國內外網路安全審查制度

國外網路安全審查制度

美國網路安全審查制度

美國是最早針對網路安全建立審查制度的國家，在網路安全審查制度的建立和執行上具有豐富的經驗，值得我們借鑒。

早在1975年5月，美國便成立了外國投資委員會 CFIUS(The Committee on Foreign Investment in the United States)。CFIUS最初主要調查外國投資和併購是否符合產業政策以及是否有利於促進競爭和不違背反壟斷法律。2007年美國的《外國投資和國家安全法》(FINSA) 生效，對 CFIUS 進行了法律上的確認和制度化， 由 CFIUS 對外國投資可能存在的影響國家安全的因素(包括美國關鍵基礎設施、關鍵技術等) 進行審查。

除了對外國投資實施嚴格的安全審查外， 美國對於信息技術產品和服務也提出了網路安全審查要求，同時針對不同領域採取了不同的網路安全審查機制。

國家安全系統

早在 2000 年美國宣布在國家安全系統中用於保護非涉密信息的密碼類信息技術產品必須通過國家標準和技術研究院 (NIST) 的FIPS 140認證。2002年7月起，美國進一步規定在國家安全系統中使用的非密碼類信息技術產品必須通過美國國家信息安全保障聯盟(NIAP) 所採用的信息技術安全評估通用準則 (Common Criteria, CC) 認證。NIAP 採用了公開的標準為國家網路安全審查活動提供指引。

除了對涉及國家安全系統的產品實施嚴格的認證之外，2013年11月美國國防部在《聯邦採辦條例國防部補充條例》中新增了網路安全臨時政策——《供應鏈風險要求》，要求國防部對採購的信息產品和服務實施供應鏈安全風險評估。供應鏈安全風險評估政策並沒有公開任何流程和具體要求，且不採購的理由也不會告知供應商。

聯邦信息系統

2002年《聯邦信息安全管理法》(FISMA) 在國會通過並生效。FISMA要求各聯邦機構制定並實施適用於本機構的信息安全計劃 (Information Security Program)，保障聯邦信息和信息系統的安全。FISMA 明確授權國家標準技術研究院(NIST) 負責有關標準和指南的制定工作，並為聯邦機構落實標準提供技術指導。對於存儲了聯邦機構的信息或者承接了聯邦機構業務的合同商， 必須滿足FISMA的安全要求。FISMA的安全標準主要來自SP800 - 53文件，該文件提出了針對聯邦信息系統的供應鏈保護安全要求，同時對採購過程進行了詳細的規定。

雲計算安全服務審查

美國作為雲計算服務應用的倡導者和引領者，對雲計算服務實行安全審查，也成了雲計算服務推廣應用的重要方面。2011年，NIST發布了《公共雲計算安全和隱私指南》和《完全虛擬化技術安全指南》兩項標準，同時美國政府頒布了《聯邦風險及授權管理計劃》(FedRAMP) 等文件及法規，為雲計算服務安全審查制度提供了標準依據。FedRAMP 明確要求聯邦機構必須採購和使用滿足安全審查要求的雲計算服務。第三方評估機構根據 FedRAMP 雲安全基線對雲計算服務進行安全風險評估，聯合授權委員會根據評估結果對雲服務商進行審查。

縱觀美國網路安全審查制度，主要有以下幾個特點：

一是開展審查的範圍不斷擴大，先是國家安全系統中的產品，隨後拓展到聯邦政府信息系統、雲計算等重點信息系統等，逐步實現全面覆蓋；

二是審查對象不僅包括產品和服務的安全性能指標，還包括產品研發過程、程序、步驟、 方法、產品供應鏈等，同時產品和服務提供商、員工及企業背景也在審查之列；

三是部分審查標準和過程保密，不披露原因和理由，不接受申訴，且審查沒有明確的時間限制；

四是安全審查結果具有強制性，對於關係美國國家安全的重要信息系統，必須經過網路安全審查才能夠被允許進入採購目錄。

歐盟網路安全制度建設

目前歐盟尚未有統一的網路安全審查制度建設，但在網路安全法律制定方面，通過頒布一系列決議、指令、條例等，內容涉及數字網基層服務、網路准入制度、信息保護等互聯網安全諸多方面，用以指導各成員國的互聯網管理實踐。

2016 年 7 月，歐盟立法機構正式通過首部網路安全法——《網路與信息系統安全指令》(NIS)， 旨在加強基礎服務運營者、數字服務提供者的網路與信息系統之安全，要求這兩者履行網路風險管理、網路安全事故應對與通知等義務。作為歐盟首部網路安全法，NIS 明確了歐盟關於網路安全的頂層制度設計，包括確立網路安全國家策略、強調合作與多方參與、確立網路安全事故通知與信息分享機制等。隨著 NIS 的實施以及不斷改進，歐盟對於基礎服務運營者的信息安全要求正在不斷提高，監管機構對於網路安全的評估日趨嚴格，針對基礎服務運營者的網路安全審查已經箭在弦上了。

歐盟內部各國家對於網路安全的審查做法也各有不同，作為信息化強國的德國，對於外國投資的安全考量以及網路安全立法等方面具有代表性。《對外貿易與支付法》(Foreign Trade and Payments Act， AWG)是德國規範外資併購的主要法律。審查部門——德國經濟與技術部有權依據 AWG 或者其他法案中的相關規定來阻止或者修改某項交易。2015年7月德國議會通過《德國網路安全法》，法律中明確了「關鍵基礎設施」的範圍及運營者的責任，同時要求關鍵基礎設施運營商必須履行網路安全標準報告和網路安全事件動態報告義務。雖然目前德國尚未實施強制的網路安全審查政策，但通過一系列法律逐漸構建了關鍵基礎設施的認定範圍、責任歸屬以及安全報告等制度體系，這將為後續的安全審查提供了制度基礎 。

我國開展網路安全審查的要求和實踐

法律法規要求

2017年6月1日，《中華人民共和國網路安全法》正式實施，該法是我國第一部全面規範網路空間安全管理方面問題的基礎性法律， 是我國網路空間法治建設的重要里程碑。《網路安全法》在條文中特彆強調要保障關鍵信息基礎設施的運行安全。為此，《網路安全法》 強調在網路安全等級保護制度的基礎上，對關鍵信息基礎設施實行重點保護，明確關鍵信息基礎設施的運營者採購網路產品和服務可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。目前大多數工業控制系統作為關鍵信息基礎設施，其承擔了重要的安全責任和法律義務，所採用的工控產品和服務可能影響國家安全，對其採取安全審查符合相關的法律依據。

2017年5月2日，國家互聯網信息辦公室發布了《網路產品和服務安全審查辦法(試行)》(以下簡稱「《審查辦法》」)，並於 2017年6月1日起正式實施。《審查辦法》構建了網路產品和服務安全審查的基本制度框架，是《網路安全法》確立的網路安全整體制度建設的重要組成部分。《審查辦法》在第二條和第九條分別確定了網路安全審查的範圍：「關係國家安全的網路和信息系統採購的重要網路產品和服務」；「可能影響國家安全的公共通信和信息服務、能源、交通、水利、金融、公共服務、 電子政務等重要行業和領域，以及其他關鍵信息基礎設施的運營者採購網路產品和服務」。 因此針對關鍵信息基礎設施，在涉及國家安全事項時，還需要在通用性安全測試認證的基礎 之上實施國家安全審查。

在審查內容方面，重點審查的是網路產品和服務的安全性、可控性。《審查辦法》除關注產品和服務自身的安全風險外，著重強調了產品及關鍵部件生產、測試、交付、技術支持過程中的供應鏈風險。隨著信息技術全球化供應趨勢的發展，安全風險通過供應鏈進行滲透的渠道越來越多樣化，並成為安全威脅的主要來源。供應鏈安全審查應當綜合判斷涉及技術、 管理和人員安全層面的可信狀態，同時結合第三方機構檢測等技術審查措施，為網路產品和服務搭建完善的安全審查程序。

認證認可實踐

2003年9月，國務院發布了《認證認可條例》，規定認證是指由認證機構證明產品、服務、 管理體系符合相關技術規範、相關技術規範的強制性要求或者標準的合格評定活動。認證的對象分為三類：產品、服務和管理體系。目前在我國信息安全領域，目前針對這三類對象的認證活動都已展開，即信息安全產品認證、信息安全服務認證和信息安全管理體系認證。目前，由中國信息安全認證中心開展了針對防火牆、入侵檢測系統(IDS)、網路脆弱性掃描產品、 安全審計產品、網站恢復產品等八類十三種產品實施國家信息安全產品認證。

2017年6月，根據國家《網路安全法》規定，國家互聯網信息辦公室、工業和信息化部、 公安部、國家認監委《關於發布 的公告》 (2017 年第 1 號)，明確了對伺服器、交換機、 路由器和 PLC 設備等四類網路關鍵設備和防火牆、入侵檢測系統(IDS)、網路脆弱性掃描產品、 網路綜合審計系統等十一類網路安全專用產品實施檢測或認證的制度。

當然，審查絕不單單是一個單純的技術性的審查，而是將企業聲譽、背景、資質，產品研發、製造、交付的過程等各種指標和因素都納入，從多角度衡量產品和供應商的可控性與安全性。我國的信息安全產品認證認可制度應該算是安全審查工作體系的一部分。

工作面臨的困難

制度體系尚不健全

國家《網路安全法》要求關鍵信息基礎設施的運營者採購網路產品和服務，可能影響國家安全的，需要進行國家安全。《網路產品和服務安全審查辦法(試行)》要求金融、電信、能源、交通等重點行業和領域主管部門，根據國家網路安全審查工作要求組織開展本行業、本領域安全審查工作。但目前對於關鍵信息基礎設施中的工業控制系統技術和產品的認定及安全審查實施實施的主體、程序等內容尚缺乏進一步的法律和法規要求。

2011年工信部下發了《關於加強工業控制系統信息安全管理的通知》(工信部協〔2011〕 451 號)，要求對重點領域工業控制系統進行安全檢查和管理。工信部近年先後印發《工業控制系統信息安全防護指南》和《工業控制系統信息安全行動計劃(2018-2020 年)》，旨在指導和管理全國工業企業工控安全防護和保障工作。但以上文件均未明確工業控制領域有關關鍵技術和產品的安全審查工作的制度性安排， 同時相關的國家標準和行業標準遲遲未能出台。

工控產業體系尚未形成

近年來我國在工業控制自動化產品研發製造上取得了長足的進步，湧現出了一大批優秀的工業自動化設備產品製造商，如和利時、新華控制、浙大中控、南瑞集團等，國產設備逐漸在能源、智能製造、市政等工業控制系統中站穩腳跟並逐漸擴展了市場份額。但同時也必須看到，在工業控制系統關鍵軟硬體產品上，我國尚未形成自主的產業體系。

目前我國工業自動化系統中PLC、DCS、HMI等關鍵設備產品，主要由橫河公司，GE、ABB、SIMENS、施耐德、研華，霍尼韋爾等國際廠商佔據，特別是在高端領域，國際產品幾乎處於壟斷狀態。根據不完全統計，國際廠商產品大概在我國高端的 SCADA數據採集和監視市場擁有 91% 的份額，在DCS分散型數字控制 系統佔據 70%。與此同時，對相關產品的安全性處於不可知不可控狀態，完全受制於人。由於國內在工控核心晶元、基礎軟體、關鍵設備等領域的核心技術研發能力不足，加上知識產權、商業模式等方面的問題，我國工控產品的自主產業體系尚未形成，開展工業控制技術和產品安全審查工作將面臨技術標準制定製、保護國內產品、潛在國際貿易糾紛等困難。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！