专业知识服务提供商

美国信息安全审查制度及启示

2023年06月01日 作者:孟晔 罗娜 卢悦 打印 收藏

信息安全关乎国家安全,是国家安全体系的重要组成部分。传统的信息安全是指信息系统或信息网络能够正常运行,即能够防止信息资源的丢失、泄露以及未经授权访问、修改或删除,从而保证信息的安全性。随着互联网、大数据、云计算和人工智能等技术的高速发展和广泛应用,数据和信息已成为各国重要的战略资源和生产要素。涉及很多信息技术产品和服务,是维护数据和信息安全的重要节点。美国建立了较为完善的信息安全审查制度,为维护信息安全提供了有力的制度支撑。随着市场的不断开放,我国信息安全的风险和挑战也将进一步加剧,因此,在过程中,加强信息安全审查显得尤为重要。通过梳理美国信息安全审查制度,笔者分析和总结了其安全审查制度的经验,希望对完善我国信息安全审查制度有所启示。

美国信息安全审查制度概况

美国信息安全审查制度涉及多部法律和政策,在信息技术采购中,安全审查是重要的保障措施。如表1所示,《克林格一科恩法》和《联邦信息安全管理法案》从采购资金计划和预算控制、职责分工、保护信息安全计划等方面提出了对采购信息技术产品和服务的安全控制和评估要求,《联邦风险和授权管理计划》对联邦政府部门采购云计算服务提出了安全评估和持续性监控的要求,《联邦政府信息资源管理政策》《确保信息和通信技术及服务供应链安全》《安全可信通信网络法》从采购预算、监管责任、购买外国信息技术和服务、禁用供应商名单等方面提出了对供应链安全审查的要求。在制度中,《联邦采购条例》要求落实信息技术安全制度中提出的安全要求和标准,并在“信息技术采购”这一部分中规定了风险控制的方法。国家安全系统和国防系统的采购因涉及重要的国家安全利益,所以在信息安全审查方面作出了专门规定。《国家信息保障采购政策》《管理信息保障和实现信息保障的信息技术产品采购的国家政策》规定所有国家安全系统中采购的信息技术产品必须满足安全评估和验证要求,并明确了采购中各方主体的责任。国防部发布的《国防联邦采购补充条例》,要求在采购信息技术时必须将供应链风险作为选择合同商的评估重点。《联邦采购供应链安全法》为联邦供应链安全制定规则,以增强联邦采购和采购规则的网络安全弹性。

表1 美国信息安全审查制度体系

表1 美国信息安全审查制度体系.png

美国信息安全审查制度内容

审查范围和对象

从美国安全审查制度来看,安全审查范围包括联邦、国家安全系统采购和国防系统采购。其中,国家安全系统是指美国政府运营维护的涉及情报、密码、军事力量和武器系统等有关的通信或信息系统。

在审查领域中,主要针对信息通信技术与服务供应链进行审查评估。其中,信息通信技术与服务指以实现或确保信息和数据的处理、存储、检索或电子通信(包括传输、存储和显示)为主要目的的硬件、软件或其他产品及服务。其评估包括对多个信息通信技术或服务提供商所依赖的硬件、软件或服务,对关键基础设施实体所依赖的通信服务的评估。

审查部门和职责

美国联邦行政管理与预算局(OMB)负责信息技术采购资金计划和预算控制,制定联邦机构信息系统投资风险的评估程序和信息技术采购政策。国土安全部(DHS)负责促进安全“共同基准”的广泛应用,持续评估和识别存在脆弱性并对国家安全造成重大潜在后果的实体、硬件、软件和服务,并与其他部门合作进行风险评估和风险应对。总务署(GSA)通过创建采购工具识别和购买网络安全产品和服务,以支持联邦政府部门。国家标准与技术研究院(NIST)负责制定非国家安全领域的联邦信息系统的标准和准则。国防部、国家安全局、联邦调查局和情报部门在联邦政府信息安全方面发挥了重要作用,提供了防御性援助和技术指导。

美国各联邦机构负责具体执行信息技术的采购,是保护国家信息安全的责任主体。各联邦机构按照OMB制定的采购政策对供应商、信息技术产品和服务进行安全审查。对于云计算服务和供应链等关键领域,通常由OMB牵头联合多个政府部门成立职能机构对相应的领域进行安全审查。

审查环节和要求

OMB通过预算管理决定是否购买联邦机构申请的信息技术产品和服务。美国联邦机构在采购信息技术时,应考虑资源安全、隐私保护、国家安全和应急准备等要求,在采购环节中提出相应的信息技术安全要求。联邦机构应在采购计划中说明信息技术采购需满足资金计划、预算控制和信息安全的要求,为机密事项采购建立安全保障,使用互联网协议采购信息技术时,采购需求中应说明需符合的技术性能和测试标准。负责信息技术安全工作的采购官应具备较高水平,确保万博体育网址文件中的信息安全要求足够详细,使得供应商充分理解信息安全规定、任务和需求,采购的信息技术产品、云计算服务必须满足相应的安全评估和验证要求。国防部和航空航天局要求参与采购的企业是合格清单中的企业,其产品已经过审查和测试。联邦通信委员会有权决定对国家安全构成不可接受风险的供应商名单。“禁止来源”中明确禁止联邦机构与特定国家、单位和个人进行交易,如果供应商及其分包商在提供信息技术产品和服务的过程中接触联邦政府控制的设施和信息系统,还需进行人事安全审查。联邦机构在签署信息技术合同时,要按照规定处理隐私和安全保障问题,应包括承包商行为规则、防范危险清单、保障措施说明、政府检查计划等内容。为降低程序风险,信息技术采购可以签署模块化合同,将信息技术设备采购分成几个小的采购单元。为定期评估高价值资产,GSA开发了对信息安全风险实施预先审查的合同工具。

评估和审查标准

美国制定了体系化的信息安全审查标准和指南性文件。如,NIST的联邦信息处理标准(FIPS)适用于各联邦机构和与其合作的供应商。FIPS发布了《联邦信息和信息系统安全分类》(FIPS199)、《联邦信息和信息系统最低安全要求》(FIPS200)和《联邦雇员和承包商个人身份验证》(FIPS201)。在此基础上,NIST编制了特殊出版物(SP系列),以适应复杂多变的信息安全环境。《信息系统和机构的安全和隐私控制》(SP800-53)为联邦机构提供了低影响、中等影响和高影响3种信息系统的基线安全控制,是维护国家安全系统的补充性指南。《联邦信息系统和组织的供应链风险管理实践》(SP800-161)为联邦机构评估信息和通信技术供应链风险提供了指导。

国家安全系统委员会制定了《国家安全系统的安全分类和控制选择》,该标准以SP800-53为基础形成,采用了不同安全分级方法,叠加了信息聚合效应、系统环境、用户属性等特殊保密属性,删除了不适用于国家安全系统的控制项。联合授权委员会(JAB)在SP800-53的基础上,针对低级、中级的云,选取适合云服务的部分内容,修改形成了云计算服务安全基线要求。国防联邦采购补充条例没有可供供应商评估自身供应链风险的明确标准。

美国信息安全审查制度启示

信息技术产品和服务规模庞大,成为信息安全风险的高发领域和防范重点。近几年,我国安全审查制度发展迅速,要求在关键信息基础设施和事关安全的信息系统领域,对采购的网络产品、服务及云计算服务等进行安全审查。但我国目前主要以网络安全审查为主,缺少对信息安全审查制度的整体规划和设计。美国构建了完善的信息安全审查制度体系,其成熟经验对完善我国信息安全审查制度具有一定的借鉴和启示意义。

构建信息安全和支撑的安全审查制度体系

美国信息安全审查制度涵盖联邦法律、部门规则和具体标准,形成了信息技术安全管理和相互支撑和配合的制度体系。其中,以信息技术安全管理制度为统领,提出信息安全审查的总体要求,将作为保护信息技术安全的重要内容,使之成为美国的基础性安全审查。部门根据上述要求在联邦法规和特殊部门采购制度中制定了安全审查具体措施,使信息安全审查制度实现落地。

我国在安全审查制度的构建中,要避免只有信息安全技术管理制度或制度的单方面规定。信息安全技术管理制度是从信息安全系统角度进行的全面设计,涉及领域广、主体多、对象复杂、技术更新快,多为原则性规定或政策纲要,具体领域需要根据其要求制定有针对性的实施细则,否则,在具体落实中会出现安全审查无所适从、实施效果差或无法落地的现象。是维护信息安全的重要领域,应根据信息技术安全管理制度的系统安排,结合自身特点制定安全审查的具体实施措施。如果只从领域出发制定安全审查制度,缺少信息安全技术管理的通盘考虑,容易出现各自为政、协调配合度差和安全漏洞等问题。通过信息技术安全制度和制度相互支撑和配合,才能更好地发挥维护信息安全的保障作用。

扩大审查范围,实行分类分级审查管控

随着信息技术的不断进步,美国开展信息安全审查的领域由点及面,逐步扩张,从国家安全系统采购,扩大到联邦和国防系统采购。安全审查对象的范围不断延伸,从采购的信息技术产品和服务,扩大到云计算服务和供应链。从纵向看,不仅着眼于采购的信息技术产品安全审查,还对其研发、生产和交付等阶段,特别是供应商的人员背景进行审查。从横向看,不限于联邦,对于涉及政府信息和系统安全的企业采购也作出了规定。美国对信息技术采购实施分类分级安全审查,以满足不同系统对安全性和保密性的不同要求。其中,直接影响国家安全的安全系统和国防系统会采取更为严格的审查标准。同一系统内也存在分级审查的情况,如美国规定联邦机构要确定优先级最高、风险最高的信息技术资产,采取补充措施提高其安全性。

我国应及时将影响国家安全的信息技术对象纳入采购信息安全审查范围。应注意的是,信息安全审查针对的是非常规情况,应合法合规地处理这种安全风险。泛化的信息安全审查制度会限制发展,容易引发正当性质疑,扰乱市场经济秩序,甚至造成国际贸易纠纷。在构建信息安全审查制度时,对影响国家安全的重要信息技术产品与服务的采购,要根据应用场景、采购对象和风险级别等进行分类分级管理,适用强制性与推荐性、基础级与增强级、普遍性与特殊性相结合的信息安全审查管理,确保有效利用资源和提高效率,实现信息安全防御效果的最大化。同时,也要考虑与国际采购规则接轨的问题。美国明确禁止联邦机构与特定国家、单位和个人进行交易,供应链安全审查针对的是对国家安全造成威胁的外国对手,这些安全审查都有明确的指向性,容易引发国际贸易纠纷和报复性措施。《协议》(GPA)是贸易的国际规则,参加方不得在国内外供应商之间造成歧视。因此,参加方在制定信息安全审查制度时,应在遵守GPA规则的前提下,对涉及信息技术安全的活动提出安全审查要求,为援引安全例外条款提供正当充分的理由。

明确审查部门职责,培养采购专业人员

美国信息安全审查部门职责分工明确,按照各自角色和责任进行配合和协作。以OMB为中心,DHS、GSA和NIST等部门发挥跨部门作用,指导、支持、协助和监测联邦机构实施的信息安全举措,各联邦机构具体负责和执行信息技术的采购。

信息安全审查需要审查部门和采购人员贯彻落实,其专业水平直接关系到安全审查制度的实施效果。因此,我国应明确信息安全审查部门的职责,完善跨部门协调审查机制。在制度设计时,要考虑如何平衡集中和分散管理、指导或激励审查部门履职、理顺各部门之间的关系等。信息技术复杂多变,专业性强,对信息安全审查人员提出了较高要求,但领域面临着信息技术专业人才短缺的问题,如果没有足够的采购或项目管理专业人员进行信息安全审查,会给信息安全带来极大的危害。因此,加强信息技术人员队伍建设也非常重要。在明确信息技术专业人才需求的基础上,可以采用对现有采购人员进行教育和培训,针对专业人才制定激励措施和招聘专业人才等方法,提升信息安全审查人员的专业水平。

实现采购环节全覆盖,制定可操作性的审查措施

美国信息安全审查制度对预算管理、万博体育网址文件、技术安全、清单审查和合同签署等采购环节实现了全覆盖。其中,OMB通过预算管理决定是否购买联邦机构申请的信息技术产品和服务。联邦机构采购官在采购计划中会说明信息技术采购应满足预算控制和信息安全的要求,在万博体育网址文件中明确信息安全任务和需求。在清单审查方面,有合格供应商和负面供应商清单审查,在合同方面,按照规定处理隐私和安全保障问题,签署模块化合同降低风险等。

信息技术安全管理制度涉及的采购环节不多,重点在预算管理控制,可以从源头上把控信息技术安全风险。我国制度应对安全审查涉及的采购环节进行全面、系统的规范,按照安全防范重点,从整个采购流程上把控信息技术安全风险,形成更具操作性的安全审查措施。

设计分类分级审查标准,完善安全审查标准体系

为配合信息安全审查活动,NIST的FIPS为联邦部门提供基本输入输出系统管理和测量、电子认证、无线协议、供应链风险管理等多个主题的指南。其中,FIPS标准对联邦信息和信息系统进行高、中、低级分类,要求联邦机构使用安全控制措施要符合SP800-53的要求。国家安全系统和云计算服务的安全标准以SP800-53为基础,根据各自特点修改而成。

我国在制定信息安全审查标准时,不可采取“一刀切”做法,应制定分类分级的安全审查标准。在制定基本安全审查标准的基础上,可以根据需要修改形成特殊的安全基线要求,减少建设时间和成本,也有利于各安全标准的衔接和统一。同时,应遵循“技术中立”原则,可以采取行业利益相关者共同参与的方法,帮助政府利用现有成熟技术,引入行业最佳实践,让审查标准更为科学、专业和合理。

(作者单位:国际关系学院)

责编:戎素梅
©CopyRight 2018-2024 万博体育网址网址》杂志社有限公司 版权所有