美國受控非密信息分類與安全控制解析

周亞超　左曉棟

摘? ?要：在我國《中華人民共和國網絡安全法》（本文簡稱《網絡安全法》）和《數據安全管理辦法》等政策中都使用了“重要數據”的概念，并與網絡數據安全管理、數據出境安全評估等多項網絡安全制度的實施密切相關。盡管國外沒有使用“重要數據”的概念，但對非個人數據、非國家秘密信息的安全管理屬于常態，只是各國的管理重點各有不同。美國將政府數據中介于保密數據與公開數據之間，需要限制公開或控制傳播的數據歸為受控非密信息（CUI），實施統一的登記備案和標識管理制度，并通過技術標準將其范圍擴大到了非聯邦機構和系統的CUI。文章梳理了CUI概念和分類，總結了CUI相關標準中的安全控制要求，并與一般安全保護要求進行比較。CUI研究對我國重要數據識別和管理方面的政策和標準制定具有借鑒意義。

關鍵詞：受控非密信息;重要數據;分類;安全控制

中圖分類號： TP393? ? ? ? ? 文獻標識碼：A

Abstract： The concept of "key data" is used in China's "Cybersecurity Law" and "Data Security Management Regulation" and other policies， and is closely related to the implementation of several cybersecurity requirements such as network data security management and data outbound assessment. Although the concept of "key data" is not used abroad， the security management of non-personal data and non-state secret information is normal practices， only varies from country to country. The United States defines CUI as government data between confidential data and public data， although its not state secret but may cause serious potential damage once it disclosed or damaged， and implements unified identification and management. Besides， the scope of application of CUI information is expanded to non-federal agencies and systems through the development of technical standards. This article investigates the concept and categories of CUI， analyzes the management mechanism and security controls of CUI through NIST standards and compares with general security requirements. Research on CUI is meaning to the identification and management of key data.

Key words： CUI; key data; categorization; security controls

1 引言

重要數據的概念最早在《網絡安全法》中正式出現，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲”。2019年5月，中央網信辦發布的《數據安全管理辦法（征求意見稿）》對重要數據安全管理提出備案、明確安全責任人以及采取安全措施等方面的要求;同期發布的《網絡安全審查辦法（征求意見稿）》也將重要數據安全作為審查的一個方面，重點評估采購活動可能帶來的國家安全風險，包括考慮導致大量個人信息和重要數據泄露、丟失、毀損、出境的可能性等因素。國外沒有使用重要數據的概念，在不同領域的法律法規中對非個人數據、非國家秘密信息實施安全管理也是常規的做法，其中最為典型的就是美國政府信息中的受控非密信息。

2010年11月，奧巴馬總統簽署第13556號行政命令《受控非密信息》[1]，建立和實施CUI登記備案及標識管理制度，作為對國家秘密保護的補充。此前，美國相關執行部門在涉及隱私、安全、財務商業利益和執法調查等信息時，通常采用各自特定的機構、程序和標記來保護和控制這些信息，導致信息標識混亂、管理效率低下。信息傳輸策略不明確，對授權信息共享造成了障礙，而部門特有的政策往往不讓公眾知情，也加劇了這些問題的影響。

美國CUI管理制度由美國文件和檔案管理局牽頭，制定并發布CUI識別指南、標識指南、保護方法等文件，建設CUI登記系統，以提升信息的一致性和透明性。實際掌握CUI的部門根據文件識別確定本機構掌握的受控非密信息類型，提交檔案與文件管理局批準并進行注冊登記。美國國家標準與技術研究院（NIST）制定了非聯邦系統和機構CUI保護標準[2～4]，認為CUI不論是否在聯邦系統中都具有同樣的價值并應受到同等保護，這實際上將CUI擴大到了非聯邦范圍。

2? 聯邦政府CUI分類

CUI是根據適用法律、法規和政府政策進行保護或傳播控制的信息，CUI的類別和子類別是用于識別整個行政部門中需要保護或傳播控制的非機密信息的唯一指定，并與適用的法律、法規和整個政府的政策相一致。根據美國檔案管理局網站信息，CUI分為20類、124子類，如表1 所示。此外，還有相應的分類描述、分類標識、CUI標識及對應的法律法規要求。

關鍵基礎設施—受保護的關鍵基礎設施信息。

分類描述：根據美國法典6 USC 131-134和6 CFR 29的定義。PCII指與國家基礎設施相關的威脅、漏洞或運營經驗信息。標識PCII信息可以為自愿與政府進行共享的私營部門基礎設施信息提供保護，以保護國土安全。

分類標識：PCII。

CUI標識：受限傳播控制CUI//Category Marking//Limited Dissemination Control。

適用法律：6 CFR 29。

3 非聯邦機構CUI的一般安全控制

美國認為對聯邦系統和機構的CUI保護也是十分重要，將會直接影響到聯邦政府執行任務和業務運營的能力。針對非聯邦系統和組織中的CUI信息，NIST制定了相應的標準。

（1）NIST SP 800171《保護非聯邦系統和機構的受控非密信息》[2] ，提出基于FIPS 200[5]的一般安全控制以及基于NIST SP 80053[6]的擴展安全控制。

（2）NIST SP 800171B《保護非聯邦系統和組織中的受控非密信息：關鍵程序和高價值資產的增強安全要求》[3]，提出基于NIST SP 80053[6]的增強安全控制。

（3）NIST SP 800171A《受控非密信息安全要求評估》[4]，提供了對CUI安全要求進行評估的程序和方法。

為區別聯邦信息系統的安全要求，上述標準適用的場景限制在當非聯邦機構不代表聯邦機構收集或維護信息、不代表聯邦機構使用或運行系統時，并且在CUI類別或子類別相關授權法律、法規或政府范圍的政策中，沒有關于CUI機密性保護的特殊要求。此外，標準還基于三點假定：一是不論CUI信息是否在聯邦系統都應受到同等保護，即采取同等強度的安全控制;二是依據FIPS199[7]評估的CUI保密性影響至少為中級;三是非聯邦機構有適當的信息技術能力實施安全解決方案，如果不具備標準要求的組織架構或資源時，可通過替代方式或其他同等有效的措施來實現。

考慮到非聯邦機構CUI的保護需求，NIST SP 800-171對FIPS 200和NIST SP 80053進行了裁剪，刪除了三種類型的安全控制。

（1）僅適用于聯邦機構或系統（即主要由聯邦政府負責的），如信息共享、安全授權、特定類型的鑒別管理、密碼模塊鑒別等。

（2）與保護CUI的機密性沒有直接關系，如溫濕度防火等物理環境保護、應急計劃、應急演練、審計存儲能力等。

（3）非聯邦組織一般已滿足的非特定安全要求，如安全策略與規程、應急響應計劃等。

依據上述原則裁剪后不包括持續規劃、系統和設備采購等控制類，如表2所示給出了14類安全控制的重點考慮項，可以看成是與CUI的保密性、完整性、可用性直接相關的最小控制集。

4 非聯邦機構CUI的增強安全控制

NIST SP 800-171B主要針對非聯邦系統和組織中具有關鍵程序和高價值資產的受控非密信息，基于NIST SP 80053提出了增強安全控制，以保護CUI的機密性和完整性，特別是防御高級網絡攻擊，并確保系統和組織在受到攻擊時的網絡可恢復性。為應對高級可持續威脅（APT）攻擊，增強安全控制主要考慮的要素為：

（1）采用以威脅為中心的方法;

（2）采用支持邏輯和物理隔離的替代系統和安全體系結構，通過系統和網絡分段技術、虛擬機和容器實現隔離;

（3）對關鍵或敏感操作實施雙重授權控制;

（4）將永久性存儲限制在隔離區域或隔離域中;

（5）為系統和網絡實施遵循連接的方法;

（6）通過建立系統和系統組件變更的權威性源頭，擴展配置管理要求;

（7）定期將組織系統和系統組件刷新或升級到已知狀態，或者開發新的系統或組件;

（8）使用具有高級分析功能的安全運營中心來支持對組織系統的持續監視和保護;

（9）使用欺騙手段保護決策信息來混淆和誤導入侵者，以保護可能泄露的信息的價值和真實性或者運行環境。

對于每項增強控制，NIST SP 800-171B還提供了便于實施和評估的輔助信息。對于某些組織來說，如果增強安全控制太困難或成本太高，無法通過內部配置來滿足這些要求，可通過采購外部服務來滿足要求。外部服務可包括IT基礎架構、平臺和軟件服務，威脅情報，威脅發現，威脅、脆弱性和風險評估，網絡和系統恢復等。

具體來說，NIST SP 800-171B針對關鍵過程或高價值資產相關CUI信息提出了五個方面的增強安全控制，以應對更嚴峻的網絡攻擊。

一是增強系統和通信保護。加強系統訪問控制，對關鍵敏感的系統操作實施雙授權機制，將系統和系統組件的訪問權限限制為僅由組織擁有、供應或發布的信息資源，使用安全的傳輸方案控制安全域之間的信息流。加強標識和鑒別措施，使用自動機制禁止未鑒別或未正確配置的系統組件連接系統;在使用密碼、可重放的雙向身份驗證建立網絡連接之前應對系統和系統組件進行標識和身份驗證。加強系統和通信保護，使用物理和邏輯隔離技術以及不同的系統組件，減少惡意代碼傳播范圍，通過不可預測的或移動的目標防御降低系統和組件的受攻擊面使用偽裝虛假或混淆信息誤導入侵者。

二是增強系統和信息完整性保護。嚴格實施配置管理，建立和維護可信賴的系統組件源，自動檢測是否存在配置錯誤或未授權的系統組件并將其移除或隔離修復，使用自動恢復或管理工具維護完整準確的系統組件清單。保護CUI信息的完整性，利用信任根、正式驗證或加密簽名來驗證關鍵任務或核心軟件的完整性和準確性，持續監測異?；蚩梢尚袨?，至少每年兩次將組織系統和系統組件刷新為已知的受信任狀態，定期檢查永久性存儲介質并清除不再需要的CUI。

三是加強風險評估力度。使用自動機制來預測和識別組織、系統或系統組件的風險，基于當前和積累的威脅情報來應對系統和組織的預期風險，識別系統安全架構、系統組件、邊界隔離或保護機制，以及對外部服務提供者的依賴，評估、響應和監控組織系統的供應鏈風險。定期實施滲透性測試，增加臨時性測試。

四是增強人員安全和培訓。嚴格人員審核，持續評估人員可信度且當有CUI訪問權限的人員的可信度降低時，確保組織系統受到保護。加強有關識別和響應社會工程學、APT攻擊、違規行為和可疑行為的威脅方面的培訓，提供與當前威脅情景相適應的演練，定期或在威脅發生重大變化時更新培訓。

五是提升應急響應能力。建立和維護全天候安全運行中心和事件響應小組，確保可在24小時內部署到組織確定的任何位置。

5 結束語

CUI分類和安全控制研究為明確制定我國重要數據識別和安全管理相關政策和標準提供了有益借鑒。CUI分類有助于提高信息標識的一致性和透明性，說明為什么將其定義為CUI、有哪些特殊性，并梳理法律法規中的特定要求。CUI保護重點關注信息的保密性、完整性、可用性，在通用安全保護基礎上裁剪與CUI關系不大的以及組織或系統默認已滿足或不必要的安全控制;針對高價值資產類CUI，提出增強安全控制，按照多維縱深防御策略使用抗入侵架構、提高網絡可恢復性并對損害程度進行限制，提高防御APT攻擊以保護高價值資產。

參考文獻

[1] 奧巴馬總統第13556號行政令（EO 13556）.受控非密信息[S].2010年.

[2] NIST SP 800-171.保護非聯邦系統和機構的受控非密信息[S].美國國家標準與技術研究院，2016.

[3] NIST SP 800-171A.受控非密信息安全要求評估[S].美國國家標準與技術研究院，2018.

[4] NIST SP 800-171B.保護非聯邦系統和組織中的受控非密信息：關鍵程序和高價值資產的（草案）[S].美國國家標準與技術研究院，2019.

[5] FIPS200.聯邦信息和信息系統最小安全要求[S].美國國家標準與技術研究院，2006.

[6] NIST SP 800-53.聯邦信息系統和組織的安全和隱私控制規范（第四版更新）[S].美國國家標準與技術研究院，2015.

[7] FIPS199.聯邦信息和信息系統安全分類[S].美國國家標準與技術研究院，2004.

作者簡介：

周亞超（1985-），女，滿族，河北唐山人，愛爾蘭都柏林城市大學，博士，中電數據服務有限公司，高級工程師;主要研究方向和關注領域：網絡安全戰略與法規、網絡安全產業、數據安全。

左曉棟（1975-），男，漢族，河北石家莊人，中國科學院研究生院，博士，中國信息安全研究院有限公司，正高級工程師;主要研究方向和關注領域：網絡安全。