查看原文
其他

专家 | 顾伟、刘振宇:英美网络安全审查机制及其启示(上)

2017-02-09 顾伟 刘振宇 网络空间治理创新

点击上方“网络空间治理创新”可以订阅哦


摘要

采取必要措施不断提升信息技术产品与服务的安全性能,维护网络空间安全与秩序,是各国政府的应尽责任。中国已经明确提出建立实施网络安全审查制度,如何确立有效的安全审查体制机制,管控相应的安全风险,同时规避可能的贸易摩擦风险,是当前亟待解决的问题。


鉴于美国与英国等国家已经在国家安全相关的领域,实行了类似安全审查的机制,考察这些机制背后的路径选择、顶层设计和规章体系,分析其变革趋势,在网络全球化日益深入的当下,无疑对中国网络安全审查机制的建立健全有参考意义。



经历数十年的发展,作为一种贸易对象,网络信息技术产品和服务的采购已经形成相对成熟的规则。针对网络信息技术产品和服务市场化采购的行政干预,须遵循市场规律,遵守贸易规则,尤其是在当前数字经济快速崛起、经济全球化和贸易一体化不断深化的背景下。与此同时,鉴于网络信息技术产品和服务的复杂多元与快速迭代,以及基础网络和重要信息系统保密性、完整性和可用性对国家安全的重要影响,必要的网络安全管控措施又显得不可或缺。因此,科学地划定网络空间市场自律与安全监管的法律边界非常重要。

 

依据WTO的“安全例外”原则或可以解释网络空间的安全管控,但是作为对反歧视等原则的突破,该原则适用往往受到严格限制。当前,中国法律已原则性地提出信息技术产品和服务的国家安全审查,为了确保这种网络空间的国家安全审查机制可以与国际贸易规则相符合,符合国际惯例,考察美国、英国等信息技术产品和服务贸易发达国家与之相关的网络安全制度,分析相应的管控机制对象、范围和内容,就显得尤为必要。


一、网络安全审查的概念


“网络安全审查”是一个具有中国特色的表达。从法律渊源分析其内涵,首先网络安全审查制度是国家安全审查和监管的基本内容。根据《国家安全法》第五十九条,我国的国家安全审查和监管的制度和机制,主要可以分为四类,一是对影响或者可能影响国家安全的外商投资审查,主要是商务部负责的外商投资并购审查;二是特定物项和关键技术的审查,例如密码产品的审查;三是网络信息技术产品和服务的审查;四是涉及国家安全事项的建设项目,以及其他重大事项和活动的审查。

 

其次,网络安全审查主要是指对关键信息基础设施以及党政机关、重点行业采购使用的重要信息技术产品和服务的审查。《网络安全法》第三十五条提出“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。国家互联网信息办公室发布的《国家网络空间安全战略》要求建立实施“网络安全审查制度”,包括“加强供应链安全管理,对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性,防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益”。

 

虽然由于法律等国情差异,在美国和英国的政策文件中没有与“网络安全审查”(cyber security review)直接对应的概念,毕竟“网络审查”、“安全审查”等在西方国家也属于与自由、人权、贸易等相关的敏感词汇。但没有“网络安全审查”这样一种说辞,并不意味着不存在针对国家“网络安全”问题的“审查”性机制,许多西方国家通过法律、政策或标准等多元方式,在政府采购等国家安全相关领域,对信息技术产品和服务的采购采取安全测评、评估、认证。这些前置机制,实质上构成了信息技术产品和服务进入国家安全相关领域的市场准入门槛,与我国信息技术产品和服务的安全审查制度有共通之处,为便于比较研究,因此本文暂冠以“网络安全审查”。

 

需要明确的是,英美等国在特定领域实行的“网络安全审查”机制有严格限定,反对在商业领域滥用安全例外。WTO《服务贸易总协定》第14条规定:“本协定不得解释为阻止成员方采用或施行它所认为保护公共道德或维持公共秩序的措施”,但脚注同时明确该例外“仅在社会根本利益受至真正的、重大的、严重的威胁时才可援引”。例如,在中国实施信息安全等级保护制度时,要求第三级以上信息系统采购本国生产的自主信息安全产品,美国就曾提出反对,并认为根据WTO国家安全例外,中国实施的任何强制性要求只能适用于军队和涉密信息系统,而重点行业属于商用系统,不能认定是国家安全范畴。



二、美国对网络技术产品与服务的安全审查


(一)基本内容


美国对信息技术产品和服务的安全审查,从管理机制角度,主要可以区分为采购部门管理规范体系和职能部门管理规范体系两个方面。

 

采购部门管理规范体系的核心,是《联邦采购条例》(Federal Acquisition Regulation),其明确而详尽地规定了联邦政府的采购计划、采购方式、合同类型、采购合同管理、采购合同条款及合同格式等内容。一些特殊部门内部规定了符合部门特殊要求的专项措施,例如,早在2000年1月,美国国家安全系统委员会(Committee on National Security Systems)就已经发布了11号文件《国家信息安全保障采购政策》,要求自2002年7月起进入国家安全系统的信息技术产品必须通过审查。又如,国防部也会发布《国防部关于<联邦采购条例>的补充条例》;《2011年国防授权法》(National Defense Authorization Act for fiscal year 2011)第806节授权国防部对其采购过程中信息技术供应链风险进行审查。此外,作为联邦政府的集中采购机构,联邦总务署(GSA)还专门发布了《总务署采购手册》(General Services Administration Acquisition Manual),指导联邦政府的通用货物采购以及其他联邦机构的自行采购。

 

鉴于美国既有联邦政府又有州政府,政府机关内部又细致划分权限,因此,职能部门管理体系就显得更加庞杂。其中,联邦层面比较重要的规范性文件包括:《国家安全通信和信息系统认证认可政策》(1994),建立国家安全系统强制性认证认可制度;《联邦风险及授权管理计划》(2011),要求为联邦政府提供云计算服务的服务商,必须通过安全审查、获得授权。此外,美国国家技术标准研究院(National Institute of Standards and Technology,以下简称“NIST”)、国家安全系统委员会及各联邦单位等根据联邦信息安全相关法律的授权,具体落实信息技术产品和服务相关的安全标准、安全认证及安全检查工作。


(二)采购部门的网络安全审查


美国在国家安全系统采购、联邦政府采购,以及国防系统和合同商采购领域引入对信息技术产品和服务的安全审查。


1. “国家安全系统”采购的网络安全审查措施


美国“国家安全系统”的定义和范围十分明确。根据《克林杰-科恩法案》(Clinger-Cohen Act)和FAR第39章的规定,国家安全系统(National Security System)是指联邦政府运维的通信或信息系统,其功能、操作或使用(1)涉及情报活动;(2)涉及到国家安全相关的密码学活动;(3)涉及指挥和控制军事力量;(4)涉及的设备属于武器装备或武器系统的主要部分;(5)对直接完成军事或情报任务直观重要的。国家安全系统不适用于日常单独行政和和商业用途系统(包括薪资、财务、后勤和人事管理等)。


针对国家安全系统的网络安全审查措施有着严格的标准和规定。


1994年,美国联邦政府发布《国家安全通信和信息系统认证认可政策》,要求所有联邦政府机构对其控制和运行的国家安全系统建立和实施强制性认证认可,所建立的认证认可制度应当能够有效保证国家安全系统中的信息处理、存储和传输的保密性、完整性和可用性。2000年,国家信息保障认证认可流程(NIACAP)逐步建立成型。


根据美国国家安全通信和信息系统委员会(NSTISSC)2000年发布的《国家信息安全采购政策》(National Information Assurance Acquisition Policy)相关规定,自2002年7月1日起,所有国家安全系统采购的IT产品必须评估和认证,满足由国家安全局(NSA)、国家技术标准研究院(NIST)共同组成的国家信息保障联盟(NIAP)的评估认证体系(CCEVS)的评估认证。NIAP安全审查的范围包括所有政府部门采购、用在国家安全系统中的、商业现货信息安全产品(防火墙、入侵检测)或信息安全相关产品(如操作系统、数据库系统),主要审查依据为《信息技术安全性通用评估准则》(CC)和信息系统安全保护轮廓(PP)。与此同时,NIAP定期公开相关部门采购清单中通过认证的产品。


2009年,国家安全系统委员会发布第1253号指令,将NIST发布的《保护联邦信息和信息系统的安全控制措施和技术指南》(SP800-53)作为国家安全系统信息安全控制的通用标准。SP800-53在2009年的修订中,增加了供应链保护的安全控制要求,建议政府机构在与供应商签订信息技术采购合同之前,对供应商进行尽职审查。


此外,部分用于支持国家安全系统的采购,也要遵循国家安全系统采购的规定。《总务署采购手册》第507条第70款规定,虽然总务署的任务不包括直接采购武器系统,但总务署活动可能包括武器系统的支持技术和配套服务,这应当被视为国家安全系统的一部分,适用国家安全系统相应安全等级的要求。


2. 非“国家安全系统”采购的网络安全审查措施


与国家安全系统相关采购相对应的,便是非国家安全系统的网络信息技术采购。


一是各联邦机构在采购信息技术设备前,要确保信息技术采购符合美国行政管理和预算办公室(Office of Management and Budget,以下简称“OMB”)发布的《A-130通知》(Circular A-130)规定的信息资源安全、国家安全、隐私保护、突发事件应急准备等具体要求;二是采购财务管理系统要符合OMB发布的《A-127通知》(Circular A-127)的要求,核心财务软件必须预先通过“联合财务管理改进项目”的认证;三是联邦机构采购信息技术产品,应当符合信息技术安全的政策法规,采购通过NIST认证的产品,产品列表详见见NIST官方网站(http://checklists.nist.gov)的国家清单计划(National Checklist Program, NCP)[ii]中的信息安全保障清单一栏;采购的信息产品包含互联网协议(Internet Protocol)的,该协议应当通过NIST的USGv6测试。


与此同时,作为《联邦采购条例》的配套规范性文件,《总务署采购手册》第539部分规定,负责采购信息技术的联邦雇员,应当具备与采购信息技术产品和服务安全等级相当的水平。项目负责人应当确保招标文件符合信息安全要求,并且信息安全要求必须足够详细,使得供应商充分理解信息安全规定、任务和需求,保证供应商能够履行合同或任务。


3. 网络安全审查的特殊措施


无论是国家安全系统的网络安全审查,还是非国家安全系统的网络安全审查,其一般措施都是针对网络信息技术产品和服务的,但是,在某些特殊的情况下,美国采购部门的网络安全审查直接覆盖到供应链阶段。其中,比较有特色的措施有两个:一是国防部的供应链审查;二是明确禁止采购触及的供应链。


(1)国防系统的供应链安全审查


《2011年国防授权法案》第806节授权国防部,在国家安全系统采购中,排除存在重大供应链风险的合同商。其对该风险描述为:“攻击者可能破坏、恶意引入不必要的功能,或者破坏设计、完整性、制造、生产、销售、安装、操作,或者控制整个系统以监控、拒绝服务、中止服务,或者弱化系统的功能、使用或者操作。”


为此,美国国防部发布了第2012-D050号《国防联邦采购补充条例》,要求国防部在采购信息技术时,必须将“供应链风险”作为选择合同商的评估重点。


(2)禁购性来源的安全审查


FAR第25部分第7节“禁止来源”明确禁止联邦机构与特定国家、单位和个人进行交易。因此,这些国家、单位和个人的信息技术产品和服务,也就无法通过美国联邦政府采购的审查。具体禁止包括:美国财政部外国资产控制办公室(OFAC)经济制裁涉及的国家、单位和个人,禁止交易;《2007年问责苏丹和撤资法》、《1996年伊朗自由支持法》及修正案、《2010全面制裁、问责伊朗和撤资法》、《2012年减轻伊朗威胁和叙利亚人权法》等规定的事项,禁止交易等。


此外,也有规范和中国相关。《2013年合同与持续拨款法》及《2014年合同与持续拨款法》均对美国商务部、司法部、国家宇航局和国家科学基金会四家联邦机构,采购中国信息技术系统进行限制,具体表述为“联邦机构负责人与联邦调查局或其他适当机构”对“中国拥有、管理或资助的一个或多个机构所生产、制造或组装的信息系统有关的任何风险”进行“网络间谍或破坏行为”进行风险评估,除非评估认为“该系统采购符合美国的国家利益”,否则“不得采购”。


(三)职能部门的网络安全审查


如果说政府采购的限定性规范属于直接审查措施的话,那么职能部门则是通过明确联邦机构的安全责任和联邦信息系统的安全标准,间接地进行了网络安全审查。

 

这种间接审查的主要措施有两种:一是联邦政府业务系统安全检查制度,二是近年来兴起的云计算服务安全评估。


1.联邦政府业务系统安全检查制度


2002年《联邦信息安全管理法》(Federal Information Security Management Act,以下简称“FISMA”)明确了联邦机构的信息安全管理责任。第3544节(a)(1)(A)(ii)规定的责任主体范围包括“机构、机构的承包商、机构的代理组织使用或运维信息系统”,以确保联邦政府层面信息系统和数据的安全。为实现法律的落地,FISMA 指定NIST开发政府信息安全的标准和指南。NIST随后颁布FIPS 199标准和FIPS 200标准。前者对联邦信息和信息系统进行高、中、低级分类,建立了安全保护的通用框架;后者明确了联邦信息和信息系统的最低安全要求,并要求联邦机构使用安全控制措施,符合SP800-53的要求。


以NIST为首,针对FISMA的技术安全问题提出了信息安全自控计划(Information Security Automation Program),并由此延伸出安全内容自控协定(Security Content Automation Protocol, SCAP)框架,该框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6个支撑标准构成(检查的标准,一致性标准等)。这6个支撑标准需要检查的内容、检查的方式由国家漏洞数据库(National Vulnerability Database, NVD)和国家清单计划(NCP)提供,由此SCAP框架就实现了标准化和自动化安全检查,及形成了一套针对系统的安全检查基线。


SCAP及安全基线的最重要成果和成功案例当属联邦桌面的核心配置(Federal Desktop Core Configuration, FDCC)项目。该项目是在美国政府支持下建立的桌面系统(Windows XP、Windows vista等)相关安全基线要求规范,并通过自动化的工具进行检查。FDCC基于NVD、NCP等内容进行基线安全核查。NVD为自动化漏洞管理、安全评估和合规性检查提供数据支撑,包含安全核查名单、与安全相关的软件漏洞、配置错误以及量化影响等。NVD数据库针对数据库中的漏洞等提出了一整套核查名单(Checklist),划归到NCP计划中。


概而言之,标准化和自动化是FISMA下联邦信息系统安全检查的最重要的特征。


2. 云计算服务安全评估


2011年,OMB发布首席信息官备忘录《云计算环境信息系统安全授权》,阐述了联邦风险和授权管理计划(FedRAMP)。根据FISMA和FedRAMP,美国国防部、国土安全部、总务署三方派出代表组成“联合授权委员会”(JAB),牵头负责制定云服务安全基线要求、批准第三方机构认定标准、对云计算服务进行初始授权等工作。


FedRAMP规定的云服务安全基线,是在通用安全要求NIST SP 800-53《保护联邦信息和信息系统的安全控制措施和技术指南》的基础上,针对低级、中级的云,选取适合于云的服务的部分内容,修改形成了云计算服务安全基线要求。FedRAMP不建议联邦机构将高安全等级需求的业务和数据迁移到云上。


FedRAMP 的评估审查流程是,有意向为联邦政府机构提供云计算服务的云服务商向管理办公室提交审查申请,由受联合授权委员会认可的第三方评估机构根据云服务安全要求进行测评,联合授权委员会参照测评结果对云服务商进行综合风险评估,并作出决定。联合授权委员会对通过评估的云计算服务给予初始授权,各联邦政府部门均可在初始授权名单里根据自身需求选择云计算服务。由于各部门可共享安全评估与审查结果,从而避免了重复评估和审查。这实际上是一种“白名单”机制。


联邦政府及各部门采购商业和非商业化云服务,需要预先通过安全评估、授权以及运行前审批。亚马逊的美国政务云服务即通过了联邦风险和授权管理计划(FedRAMP)的认证,并在其官网公开承诺其物理服务器分布在美国境内,只有美国公民可以访问[iii]。云计算服务评估遵循“一次审查、多次使用原则”,以避免多个政府部门对同一云服务商重复审查,扶持和促进云计算服务产业的发展。


三、英国对网络技术产品与服务的安全审查


(一)基本内容


虽然英国信息技术产品和服务也属于隶属财政部的政府采购办公室强制集中采购范畴,但英国政府采购办公室更偏向于采购制度本身的管理,而非技术性要求。英国政府采购信息技术产品和服务,主要决定权在政府通信总部(Government Communications Headquarters, GCHQ)下设的电子信息安全小组(Communications-Electronics Security Group,以下简称“CESG”)。因此,英国的网络安全审查的核心规范,基本出自CESG。

 

这一规范体系,主要由两大部分构成:指导性规范(Guidances)和服务性规范(Services)。

属于指导性规范的主要有:《数字服务的安全设计原则指南》(Security Design Principles for Digital Services),其目的是防御针对政府系统的数字攻击,核心关注是公共服务,但是,其所涉及的领域还包括财政和基础设施建设;《公务级网络加密指南》(Network Encryption at Official),当公务机关使用或接入信任级别较低的网络之时,通过专业加密的方式,保护信息安全;《默认安全:白名单》(Secure by Default - white papers),列出了安全的平台及其渠道来源,并且每天都会进行相关的审查和更新。

 

属于服务性规范种类繁杂。第一,咨询规范,CESG下设网络安全鉴定咨询顾问(CESG Certified Cyber Security Consultancy)和网络鉴定专员(CESG Certified Professional, CCP),为信息的安全提供咨询服务,相关的运行依照内部规范进行。第二,政府通信总部鉴定培训(GCHQ Certified Training, GCT)规范,分为两个层级,一是硕士学位培训,一是专业学习安排。第三,保护服务规范,包括商业产品认证(Commercial Product Assurance,以下简称“CPA”)、辅助产品服务(CESG Assisted Products Service,以下简称“CAPS”)、通用标准(Common Criteria,以下简称“CC”)、商品信息认证(Commodity Information Assurance Services)、防信息泄露技术和电磁安全(TEMPEST and Electromagnetic Security)等。以及其他相关规范,比如安全检测规范等。


(二)新分级制下的安全审查


英国曾经按照保护级、限制级、保密级、秘密级和绝密级对信息进行了五级分类,实施了复杂的信息技术产品和服务采购的审查体系。然而随着信息技术的不断发展,纸质文件和传统办公环境已被颠覆,5级信息分类不再适应当前数据为中心的现代工作环境,过于复杂分类带来了信息系统的管理难题,因此,2014年4月,英国正式改用信息的三级安全分级:公务级(Official)、秘密级(Secret)和绝密级(Top Secret),并在此基础上重构了英国信息技术产品和服务的安全审查。因此,英国网络安全审查的规范措施,以2014年后的新分级为准。


1.基础级认证


涉及公务级信息的需要通过商业产品认证(CPA)取得基础级(Foundation)证书。


根据CESG的数据,公务级信息占政府信息总量的80%以上,主要为公共部门所产生,其一旦丢失、被窃或公布在媒体上,将会造成一定后果但不会有明显危害。对公务级信息,CESG所规定的CPA主要采用黑盒测试(Black Box)的方式,接受认证的厂商无需担心其商业敏感信息被获取,主要为商务现货供应(COTS)的软硬件产品所采用。


基础级信息安全产品和服务的认证的主要流程是,厂商首选根据产品的类别选择接受认证的类别,并自主选择一家CESG认可的测试机构;测试机构产出推荐报告后直接提交给CESG;CESG根据测试机构的报告,确认是否适合参加认证;测试机构根据CESG认可,对产品进行黑盒测试等审查,并产出概要报告递交CESG;CESG对最终报告进行审查,符合条件的授予基础级证书。


2. 高级认证


涉及秘密级和绝密级的适用辅助产品服务(CAPS)认证,获得高级(High Grade)证书。主要应用于政府现货供应(GOTS)的软硬件产品。


GOTS产品的全生命周期均将受到政府的控制。CESG通过设立专门的客户经理(CAMs)团队实施非公开的管控,主要区分中央政府、健康、工业、执法、地方政府和国防等六种类型。在参加CAPS认证之前,相关厂商还必须获得一个英国政府支持方(HMG Sponsor),即某英国政府部门书面授权其开发相关产品。并且,该厂商必须在英国有正在运营中的商业实体,提供安全场所,在英国政府登记在案的安全位置(List X),相关工作人员也应当通过“高度审查”(Developed Vetting),即类似公务员的全面安全审查。


CAPS采用源代码审查方式,以确保安全。根据CESG网站的介绍,源代码审查是通过彻底和不受限制地审查设计文档、源代码、电路图、物理布局等通常被视为公司机密的信息,CESG要求受审查产品在指定场所被不受限制的访问。特别注意的是,这一审查要求同样适用于产品中使用的第三方知识产权内容。


(三)技术服务型的安全审查


除严格实行新分级制下的安全审查机制,CESG还为政府与公共部门提供技术服务型的安全审查。


1. 政府和公共部门的安全检查


CESG为政府和公共部门提供的安全检查方案(CHECK Scheme),主要使用渗透测试的方法。


只要是英国政府用于处理公务级信息、秘密级信息的网络信息系统,都将定期实施安全检查。其中处理秘密级信息的系统,实施安全检查还需事先征得CESG的同意。


CESG同时强烈建议其他公共部门在处理标识为“敏感”的公务级信息时,也要实施安全检查。而当其他公共部门认为其秘密级和绝密级信息的系统有必要进行安全检查的时候,相关机构需要与和它直接对应的CESG客户经理进行沟通,以便进行相关检查。


2. 政府和公共部门的安全评估


CESG为英国政府、国防部、关键国家基础设施(CNI)及公共部门提供定制化的安全评估服务。评估服务的范围涵盖相关信息技术系统、产品和服务。


在相关系统、产品和服务部署之前,认证机构可提出具体的需求,由CTAS评估机构进行初评。CESG根据初评得出最终的评估报告。而后,认证机构根据评估报告,对相关系统、产品和服务的安全风险作最终的判断。


评估机构、CESG及其他利益相关方需要一致同意具体的评估范围、技术方法,审查CTAS评估报告涉及的活动记录和结果文档。


鉴于社会评估机构的存在,与安全检查相比,安全评估机制中,CESG的技术支持只是阶段性的,而非全面性。


3. 创新或复杂安全功能的技术设计审查


私营或公共部门向政府提供信息通信技术((Information Communications Technology, ICT)服务时,一旦解决方案包含创新或复杂的安全功能,且不在当前政府信息安全相关指南中,则需要向CESG申请技术设计审查(IA Technical Design Review)。


技术设计审查的主要组织形式是设计审查会议,申请者需要取得政府支持方的书面同意,完成设计审查问卷,并至少提前五天将相关文件提交参与设计审查会议的各方。


与安全检查和安全评估相比,技术设计审查中的CESG是一种被动的姿态,而非主动的姿态。此时,初步审查来自于政府本身或提供信息通信技术的部门,因为它们作为设计的使用者或提供者,是最关心创新性和应用指南的。


(为便于排版,省去原文注释。)


本文后续内容,请见今日发布的《英美网络安全审查机制及其启示(下)》!



编辑 | 叶雪枫

作者


顾伟

中国社科院法学所法学博士


刘振宇

上海师范大学博士后


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存