国内外网络安全审查制度浅析
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:16004488
国外网络安全审查制度
美国网络安全审查制度
美国是最早针对网络安全建立审查制度的国家,在网络安全审查制度的建立和执行上具有丰富的经验,值得我们借鉴。
早在1975年5月,美国便成立了外国投资委员会 CFIUS(The Committee on Foreign Investment in the United States)。CFIUS最初主要调查外国投资和并购是否符合产业政策以及是否有利于促进竞争和不违背反垄断法律。2007年美国的《外国投资和国家安全法》(FINSA) 生效,对 CFIUS 进行了法律上的确认和制度化, 由 CFIUS 对外国投资可能存在的影响国家安全的因素(包括美国关键基础设施、关键技术等) 进行审查。
除了对外国投资实施严格的安全审查外, 美国对于信息技术产品和服务也提出了网络安全审查要求,同时针对不同领域采取了不同的网络安全审查机制。
国家安全系统
早在 2000 年美国宣布在国家安全系统中用于保护非涉密信息的密码类信息技术产品必须通过国家标准和技术研究院 (NIST) 的FIPS 140认证。2002年7月起,美国进一步规定在国家安全系统中使用的非密码类信息技术产品必须通过美国国家信息安全保障联盟(NIAP) 所采用的信息技术安全评估通用准则 (Common Criteria, CC) 认证。NIAP 采用了公开的标准为国家网络安全审查活动提供指引。
除了对涉及国家安全系统的产品实施严格的认证之外,2013年11月美国国防部在《联邦采办条例国防部补充条例》中新增了网络安全临时政策——《供应链风险要求》,要求国防部对采购的信息产品和服务实施供应链安全风险评估。供应链安全风险评估政策并没有公开任何流程和具体要求,且不采购的理由也不会告知供应商。
联邦信息系统
2002年《联邦信息安全管理法》(FISMA) 在国会通过并生效。FISMA要求各联邦机构制定并实施适用于本机构的信息安全计划 (Information Security Program),保障联邦信息和信息系统的安全。FISMA 明确授权国家标准技术研究院(NIST) 负责有关标准和指南的制定工作,并为联邦机构落实标准提供技术指导。对于存储了联邦机构的信息或者承接了联邦机构业务的合同商, 必须满足FISMA的安全要求。FISMA的安全标准主要来自SP800 - 53文件,该文件提出了针对联邦信息系统的供应链保护安全要求,同时对采购过程进行了详细的规定。
云计算安全服务审查
美国作为云计算服务应用的倡导者和引领者,对云计算服务实行安全审查,也成了云计算服务推广应用的重要方面。2011年,NIST发布了《公共云计算安全和隐私指南》和《完全虚拟化技术安全指南》两项标准,同时美国政府颁布了《联邦风险及授权管理计划》(FedRAMP) 等文件及法规,为云计算服务安全审查制度提供了标准依据。FedRAMP 明确要求联邦机构必须采购和使用满足安全审查要求的云计算服务。第三方评估机构根据 FedRAMP 云安全基线对云计算服务进行安全风险评估,联合授权委员会根据评估结果对云服务商进行审查。
纵观美国网络安全审查制度,主要有以下几个特点:
一是开展审查的范围不断扩大,先是国家安全系统中的产品,随后拓展到联邦政府信息系统、云计算等重点信息系统等,逐步实现全面覆盖;
二是审查对象不仅包括产品和服务的安全性能指标,还包括产品研发过程、程序、步骤、 方法、产品供应链等,同时产品和服务提供商、员工及企业背景也在审查之列;
三是部分审查标准和过程保密,不披露原因和理由,不接受申诉,且审查没有明确的时间限制;
四是安全审查结果具有强制性,对于关系美国国家安全的重要信息系统,必须经过网络安全审查才能够被允许进入采购目录。
欧盟网络安全制度建设
目前欧盟尚未有统一的网络安全审查制度建设,但在网络安全法律制定方面,通过颁布一系列决议、指令、条例等,内容涉及数字网基层服务、网络准入制度、信息保护等互联网安全诸多方面,用以指导各成员国的互联网管理实践。
2016 年 7 月,欧盟立法机构正式通过首部网络安全法——《网络与信息系统安全指令》(NIS), 旨在加强基础服务运营者、数字服务提供者的网络与信息系统之安全,要求这两者履行网络风险管理、网络安全事故应对与通知等义务。作为欧盟首部网络安全法,NIS 明确了欧盟关于网络安全的顶层制度设计,包括确立网络安全国家策略、强调合作与多方参与、确立网络安全事故通知与信息分享机制等。随着 NIS 的实施以及不断改进,欧盟对于基础服务运营者的信息安全要求正在不断提高,监管机构对于网络安全的评估日趋严格,针对基础服务运营者的网络安全审查已经箭在弦上了。
欧盟内部各国家对于网络安全的审查做法也各有不同,作为信息化强国的德国,对于外国投资的安全考量以及网络安全立法等方面具有代表性。《对外贸易与支付法》(Foreign Trade and Payments Act, AWG)是德国规范外资并购的主要法律。审查部门——德国经济与技术部有权依据 AWG 或者其他法案中的相关规定来阻止或者修改某项交易。2015年7月德国议会通过《德国网络安全法》,法律中明确了“关键基础设施”的范围及运营者的责任,同时要求关键基础设施运营商必须履行网络安全标准报告和网络安全事件动态报告义务。虽然目前德国尚未实施强制的网络安全审查政策,但通过一系列法律逐渐构建了关键基础设施的认定范围、责任归属以及安全报告等制度体系,这将为后续的安全审查提供了制度基础 。
我国开展网络安全审查的要求和实践
法律法规要求
2017年6月1日,《中华人民共和国网络安全法》正式实施,该法是我国第一部全面规范网络空间安全管理方面问题的基础性法律, 是我国网络空间法治建设的重要里程碑。《网络安全法》在条文中特别强调要保障关键信息基础设施的运行安全。为此,《网络安全法》 强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。目前大多数工业控制系统作为关键信息基础设施,其承担了重要的安全责任和法律义务,所采用的工控产品和服务可能影响国家安全,对其采取安全审查符合相关的法律依据。
2017年5月2日,国家互联网信息办公室发布了《网络产品和服务安全审查办法(试行)》(以下简称“《审查办法》”),并于 2017年6月1日起正式实施。《审查办法》构建了网络产品和服务安全审查的基本制度框架,是《网络安全法》确立的网络安全整体制度建设的重要组成部分。《审查办法》在第二条和第九条分别确定了网络安全审查的范围:“关系国家安全的网络和信息系统采购的重要网络产品和服务”;“可能影响国家安全的公共通信和信息服务、能源、交通、水利、金融、公共服务、 电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务”。 因此针对关键信息基础设施,在涉及国家安全事项时,还需要在通用性安全测试认证的基础 之上实施国家安全审查。
在审查内容方面,重点审查的是网络产品和服务的安全性、可控性。《审查办法》除关注产品和服务自身的安全风险外,着重强调了产品及关键部件生产、测试、交付、技术支持过程中的供应链风险。随着信息技术全球化供应趋势的发展,安全风险通过供应链进行渗透的渠道越来越多样化,并成为安全威胁的主要来源。供应链安全审查应当综合判断涉及技术、 管理和人员安全层面的可信状态,同时结合第三方机构检测等技术审查措施,为网络产品和服务搭建完善的安全审查程序。
认证认可实践
2003年9月,国务院发布了《认证认可条例》,规定认证是指由认证机构证明产品、服务、 管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。认证的对象分为三类:产品、服务和管理体系。目前在我国信息安全领域,目前针对这三类对象的认证活动都已展开,即信息安全产品认证、信息安全服务认证和信息安全管理体系认证。目前,由中国信息安全认证中心开展了针对防火墙、入侵检测系统(IDS)、网络脆弱性扫描产品、 安全审计产品、网站恢复产品等八类十三种产品实施国家信息安全产品认证。
2017年6月,根据国家《网络安全法》规定,国家互联网信息办公室、工业和信息化部、 公安部、国家认监委《关于发布 < 网络关键设备和网络安全专用产品目录(第一批)> 的公告》 (2017 年第 1 号),明确了对服务器、交换机、 路由器和 PLC 设备等四类网络关键设备和防火墙、入侵检测系统(IDS)、网络脆弱性扫描产品、 网络综合审计系统等十一类网络安全专用产品实施检测或认证的制度。
当然,审查绝不单单是一个单纯的技术性的审查,而是将企业声誉、背景、资质,产品研发、制造、交付的过程等各种指标和因素都纳入,从多角度衡量产品和供应商的可控性与安全性。我国的信息安全产品认证认可制度应该算是安全审查工作体系的一部分。
工作面临的困难
制度体系尚不健全
国家《网络安全法》要求关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,需要进行国家安全。《网络产品和服务安全审查办法(试行)》要求金融、电信、能源、交通等重点行业和领域主管部门,根据国家网络安全审查工作要求组织开展本行业、本领域安全审查工作。但目前对于关键信息基础设施中的工业控制系统技术和产品的认定及安全审查实施实施的主体、程序等内容尚缺乏进一步的法律和法规要求。
2011年工信部下发了《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕 451 号),要求对重点领域工业控制系统进行安全检查和管理。工信部近年先后印发《工业控制系统信息安全防护指南》和《工业控制系统信息安全行动计划(2018-2020 年)》,旨在指导和管理全国工业企业工控安全防护和保障工作。但以上文件均未明确工业控制领域有关关键技术和产品的安全审查工作的制度性安排, 同时相关的国家标准和行业标准迟迟未能出台。
工控产业体系尚未形成
近年来我国在工业控制自动化产品研发制造上取得了长足的进步,涌现出了一大批优秀的工业自动化设备产品制造商,如和利时、新华控制、浙大中控、南瑞集团等,国产设备逐渐在能源、智能制造、市政等工业控制系统中站稳脚跟并逐渐扩展了市场份额。但同时也必须看到,在工业控制系统关键软硬件产品上,我国尚未形成自主的产业体系。
目前我国工业自动化系统中PLC、DCS、HMI等关键设备产品,主要由横河公司,GE、ABB、SIMENS、施耐德、研华,霍尼韦尔等国际厂商占据,特别是在高端领域,国际产品几乎处于垄断状态。根据不完全统计,国际厂商产品大概在我国高端的 SCADA数据采集和监视市场拥有 91% 的份额,在DCS分散型数字控制 系统占据 70%。与此同时,对相关产品的安全性处于不可知不可控状态,完全受制于人。由于国内在工控核心芯片、基础软件、关键设备等领域的核心技术研发能力不足,加上知识产权、商业模式等方面的问题,我国工控产品的自主产业体系尚未形成,开展工业控制技术和产品安全审查工作将面临技术标准制定制、保护国内产品、潜在国际贸易纠纷等困难。
【推荐书籍】