查看原文
其他

专家 | 顾伟、刘振宇:英美网络安全审查机制及其启示(下)

2017-02-09 顾伟 刘振宇 网络空间治理创新

点击上方“网络空间治理创新”可以订阅哦


本文内容承接《英美网络安全审查机制及其启示(上) 》!



四、英美网络安全审查机制的异同


美国和英国的网络安全审查机制既有共性,也有特色。前者基本勾勒了网络安全审查规范体系得以稳定运行的原则,而后者为不同国家、不同时期的网络安全审查机制提供了多样性的借鉴。


(一)英美网络安全审查机制的差异


美国的信息技术和产品占据着国际市场的主流,而英国本土缺乏有实力的信息技术企业,政府采购信息技术产品多数需要从国外引进,自主安全保障能力相对较弱。网络安全环境的不同,导致二者的网络安全审查机制有着不同的面向。


1. 不同的路径选择


美国拥有非常发达国内网络安全市场,信息技术产品和服务的研发领先于全球,自主安全保障能力充分,甚至担当着全球IT“供应商”角色;同时,政府IT及相关设备采购规模庞大。因此美国对网络信息技术产品和服务开展的相关安全审查,既包括对信息技术产品与服务安全性能的各种评估要求,还包括供应链安全审查,即对产品和服务的来源进行审查,甚至可以排除特定供应链来源。某种程度上,这既可以保障其国家网络安全,也能通过政府采购拉动其国内信息技术产品与服务产业的发展。


英国没有美国这样的IT技术优势,本土产业规模相对有限,不可避免地要使用其他国家企业的网络信息技术产品和服务,供应链更为复杂。因此,英国的网络安全审查机制,并没有体系化的政府采购信息技术产品与服务的安全性能要求,也没有专门的供应链审查机制,而是采用相对市场化的评估机制,包括深层次的“源代码”审查测试,检测相关产品或服务是否存在安全缺陷或漏洞。


2. 不同的顶层设计


美国和英国安全审查的顶层设计截然不同。美国围绕联邦政府采购政策办公室(Office of Federal Procurement Policy,以下简称“OFPP”)与相关部门,形成了机构分工明确的安全审查机制。而英国则以CESG为中心,形成相对精简且市场化的安全审查机制。


OFPP隶属OMB,其与联邦总务署、国防部、航空航天局等部门共同拟定FAR,用以指导和督促各政府机构依法采购。OFPP的行政长官由总统任命并经参议院确认,代表总统参与政府采购有关的政策、程序等立法工作。该机构在本质上并非一个专门的网络安全审查机构,其只是承担美国网络安全审查规范体系的核心规范的确立工作。美国国家技术标准研究院和国家安全系统委员会的情况也与之类似,并非专门的网络安全审查机构。


与之形成鲜明对比,CESG是专门的网络安全审查机构,是英国国家信息安全技术保障的权威,在政府信息安全工作方面有决定性发言权。CESG 负责整个信息安全认证体系的设计、标准的发布。具体审查认证工作是由CESG认可的专业商业机构负责,例如CGI、Context Information Security、Info Assure Ltd等,CESG在具体审查方面只进行复核确认并签署具有效力的认证证明。英国政府明确将CESG打造为专门的网络安全部门,以其为主体框架,成立新一代英国国家网络安全中心(National Cyber Security Centre, NCSC),保护公众、私营部门、公共部门以及核心国家设施的线上安全。


3. 不同的规则体系


差异化的顶层设计之下,是美国和英国两国迥异的安全审查规则体系。美国的网络安全审查规范体系完整而分明,从联邦法律、部门规则到具体标准,均有覆盖,且保持紧凑的更新频度。更深层的原因在于,美国已在政府采购及国家安全领域形成完整的制度架构,网络安全审查机制仅是作为其中的一个相对特殊的领域。


英国网络安全审查规则,基本上由CESG发布的规范性文件为主,相对独立于政府采购、国家安全相关的规则。并且CESG的上位机关,GCHQ是英国的情报机构和国家安全负责部门,向外交大臣负责,和英国安全局(MI5)、秘密情报局(MI6)一同受到联合情报委员会(JIC)的领导,因此其采用的审查手段更偏重于技术检测与控制,而非法律规范与标准指导。


 (二)英美网络安全审查机制的共性


尽管美国和英国两套网络安全审查机制存在很大差异,但这并不妨碍它们之间的共性,并且二者深层次的共通之处,值得深思与借鉴。


1. 相似的审查对象


英美网络安全审查对象,主要聚焦与国家安全相关的信息技术产品与服务。网络安全的主动审查主要集中于政府和公共部门的信息系统、国家安全系统和国防军事信息系统等影响或者可能影响国家安全的领域。其中,直接影响国家安全的国家安全系统和国防军事信息系统会采取更为严格的审查标准。在美国,国家安全系统和国防系统的采购有专项规定,而在英国,则利用高级认证加以确认。


一般民用领域,美国与英国没有普遍使用的强制性、主动网络安全审查,但一旦涉及国家安全,仍可能接受国家安全审查。例如美国外国投资委员会(CFIUS)会根据外国投资者申请,被动地进行外资并购国家安全审查。这样的审查机制不在前述典型范围,但其中也涉及涉及网络安全要素,相关安全协议(mitigation agreement)通常会包括:确保只有受过审查的员工负责特定技术和信息,担任关键职位;建立公司安全委员会、经美国政府(CFIUS)批准的安全官或其他机制,履行安全政策、年度报告和独立审计等职能;发布专门指南和条款约定,处理现有或将来可能涉及的美国政府采购合同、美国政府客户信息或其他敏感信息等。英国的技术服务型安全审查也是类似被动发起审查的机制。反过来看,民用领域网络安全审查的一个重要特点是,以被动式审查为主,在产品和服务与国家安全相关联时,才被发起。


2. 相近的审查策略


英美网络安全审查措施多种多样,审查策略却大体相当。一种策略是直接审查与间接审查相结合。政府在进行采购之时,既直接提出信息技术产品与服务的安全性能要求,明确需要达到的水平,同时也存在对政府机构使用信息系统安全能力提出要求,间接影响信息技术产品与服务,这就构成了一种间接审查。政府既可以直接明确安全技术采购的标准,也可以用相对模糊的安全评估甚至不公开的安全协议替代,避免内部安全口径或者安全倾向暴露。间接审查的存在,甚至可以使得特定国家、主体的信息技术产品与服务处于隐性的不利地位,但又不触及贸易规则。


还有一种策略,则是坚持分类管理。在美国,国家安全系统和非国家安全系统就是两类截然不同的类型,在英国也存在公务级和秘密级、绝密级的划分,不同类别安全性能要求,使得网络信息技术产品和服务接受不同的检验标准进行审查。


3. 保证重要数据安全


保证信息技术产品与服务的安全,核心是保护其承载的数据安全。网络安全审查某种程度上也可以被理解为对重要数据的载体进行安全审查。实际上美国和英国对于网络信息技术系统的安全,已经从管设备、管技术,转向管数据。


英国的网络安全审查机制是建立在对信息等级区分的基础上的,其对重要数据安全的重视程度无需赘述。美国的网络安全审查机制最初是以政府采购为主,而政府采购更多地指向产品和服务,而非数据本身。不过,进入21世纪,美国陆续通过《信息质量法》(Information Quality Act, IQA)[ii]、《联邦信息安全管理法》((FISMA)等法律的通过,将网络安全保护的核心定位为信息安全,强制推行联邦信息处理标准。


4. 搭建社会共治平台


网络安全审查涉及的领域广、主体多、对象复杂,相关技术演进速度也非常快,对此美国和英国都重视引入市场机制实现网络安全审查,表现在:


一是是尊重市场选择。美国和英国针对商业产品和服务的安全审查,只是局限于政府采购领域,商业机构可以自主选择是否加入政府采购,且加入政府采购也不影响商业机构的其他市场销售行为。


二是培育第三方认证机构。美国和英国政府在牢牢把握标准制定权和最终评价权的同时,将中间具体认证监测评估环节交由经有关部门认可的商业化第三方认证机构完成,以此提高效率,确保公平公正。政府采购供应商能够在政府提供的目录中,自主选择评估机构,通过市场机制实现评估机构的优胜劣汰。


三是形成多元主体共治机制。网络安全审查并不是政府的单方行为,美国和英国都通过指南或标准引导、财政项目支持和网络安全信息共享的方式,引导私营组织参与国家基础网络与重要信息系统的安全保护工作。并且,在网络信息技术日新月异的现阶段,对安全市场服务和自身业务安全存在天然利益诉求的美英两国的互联网企业、第三方认证机构等私营部门对安全风险管控和安全技术升级更有动力。 



五、英美网络安全审查机制的启示


无论是从网络大国走向网络强国,还是全面推进“互联网+”,中国都将面对更加严峻的网络安全形势,需要克服更多、更频繁的网络安全风险。现阶段,推进网络安全审查制度建设确有必要。但与此同时,作为一项可能涉及国际贸易规则、影响市场资源配置的制度,我们也需要更加审慎,特别是现有政策法律显示,中国的网络安全审查是以关键信息基础设施保护、党政部门和重点行业安全为逻辑起点而展开的,与西方国家基于政府采购、政府信息安全、政府控制的信息系统安全性而开展安全审查存在重要差异。如何通过具体的安全审查规则,将审查目的与审查手段与WTO安全例外原则挂钩,确保维护国家安全的大方向不偏离,考验着立法者与监管部门。


当前,监管部门已经认识到网络安全审查“不能仅停留在规则层面,还要有自己的手段和机制。加强网络安全审查,就是要督促监督信息产品服务提供者公平、公正、透明地为用户提供服务和产品”。[i]英美的网络安全审查机制的设计,基本实现了规则公开、手段适当与制度健全,借鉴其制度设计,进一步完善中国的网络安全审查机制,健全配套制度,也能够打消某些抵触与担忧。可能的借鉴包括:


一是在网络安全审查的顶层设计方面,美国与英国在进行网络安全审查时,均明确专门负责机构。《网络安全法》并没有明确专门的负责机构,这需要有关部门在制定具体网络安全审查办法时,明确牵头部门与跨部门协调机制。例如,作为关键信息基础设施安全保护的基础制度,网络安全审查应当与关键信息基础设施保护制度相衔接,理顺关键信息基础设施的行业主管部门与网络安全审查牵头部门与专门负责机构机构的关系,明确协调机制与相应分工。


二是在网络安全审查的机制方面,考虑到《国家网络空间安全战略》提出的基础信息网络、重要信息系统、重要互联网应用三类范围的关键信息基础设施,以及党政部门与重点行业,直接包含有许多商业机构,采购的信息技术产品与服务更是来源于商业机构,为避免过度干预市场,中国的网络安全审查机制需要注意避免对这些市场主体适用强制性或者主动审查。要注重利用市场机制,采用鼓励而非强制的方式,通过政府采购、示范项目、行业自律等形式引导这些商业机构参与安全审查,主动维护国家安全。


三是在网络安全审查的适用方面,英国与美国的安全审查机制均突出确保国家安全的目的,在此基础上推出具体领域的安全审查。中国的网络安全审查的基本依据,无论是《国家安全法》或者是《网络安全法》,也都基于国家安全的目的对采购网络产品与服务提出国家安全审查,但二者均未确定具体审查适用的范围。建议在正在制定中的网络安全审查规则中,明确列举网络安全的审查适用范围,例如“党政机关、重点行业的网络产品和服务采购,以及关键信息基础设施的网络产品和服务采购,影响或者可能影响国家安全的,适用网络安全审查”。


四是在网络安全审查的方式方面,英国与美国采用的市场主体多元参与机制值得借鉴。网络安全审查不是政府主导的行政审批,而应当是行政性色彩相对淡化、技术性特征明显的安全风险控制机制。行政资源有限,决定了监管部门难以独立实现对所有影响国家安全的采购行为,有效实现审查前置全覆盖,市场主体参与是必然的。同时,被审查者、行业协会、第三方认证机构、信息技术产品与服务提供者都是市场主体,公平与效率将是考验安全审查制度成败的重要指标,监管部门要尽可能确保安全指标的确定性,确保审查的公正有效。


五是从网络安全审查的内容看,英国与美国均持差别化管理的思路,根据实际使用场景或者涉及风险级别确定相应信息技术产品与服务的安全性能要求。当前,中国只是在党政部门云计算服务领域初步实践了网络安全审查,其他领域的安全审查还停留于纸面讨论。对党政部门、重点行业和关键信息基础设施采购的安全审查,要具体落地到相应的领域之中,并根据风险进行分类分级,提出相应的具体审查方法,例如供应链安全评估、黑盒测试、源代码审查等。这不仅需要完善网络安全审查的具体规则,更需要在政府采购、外商投资等具体领域的政策法律中,增加基于管控国家安全风险的网络安全审查规则。

 

六是从政策的变革趋势看,英美安全审查已不仅是管设备、管技术,数据安全和系统风险才是重点,审查的色彩也越来越淡化,对私营机构的安全引导越发关键。例如2014年2月12日美国发布的由国家标准技术研究院(NIST)起草的美国国家信息安全指导规范《提升美国关键基础设施网络安全的框架规范》,从识别、保护、侦测、响应和恢复五个层面,推出基于生命周期和流程的风险防控体系。[ii]中国的网络安全审查,作为一个新设的、旨在维护国家安全的非常态网络安全管理机制,其重心不应是针对具体的产品与服务的安全管理,而是基于网络空间国家安全风险的预警、发现与处置。


总之,英美的网络安全审查机制在平衡与国际贸易规则关系、分类分层管控、多方参与及安全检测等方面,积累了重要经验。对影响或可能影响国家安全的重要信息技术产品与服务采购,区分采购主体、采购对象、采购领域等维度,适用强制性与推荐性、行政化与市场化、基础级与增强级、普遍性与特殊化相结合的安全管控机制,是值得借鉴的思路。 


(为便于排版,省去原文注释。)


- END -



编辑 | 叶雪枫

作者


顾伟

中国社科院法学所法学博士


刘振宇

上海师范大学博士后


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存