区名称，例如：中华人民共和国]法律。因本协议引起的或与本协议有关的任何争议，若协商不成，应提交[请在此处填写具体的仲裁委员会名称或法院名称]按照其届时有效的仲裁规则/诉讼规则进行仲裁/审理。仲裁裁决/法院判决是终局的，对双方均有约束力。第十一条其他1.本协议构成双方就5G工业互联网安全合作达成的完整协议，取代之前任何口头或书面的约定。2.若本协议任何条款被有管辖权的法院或仲裁机构认定为无效或不可执行，不影响其他条款的效力。3.本协议的任何修改、补充均应以书面形式作出，并成为本协议不可分割的一部分。4.本协议正本一式[请在此处填写份数