- 相关推荐
美国信息安全审查制度
美国网络安全审查制度的战略效应
国家互联网信息办公室宣布为维护国家网络安全、保障中国用户合法利益,我国将推出网络安全审查制度。一石激起千层浪,媒体热炒,公众热议。美国及西方各国认为这是我国的网络对抗或制衡手段,以“八大金刚”为代表的外企担心从此中国市场优势不保,国内主流网络安全厂商看似迎来又一次发展良机,各方喜忧混杂,莫衷一是。本为网络空间治理举措,几乎就是姗姗来迟的一项制度,受到过份关注和过度解读。事实上,我国出台网络安全审查制度,是借鉴吸收国外先进经验与做法,是落实改革开放总目标的具体步伐。
一、美国网络安全审查制度探秘
网络空间被视为继陆、海、空、天之后的大国博弈的第五空间,网络空间安全已成为国-家-安-全战略的重要组成部分。美国已经确立了网络、太空、核“三位一体”的国-家-安-全战略,并早已推出了网络安全审查制度。
(一)美国-家-安-全审查制度由来已久
美国-家-安-全审查制度由其外国投资委员会(CFIUS)执掌,从机构设置、法规依据、运作程序、审查内容、审查标准等方面均体现出鲜明的国家意志。
一是机构跨部门设置。CFIUS的成员由财政部、司-法-部、国土安全部、商务部、国防部、能源部、美国贸易代表办公室等九部门共同组成,必要时还包括管理和预算办公室、经济顾问委员会、国-家-安-全委员会、国民经济委员会、国土安全委员会。
二是法规适时修订。经由《1950年国防生产法案》修订并于8月23日生效的《埃克森—弗罗里奥修正案》,是美国规制外资并购、保护国-家-安-全的基本法。此后历经四次修订,于2015年10月形成了《外国投资和国-家-安-全法》(FINSA)。出于反恐的需要,加强了对政治控制或其他隐蔽性控制等非常规商业形态的监控。
三是运作程序保密。CFIUS是一个运作和审查过程都缺乏透明度的机构,审查通常包括申报、初审、调查和总统决定四个步骤,其保密的特性使得各步骤所能公开的信息比较有限。四是审查标准模糊却严格。CFIUS的立法依据和各项法规一直未给出“国-家-安-全”的准确定义,此后的FINSA扩展了国-家-安-全概念,加入了关键性基础设施、关键技术、国有资本等内容。但其回避了对国-家-安-全、控制标准等关键性概念的严格界定,赋予CFIUS充分的自由裁量权。
(二)网络安全审查制度游刃有余
伴随网络空间的蓬勃发展,网络安全审查必然成为国-家-安-全审查的重要组成部分。在这个问题上,美国的态度非常坚决。
美国率先在国-家-安-全系统中对采购的产品和服务进行安全审查。随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国-家-安-全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务,还针对产品和服务提供商。经过多年的实践与探索,逐步建立了多种形式的网络安全审查制度,将全方位、综合性的供应链安全审查体系上升为国家战略。美国网络安全审查制度呈现出四个特点:
一是审查范围逐步拓展;美国国-家-安-全委员会发布了《国-家-信-息安全保障采购政策》,对涉及国-家-安-全的信息系统的采购进行安全审查。美国国家标准技术研究所发布新的信息安全标准,确立了面向政府的网络安全审查制度。11月,美国国防部颁布临时政策,规定国防系统及其合同商采购的产品和服务要经过供应链安全审查。
二是审查内容逐步扩大;美国联邦政府要求,不仅信息技术产品和服务的关键技术必须要经过审查,而且产品安全性能指标、产品的研发过程、程序、步骤、方法、产品的交付方法等,都要经过审查。
三是审查流程保密;美国网络安全审查标准、机制、过程不对外公开,主要考量因素就是对国-家-安-全、司法和公共利益的潜在影响,且其审查没有明确的时间限制,更不解释审查结果形成的原因和理由,不接受申诉。
四是审查结果具有强制性;美国政府先后发布的《国-家-信-息安全保障采购政策》和《联邦风险及授权管理计划》,分别对进入国-家-安-全系统的信息技术产品和云服务提供商实行安全审查,未通过安全审查的一律不得进入联邦政府的采购名单。中国电信设备制造商华为和中兴先后在美国遭调查封-杀,便是网络安全审查的直接后果。
(三)云计算服务安全审查引领潮流
美国作为云计算服务应用的倡导者和引领者,以“云优先战略”为牵引,将大量的联邦政府信息系统迁移到“云端”。同时,云计算服务提供便利的同时也给敏感数据和重要业务带来了新的安全挑战。对云计算服务实行安全审查,也成了云计算服务推广应用的重要方面,在这一点上,美国又一次走在了世界的前列。
一是标准法规先行;国家标准与技术研究所发布了《公共云计算安全和隐私指南》和《完全虚拟化技术安全指南》两项标准,为联邦政府下一步建立云计算服务安全审查制度提供了标准依据。
二是审查机制高效;在《云计算环境信息系统安全授权》、《联邦风险及授权管理计划》(FedRAMP)和《联邦信息安全管理法案》的框架下,设计了由第三方评估、FedRAMP审查、获得初始授权、结果共享的运作机制。组建了由国防部、国土安全部、审计署三方成员构成的联合授权机构,统筹云计算服务安全控制基线要求、批准第三方机构认定标准、对云计算服务进行初始授权等工作。
三是审查程序标准化。通过近年来的实践,逐步形成了在法规标准支撑下云计算安全基线,突出第三方机构认定、云计算服务审查、云计算服务持续监管三大关键点,成熟了十余部标准化的模板、程序与指南材料,初步确立了联邦政府云计算服务安全审查体系。目前,FedRAMP共认定了27家从事云计算服务安全评估的第三方机构,并已有11家云计算服务商的12项云计算服务通过了安全审查。
二、美国网络安全审查制度的战略效应
如果不是华为、中兴在美国受阻,如果没有斯-诺登的持续爆料,如果没有美国司-法-部对中国-军人的所谓起诉,也许我国的网络安全审查制度还要来得更晚一些。但是已经实施数十年的美国网络安全审查制度,其引领和示范作用、警醒和刺激作用、扩张和辐射作用,却不以我们的意志为转移,真实真切地存在着。
(一)示范效应
目前,网络安全审查已成为国际通行作法。抛开西方信息技术强国网络安全意识觉醒早、网络空间战略意识强的内因,恐怕美国网络安全审查制度的示范和引领效应也起到了推动和加速的作用。英国、德国、澳大利亚、新西兰、俄罗斯、印度等国相继都出台了网络安全审查制度。英国网络安全认证制度由政府通信总部实施,通过其安全认证的产品和服务,方能为英国政府机构信息系统所使用。德国政府从立法体系、监管机构、网络审查等多个方面加强对重要信息基础设施和信息系统的保护,对信息技术产品与服务实行安全标准与使用便捷性的审查。澳大利亚国防通信局与新西兰政府通信安全局共同建立澳大利亚信息安全评估计划,采用统一的网络安全审查机制。
俄罗斯也实行严格的网络安全审查制度,由俄罗斯工业和贸易部负责实施,重点是对外资进入其战略性产业交易进行审查,评估交易是否存在风险。必要时还需要征询俄联邦安全局和国家保密委员会的审核评估意见。印度的网络安全审查制度由内政部负责实施,重点是加强对通信产品以及“关键核心设备”运营商的管控,设备提供商必须得到内政部的安全审查以及第三方认证,方可签署合同。从各国的审查实践看,审查结果也具备一定的示范与传导作用。从2015年开始,美国、印度、澳大利亚、法国等国家多次以国-家-安-全为由,禁止华为、中兴等公司产品在该国部署和使用,这当中美国阻止华为参与Sprint Nextel公司的网络招标为他国树立了标杆。
(二)鲶鱼效应
鲶鱼效应实质上就是要唤醒危机意识和忧患意识,树立风险意识,从而激发生存意识和竞争求胜之心。斯-诺登事件之前,中国面对长驱直入并且占据市场绝对优势的“八大金刚”并无多少不适或警觉,鲜有的一些担忧与顾虑也在大好的发展形势之中被淹没。与其形成鲜明对比的是,国内企业华为、中兴在海外市场上却四处碰壁,华为在美国遭到封-杀,在澳大利亚被禁止投标宽带网项目,在英国遭到议会情报和安全监督机构的调查,在印度也遭到了内政部的严密审查,国际市场开拓陷入困境。直至斯-诺登捅破那层窗户纸后,怵目惊心、瞠目结舌、后背发冷的结果公之于众,先前的侥幸变成了确证,之前的担忧变成了活生生的现实。
此时反观中国IT行业,芯片、操作系统、数据库以及通用协议和标准90%以上依赖进口,关键信息系统有99%是外国品牌,金融、电信、能源等核心行业的信息系统被国外垄断。内忧外患之下,产、学、研、政府各界互联网国家意识、战略意识空前觉醒,自主可控不绝于耳,去“IOE”风生水起。其实在华为、中兴海外市场受挫之际,就应当重视和审视美国及西方大国的网络安全审查制度,其时也有专家呼吁建立中国的信息技术安全产品审查制度。时至今日,这种倒逼的觉醒和变革,来得猛烈,发人深省。亡羊补牢,为时未晚,美国给我们的这个教训值得认真吸取!
(三)蝴蝶效应
蝴蝶效应是指在一个动力系统中,初始条件下微小的变化能带动整个系统的长期的巨大的连锁反应,是一种混沌的现象。美国的网络安全审查制度是以保障国-家-安-全、防范供应链安全风险为目标,对信息技术产品和服务进行的全方位、综合性的安全审查,其蝴蝶效应体现在如下两个方面。一个是审查的范围呈现扩张态势;信息技术产品和服务的整个生态系统涉及软件、硬件、制造、材料等上下游的多个产业,技术上又涉及通信、网络、密码、计算机、信息安全等多个学科,网络安全审查的对象和范围将涉及供应链的每一个环节,越来越呈现出明显的拓展和扩张之势。
任何一个节点上的审查问题,或者某一个产品或服务的审查,其结果都会辐射并影响到多个产业和行业,而且这种影响的威力巨大、传播迅速。另一个是审查的自由度较大;由于美国网络安全审查流程的相对保密性,对国-家-安-全定义的相对宽泛性,对关键基础设施领域定义的全面覆盖性,造成审查结果的裁定空间非常大,这样对产品和服务乃至相关产业的影响力难以评估。比如美国2015年对于关键基础设施的分类包括了通讯、信息技术、关键制造、金融服务、能源、政府设施、食品农业、交通运输等16大项,只要跟这些项目相关就能跟国-家-安-全建立联系,这种关联度对审查至关重要。
三、厘清我国网络安全审查制度的认识误区
我国即将出台的网络安全审查制度,应该是从筑牢法律法规基础、规范信息技术产品和服务提供商的社会责任、健全风险评估响应机制等多方面落实网络空间治理战略的务实举措。鉴于其敏感性和影响度,加强舆-论引导和推广宣传,纠正认识上的偏差和误区,回归其制度本身要义和初衷,具有重要意义。
(一)网络安全审查并非制衡手段
我国即将出台网络安全审查制度之时,正值美国起诉中国-军方黑客、我暂停中美网络安全工作组活动之际,这使得媒体和西方国家对此产生了联想。以IBM、CISCO为代表的国外IT企业也产生了不安和焦虑。事实上,政策的出台是综合考量我国网络空间面临的内忧外患,维护网络网络空间主权、保障公众合法权益的内在需要。借鉴了国际通行做法,结合了国家网络安全法规、标准、规范发展的现实基础,继承和发扬信息安全产品测评认证和等级保护的经验,乃大势所趋,顺势而为。再者,我国一直奉行和平、安全、开放、合作的网络空间治理原则,本着相互尊重和相互信任,通过积极有效的国际合作,共同建立多边、民-主、透明的国际互联网治理体系,冲突与对抗并不符合国家的安全利益。
(二)网络安全审查并非贸易保护
网络安全审查制度的出台,将从积极审查、事中检测、事后惩处等环节对IT产品和服务进行安全性和可控性的把控。这势必对国内自主可信可控的信息安全产业提供发展良机,提升国内企业的核心竞争力。但这同时给国外企业留出了猜想空间,质疑我借国-家-安-全之名,行贸易保护之实。对国外信息技术产品及服务的审查,还有可能引起外界对我国政府是否违背WTO规定的争议。对此专家认为,目前中国规定的审查对象是涉及国-家-安-全与公共利益领域的信息产品和服务的重要产品。根据WTO的规定,是可以适用其“安全例外”条款(第21条)。从制度设计本意看,我国的网络安全审查将“无国别”实施,摈弃“出身论”,国产“根正苗红”并非护身符。对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,都将一视同仁。
(三)网络安全审查并非安全测评
从目前专家对我国网络安全审查制度的分析和解读来看,无论是审查主体、审查范围、审查内容、审查方式、审查结果,都是紧紧围绕安全可控、诚信可靠、客观公正来展开。审查绝不单单是一个单纯的技术性的审查,而是将企业声誉、背景、资质,产品研发、制造、交付的过程等各种指标和因素都纳入审查,从多角度衡量产品和供应商的可控性与安全性。这与我们已经推行十几年的信息安全产品测评认证制度存在明显区别,其一是内容范围的扩展。先前的安全测评只是针对信息安全产品的测评认证,比如防火墙、IDS、UTM等,而安全审查的对象是信息技术产品和服务,囊括了所有信息技术产品,比如服务器、操作系统、应用软件、数据库。其二是目标重点的延伸。之前是信息安全测评认证是针对产品功能和性能的标准一致性验证,存在明显局限性。网络安全审查则是要主动发现安全隐患、后门缺陷。其三是审查主体的统一。
随着中央网络安全和信息化领导小组的成立和运转,以工信部、公安部、安全部、保密局多头管理的局面必然终结,筹建集中统一的审查机构势在必行。其四是审查结果的强制性更大。除了公正客观权威之外,网络安全审查的结果应当比安全测评的结果更具强制力,而不是可有可无。当然,安全测评的结果可是用作安全审查的依据之一。
(四)网络安全审查并非内容审查
网络和信息技术产品是否安全、是否可控,事关国-家-安-全,事关我国经济社会健康发展,事关广大人民群众合法权益不受侵犯。从安全的概念看,网络安全与信息安全在范围上没有本质区别,也指的是总体性的安全,既包含网络与信息系统的技术安全,也包含信息内容安全。但网络安全审查制度是对关系国-家-安-全的信息系统中使用的产品与服务进行测试评估、检测分析和持续监督,这些信息系统中运行的业务和流转的信息,并不是审查的对象,因此它不涉及信息内容安全,与舆-论管控、内容审查无关。更不会涉及个人信息,不会对个人信息安全造成负面影响。
美国如何进行网络安全审查
美国率先在国-家-安-全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国-家-安-全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务,还会针对产品和服务提供商。
随后,美国等西方国家为保障国-家-安-全、防范供应链安全风险,逐步建立了多种形式的网络安全审查制度。将全方位、综合性的供应链安全审查对策上升至国家战略高度。
美国网络安全审查标准和过程是不公开的。美国对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉。主要考虑对国-家-安-全、司法和公共利益的潜在影响,且其审查没有明确的时间限制。
美国安全审查的要害之一,是安全审查结果具有强制性。美国国-家-安-全系统委员会1月发布的《国-家-信-息安全保障采购政策》规定,自2002年7月起进入国-家-安-全系统的信息技术产品必须通过审查。12月,美国政府发布《联邦风险及授权管理计划》,要求为联邦政府提供云计算服务的服务商,必须通过安全审查、获得授权;联邦政府各部门不得采用未经审查的云计算服务。美国在政府采购招标文件中还进一步规定,向联邦机构提供云计算服务的基础设施必须位于美国境内。
从开始建立至今,美国的网络安全审查范围不断延伸。1月,美国国-家-安-全系统委员会发布了《国-家-信-息安全保障采购政策》,对涉及国-家-安-全的信息系统采购的信息技术产品进行安全审查。美国联邦政府执行美国国家标准技术研究院制定的信息安全标准,建立了面向联邦政府的网络安全审查制度。11月,美国国防部颁布临时政策,规定国防系统及其合同商采购的产品和服务要经过供应链安全审查。
美国网络安全审查的内容不局限于技术。美国联邦政府要求,不仅要审查产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等,要求企业自己证明产品已达到了规定的安全强度。
美国要求被审查企业签署网络安全协议,协议通常包括:通信基础设施必须位于美国境内;通信数据、交易数据、用户信息等仅存储在美国境内;若外国政府要求访问通信数据必须获得美国司-法-部、国防部、国土安全部的批准;配合美国政府对员工实施背景调查等。
【美国信息安全审查制度】相关文章:
信息公开保密审查制度规定(通用16篇)04-14
小学教案审查制度05-06
安全生产信息制度05-26
信息安全制度(精选15篇)08-08
美国的薪酬制度05-18
美国薪酬制度05-18
信息安全管理制度06-20
信息安全管理制度01-27
信息安全管理制度汇编09-26
寝室安全稳定信息员制度05-09