【网安智库】英美网络安全审查机制及其启示

经历数十年的发展，作为一种贸易对象，网络信息技术产品和服务的采购已经形成相对成熟的规则。针对网络信息技术产品和服务市场化采购的行政干预，须遵循市场规律，遵守贸易规则，尤其是在当前数字经济快速崛起、经济全球化和贸易一体化不断深化的背景下。与此同时，鉴于网络信息技术产品和服务的复杂多元与快速迭代，以及基础网络和重要信息系统保密性、完整性和可用性对国家安全的重要影响，必要的网络安全管控措施又显得不可或缺。因此，科学地划定网络空间市场自律与安全监管的法律边界非常重要。

依据WTO 的“安全例外”原则或可以解释网络空间的安全管控，但是作为对反歧视等原则的突破，该原则适用往往受到严格限制。当前，中国法律已原则性地提出信息技术产品和服务的国家安全审查，为了确保这种网络空间的国家安全审查机制可以与国际贸易规则相得益彰，从特殊性走向普遍性，考察美国、英国等信息技术产品和服务贸易发达国家与之相关的网络安全制度，分析相应的管控机制对象、范围和内容，就显得尤为必要。

“网络安全审查”是一个具有中国特色的表达。网络安全审查制度是国家安全审查和监督的基本内容。根据《国家安全法》第59 条，我国的国家安全审查和监管的制度和机制，主要可以分为四类，一是对影响或者可能影响国家安全的外商投资审查，主要是商务部负责的外商投资并购审查；二是特定物项和关键技术的审查，例如密码产品的审查；三是网络信息技术产品和服务的审查；四是涉及国家安全事项的建设项目，以及其他重大事项和活动的审查。

网络安全审查主要是指对关键信息基础设施采购使用的重要信息技术产品和服务的审查。《网络安全法》第35 条提出“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。国家互联网信息办公室于2016 年12 月27 日发布的《国家网络空间安全战略》更旗帜鲜明地要求建立实施“网络安全审查制度”，强调要加强供应链的安全管理，出于“提高产品和服务的安全性和可控性”，以及“防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益”两个基本目的，对党政机关、重点行业“采购使用的重要信息技术产品和服务”的行为，明确提出“安全审查”要求。

虽然由于法律等国情差异，在美国和英国的政策文件中没有与“网络安全审查”（cyber security review）直接对应的概念，毕竟“网络审查”、“安全审查”等在西方国家也属于与自由、人权、贸易等相关的政治敏感词汇。但没有“网络安全审查”这样一种说辞，并不意味着不存在针对国家“网络安全”问题的“审查”性规范，许多西方国家通过法律、政策或标准等多元方式，在政府采购等国家安全相关领域，对信息技术产品和服务进行安全测评、评估、认证，乃至许可或审批。这些前置机制，实质上构成了信息技术产品和服务进入国家安全领域的市场准入门槛，与我国信息技术产品和服务的安全审查制度有共通之处，为便于比较研究，因此本文暂冠以“网络安全审查”。

需要明确的是，英美等国在特定领域实行的“网络安全审查”机制有严格限定，反对在商业领域滥用安全审查与安全例外。尽管世界贸易组织《服务贸易总协定》第14 条“一般例外”规定，在不构成任意的或不公的差别对待或者变相限制服务贸易的情况下，世界贸易组织成员可以采取或实施维护公共秩序的必要措施，但根据相应脚注，只有在社会根本利益受到真实且重大的紧迫威胁之时，才可以引用此条款。因此，当中国实施信息安全等级保护制度，要求第三级以上信息系统采购本国生产的自主信息安全产品时，美国据此提出了质疑，即重点行业属于商用系统，并非《服务贸易总协定》第14 条“安全例外”中的国家安全范畴（如军队或涉密信息系统），除非公共秩序受到真实而急迫的危险，否则不得限制。

基本内容

美国对信息技术产品和服务的安全审查，从管理机制角度，主要可以区分为采购部门管理规范体系和职能部门管理规范体系两个方面。采购部门管理规范体系的核心，是《联邦采购条例》（Federal Acquisition Regulation），其明确而详尽地规定了联邦政府的采购计划、采购方式、合同类型、采购合同管理、采购合同条款及合同格式等内容。一些特殊部门内部规定了符合部门特殊要求的专项措施，例如，在2000 年1 月美国国家安全电信和信息系统委员会（NSTISSC）1 发布第11 号政策《国家信息安全（IA）和IA 相关的信息技术产品采购政策》，为国家安全系统（National Security System）的采购商业现货（COTS）信息技术产品提供标准化的评价方式，并2003 年进一步修改。又如《2011年国防授权法》（National Defense Authorization Act for fiscal year 2011） 第806 节进一步授权美国国防部评估采购过程中的信息技术供应链风险；美国国防部发布了《国防联邦采购补充条例》（Defense Federal Acquisition Regulation Supplement）。此外，作为联邦政府的集中采购机构，联邦总务署（GSA）专门发布《总务署采购手册》（General Services Administration Acquisition Manual），指导联邦政府的通用货物采购以及其他联邦机构的自行采购。

鉴于美国既有联邦政府又有州政府，政府机关内部又细致划分权限，因此，职能部门管理体系就显得更加庞杂。其中，联邦层面比较重要的规范性文件包括NSTISSC 1994 年发布的第6 号政策《国家安全通信和信息系统认证认可的国家政策》（1994），并在2005 年进行更新；2011 年发布的《联邦风险和授权管理计划》（Federal Risk and Authorization Management Program, FedRAMP），要求只有通过安全审查的服务商才有为联邦政府提供云计算服务的机会。

此外，美国国家技术标准研究院（NIST）、国家安全系统委员会及各联邦单位等根据联邦信息安全相关法律的授权，具体落实信息技术产品和服务相关的安全标准、安全认证及安全检查工作。

采购部门的网络安全审查

美国在国家安全系统采购、联邦政府采购，以及国防系统和合同商采购领域引入对信息技术产品和服务的安全审查。

“国家安全系统”采购的网络安全审查措施

美国“国家安全系统”的定义和范围十分明确。根据《克林杰- 科恩法案》（Clinger-Cohen Act） 和FAR 第39 章的规定， 国家安全系统（National Security System）是指联邦政府运维的通信或信息系统，其功能、操作或使用（1）涉及情报活动；（2）涉及到国家安全相关的密码学活动；（3）涉及指挥和控制军事力量；（4）涉及的设备属于武器装备或武器系统的主要部分；（5）对直接完成军事或情报任务是至关重要的。国家安全系统不适用于日常单独行政和和商业用途系统（包括薪资、财务、后勤和人事管理等）。

针对国家安全系统的网络安全审查措施有着严格的标准和规定。

为了确保国家安全系统中处理、存储和传输信息的保密性、完整性和可用性，NSTISSP 在1994 年发布的《国家安全通信和信息系统认证认可的国家政策》提出，所有联邦政府机构对其控制和运行的国家安全系统建立和实施强制性认证认可，至2000 年国家信息保障认证认可流程（NIACAP）逐步建立成型。

根据NSTISSC2000 年发布的《国家信息安全采购政策》（National Information Assurance Acquisition Policy） 第6-8 条的相关规定， 自2002 年7 月1 日起，国家安全系统采购的IT 产品必须满足国家信息保障联盟（NIAP）评估认证体系（CCEVS）的评估认证，这一专项评估标准由国家安全局（NSA）和国家技术标准研究院（NIST）一起制定；同时，满足NIST 的联邦信息处理标准（Federal Information Processing Standard, FIPS）和信息安全技术评估互认管理的国际通通用准则。其中，NIAP 借助《信息技术安全性通用评估准则》（CC）以及信息系统安全保护轮廓（PP）进行安全审查，审查范围不仅包括保护信息安全的相关产品，比如防火墙系统、入侵检测等，还包括与信息安全相关的其他产品，如操作系统、数据库系统等。与此同时，NIAP 还定期公开相关部门采购清单中通过认证的产品。

2009 年，国家安全系统委员会发布第1253号指令，将NIST 发布的《保护联邦信息和信息系统的安全控制措施和技术指南》（SP800-53）作为国家安全系统信息安全控制的通用标准。SP800-53 在2009 年的修订中，对供应链安全问题，专门提出了安全控制，建议联邦政府机构采购信息技术产品协议地节前，对供应商的背景进行尽职的评估调查。

此外，部分用于支持国家安全系统的采购，也要遵循国家安全系统采购的规定。《总务署采购手册》第507 条第70 款规定，虽然总务署的任务不包括直接采购武器系统，但总务署活动可能包括武器系统的支持技术和配套服务，这应当被视为国家安全系统的一部分，适用国家安全系统相应安全等级的要求。

非“国家安全系统”采购的网络安全审查措施

与国家安全系统相关采购相对应的，便是非国家安全系统的网络信息技术采购。一是各联邦机构在采购信息技术设备前，要确保信息技术采购符合美国行政管理和预算办公室（Office of Management and Budget，以下简称“OMB”）发布的《A-130 通知》（CircularA-130）规定的信息资源安全、国家安全、隐私保护、突发事件应急准备等具体要求；二是采购财务管理系统要符合OMB 发布的《A-127 通知》（Circular A-127）的要求，核心财务软件必须预先通过“联合财务管理改进项目”的认证；三是联邦机构采购信息技术产品，应当符合信息技术安全的政策法规，采购通过NIST 认证的产品，产品列表详见见NIST 官方网站（http://checklists.nist.gov） 的国家清单计划（National Checklist Program, NCP）中的信息安全保障清单一栏；四是采购的信息产品包含互联网协议（Internet Protocol）的，该协议应当通过NIST的USGv6 测试。

与此同时，作为《联邦采购条例》的配套规范性文件，《总务署采购手册》第539 部分规定，负责采购信息技术的联邦雇员，应当具备与采购信息技术产品和服务安全等级相当的水平。项目负责人应当确保招标文件符合信息安全要求，并且信息安全要求必须足够详细，使得供应商充分理解信息安全规定、任务和需求，保证供应商能够履行合同或任务。

网络安全审查的特殊措施

无论是国家安全系统的网络安全审查，还是非国家安全系统的网络安全审查，其一般措施都是针对网络信息技术产品和服务的，但是，在某些特殊的情况下，美国采购部门的网络安全审查直接覆盖到供应链阶段。其中，比较有特色的措施有两个：一是国防部的供应链审查；二是明确禁止采购触及的供应链。

国防系统的供应链安全审查

《2011 年国防授权法案》第806 节授权国防部，在国家安全系统采购中，排除存在重大供应链风险的合同商。其对该风险描述为：“攻击者可能破坏、恶意引入不必要的功能，或者破坏设计、完整性、制造、生产、销售、安装、操作，或者控制整个系统以监控、拒绝服务、中止服务，或者弱化系统的功能、使用或者操作。”

进而2012 年发布的《国防联邦采购补充条例》规定，国防部选择信息技术供应商的时候，必须重点评估合同商是否存在“供应链风险”。

禁购性来源的安全审查

FAR 第25 部分第7 节“禁止来源”明确禁止联邦机构与特定国家、单位和个人进行交易。因此，这些国家、单位和个人的信息技术产品和服务，也就无法通过美国联邦政府采购的审查。具体禁止包括：美国财政部外国资产控制办公室（OFAC）经济制裁涉及的国家、单位和个人，禁止交易；《2007 年问责苏丹和撤资法》、《1996 年伊朗自由支持法》及修正案、《2010全面制裁、问责伊朗和撤资法》、《2012 年减轻伊朗威胁和叙利亚人权法》等规定的事项，禁止交易等。

此外，也有规范和中国相关。《2013 年合同与持续拨款法》及《2014 年合同与持续拨款法》均对美国商务部、司法部、国家宇航局和国家科学基金会四家联邦机构，采购中国信息技术系统进行限制，具体表述为“联邦机构负责人与联邦调查局或其他适当机构”对“中国拥有、管理或资助的一个或多个机构所生产、制造或组装的信息系统有关的任何风险”进行“网络间谍或破坏行为”进行风险评估，除非评估认为“该系统采购符合美国的国家利益”，否则“不得采购”。

职能部门的网络安全审查

如果说政府采购的限定性规范属于直接审查措施的话，那么职能部门则是通过明确联邦机构的安全责任和联邦信息系统的安全标准，间接地进行了网络安全审查。这种间接审查的主要措施有两种：一是联邦政府业务系统安全检查制度，二是近年来兴起的云计算服务安全评估。

联邦政府业务系统安全检查制度

2002 年《联邦信息安全管理法》（FISMA）明确规定了联邦政府机构的信息安全管理责任。第3544 节(a)(1)(A)(ii) 规定的责任主体范围包括“机构、机构的承包商、机构的代理组织使用或运维信息系统”，以确保联邦政府层面信息系统和数据的安全。为实现法律的落地，FISMA指定NIST 开发政府信息安全的标准和指南。随后，NIST 在2003 年、2006 年相继颁布FIPS 199标准和FIPS 200 标准。前者对联邦信息和信息系统进行高、中、低级分类，建立了安全保护的通用框架；后者明确了联邦信息和信息系统的最低安全要求，并要求联邦机构使用安全控制措施，符合SP800-53 的要求。2011 年，NIST又颁布了FIPS 201 标准，明确联邦身份识别系统的相关标准。

针对FISMA 涉及的技术安全问题，NIST牵头提出了信息安全自控方案（Information Security Automation Program）， 在此基础上延伸出了安全内容自控协定（Security Content Automation Protocol, SCAP）框架，该框架由6 个检查标准、一致性标准等标准构成。实际运行中，这6 个支撑性标准需检查内容、检查方式等均由美国国家漏洞数据库（National Vulnerability Database, NVD） 和国家清单计划（NCP）提供，由此安全内容自控协定基本能够实现标准化和自动化的安全检查，动态确定安全基线。

概而言之，标准化和自动化是FISMA 下联邦信息系统安全检查的最重要的特征。

云计算服务安全评估

2011 年，OMB 发布首席信息官备忘录《云计算环境信息系统安全授权》，阐述了《联邦风险和授权管理计划》（FedRAMP）。根据FISMA 和FedRAMP 相关规定，成立“联合授权委员会”（JAB），负责制定云服务安全基线要求、批准第三方机构认定标准、对云计算服务进行初始授权等工作的组织和协调。该委员会成员由来自美国国防部、国土安全部、总务署三方的代表共同组成。

根据FedRAMP 的相关规定，云服务安全基线并非固定的“一条”，而是在《保护联邦信息和信息系统的安全控制措施和技术指南》（NISTSP 800-53）的基础上，针对低级、中级的云，选取适合于云的服务的部分内容，修改形成了云计算服务安全基线要求。FedRAMP 不建议联邦机构将高安全等级需求的业务和数据迁移到云上。

FedRAMP 的评估审查流程明晰。首先，有意向为联邦政府提供云计算服务的云服务商主动提出申请。此时，并不涉及服务商的资质问题，管理办公室仅进行形式审查。然后，该云服务商的相关材料被转送到联合授权委员会认可的第三方评估机构。第三方评估机构根据云服务安全要求对该云服务商进行测评。最后，这一测评结果重新反馈到联合授权委员会。联合授权委员会参照这一结果，对云服务商进行风险评估，即实质审查，并做出最终决定。一旦联合授权委员会认为有意向的服务商通过了评估审查，给予该服务商初始授权，那么，各联邦政府部门就可以在初始授权名单里根据自身需求选择提供云计算服务的服务商。与此同时，鉴于在这一流程中，意向的发出者是服务商，风险评估针对的也是发出意向之时的服务商，这就意味着，即便联合授权委员会的最终决定是不予授权，也并不意味着这一云服务商自此便失去了和政府合作的机会。因此，这实际上形成了一种“白名单”机制。

由于各部门可以共享安全评估与审查结果，就避免了不同政府部门针对同一云服务供应商的重复评估和审查。这在降低政府部门的审查成本和供应商的备查成本的同时，还确立了“一次审查、多次使用”的原则，有效地扶持和促进云计算服务产业的发展。

根据FedRAMP 的相关规定，联邦政府及各部门采购商业和非商业化云服务，都需要预先通过安全评估、授权以及运行前审批。亚马逊的美国政务云服务即通过了联邦风险和授权管理计划（FedRAMP）的认证，并在其官网公开承诺其物理服务器分布在美国境内，只有美国公民可以访问。