《一、背景》

一、背景

当前,网络空间已成为国家间不见硝烟、激烈 博弈的主战场,技术漏洞、产品后门等安全隐患可 能给国家利益带来灾难性损失。根据美国国家安全 情报机构前雇员斯诺登提供的文件曝光,美国某些著名的信息技术(IT)公司曾参与到“棱镜计划” 中,协助美国情报机构窃取网络信息、监视多国 政府和全球网民。而目前中国境内使用的芯片、 操作系统、数据库、关键技术仍被国外公司垄断, 存在严重安全威胁。同时,中国信息和通信技术 (ICT)企业的产品则面临外国的严格审查,其在 国际市场上进行收购等商业活动也屡次受到干预 和阻止。

本文着眼于研究国外网络安全审查相关制度, 为建立我国网络安全审查制度提供参考。

《二、国外网络安全审查相关制度概述》

二、国外网络安全审查相关制度概述

美英等西方国家的国家安全审查制度较为成 熟,并针对 ICT 产品纷纷设立了安全调查与评估 制度,不仅涉及产品和服务,还包括产品和服务 的提供商。目前,国外尚未见到针对网络安全专 门设立审查制度的报道,但依据国家安全审查和 信息安全管理制度,已开展严格的网络安全审查 活动。

《(一)美国网络安全审查相关法规政策》

(一)美国网络安全审查相关法规政策

美国是世界上最早开展国家安全审查的国家, 其法规主要包括《政府采购条例》(FAR)[1]、2007 年《外国投资和国家安全法案》(FINSA 2007)[2]、《埃 克森 – 佛罗里奥修正案》[3] 等。

美国依托信息安全行业和专业测试机构的力 量,凭借经济、技术优势,跟踪相关国家标准化战 略和政策动向,控制国际标准主导权。通过国家安 全审查,外国企业必须与美国的安全部门签署安全 协议,协议包含公民隐私、数据和文件存储可靠性 以及保证美国执法部门对网络实施有效监控等条款。

《(二)美国联邦信息安全管理法案》

(二)美国联邦信息安全管理法案

美国在联邦信息安全管理法案(FISMA)[4] 的 框架下对政府信息系统开展安全管理,表面上体现 为一系列的标准、指南和报告要求。

FISMA 赋予各联邦机构、国家标准与技术研 究院(NIST)[5] 以及白宫管理和预算办公室 [6] 保 障信息系统安全的相应职责,要求每个联邦机构制 定并实施相关文件,确保信息和信息系统的安全, 以支持本机构的运行,保护联邦资产。

《(三)美国国家安全审查机构》

(三)美国国家安全审查机构

外国投资委员会(CFIUS)[7],是一个跨部门 的机构,代表们来自包括美国国防部、国务院以 及国土安全部等,主席是美国的财政部部长。协 调负责人是财政部投资安全办公室主管,负责接 收、处理、协调并购申报。CFIUS 审查可能控制 美国企业的外籍人士所进行的交易,以判定这类 交易对美国国家安全的影响,但具体实施细节并 不完全透明。

众议院特别情报委员会曾对华为和中兴公司 开展了国家安全审查相关的调查工作 [8],采取了 访谈企业有关人员、查阅文件资料、召开听证会、 现场调查等多种方式。其中,与政府、政党、军方、 情报部门的关系是调查和质询的重点,收集企业 高管及核心人员的言行和背景资料,结合企业的 内部运营、外部经营、知识产权、研发情况等证据, 达到最终证明存在引发国家安全问题的可能性。

《(四)美国与英国的信息技术产品和服务安全评估》

(四)美国与英国的信息技术产品和服务安全评估

1. 美国信息技术安全认证

美国规定进入国家安全系统的、商业现货的信 息安全产品及由信息安全功能使能的相关产品,必 须通过美国国家信息保障联盟(NIAP)[9] 通用准则 评估认证体系(CCEVS)的评估认证;政府部门采 购该类产品时,必须从 NIAP 审查通过的产品清单 中选择满足安全要求的产品 [10]。其中国家安全系统 是指属于美国政府部门的,处理涉密信息及军事、 情报等敏感信息的信息系统。

2. 英国信息产品技术检查

英国电子通信安全组(CESG)[11] 统筹负责关 于信息产品的安全认证工作,源代码检查是实施认 证的重要手段,具体的测试认证工作可由 CESG 认 可的商业机构负责。

3. 美国云计算服务安全评估

美国联邦风险和授权管理项目(FedRAMP)[12] 提供了对云服务进行安全评估、使用授权和持续监 测的标准方法。通过 FedRAMP 项目,联邦机构在 部署其信息系统时可以使用由 FedRAMP 授权的云 服务,做到“一次授权,多次使用”。

《(五)关键信息基础设施安全管理与评估》

(五)关键信息基础设施安全管理与评估

关键信息基础设施安全是网络安全的重要构成部分,可以将国家关键信息基础设施保护视为风险 管理流程。美国强调如果这类系统或资产遭到破坏 或丧失工作能力,将对国家安全、国家经济安全、 国家公众健康或公共安全,或任何这些事项的集合 产生削弱影响。

美国早期的关键基础设施保护政策协调主要 由关键基础设施保障办公室和国家关键基础设施 保护中心负责。2002 年由美国国土安全部 [13] 履行 这两个机构的职能,同时还指定了特定机构,包 括农业部、健康和公共服务部、环境保护局、能 源部、财政部、国防部,并采取了多项措施 [14,15] 加强对国家关键基础设施以及国家关键信息基础 设施的保护。

《(六)供应链安全管理》

(六)供应链安全管理

美国一直非常关注供应链安全,相继发布了《增 强国际供应链安全的国家战略》[16]《联邦网络安全 和信息保障研发计划》[17]《国家网络安全综合计划》[18] 以及《美国网络空间安全政策评估报告》等有关供 应链安全的政策性文件,已经将 IT 供应链安全问 题上升到了国家威胁和国家对抗的层面。美国国家 标准与技术研究院(NIST)负责为非国家安全的联 邦信息和通信基础设施的保护开发标准、指南、测 试和度量指标,同时已经在研究和开发 ICT 供应链 风险管理工具和指标,以及有关缓解措施和实施方 法的指南 [19~23]。

《(七)人员背景调查》

(七)人员背景调查

人员背景调查在美国也称忠诚调查,是一个涉 及多个部门、多种环节和因素,包括大量案头工作 和实地走访在内的系统工程。

人事管理局(OPM)[24] 是负责制定背景调查 总体规则及通行管理办法的政府机构,涉及国家安 全或涉密的领域必须进行背景调查 [25,26]。出于国家 安全方面的考虑,OPM 将所有联邦机构以及绝大 多数政府合同商的工作职位按敏感程度和风险性 划分为 6 大类,对应 10 种管理标准和要求。OPM 制定发布了“标准表格 86——国家安全职位调查 表”[27],要求对可能接触密级信息的政府人员进行 背景调查;还制定发布了“标准表格 85——非敏感 职位调查表”[28],要求对政府雇员或按照合同为政 府工作的人员进行背景调查。

《三、建立我国网络安全审查制度的思考与 建议》

三、建立我国网络安全审查制度的思考与 建议

《(一)网络安全审查制度基本内涵》

(一)网络安全审查制度基本内涵

基本定义:网络安全审查,是指对关系国家安 全和社会稳定信息系统中使用的信息技术产品与服 务及其提供者的安全性、可控性与可信性进行评估、 监测分析、持续监督。

直接目的:防范产品和服务的提供者利用提供 产品或服务的途径,非法控制、甚至干扰和破坏用户系 统,非法监视用户行为,包括非法获取和利用用户敏感 信息,如非法收集、存储和处理用户有关信息。

关键作用:从维护国家安全利益出发,对影响 到重要信息系统和关键基础设施的重点产品与服务 的安全性、可控性与可信性把关,加强对信息技术 产品与服务安全的管理。

《(二)网络安全审查制度法规标准 》

(二)网络安全审查制度法规标准

法规标准是保证网络安全审查的正当性、合法 性、强制性以及可执行性。目前,网络安全审查的 法律依据主要包括:《国家安全法》和《网络安全法》; 政府信息系统管理与采购、信息技术产品与服务、 关键信息基础设施、供应链安全管理等法律法规; 相应的网络安全审查管理办法及实施细则;WTO 等 国际准则。

此外,还应该制定软件安全审查、设备安全审 查、服务安全审查、开发过程安全审查、背景审查 等相关技术与管理标准。

《(三)网络安全审查制度组织体系》

(三)网络安全审查制度组织体系

科学合理的组织体系是完成网络安全审查各项 工作的重要保证。主要机构及职能如下:跨部门网 络安全审查委员会,是网络安全审查工作的总体负责 和协调组织机构,成员由国家相关部门的代表组成; 专家咨询委员会,网络安全审查工作的咨询建议机 构;管理办公室,网络安全审查工作的行政管理机 构,负责组织实施;审查执行机构;技术支撑机构。

《(四)网络安全审查制度运行模式》

(四)网络安全审查制度运行模式

1. 审查对象

网络安全审查的对象是信息技术产品和服务及 其提供者。审查对象适用范围包括:用于关键信息基础设施;用于国家、政府机构的重要信息系统; 危害政治、社会、经济;损害公共利益;侵害公众 权益;其他使用多、影响大且存在威胁国家安全风 险的对象。

2. 审查内容

针对信息技术产品和服务及其提供者,网络安 全审查的内容包括安全性、可控性与可信性。

安全性包括物理安全、逻辑安全、管理安全。 物理安全:相关系统设备及设施受到物理保护,使 之免遭破坏或丢失;逻辑安全指相关系统中信息资 源的安全,包括保密性、完整性、可用性;管理安 全包括各种安全管理的政策和机制。

可控性是指为了确保信息技术产品和服务能够 且仅能按照使用者的指令提供应有的服务,对产品 和服务进行安全监管,实现信息技术风险可监控、 可管理,过程可审计的目标,包括可追溯性、可确 定性、可审计性以及可审查性。

可信性是指企业(包括供应链)及企业核心人 员,在规定的时间和范围内,能够具备相应技术、 符合管理要求、提供澄清材料、回答设定质询以及 承受调查审查的能力,从而在影响信息技术产品和 服务的安全性和可控性以及影响国家安全方面达到 的信任程度,能够被审查工作收集的情报和证据所 验证并达到预设的、可接受的信任标准。

3. 启动条件

网络安全审查工作的启动应符合下列条件之一: 依据法律法规明确要求;针对投诉举报;按照市场 调查或抽查结果;自愿申请;或其他必要条件。

4. 审查方法

针对信息技术产品和服务的背景审查,目的在 于提升国家对其可信性的掌控能力。背景审查的主 要方法涉及情报搜集、挖掘、分析及检索。

(1)针对企业背景的审查方法

针对企业背景的审查,可以重点关注以下方 面:与政府、政党、军方、情报部门的关系;企业 声誉;公司资质;运营状况;信用记录;犯罪记 录;生产环境;管理和实施部门;人员配置等。

(2)针对企业供应链的审查方法

企业背景必须包括供应链,主要考虑供应商管 理体系及其执行情况,可以重点关注技术、质量、 响应、交付、成本、环境、社会责任、网络安全等 方面。

(3)针对员工背景的审查方法

员工包括企业高管人员(例如创始人、董事会 成员、首席等)、产品主要设计人员、产品主要开 发人员(无论处在离职还是在职状态)。针对员工 背景的审查,可以重点关注以下方面:政治履历; 工作经历;犯罪记录;信用记录;身体状况;家庭 状况;精神状态;反人类言行等。

(4)问卷调查的方法 问卷调查是开展背景调查的重要依据之一,是 对调查对象的初步评价,需要与调查对象进行多轮 次交互。问卷调查在使用和设计时应注意的问题如 下:使用要慎重;题目设计注重系统性、针对性、 通用性以及差异性;选择题与问答题相互配合;具 备合理的评价原则。

5. 支撑技术

(1)面向背景审查的支撑技术

在背景审查方面(包括供应链),应充分搜集、 处理、分析、评判各方情报,从情报中发现危害国 家安全的隐患。该过程主要包括情报搜集、跟踪调 查、证据挖掘、情报关联、大数据分析、知识 / 数 据库、风险评估、需求评估、研判决策等支撑技术。 这些技术虽然有的已经很成熟了,但运用在背景审 查上还需要进一步的改进和优化,才能满足实际应 用的需求。

大数据分析是背景审查的核心支撑技术,由于 背景审查需要源源不断地对国内外信息技术企业的 全面状况进行跟踪调查,存储、整理、核查、更新、 维护调查所得的各种证据信息,为之后的审查工作 提供持续的历史资料和数据支持。

(2)面向技术审查的支撑技术

安全隐患分析是支撑技术审查的主要手段,包 括源代码审计、逆向工程、渗透性测试等技术。

《四、结语》

四、结语

目前,俄罗斯、日本、澳大利亚、印度等国家 主要从信息产业外资并购安全审查、信息产品市场 准入、信息产品安全认证等方面构建并完善与网络 安全审查相关的制度体系。

借鉴上述各国经验,我国建立网络安全审查制 度应注重以下方面:加强宣传,提高对网络安全审 查的正确认识;制定措施,从政策支持、机制建立、队伍建设、人才培养等方面进行考虑;重视背景 审查和技术,开发配套的网络安全审查信息系统。