網絡安全審查制度研究及建議

陳曉樺，何德全，王海龍，尚燕敏，徐克付

（1. 中國網絡空間研究院，北京 100010；2. 中國信息安全評測中心，北京 100085；3. 中國科學院計算技術研究所，北京 100190；4. 中國科學院信息工程研究所，北京 100093）

網絡安全審查制度研究及建議

陳曉樺1，何德全2，王海龍3，尚燕敏4，徐克付4

（1. 中國網絡空間研究院，北京 100010；2. 中國信息安全評測中心，北京 100085；3. 中國科學院計算技術研究所，北京 100190；4. 中國科學院信息工程研究所，北京 100093）

網絡安全作為國家安全的一部分，其安全檢查與評估所依循的規章制度分布在國家安全審查或網絡空間管理的政策制度中。本文著眼于國際上現行的網絡安全審查相關制度，重點分析各國在信息技術產品和服務安全評估、關鍵信息基礎設施安全評估與管理、供應鏈安全和背景安全調查等方面的做法，從法律法規、組織體系、運行模式、審查方法和支撐技術等方面研究建立我國的網絡安全審查制度。

網絡安全審查；信息技術產品和服務；關鍵信息基礎設施；供應鏈安全；背景安全

DOI 10.15302/J-SSCAE-2016.06.008

一、背景

當前，網絡空間已成為國家間不見硝煙、激烈博弈的主戰場，技術漏洞、產品后門等安全隱患可能給國家利益帶來災難性損失。根據美國國家安全情報機構前雇員斯諾登提供的文件曝光，美國某些著名的信息技術（IT）公司曾參與到“棱鏡計劃”中，協助美國情報機構竊取網絡信息、監視多國政府和全球網民。而目前中國境內使用的芯片、操作系統、數據庫、關鍵技術仍被國外公司壟斷，存在嚴重安全威脅。同時，中國信息和通信技術（ICT）企業的產品則面臨外國的嚴格審查，其在國際市場上進行收購等商業活動也屢次受到干預和阻止。

本文著眼于研究國外網絡安全審查相關制度，為建立我國網絡安全審查制度提供參考。

二、國外網絡安全審查相關制度概述

美英等西方國家的國家安全審查制度較為成熟，并針對ICT產品紛紛設立了安全調查與評估制度，不僅涉及產品和服務，還包括產品和服務的提供商。目前，國外尚未見到針對網絡安全專門設立審查制度的報道，但依據國家安全審查和信息安全管理制度，已開展嚴格的網絡安全審查活動。

（一）美國網絡安全審查相關法規政策

美國是世界上最早開展國家安全審查的國家，其法規主要包括《政府采購條例》（FAR）[1]、2007年《外國投資和國家安全法案》（FINSA 2007）[2]、《埃克森-佛羅里奧修正案》[3]等。

美國依托信息安全行業和專業測試機構的力量，憑借經濟、技術優勢，跟蹤相關國家標準化戰略和政策動向，控制國際標準主導權。通過國家安全審查，外國企業必須與美國的安全部門簽署安全協議，協議包含公民隱私、數據和文件存儲可靠性以及保證美國執法部門對網絡實施有效監控等條款。

（二）美國聯邦信息安全管理法案

美國在聯邦信息安全管理法案（FISMA）[4]的框架下對政府信息系統開展安全管理，表面上體現為一系列的標準、指南和報告要求。

FISMA賦予各聯邦機構、國家標準與技術研究院（NIST）[5]以及白宮管理和預算辦公室[6]保障信息系統安全的相應職責，要求每個聯邦機構制定并實施相關文件，確保信息和信息系統的安全，以支持本機構的運行，保護聯邦資產。

（三）美國國家安全審查機構

外國投資委員會（CFIUS）[7]，是一個跨部門的機構，代表們來自包括美國國防部、國務院以及國土安全部等，主席是美國的財政部部長。協調負責人是財政部投資安全辦公室主管，負責接收、處理、協調并購申報。CFIUS審查可能控制美國企業的外籍人士所進行的交易，以判定這類交易對美國國家安全的影響，但具體實施細節并不完全透明。

眾議院特別情報委員會曾對華為和中興公司開展了國家安全審查相關的調查工作[8]，采取了訪談企業有關人員、查閱文件資料、召開聽證會、現場調查等多種方式。其中，與政府、政黨、軍方、情報部門的關系是調查和質詢的重點，收集企業高管及核心人員的言行和背景資料，結合企業的內部運營、外部經營、知識產權、研發情況等證據，達到最終證明存在引發國家安全問題的可能性。

（四）美國與英國的信息技術產品和服務安全評估

1. 美國信息技術安全認證

美國規定進入國家安全系統的、商業現貨的信息安全產品及由信息安全功能使能的相關產品，必須通過美國國家信息保障聯盟（NIAP）[9]通用準則評估認證體系（CCEVS）的評估認證；政府部門采購該類產品時，必須從NIAP審查通過的產品清單中選擇滿足安全要求的產品[10]。其中國家安全系統是指屬于美國政府部門的，處理涉密信息及軍事、情報等敏感信息的信息系統。

2. 英國信息產品技術檢查

英國電子通信安全組（CESG）[11]統籌負責關于信息產品的安全認證工作，源代碼檢查是實施認證的重要手段，具體的測試認證工作可由CESG認可的商業機構負責。

3. 美國云計算服務安全評估

美國聯邦風險和授權管理項目（FedRAMP）[12]提供了對云服務進行安全評估、使用授權和持續監測的標準方法。通過FedRAMP項目，聯邦機構在部署其信息系統時可以使用由FedRAMP授權的云服務，做到“一次授權，多次使用”。

（五）關鍵信息基礎設施安全管理與評估

關鍵信息基礎設施安全是網絡安全的重要構成部分，可以將國家關鍵信息基礎設施保護視為風險管理流程。美國強調如果這類系統或資產遭到破壞或喪失工作能力，將對國家安全、國家經濟安全、國家公眾健康或公共安全，或任何這些事項的集合產生削弱影響。

美國早期的關鍵基礎設施保護政策協調主要由關鍵基礎設施保障辦公室和國家關鍵基礎設施保護中心負責。2002年由美國國土安全部[13]履行這兩個機構的職能，同時還指定了特定機構，包括農業部、健康和公共服務部、環境保護局、能源部、財政部、國防部，并采取了多項措施[14,15]加強對國家關鍵基礎設施以及國家關鍵信息基礎設施的保護。

（六）供應鏈安全管理

美國一直非常關注供應鏈安全，相繼發布了《增強國際供應鏈安全的國家戰略》[16]《聯邦網絡安全和信息保障研發計劃》[17]《國家網絡安全綜合計劃》[18]以及《美國網絡空間安全政策評估報告》等有關供應鏈安全的政策性文件，已經將IT供應鏈安全問題上升到了國家威脅和國家對抗的層面。美國國家標準與技術研究院（NIST）負責為非國家安全的聯邦信息和通信基礎設施的保護開發標準、指南、測試和度量指標，同時已經在研究和開發ICT供應鏈風險管理工具和指標，以及有關緩解措施和實施方法的指南[19～23]。

（七）人員背景調查

人員背景調查在美國也稱忠誠調查，是一個涉及多個部門、多種環節和因素，包括大量案頭工作和實地走訪在內的系統工程。

人事管理局（OPM）[24]是負責制定背景調查總體規則及通行管理辦法的政府機構，涉及國家安全或涉密的領域必須進行背景調查[25,26]。出于國家安全方面的考慮，OPM將所有聯邦機構以及絕大多數政府合同商的工作職位按敏感程度和風險性劃分為6大類，對應10種管理標準和要求。OPM制定發布了“標準表格86——國家安全職位調查表”[27]，要求對可能接觸密級信息的政府人員進行背景調查；還制定發布了“標準表格85——非敏感職位調查表”[28]，要求對政府雇員或按照合同為政府工作的人員進行背景調查。

三、建立我國網絡安全審查制度的思考與建議

（一）網絡安全審查制度基本內涵

基本定義：網絡安全審查，是指對關系國家安全和社會穩定信息系統中使用的信息技術產品與服務及其提供者的安全性、可控性與可信性進行評估、監測分析、持續監督。

直接目的：防范產品和服務的提供者利用提供產品或服務的途徑，非法控制、甚至干擾和破壞用戶系統，非法監視用戶行為，包括非法獲取和利用用戶敏感信息，如非法收集、存儲和處理用戶有關信息。

關鍵作用：從維護國家安全利益出發，對影響到重要信息系統和關鍵基礎設施的重點產品與服務的安全性、可控性與可信性把關，加強對信息技術產品與服務安全的管理。

（二）網絡安全審查制度法規標準

法規標準是保證網絡安全審查的正當性、合法性、強制性以及可執行性。目前，網絡安全審查的法律依據主要包括：《國家安全法》和《網絡安全法》；政府信息系統管理與采購、信息技術產品與服務、關鍵信息基礎設施、供應鏈安全管理等法律法規；相應的網絡安全審查管理辦法及實施細則；WTO等國際準則。

此外，還應該制定軟件安全審查、設備安全審查、服務安全審查、開發過程安全審查、背景審查等相關技術與管理標準。

（三）網絡安全審查制度組織體系

科學合理的組織體系是完成網絡安全審查各項工作的重要保證。主要機構及職能如下：跨部門網絡安全審查委員會，是網絡安全審查工作的總體負責和協調組織機構，成員由國家相關部門的代表組成；專家咨詢委員會，網絡安全審查工作的咨詢建議機構；管理辦公室，網絡安全審查工作的行政管理機構，負責組織實施；審查執行機構；技術支撐機構。

（四）網絡安全審查制度運行模式

1. 審查對象

網絡安全審查的對象是信息技術產品和服務及其提供者。審查對象適用范圍包括：用于關鍵信息基礎設施；用于國家、政府機構的重要信息系統；危害政治、社會、經濟；損害公共利益；侵害公眾權益；其他使用多、影響大且存在威脅國家安全風險的對象。

2. 審查內容

針對信息技術產品和服務及其提供者，網絡安全審查的內容包括安全性、可控性與可信性。

安全性包括物理安全、邏輯安全、管理安全。物理安全：相關系統設備及設施受到物理保護，使之免遭破壞或丟失；邏輯安全指相關系統中信息資源的安全，包括保密性、完整性、可用性；管理安全包括各種安全管理的政策和機制。

可控性是指為了確保信息技術產品和服務能夠且僅能按照使用者的指令提供應有的服務，對產品和服務進行安全監管，實現信息技術風險可監控、可管理，過程可審計的目標，包括可追溯性、可確定性、可審計性以及可審查性。

可信性是指企業（包括供應鏈）及企業核心人員，在規定的時間和范圍內，能夠具備相應技術、符合管理要求、提供澄清材料、回答設定質詢以及承受調查審查的能力，從而在影響信息技術產品和服務的安全性和可控性以及影響國家安全方面達到的信任程度，能夠被審查工作收集的情報和證據所驗證并達到預設的、可接受的信任標準。

3. 啟動條件

網絡安全審查工作的啟動應符合下列條件之一：依據法律法規明確要求；針對投訴舉報；按照市場調查或抽查結果；自愿申請；或其他必要條件。

4. 審查方法

針對信息技術產品和服務的背景審查，目的在于提升國家對其可信性的掌控能力。背景審查的主要方法涉及情報搜集、挖掘、分析及檢索。

（1）針對企業背景的審查方法

針對企業背景的審查，可以重點關注以下方面：與政府、政黨、軍方、情報部門的關系；企業聲譽；公司資質；運營狀況；信用記錄；犯罪記錄；生產環境；管理和實施部門；人員配置等。

（2）針對企業供應鏈的審查方法

企業背景必須包括供應鏈，主要考慮供應商管理體系及其執行情況，可以重點關注技術、質量、響應、交付、成本、環境、社會責任、網絡安全等方面。

（3）針對員工背景的審查方法

員工包括企業高管人員（例如創始人、董事會成員、首席等）、產品主要設計人員、產品主要開發人員（無論處在離職還是在職狀態）。針對員工背景的審查，可以重點關注以下方面：政治履歷；工作經歷；犯罪記錄；信用記錄；身體狀況；家庭狀況；精神狀態；反人類言行等。

（4）問卷調查的方法

問卷調查是開展背景調查的重要依據之一，是對調查對象的初步評價，需要與調查對象進行多輪次交互。問卷調查在使用和設計時應注意的問題如下：使用要慎重；題目設計注重系統性、針對性、通用性以及差異性；選擇題與問答題相互配合；具備合理的評價原則。

5. 支撐技術

（1）面向背景審查的支撐技術

在背景審查方面（包括供應鏈），應充分搜集、處理、分析、評判各方情報，從情報中發現危害國家安全的隱患。該過程主要包括情報搜集、跟蹤調查、證據挖掘、情報關聯、大數據分析、知識/數據庫、風險評估、需求評估、研判決策等支撐技術。這些技術雖然有的已經很成熟了，但運用在背景審查上還需要進一步的改進和優化，才能滿足實際應用的需求。

大數據分析是背景審查的核心支撐技術，由于背景審查需要源源不斷地對國內外信息技術企業的全面狀況進行跟蹤調查，存儲、整理、核查、更新、維護調查所得的各種證據信息，為之后的審查工作提供持續的歷史資料和數據支持。

（2）面向技術審查的支撐技術

安全隱患分析是支撐技術審查的主要手段，包括源代碼審計、逆向工程、滲透性測試等技術。

四、結語

目前，俄羅斯、日本、澳大利亞、印度等國家主要從信息產業外資并購安全審查、信息產品市場準入、信息產品安全認證等方面構建并完善與網絡安全審查相關的制度體系。

借鑒上述各國經驗，我國建立網絡安全審查制度應注重以下方面：加強宣傳，提高對網絡安全審查的正確認識；制定措施，從政策支持、機制建立、隊伍建設、人才培養等方面進行考慮；重視背景審查和技術，開發配套的網絡安全審查信息系統。

[1]General Services Administration (GSA), U.S. Department of Defense (DoD), National Aeronautics and Space Administration (NASA). Federal acquisition regulation (FAR), FAC 2005_91 [Z/OL]. (2016-09-29) [2016-10-12]. https://www.acquisition. gov/?q=browsefar.

[2]U.S. Congress. Public law 110-49：Foreign investment and national security act of 2007(FINSA) [Z/OL]. Washington, DC: U.S. Government Printing Office, (2007-07-26) [2016-10-12]. https://www.gpo.gov/fdsys/pkg/STATUTE-121/pdf/STATUTE-121-Pg246.pdf.

[3]Peterson Institute for International Economics. The Exon-Florio amendment [Z/OL]. Washington, DC: Peterson Institute for International Economics. (2016-04-25) [2016-10-12]. https://piie. com/publications/chapters_preview/3918/02iie3918.pdf.

[4]U.S. Department of Homeland Security. Federal information security management act (FISMA) [Z/OL]. (2016-10-03) [2016-10-12]. https://www.dhs.gov/fisma.

[5]National Institute of Standards and Technology (NIST) [EB/OL]. [2016-10-12]. http://www.nist.gov/.

[6]Office of Management and Budget (OMB) [EB/OL]. [2016-10-12]. https://www.whitehouse.gov/omb.

[7]The committee on foreign investment in the United States (CFIUS) [EB/OL]. [2016-10-12]. https://www.treasury.gov/resource-center/ international/Pages/Committee-on-Foreign-Investment-in-US.aspx.

[8]Rogers M, Ruppersberger D. Investigative report on the U.S. national security issues posed by Chinese telecommunications companies Huawei and ZTE [J]. Journal of Current Issues in Media & Telecommunications, 2012,4(2):59.

[9]National Information Assurance Partnership (NIAP) [EB/OL]. [2016-10-12]. https://www.niap-ccevs.org/.

[10]NIAP. CCEVS objectives[EB/OL]. [2016-10-12]. https://www. niap-ccevs.org/Big_Picture/objectives.cfm.

[11]Communications-Electronics Security Group (CESG) [EB/ OL]. (2012-05-14) [2016-10-12]. http://whatis.techtarget.com/ definition/CESG.

[12]Federal Risk and Authorization Management Program (FedRAMP) [EB/OL]. (2016-10-05) [2016-10-12]. https://www.fedramp.gov/ about-us/about/.

[13]U.S. Department of Homeland Security (DHS) [EB/OL]. [2016-10-12]. https://www.dhs.gov/.

[14]U.S. Department of Homeland Security. Homeland security presidential directive 7: critical infrastructure identification, prioritization, and protection [EB/OL]. (2015-09-22) [2016-10-12]. https://www.dhs.gov/homeland-security-presidential-directive-7.

[15]The White House. Executive order－ Improving critical infrastructure cybersecurity [EB/OL]. (2013-02-12) [2016-10-12]. https://www.whitehouse.gov/the-press-office/2013/02/12/ executive-order-improving-critical-infrastructure-cybersecurity.

[16]U.S. Department of Homeland Security. Strategy to enhance international supply chain security (July 2007)[EB/OL]. (2015-07-14) [2016-10-12]. https://www.dhs.gov/publication/internationalsupply-chain-security.

[17]Cyber Security and Information Assurance Interagency Working Group (CSIA IWG). Federal plan for cyber security and information assurance research and development [R]. Washington, DC: CSIA IWG, 2006.

[18]The White House. The comprehensive national cybersecurity initiative [EB/OL]. [2016-10-12]. https://www.whitehouse.gov/ issues/foreign-policy/cybersecurity/national-initiative.

[19]National Institute of Standard Technology. Standards for security categorization of federal information and information systems, FIPS PUB 199 [S]. Gaithersburg: NIST, 2004.

[20]National Institute of Standard Technology. Minimum security requirements for federal information and information systems, FIPS PUB 200[S]. Gaithersburg: NIST, 2006.

[21]National Institute of Standard Technology. Summary of NIST SP 800-53 revision 4, security and privacy controls for federal information systems and organizations[S]. Gaithersburg: NIST, 2014.

[22]National Institute of Standard Technology. Guideline for identifying an information system as a national security system, SP 800-59[S]. Gaithersburg: NIST, 2003.

[23]National Institute of Standard Technology. Guide for mapping types of information and information systems to security categories, SP 800-60 [S]. Gaithersburg: NIST, 2008.

[24]U.S. Office of Personnel Management (OPM) [EB/OL]. [2016-10-12]. https://www.opm.gov/.

[25]Farrell B S. Personal Security Clearances: Actions needed to ensure quality of background investigations and resulting decisions [R]. Washington, DC: U.S. Government Accountability Office, 2014.

[26]Federal Investigative Services. The security clearance and investigation process [R/OL]. Washington, DC: U.S. OPM. [2016-10-12]. http://www.brac.maryland.gov/documents/security%20 clearance%20101%20pp%20presentation.pdf.

[27]U.S. Office of Personnel Management. Questionnaire for national security positions, OMB No. 3206 0005[Z/OL]. Washington, DC: U.S. OPM, 2010 [2016-10-12]. https://www.opm.gov/forms/pdf_ fill/sf86.pdf.

[28]U.S. Office of Personnel Management. Questionnaire for nonsensitive positions, OMB No. 3206-0261 [Z/OL]. Washington, DC: U.S. OPM, 2013 [2016-10-12]. https://www.opm.gov/forms/ pdf_fill/sf85.pdf.

Research on a Cybersecurity Review System with Suggestions

Chen Xiaohua1, He Dequan2, Wang Hailong3, Shang Yanmin4, Xu Kefu4
(1. Chinese Academy of Cyberspace Studies, Beijing 100010, China; 2. China Information Technology Security Evaluation Center，Beijing 100085; 3. Institute of Computer Technology, Chinese Academy of Sciences, Beijing 100190, China; 4. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China)

Cybersecurity is part of national security. The rules and regulations for security testing and evaluation are distributed as policies for national security review or cyberspace management. This paper focuses on the current international systems related to cybersecurity review, and analyzes governments’ practices in the aspects of information technology product and service security evaluation, critical information infrastructure security evaluation and management, information and communication technology (ICT) supply chain security, and background security investigation. Based on the above, this paper discusses how to establish a cybersecurity review system in the fields of law and regulation, organization framework, operation mode, review approach, and supporting technology.

cybersecurity review; information technology product and service; critical information infrastructure; supply chain security; background security

TP393.08

A

2016-10-12；

2016-10-17

陳曉樺，中國網絡空間研究院，副院長，研究員，研究方向為網絡安全審查、網絡安全評價與標準、云計算和大數據安全；E-mail: chenxhcn@263.net

中國工程院重大咨詢項目“網絡空間安全戰略研究”(2015-ZD-10)

本刊網址：www.enginsci.cn