威脅態(tài)勢(shì)感知視域下國(guó)家網(wǎng)絡(luò)安全審查法律制度的塑造

馬民虎，馬 寧

(西安交通大學(xué) 法學(xué)院，陜西 西安 710049)

?

威脅態(tài)勢(shì)感知視域下國(guó)家網(wǎng)絡(luò)安全審查法律制度的塑造

馬民虎，馬 寧

(西安交通大學(xué) 法學(xué)院，陜西 西安 710049)

國(guó)家網(wǎng)絡(luò)安全審查制度必須正視“風(fēng)險(xiǎn)殘余”的棘手問(wèn)題，盡管各國(guó)為實(shí)現(xiàn)信息技術(shù)產(chǎn)品和服務(wù)安全均建立了相對(duì)完備的審查制度或過(guò)程，但網(wǎng)絡(luò)安全的改善狀況卻并不樂(lè)觀；指出造成國(guó)家網(wǎng)絡(luò)安全審查效用低下的根本原因是安全風(fēng)險(xiǎn)的“泛在化”，需要國(guó)家網(wǎng)絡(luò)安全審查制度改變目前“節(jié)點(diǎn)控制”的審查方法，強(qiáng)調(diào)國(guó)家保有對(duì)風(fēng)險(xiǎn)的實(shí)時(shí)感知和應(yīng)對(duì)能力；威脅態(tài)勢(shì)感知可以作為理念引入到國(guó)家網(wǎng)絡(luò)安全審查法律制度的塑造過(guò)程中，國(guó)家網(wǎng)絡(luò)安全審查應(yīng)確立“風(fēng)險(xiǎn)控制”的制度價(jià)值，采用“動(dòng)態(tài)監(jiān)測(cè)”的審查方式，明確“IT供應(yīng)鏈”的審查范圍。

國(guó)家網(wǎng)絡(luò)安全審查；威脅態(tài)勢(shì)感知；風(fēng)險(xiǎn)控制；動(dòng)態(tài)監(jiān)測(cè)；IT供應(yīng)鏈

國(guó)家網(wǎng)絡(luò)安全審查制度是“為維護(hù)國(guó)家網(wǎng)絡(luò)安全*國(guó)家“網(wǎng)絡(luò)安全”的內(nèi)涵已經(jīng)遠(yuǎn)遠(yuǎn)超越其原本應(yīng)然的狹義范疇，正在成為關(guān)乎國(guó)家生存和發(fā)展的基礎(chǔ)性命題。在各國(guó)的政策立法實(shí)踐中，網(wǎng)絡(luò)安全往往有其特定的涵義，圍繞國(guó)家網(wǎng)絡(luò)安全而展開(kāi)的各項(xiàng)制度設(shè)計(jì)均以此為出發(fā)點(diǎn)。例如2013年澳大利亞的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》認(rèn)為，網(wǎng)絡(luò)安全是“網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施安全，數(shù)據(jù)交換安全和使用網(wǎng)絡(luò)空間的所有人員安全?！?2013年印度的《國(guó)家網(wǎng)絡(luò)安全政策》認(rèn)為，網(wǎng)絡(luò)安全是“保護(hù)信息基礎(chǔ)設(shè)施，實(shí)現(xiàn)網(wǎng)絡(luò)空間信息的保密性、完整性和可用性?！?2013年意大利的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》認(rèn)為，網(wǎng)絡(luò)安全是“所有交互的ICT軟硬件基礎(chǔ)設(shè)施的集合?！倍?012年挪威的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》則使用了信息安全的概念，其認(rèn)為網(wǎng)絡(luò)安全即是“保護(hù)信息免受未經(jīng)授權(quán)的訪問(wèn)和更改，保證信息的可用性?！蔽覈?guó)《國(guó)家安全法》基本明確界定了國(guó)家網(wǎng)絡(luò)安全的內(nèi)涵。該法第二十五條規(guī)定，國(guó)家建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護(hù)能力，加強(qiáng)網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開(kāi)發(fā)應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控；加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。同時(shí)《網(wǎng)絡(luò)安全法(草案)》也對(duì)網(wǎng)絡(luò)安全進(jìn)行了明確界定，其六十五條規(guī)定，網(wǎng)絡(luò)安全是指通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、入侵、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)存儲(chǔ)、傳輸、處理信息的完整性、保密性、可用性的能力。而設(shè)立的一項(xiàng)重要制度”[1]，我國(guó)《國(guó)家安全法》*2015年7月1日，第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十五次會(huì)議通過(guò)的新《國(guó)家安全法》第五十九條規(guī)定，國(guó)家建立國(guó)家安全審查和監(jiān)管的制度和機(jī)制，對(duì)影響或者可能影響國(guó)家安全的外商投資、特定物項(xiàng)和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)、涉及國(guó)家安全事項(xiàng)的建設(shè)項(xiàng)目，以及其他重大事項(xiàng)和活動(dòng)，進(jìn)行國(guó)家安全審查，有效預(yù)防和化解國(guó)家安全風(fēng)險(xiǎn)。和《網(wǎng)絡(luò)安全法(草案)》*2015年6月，第十二屆全國(guó)人大常委會(huì)第十五次會(huì)議初次審議的《網(wǎng)絡(luò)安全法(草案)》第三十條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品或者服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)組織的安全審查。具體辦法由國(guó)務(wù)院規(guī)定。均對(duì)此進(jìn)行了明確規(guī)定，自此開(kāi)啟了國(guó)家網(wǎng)絡(luò)安全審查制度的法治化進(jìn)程。但是將我國(guó)的國(guó)家網(wǎng)絡(luò)安全審查視為一項(xiàng)法律制度，我們認(rèn)為還為時(shí)尚早，因?yàn)楝F(xiàn)有立法規(guī)定并不足以支撐審查活動(dòng)實(shí)施的有效性。正如所有新生法律制度需要經(jīng)歷實(shí)踐、研判、豐富、調(diào)整和完善的必由路徑一樣，國(guó)家網(wǎng)絡(luò)安全審查也存在針對(duì)法律制度本身的塑造過(guò)程*當(dāng)然，這里的“塑造”并不僅針對(duì)法律制度的創(chuàng)設(shè)，也應(yīng)當(dāng)包括對(duì)制度理念、價(jià)值、方法和原則的改良與修正。。在長(zhǎng)期的質(zhì)疑和爭(zhēng)論中，我國(guó)國(guó)家網(wǎng)絡(luò)安全審查制度似乎已然能夠回答“審查什么”和“如何審查”這兩個(gè)基本問(wèn)題*根據(jù)2014年5月22日國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的公告，我國(guó)將實(shí)行網(wǎng)絡(luò)安全審查制度，主要針對(duì)關(guān)系國(guó)家安全和公共利益系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)實(shí)行安全性和可控性審查，防止產(chǎn)品提供者非法控制、干擾、中斷用戶系統(tǒng)，非法收集、存儲(chǔ)、處理和利用用戶有關(guān)信息。，但是其能否實(shí)現(xiàn)制度設(shè)立的初衷尚存疑問(wèn)*例如，各國(guó)為實(shí)現(xiàn)信息技術(shù)產(chǎn)品和服務(wù)安全均建立了相對(duì)完備的審查制度或過(guò)程，特別是針對(duì)關(guān)鍵部門(mén)和重要領(lǐng)域中部署的信息技術(shù)產(chǎn)品和服務(wù)的審查力度在逐年增強(qiáng)，但網(wǎng)絡(luò)安全的改善狀況卻并不樂(lè)觀。。為此，國(guó)家網(wǎng)絡(luò)安全審查法律制度的塑造必然是一個(gè)長(zhǎng)期而艱巨的過(guò)程，與之相匹配的理念引入和更新就變得格外重要。

目前，威脅態(tài)勢(shì)感知在我國(guó)僅僅被視為一種技術(shù)方法或策略，在政策法律領(lǐng)域鮮有論及。本文則傾向于將威脅態(tài)勢(shì)感知視為一種理念，“如同我們不能去構(gòu)造一種有效的正義觀念一樣，我們也并非去構(gòu)建，而是去發(fā)現(xiàn)對(duì)于一個(gè)時(shí)代的某種法律理念”。[2]威脅態(tài)勢(shì)感知默認(rèn)安全風(fēng)險(xiǎn)“泛在化”的認(rèn)知基礎(chǔ)為國(guó)家網(wǎng)絡(luò)安全審查制度提供了新的途徑，有助于解決審查過(guò)程中“風(fēng)險(xiǎn)殘余”的棘手問(wèn)題。按照對(duì)于法律理念功能*武漢大學(xué)的李雙元教授曾經(jīng)對(duì)法律理念的基本功能進(jìn)行過(guò)經(jīng)典描述，其認(rèn)為法律理念包括表征和指稱功能、中介和外化功能、科學(xué)的預(yù)測(cè)功能、導(dǎo)引功能和文化進(jìn)化功能。[3]的評(píng)判，將威脅態(tài)勢(shì)感知作為法律理念對(duì)國(guó)家網(wǎng)絡(luò)審查進(jìn)行制度塑造也并無(wú)不妥，反而與審查活動(dòng)面臨的困境極為契合，其抽象出的方法論確實(shí)能夠提供具有指導(dǎo)意義的“法律范式”。威脅態(tài)勢(shì)感知不要求審查活動(dòng)實(shí)現(xiàn)絕對(duì)的風(fēng)險(xiǎn)排除——事實(shí)上這也是不可能實(shí)現(xiàn)的——而要求國(guó)家保有對(duì)風(fēng)險(xiǎn)的實(shí)時(shí)感知和應(yīng)對(duì)能力。這就要求國(guó)家安全審查應(yīng)當(dāng)強(qiáng)調(diào)建立常態(tài)性的安全審查過(guò)程，將審查范圍擴(kuò)展至以IT供應(yīng)鏈為依托的整個(gè)產(chǎn)品和服務(wù)生命周期，而不是僅在提供環(huán)節(jié)實(shí)施“節(jié)點(diǎn)控制”審查。

一、國(guó)家網(wǎng)絡(luò)安全審查制度解構(gòu)與威脅態(tài)勢(shì)感 知理念的引入

(一)國(guó)家網(wǎng)絡(luò)安全審查制度解構(gòu)

國(guó)家網(wǎng)絡(luò)安全審查是指對(duì)國(guó)家安全系統(tǒng)*國(guó)家網(wǎng)絡(luò)安全審查應(yīng)針對(duì)國(guó)家安全系統(tǒng)予以展開(kāi)，1994年美國(guó)《國(guó)家安全通信和信息系統(tǒng)認(rèn)證認(rèn)可政策》中規(guī)定，國(guó)家安全系統(tǒng)(NSS)是指：任何由政府機(jī)構(gòu)、政府機(jī)構(gòu)合同商或代表機(jī)構(gòu)履行職責(zé)的其他組織使用或運(yùn)維的下列信息系統(tǒng)(包括通信系統(tǒng))：(1)其功能、運(yùn)行和使用涉及情報(bào)、與國(guó)家安全相關(guān)的密碼技術(shù)、軍事事項(xiàng)，或其包括武器或武器系統(tǒng)的設(shè)備；(2)涉及由行政命令或國(guó)會(huì)法案特別授權(quán)永久保護(hù)的信息系統(tǒng)。但我國(guó)目前并沒(méi)有國(guó)家安全系統(tǒng)的概念，因此國(guó)家網(wǎng)絡(luò)安全審查制度使用了“關(guān)系國(guó)家安全和公共利益系統(tǒng)”的表述。中使用的信息技術(shù)產(chǎn)品與服務(wù)進(jìn)行的安全性和可控性審查。為了減少國(guó)家公共事務(wù)管理活動(dòng)中的不確定性和隨意性，類似網(wǎng)絡(luò)安全審查這種明顯帶有國(guó)家意志和公共利益訴求的制度，理應(yīng)基于立法進(jìn)行解構(gòu)。但由于具體的審查細(xì)則尚未出臺(tái)，我們對(duì)于國(guó)家網(wǎng)絡(luò)安全審查制度的理解只能主要依據(jù)國(guó)家互聯(lián)網(wǎng)信息管理辦公室發(fā)布的公告*這種現(xiàn)狀也導(dǎo)致目前針對(duì)國(guó)家網(wǎng)絡(luò)安全審查制度存在大量誤讀，中國(guó)信息安全研究院的左曉棟副院長(zhǎng)對(duì)此進(jìn)行過(guò)詳細(xì)的澄清，其指出，網(wǎng)絡(luò)安全審查制度是國(guó)家一項(xiàng)具體的網(wǎng)絡(luò)安全政策，不是戰(zhàn)略；網(wǎng)絡(luò)安全審查制度的目標(biāo)是單一的，不是解決網(wǎng)絡(luò)安全問(wèn)題的“萬(wàn)能藥”；網(wǎng)絡(luò)安全審查制度有明確的重點(diǎn)，不是“事無(wú)巨細(xì)”的監(jiān)管手段；網(wǎng)絡(luò)安全審查制度針對(duì)的是IT產(chǎn)品與服務(wù)，不涉及信息內(nèi)容；網(wǎng)絡(luò)安全審查制度對(duì)內(nèi)外一視同仁，不是為了獲得產(chǎn)業(yè)上的競(jìng)爭(zhēng)優(yōu)勢(shì)。[4]。根據(jù)該公告，我國(guó)建立網(wǎng)絡(luò)安全審查制度的目的在于防止產(chǎn)品提供者非法控制、干擾、中斷用戶*這里的用戶除公眾個(gè)人用戶以外，顯然也包括國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵部門(mén)。系統(tǒng)，非法收集、存儲(chǔ)、處理和利用用戶有關(guān)信息，審查范圍將圍繞“涉及國(guó)家安全和社會(huì)公共利益系統(tǒng)中使用的信息技術(shù)產(chǎn)品和服務(wù)”。盡管我國(guó)目前對(duì)上述系統(tǒng)沒(méi)有明確的解釋，但結(jié)合各國(guó)在網(wǎng)絡(luò)安全審查中的實(shí)踐，網(wǎng)絡(luò)安全審查的范圍仍然需要圍繞關(guān)鍵基礎(chǔ)設(shè)施展開(kāi)，重點(diǎn)關(guān)注政務(wù)、金融、能源、醫(yī)療、國(guó)防、電信、交通、科研、化學(xué)和核工業(yè)等重要單位和部門(mén)；審查方式是針對(duì)信息技術(shù)產(chǎn)品和服務(wù)的安全性和可控性進(jìn)行審查，在黨政部門(mén)的云計(jì)算服務(wù)領(lǐng)域還將對(duì)服務(wù)商進(jìn)行審查*2015年6月，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)于加強(qiáng)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)》，該意見(jiàn)第四條要求統(tǒng)一組織黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查，中央網(wǎng)信辦會(huì)同有關(guān)部門(mén)建立云計(jì)算服務(wù)安全審查機(jī)制，對(duì)為黨政部門(mén)提供云計(jì)算服務(wù)的服務(wù)商，參照有關(guān)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)，組織第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全審查，重點(diǎn)審查云計(jì)算服務(wù)的安全性、可控性。黨政部門(mén)采購(gòu)云計(jì)算服務(wù)時(shí)，應(yīng)逐步通過(guò)采購(gòu)文件或合同等手段，明確要求服務(wù)商應(yīng)通過(guò)安全審查。鼓勵(lì)重點(diǎn)行業(yè)優(yōu)先采購(gòu)和使用通過(guò)安全審查的服務(wù)商提供的云計(jì)算服務(wù)。。因此，很可能包括技術(shù)審查和背景審查兩個(gè)方面。

(二)國(guó)家網(wǎng)絡(luò)安全審查制度面臨的困境

目前我國(guó)的網(wǎng)絡(luò)安全審查法律制度非常類似于信息技術(shù)產(chǎn)品和服務(wù)的許可準(zhǔn)入制度，即只有通過(guò)相關(guān)安全性和可控性的審查活動(dòng)——例如，信息技術(shù)測(cè)評(píng)認(rèn)證或背景盡職調(diào)查——信息技術(shù)產(chǎn)品和服務(wù)才能夠進(jìn)行部署，但是部署之后的審查要求卻并未涉及。因而，我國(guó)建立的網(wǎng)絡(luò)安全審查制度只是一種風(fēng)險(xiǎn)“節(jié)點(diǎn)控制”，而非“過(guò)程控制”。如果從制度本身的效用*嚴(yán)格來(lái)講，效用并不是法律概念，而是經(jīng)濟(jì)學(xué)范疇的消費(fèi)與需求滿足之間的度量概念。將效用概念引入網(wǎng)絡(luò)安全審查制度是為了解釋制度建設(shè)投入的法律成本與網(wǎng)絡(luò)安全保障能力實(shí)現(xiàn)的度量問(wèn)題?？紤]，我國(guó)的網(wǎng)絡(luò)安全審查很可能面臨尷尬境遇，其設(shè)立的預(yù)期目標(biāo)將很難實(shí)現(xiàn)。最明顯的例證是“攻擊先于防御”理念*“攻擊先于防御”理論(The offense is ahead of the defense)被認(rèn)為是目前網(wǎng)絡(luò)安全中的基礎(chǔ)性問(wèn)題。[5]的現(xiàn)實(shí)表現(xiàn)。各國(guó)為實(shí)現(xiàn)信息技術(shù)產(chǎn)品和服務(wù)安全均建立了相對(duì)完備的審查制度或過(guò)程，特別是針對(duì)關(guān)鍵部門(mén)和重要領(lǐng)域中部署的信息技術(shù)產(chǎn)品和服務(wù)的審查力度在逐年增強(qiáng)，但網(wǎng)絡(luò)安全的改善狀況卻并不明顯*例如，美國(guó)在2002年頒布《聯(lián)邦信息安全管理法》(FISMA)之后，政務(wù)信息技術(shù)采購(gòu)要進(jìn)行嚴(yán)格的審查流程，但2015年美國(guó)人事管理辦公室(OPM)遭受入侵而泄露2570萬(wàn)個(gè)人信息的嚴(yán)重事件，使安全審查的功效備受質(zhì)疑。?！袄忡R事件”也能夠充分印證這一論斷。

造成國(guó)家網(wǎng)絡(luò)安全審查效用低下的根本原因是安全風(fēng)險(xiǎn)的“泛在化”。例如，網(wǎng)絡(luò)攻擊和入侵借助的常用途徑是后門(mén)和漏洞*后門(mén)和漏洞二者在技術(shù)方面并沒(méi)有本質(zhì)區(qū)別，只不過(guò)前者是惡意為之，其存在都可能引入未經(jīng)授權(quán)訪問(wèn)、更改、刪除、披露或使用的風(fēng)險(xiǎn)，為此，除特定語(yǔ)境外，本文不對(duì)二者進(jìn)行區(qū)分，而統(tǒng)一表述為漏洞。，這也是我國(guó)網(wǎng)絡(luò)安全審查中的重要內(nèi)容。然而，漏洞在信息技術(shù)產(chǎn)品和服務(wù)中廣泛存在，其類似于產(chǎn)品或服務(wù)缺陷，在技術(shù)上被證明是不可能完全避免的。這意味著我們必須默認(rèn)任何信息技術(shù)產(chǎn)品和服務(wù)的引入和部署都存在風(fēng)險(xiǎn)，而且這種風(fēng)險(xiǎn)是廣泛存在的。

2015年7月，意大利黑客公司(Hacking Team)遭黑客攻擊，泄露了400G的內(nèi)部資料。該事件引人注意的并不是資料泄露本身，而是資料披露出該公司向多國(guó)政府出售漏洞*例如尚未被披露的零日漏洞。進(jìn)行監(jiān)控或入侵。這表明使用尚未披露的漏洞進(jìn)行入侵和攻擊在實(shí)踐中非常有效。因?yàn)檫@類漏洞通常不為公眾所知，也缺乏相應(yīng)的補(bǔ)丁和應(yīng)對(duì)措施，安全審查過(guò)程幾乎不可能對(duì)此進(jìn)行識(shí)別*2015年，新修訂的《瓦森納協(xié)議》將漏洞視為武器進(jìn)行出口管控，也側(cè)面反映了漏洞在國(guó)家網(wǎng)絡(luò)安全保障中的威脅性。。在這種情況下，“聊勝于無(wú)”的網(wǎng)絡(luò)安全審查態(tài)度無(wú)異于自欺欺人，對(duì)法律理念引入的有益探索是必要的。

(三)威脅態(tài)勢(shì)感知及其在國(guó)家網(wǎng)絡(luò)安全審查中的引入

態(tài)勢(shì)感知通常被理解為一種能力，是“通過(guò)感知特定時(shí)間和空間內(nèi)的元素，預(yù)設(shè)和理解其在未來(lái)的意義和狀態(tài)?！盵6]這是目前最為廣泛接受的態(tài)勢(shì)感知定義，但是其過(guò)于晦澀，需要結(jié)合不同的適用場(chǎng)景進(jìn)行二次界定。為了契合信息技術(shù)發(fā)展，態(tài)勢(shì)感知也被單純從技術(shù)角度加以闡述，即態(tài)勢(shì)感知是“編譯、處理和融合數(shù)據(jù)，這種數(shù)據(jù)處理包括評(píng)估數(shù)據(jù)碎片以及融合信息的信息質(zhì)量，并依此判斷變動(dòng)及發(fā)展趨勢(shì)?！盵7]網(wǎng)絡(luò)安全的語(yǔ)境下，態(tài)勢(shì)感知也被強(qiáng)調(diào)為一種“動(dòng)態(tài)、準(zhǔn)實(shí)時(shí)的預(yù)測(cè)系統(tǒng)?！盵8]

盡管很少有人深入探討態(tài)勢(shì)感知與安全風(fēng)險(xiǎn)發(fā)生之間的辯證關(guān)系，但無(wú)論在技術(shù)層面還是管理層面，態(tài)勢(shì)感知都要求“實(shí)時(shí)性”的風(fēng)險(xiǎn)感知和應(yīng)對(duì)策略，也就是以承認(rèn)風(fēng)險(xiǎn)在信息系統(tǒng)中的廣泛存在性為前提，而以風(fēng)險(xiǎn)識(shí)別、預(yù)測(cè)、控制和處置為內(nèi)容。這同時(shí)也體現(xiàn)了網(wǎng)絡(luò)安全理念的變革或改良，既然安全風(fēng)險(xiǎn)幾乎無(wú)法通過(guò)具體的審查措施進(jìn)行絕對(duì)排除，那么對(duì)潛在風(fēng)險(xiǎn)保有感知和預(yù)測(cè)能力就變得格外重要，其能夠通過(guò)環(huán)境要素變化提供可預(yù)期的風(fēng)險(xiǎn)發(fā)生概率，或在風(fēng)險(xiǎn)發(fā)生之時(shí)具有實(shí)時(shí)性的應(yīng)對(duì)能力，進(jìn)而有效降低風(fēng)險(xiǎn)造成的損害。

網(wǎng)絡(luò)安全威脅態(tài)勢(shì)感知的方式或能力建設(shè)路徑和我國(guó)網(wǎng)絡(luò)安全審查制度可能面臨的問(wèn)題非常契合，可以適度進(jìn)行理念引入，用以彌補(bǔ)審查功能在風(fēng)險(xiǎn)控制方面的缺陷。在實(shí)踐中，各國(guó)網(wǎng)絡(luò)安全政策也普遍開(kāi)始關(guān)注態(tài)勢(shì)感知的積極作用。2009年澳大利亞《國(guó)防白皮書(shū)》設(shè)立了網(wǎng)絡(luò)安全操作中心(Cyber security operational center，CSOC)，向澳大利亞政府提供全資源(all source)范疇內(nèi)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力，并對(duì)國(guó)家層面的網(wǎng)絡(luò)安全事件提供快速而便利的應(yīng)急操作能力[9]。2009年英國(guó)《網(wǎng)絡(luò)安全戰(zhàn)略》同樣建立了CSOC，動(dòng)態(tài)監(jiān)控英國(guó)網(wǎng)絡(luò)安全的健康度，提供綜合性的態(tài)勢(shì)感知能力，以更好地理解和應(yīng)對(duì)針對(duì)英國(guó)的攻擊行為[10]。2013年印度《網(wǎng)絡(luò)安全戰(zhàn)略》要求在信息技術(shù)采購(gòu)供應(yīng)鏈風(fēng)險(xiǎn)管理的各機(jī)構(gòu)之間建立針對(duì)威脅(threat)、脆弱性(vulnerability)和安全違反(breach of security)事件的感知能力[11]。

二、威脅態(tài)勢(shì)感知理念要求確立“風(fēng)險(xiǎn)控制”的 制度價(jià)值

“在法律史的各個(gè)經(jīng)典時(shí)期，無(wú)論在古代或近代世界里，對(duì)價(jià)值準(zhǔn)則的論證、批判或合乎邏輯的適用，都曾是法學(xué)家的主要活動(dòng)?！盵12]法律價(jià)值無(wú)論被視為“法律對(duì)社會(huì)主體需求的滿足程度*該價(jià)值也被稱為法律的“實(shí)質(zhì)價(jià)值”?！保€是“法律自身值得追求和保護(hù)的屬性*該價(jià)值也被稱為法律的“形式價(jià)值”?！?，其無(wú)疑建立在強(qiáng)烈的主觀認(rèn)知基礎(chǔ)上，不同社會(huì)主體的判斷和期待催生了愈發(fā)多元化的價(jià)值訴求。在全球網(wǎng)絡(luò)安全環(huán)境日益嚴(yán)峻的態(tài)勢(shì)下，國(guó)家網(wǎng)絡(luò)安全審查制度的積極意義無(wú)需贅言，因何建立該制度似乎變得并不那么重要。但是正如戰(zhàn)后日本向美國(guó)的持續(xù)資本滲透影響了其后十幾年美國(guó)國(guó)家安全外資審查的基本思路，由特定事件誘發(fā)的制度考量很可能會(huì)偏離應(yīng)然的法律價(jià)值，這一判斷適用于我國(guó)網(wǎng)絡(luò)安全審查制度尤為契合。

2012年前后，美國(guó)針對(duì)我國(guó)信息技術(shù)的種種限制策略是我國(guó)實(shí)施網(wǎng)絡(luò)安全審查的直接誘因。2012年10月9日，美國(guó)國(guó)會(huì)眾議院情報(bào)委員會(huì)公布針對(duì)華為和中興的調(diào)查報(bào)告*事實(shí)上，該調(diào)查并非為美國(guó)國(guó)會(huì)眾議院情報(bào)委員會(huì)發(fā)起，而是由華為公司主動(dòng)申請(qǐng)，本質(zhì)上屬于典型的企業(yè)信息安全自證明過(guò)程，目的在于通過(guò)提升自身透明度而改善投資環(huán)境。這在國(guó)際信息安全管理及遵從過(guò)程中非常常見(jiàn)，但華為公司的努力顯然并沒(méi)有實(shí)現(xiàn)預(yù)期的效果。，該報(bào)告認(rèn)為“華為和中興向美國(guó)關(guān)鍵基礎(chǔ)設(shè)施提供的設(shè)備存在風(fēng)險(xiǎn)，會(huì)削弱美國(guó)國(guó)家安全的核心利益。”[13]委員會(huì)同時(shí)向美國(guó)政府建議，要求美國(guó)政府和私營(yíng)部門(mén)都不應(yīng)當(dāng)在其系統(tǒng)中使用華為和中興的設(shè)備*該建議同時(shí)包括：美國(guó)政府應(yīng)當(dāng)以懷疑的態(tài)度審查中國(guó)通信企業(yè)向美國(guó)通信市場(chǎng)的滲透；鼓勵(lì)美國(guó)的私營(yíng)企業(yè)正視與華為和中興商業(yè)合作中存在的長(zhǎng)期安全風(fēng)險(xiǎn)，鼓勵(lì)美國(guó)的網(wǎng)絡(luò)提供商和系統(tǒng)開(kāi)發(fā)商尋求其他合作伙伴；美國(guó)國(guó)會(huì)司法委員會(huì)應(yīng)該促進(jìn)立法，以更好應(yīng)對(duì)與其他國(guó)家政府相關(guān)的電信公司所帶來(lái)的風(fēng)險(xiǎn)，否則就不要充分信任他們來(lái)建造關(guān)鍵基礎(chǔ)設(shè)施。。這一事件在很多場(chǎng)合下被援引為我國(guó)建立網(wǎng)絡(luò)安全審查制度必要性的依據(jù)*例如倪光南院士曾表示，2012年美國(guó)政府以“可能威脅美國(guó)國(guó)家通信安全”為名，不允許華為、中興的產(chǎn)品進(jìn)入美國(guó)市場(chǎng)，如果當(dāng)時(shí)有這樣的安全審查制度，我們也可以對(duì)美國(guó)企業(yè)進(jìn)行類似的審查，也許可以制約美國(guó)方面對(duì)華為、中興的制裁措施。。其后，2013年3月26日，美國(guó)《2013年合并與持續(xù)撥款法案》生效，該法案第516條款限制聯(lián)邦機(jī)構(gòu)對(duì)中國(guó)信息技術(shù)系統(tǒng)進(jìn)行采購(gòu)*美國(guó)“2013年合并與持續(xù)撥款法案”第516條第a款規(guī)定，美國(guó)商務(wù)部、司法部、國(guó)家宇航局和國(guó)家科學(xué)基金會(huì)不得利用任何撥款采購(gòu)信息技術(shù)系統(tǒng)，除非上述聯(lián)邦機(jī)構(gòu)負(fù)責(zé)人與聯(lián)邦調(diào)查局或其他適當(dāng)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)間諜或破壞行為進(jìn)行了風(fēng)險(xiǎn)評(píng)估，該風(fēng)險(xiǎn)包括由中國(guó)擁有、管理或資助的一個(gè)或多個(gè)機(jī)構(gòu)所生產(chǎn)、制造或組裝的信息技術(shù)系統(tǒng)有關(guān)的任何風(fēng)險(xiǎn)。該條第b款規(guī)定，上述聯(lián)邦機(jī)構(gòu)不得利用任何撥款采購(gòu)根據(jù)第a款規(guī)定需要進(jìn)行評(píng)估的信息技術(shù)系統(tǒng)，不得采購(gòu)由中國(guó)擁有、管理或資助的一個(gè)或多個(gè)機(jī)構(gòu)所生產(chǎn)、制造或組裝的信息技術(shù)系統(tǒng)，除非第a款規(guī)定的評(píng)估機(jī)構(gòu)的負(fù)責(zé)人決定并向眾議院和參議院的撥款委員會(huì)報(bào)告，該系統(tǒng)采購(gòu)符合美國(guó)的國(guó)家利益。。盡管該條款飽受爭(zhēng)議*2013年4月4日，美國(guó)主要行業(yè)協(xié)會(huì)共同致信美國(guó)國(guó)會(huì)，請(qǐng)求國(guó)會(huì)審查該規(guī)定對(duì)網(wǎng)絡(luò)安全和市場(chǎng)競(jìng)爭(zhēng)產(chǎn)生的影響，并就解決這一問(wèn)題考慮更具有建設(shè)性的方法，主張類似條款不再出現(xiàn)在任何其他法律文件中。美國(guó)信息技術(shù)產(chǎn)業(yè)理事會(huì)(ITI)的丹妮爾·克里茲和白石撰文稱，該條款令“信息技術(shù)行業(yè)非常不滿”，“516條款所含的信息技術(shù)安全審查規(guī)定開(kāi)創(chuàng)了一個(gè)非常糟糕的先例”。，但仍然得以沿用，美國(guó)《2014年合并與持續(xù)撥款法案》第515條款繼續(xù)堅(jiān)持了上述對(duì)中國(guó)信息技術(shù)系統(tǒng)采購(gòu)的限制策略。

鑒于上述事件產(chǎn)生的消極影響，我國(guó)2014年宣布實(shí)施的網(wǎng)絡(luò)安全審查制度在價(jià)值的判斷方面很自然地被理解為包含強(qiáng)烈的“反制”意味，因?yàn)榘凑諏?duì)等原則，我國(guó)針對(duì)美國(guó)不公正的信息安全政策實(shí)施相應(yīng)的反制措施并無(wú)不妥。然而，如果僅僅將網(wǎng)絡(luò)安全審查制度的法律價(jià)值限于“以牙還牙”的反制功能，那么無(wú)疑是將網(wǎng)絡(luò)安全審查降格為一種普遍意義上的“政策工具”。盡管“反制”理念在價(jià)值選擇中天然包含“保障”要求，但這種保障是非理性的。因?yàn)槠湓趦r(jià)值判斷中并沒(méi)有將整個(gè)國(guó)家網(wǎng)絡(luò)安全的內(nèi)在要求考慮在內(nèi)，而將制度的保障價(jià)值構(gòu)建于廣泛的國(guó)別化審查思路之上?？紤]到國(guó)家網(wǎng)絡(luò)安全風(fēng)險(xiǎn)滲透渠道的多樣性，基于反制理念的法律價(jià)值無(wú)疑將縮小安全審查的范圍，也會(huì)令國(guó)家喪失利用先進(jìn)信息技術(shù)的機(jī)會(huì)。如果將信息技術(shù)供應(yīng)全球化的現(xiàn)狀考慮在內(nèi)，信息技術(shù)產(chǎn)品將可能在不同的國(guó)家進(jìn)行設(shè)計(jì)、生產(chǎn)、組裝和調(diào)試，這種價(jià)值選擇顯然是毫無(wú)意義的。盡管美國(guó)種種有失理性的行徑引起了極大憤慨，但同時(shí)也起到了積極的效果——我們比以往任何時(shí)候都更為審慎地對(duì)待國(guó)家網(wǎng)絡(luò)安全問(wèn)題——這也是我們重新審視網(wǎng)絡(luò)安全審查法律價(jià)值的初衷。

基于威脅態(tài)勢(shì)感知理念，對(duì)于信息技術(shù)的依賴性是我們的基本判斷，國(guó)家重要領(lǐng)域和關(guān)鍵部門(mén)的持續(xù)性運(yùn)行高度依賴于廣泛部署的信息技術(shù)產(chǎn)品和服務(wù)，其安全性和可靠性成為評(píng)估國(guó)家網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要指標(biāo)。與此相伴的是，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)正在變得日益嚴(yán)峻，各國(guó)政府均毫不諱言地對(duì)此表示了擔(dān)憂，例如英國(guó)認(rèn)為，“不幸的是，越來(lái)越多的對(duì)手正在利用網(wǎng)絡(luò)空間竊取、危害和毀壞關(guān)鍵數(shù)據(jù)，我們的依賴性意味著我們的繁榮、關(guān)鍵基礎(chǔ)設(shè)施、工作和家庭都將受到影響?！盵14]美國(guó)通過(guò)解釋多元化的風(fēng)險(xiǎn)來(lái)源*這些風(fēng)險(xiǎn)包括政府重要信息資源丟失或被盜，遭受未經(jīng)授權(quán)的訪問(wèn)和攻擊，敏感信息遭受身份盜竊、網(wǎng)絡(luò)間諜或其他形式的犯罪，政府關(guān)鍵部門(mén)運(yùn)行的中斷，數(shù)據(jù)被篡改并用于欺詐或入侵。，表明“聯(lián)邦系統(tǒng)和基礎(chǔ)設(shè)施正在遭受日益嚴(yán)峻的網(wǎng)絡(luò)威脅。”[15]由此可見(jiàn)，依賴性和風(fēng)險(xiǎn)性是目前國(guó)家網(wǎng)絡(luò)安全的基本矛盾，同時(shí)也是網(wǎng)絡(luò)安全審查必須面對(duì)和解決的客觀現(xiàn)狀，“風(fēng)險(xiǎn)控制”應(yīng)當(dāng)成為網(wǎng)絡(luò)安全審查制度應(yīng)然的價(jià)值選擇。

三、威脅態(tài)勢(shì)感知理念要求采用“動(dòng)態(tài)監(jiān)測(cè)”的 審查方式

網(wǎng)絡(luò)安全審查中引入威脅態(tài)勢(shì)感知理念并不是全面否認(rèn)現(xiàn)有審查方式的有效性，而是在預(yù)設(shè)所有審查方式都存在風(fēng)險(xiǎn)識(shí)別疏漏或不可能性的情況下，對(duì)傳統(tǒng)審查有效性的補(bǔ)強(qiáng)。從目前我國(guó)的網(wǎng)絡(luò)安全審查法律制度來(lái)看，審查方式仍然將主要依靠測(cè)評(píng)認(rèn)證，即“以網(wǎng)絡(luò)安全產(chǎn)品測(cè)評(píng)認(rèn)證為基礎(chǔ)開(kāi)展系統(tǒng)全面的安全審查?！盵16]

但是信息技術(shù)產(chǎn)品和服務(wù)的測(cè)評(píng)認(rèn)證是典型的“節(jié)點(diǎn)控制”方式，對(duì)于已通過(guò)測(cè)評(píng)認(rèn)證但存在潛在風(fēng)險(xiǎn)的信息技術(shù)產(chǎn)品和服務(wù)無(wú)法起到審查應(yīng)有的效果。國(guó)家信息技術(shù)安全研究中心總工李京春也曾表示過(guò)這樣的擔(dān)憂，“我們以前所做的許多測(cè)評(píng)認(rèn)證工作，只是集中在信息安全產(chǎn)品本身是否達(dá)到標(biāo)準(zhǔn)，達(dá)標(biāo)后的信息安全產(chǎn)品是否還存在安全風(fēng)險(xiǎn)，存在多少、何等程度的安全風(fēng)險(xiǎn)，誰(shuí)也不知道，也很少有人關(guān)心。”[17]

為此，有效的網(wǎng)絡(luò)安全審查應(yīng)當(dāng)是一個(gè)動(dòng)態(tài)的風(fēng)險(xiǎn)監(jiān)測(cè)過(guò)程，貫穿于信息技術(shù)產(chǎn)品部署和使用的整個(gè)生命周期，能夠通過(guò)審查活動(dòng)提供必要的態(tài)勢(shì)感知的能力。在各國(guó)實(shí)踐中，態(tài)勢(shì)感知包含非常豐富的內(nèi)容，簡(jiǎn)單歸納可以包括對(duì)當(dāng)前態(tài)勢(shì)、態(tài)勢(shì)變化和態(tài)勢(shì)預(yù)測(cè)的感知[18]，其通過(guò)常態(tài)性的安全審查實(shí)現(xiàn)對(duì)已知風(fēng)險(xiǎn)的感知和應(yīng)對(duì)，增強(qiáng)對(duì)未知風(fēng)險(xiǎn)的判斷和預(yù)測(cè)。

那么，網(wǎng)絡(luò)安全審查事實(shí)上可以劃分為兩個(gè)基本階段，第一階段是在信息技術(shù)產(chǎn)品和服務(wù)采購(gòu)階段，實(shí)施建立在測(cè)評(píng)認(rèn)證基礎(chǔ)上的安全審查；第二階段是在信息技術(shù)產(chǎn)品和服務(wù)使用階段，實(shí)施建立在動(dòng)態(tài)監(jiān)控基礎(chǔ)上的安全審查。就國(guó)家網(wǎng)絡(luò)安全保障而言，第二階段的網(wǎng)絡(luò)安全審查往往更為重要，因?yàn)檎缒就霸硪粯樱瑖?guó)家網(wǎng)絡(luò)安全的整體水平取決于保護(hù)措施最為薄弱的環(huán)節(jié)，而持續(xù)性的動(dòng)態(tài)監(jiān)控恰恰能夠識(shí)別和強(qiáng)化這類環(huán)節(jié)。例如，2009年，奧巴馬政府針對(duì)聯(lián)邦政務(wù)網(wǎng)絡(luò)安全開(kāi)展了為期60天的網(wǎng)絡(luò)安全審查，以此來(lái)判斷聯(lián)邦層面的數(shù)據(jù)保護(hù)水平[19]。2014年，澳大利亞政府也宣布在全國(guó)范圍內(nèi)開(kāi)展網(wǎng)絡(luò)安全審查，旨在評(píng)估公私領(lǐng)域的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，評(píng)估政府網(wǎng)絡(luò)和信息保護(hù)水平，確保對(duì)政務(wù)和關(guān)鍵基礎(chǔ)設(shè)施威脅有足夠的應(yīng)對(duì)能力[20]。

為此，威脅態(tài)勢(shì)感知要求審查范圍從傳統(tǒng)產(chǎn)品和服務(wù)審查擴(kuò)展為建立在“風(fēng)險(xiǎn)環(huán)境”基礎(chǔ)上的“威脅態(tài)勢(shì)數(shù)據(jù)審查”。然而“數(shù)據(jù)”是個(gè)過(guò)于寬泛的概念，現(xiàn)代社會(huì)的一切信息表征都可以泛化為數(shù)據(jù)。為了保證網(wǎng)絡(luò)安全審查活動(dòng)的有效性和可預(yù)測(cè)性，數(shù)據(jù)審查必須依托于具備組織性的特定審查對(duì)象，考慮到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的持續(xù)性滲透和信息技術(shù)產(chǎn)品和服務(wù)全生命周期的安全審查要求，國(guó)家網(wǎng)絡(luò)安全審查向IT供應(yīng)鏈的擴(kuò)展就成為必由路徑。

四、威脅態(tài)勢(shì)感知理念要求明確“IT供應(yīng)鏈”的 審查范圍

IT供應(yīng)鏈安全是國(guó)家網(wǎng)絡(luò)安全審查在威脅態(tài)勢(shì)感知能力建設(shè)中的重要內(nèi)容，但是并沒(méi)有引起足夠的關(guān)注。按照國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的公告，我國(guó)將主要針對(duì)“重要技術(shù)產(chǎn)品和服務(wù)”實(shí)行審查，這表明我國(guó)的網(wǎng)絡(luò)安全審查制度仍然沒(méi)有跳出“終端產(chǎn)品”和“直接供應(yīng)商”的審查思路。當(dāng)然，這樣的審查思路沒(méi)有錯(cuò)誤，但是對(duì)于保障國(guó)家網(wǎng)絡(luò)安全而言并不充分。

(一)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的IT供應(yīng)鏈滲透

目前，信息技術(shù)產(chǎn)品和服務(wù)的提供越來(lái)越依賴于廣泛的全球市場(chǎng)，出于成本和效率的考慮，大量的信息技術(shù)產(chǎn)品和服務(wù)存在業(yè)務(wù)外包的情況，復(fù)雜的供應(yīng)鏈系統(tǒng)導(dǎo)致安全邊界變得異常模糊，安全風(fēng)險(xiǎn)具有更多的滲透途徑*其中最著名的例子是海灣戰(zhàn)爭(zhēng)期間，美國(guó)在伊拉克從法國(guó)采購(gòu)的打印機(jī)中植入了名為Afgl的病毒，而該打印機(jī)最終被用于伊拉克防空系統(tǒng)，導(dǎo)致美國(guó)在“沙漠風(fēng)暴”行動(dòng)中成功癱瘓了伊拉克的防空系統(tǒng)。而臭名昭著的震網(wǎng)病毒也被證明是通過(guò)供應(yīng)鏈感染了伊朗的核設(shè)施并通過(guò)供應(yīng)鏈系統(tǒng)快速進(jìn)行傳播。。非盈利組織Safecode*該組織的全稱為：Software assurance forum for excellence in code定義了典型的IT供應(yīng)鏈結(jié)構(gòu)，其中包括供應(yīng)商采購(gòu)*在該階段，采購(gòu)活動(dòng)的直接供應(yīng)商將選擇次級(jí)供應(yīng)商，建立交付規(guī)范，并接受相關(guān)軟硬件的交付。、產(chǎn)品開(kāi)發(fā)和測(cè)試*在該階段，供應(yīng)商將建立、評(píng)估、整合和測(cè)試次級(jí)供應(yīng)商交付的組件。、產(chǎn)品交付*在該階段，供應(yīng)商將產(chǎn)品或服務(wù)交付給用戶。三個(gè)主要階段[21]，在上述任何階段中，“產(chǎn)品規(guī)格的變化，持續(xù)改進(jìn)的措施，外包，內(nèi)部網(wǎng)絡(luò)重設(shè)，IT更新，技術(shù)升級(jí)過(guò)程，供應(yīng)商關(guān)系都會(huì)影響IT供應(yīng)鏈的不確定性?！盵22]為此，缺乏審查和安全保障的IT供應(yīng)鏈將是致命的，因?yàn)閷?duì)于信息技術(shù)采購(gòu)者而言，供應(yīng)商自身的供應(yīng)鏈安全狀況在很多情況下是不可見(jiàn)的，“攻擊者可能在產(chǎn)品開(kāi)發(fā)、制造、生產(chǎn)或交付過(guò)程中篡改產(chǎn)品。”[23]2015年，英國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)發(fā)布了專門(mén)的供應(yīng)鏈網(wǎng)絡(luò)安全報(bào)告，認(rèn)為“組織的網(wǎng)絡(luò)安全水平與供應(yīng)鏈中最薄弱的環(huán)節(jié)相一致，APT攻擊能夠利用這些脆弱性。”[24]同時(shí)列舉了包括第三方軟件供應(yīng)商*2014年，名為Dragonfly的網(wǎng)絡(luò)間諜組織承認(rèn)自2011年開(kāi)始就針對(duì)歐洲背景的眾多公司實(shí)施供應(yīng)鏈滲透，在最近的活動(dòng)中，Dragonfly通過(guò)入侵工控系統(tǒng)(ICS)軟件供應(yīng)商的網(wǎng)站，將合法文檔替換為惡意程序，該惡意程序包含遠(yuǎn)程訪問(wèn)功能，而在源頭替換的惡意程序很難被使用者檢測(cè)到。、網(wǎng)站建設(shè)者*2014年7月，Shylock銀行木馬被英國(guó)執(zhí)法機(jī)構(gòu)和網(wǎng)絡(luò)安全組織發(fā)現(xiàn)，該木馬主要針對(duì)英國(guó)、意大利和美國(guó)的電子金融業(yè)務(wù)，攻擊者利用重定向腳本通過(guò)合法網(wǎng)站建設(shè)者發(fā)送惡意域名，將Shylock惡意程序下載并安裝到合法網(wǎng)站的系統(tǒng)和瀏覽器中。、第三方數(shù)據(jù)存儲(chǔ)*2013年9月，一個(gè)大型數(shù)據(jù)處理機(jī)構(gòu)被發(fā)現(xiàn)存在小型的僵尸網(wǎng)絡(luò)，該網(wǎng)絡(luò)通過(guò)加密信道將內(nèi)部系統(tǒng)中的信息傳輸給公共網(wǎng)絡(luò)中僵尸主機(jī)的控制者，這種供應(yīng)鏈威脅能夠使攻擊者訪問(wèn)到通過(guò)第三方機(jī)構(gòu)存儲(chǔ)的有價(jià)值的信息，并可能導(dǎo)致大范圍的欺詐活動(dòng)。和水坑攻擊*水坑式攻擊是指攻擊者通過(guò)分析受害者的網(wǎng)絡(luò)活動(dòng)規(guī)律，在受害者經(jīng)常訪問(wèn)的網(wǎng)站中預(yù)先植入攻擊代碼，等待受害者訪問(wèn)時(shí)實(shí)施攻擊。在內(nèi)四類典型的IT供應(yīng)鏈風(fēng)險(xiǎn)。盡管IT供應(yīng)鏈的安全風(fēng)險(xiǎn)很早便在各國(guó)國(guó)家信息安全保障政策中有所體現(xiàn)*2008年，美國(guó)發(fā)布的《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃》(CNCI)就曾建議應(yīng)當(dāng)建立多元化的全球供應(yīng)鏈風(fēng)險(xiǎn)管理，應(yīng)對(duì)試圖通過(guò)供應(yīng)鏈滲透進(jìn)行未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、數(shù)據(jù)篡改及通信信息攔截等供應(yīng)鏈風(fēng)險(xiǎn)。根據(jù)上述建議，美國(guó)2011年《國(guó)防授權(quán)法案》第806節(jié)授權(quán)國(guó)防部長(zhǎng)或陸軍、海軍和空軍秘書(shū)長(zhǎng)排除存在重大供應(yīng)鏈風(fēng)險(xiǎn)的合同商。，但在信息技術(shù)采購(gòu)中的落實(shí)情況并不理想。2012年，美國(guó)審計(jì)局(GAO)提示聯(lián)邦政府在政府采購(gòu)中的信息安全脆弱性已經(jīng)顯現(xiàn)出來(lái)*在該報(bào)告中，GAO認(rèn)為聯(lián)邦政府目前存在通過(guò)獨(dú)立分銷商、經(jīng)紀(jì)機(jī)構(gòu)和灰色市場(chǎng)進(jìn)行采購(gòu)的危險(xiǎn)行為，缺乏對(duì)IT供應(yīng)商完整信息的有效掌握，缺乏對(duì)軟件更新的有效測(cè)試，使用不安全的供應(yīng)鏈分發(fā)和存儲(chǔ)機(jī)制，這些都會(huì)導(dǎo)致聯(lián)邦信息系統(tǒng)存在被嵌入惡意程序，使用不合格的產(chǎn)品組件，存在非惡意的漏洞，關(guān)鍵產(chǎn)品生產(chǎn)的中斷等威脅。，認(rèn)為“通過(guò)全球供應(yīng)鏈提供的IT產(chǎn)品和服務(wù)存在威脅，要求聯(lián)邦機(jī)構(gòu)識(shí)別和防范IT供應(yīng)鏈風(fēng)險(xiǎn)?！盵25]

威脅態(tài)勢(shì)感知理念對(duì)于風(fēng)險(xiǎn)的判斷和實(shí)施的控制方法與IT供應(yīng)鏈審查極為契合。在實(shí)踐中，已經(jīng)有國(guó)家將IT供應(yīng)鏈審查與威脅態(tài)勢(shì)感知在政策立法中進(jìn)行結(jié)合考慮。例如，2013年印度的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》將IT供應(yīng)鏈安全和態(tài)勢(shì)感知進(jìn)行了綜合考慮，建立了較為先進(jìn)的安全審查框架。在該戰(zhàn)略中，印度明確要求建立強(qiáng)制性的持續(xù)信息安全審計(jì)；建立產(chǎn)品/應(yīng)用供應(yīng)商和服務(wù)提供商之間的信賴關(guān)系，改善“端到端”供應(yīng)鏈安全的“可視性”；在信息技術(shù)采購(gòu)供應(yīng)鏈風(fēng)險(xiǎn)管理的各機(jī)構(gòu)之間建立針對(duì)威脅(threat)、脆弱性(vulnerability)和安全違反(breach of security)事件的感知能力[26]。美國(guó)在《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃》中也認(rèn)為，為了應(yīng)對(duì)供應(yīng)鏈滲透的風(fēng)險(xiǎn)，“美國(guó)需提高對(duì)威脅、脆弱性以及與采購(gòu)決定相關(guān)的后果的感知能力。”[27]同時(shí)，保證政府信息安全辦公室與戰(zhàn)略運(yùn)行中心的信息共享，全面了解政府系統(tǒng)的整體威脅情況。

(二)美國(guó)內(nèi)政部IT供應(yīng)鏈審查的實(shí)證分析

威脅態(tài)勢(shì)感知理念下的IT供應(yīng)鏈審查要比產(chǎn)品和服務(wù)審查包含更多的控制要素，過(guò)于繁瑣的審查環(huán)節(jié)不僅會(huì)降低審查效率，也會(huì)令審查機(jī)構(gòu)感到無(wú)所適從。本文將以美國(guó)內(nèi)政部(DOI)針對(duì)信息技術(shù)采購(gòu)的審查要求為例，梳理國(guó)家網(wǎng)絡(luò)安全審查中IT供應(yīng)鏈審查的框架。

DOI在信息技術(shù)采購(gòu)中重點(diǎn)審查供應(yīng)商的自我聲明(SOW)，供應(yīng)商要在SOW中明確闡述對(duì)美國(guó)信息技術(shù)安全標(biāo)準(zhǔn)及相關(guān)立法的遵從情況。這樣DOI將大量的細(xì)節(jié)性審查工作轉(zhuǎn)移給供應(yīng)商，并通過(guò)“安全合同”明確供應(yīng)商的安全責(zé)任，增強(qiáng)“事后懲處”的效果和力度。

DOI對(duì)于不同類別的供應(yīng)商有不同的審查要求，對(duì)商業(yè)現(xiàn)貨(COTS)軟硬件供應(yīng)商僅要求其陳述質(zhì)量控制內(nèi)容，而對(duì)于開(kāi)發(fā)或提供客戶端應(yīng)用服務(wù)、IT服務(wù)外包或在線支持服務(wù)的供應(yīng)商則具有廣泛的審查要求。具體而言，供應(yīng)商在SOW中需要陳述包括背景調(diào)查*DOI要求供應(yīng)商對(duì)可能訪問(wèn)DOI信息系統(tǒng)的雇員進(jìn)行背景調(diào)查，背景調(diào)查的細(xì)致度應(yīng)當(dāng)與處于類似職位的聯(lián)邦雇員的背景調(diào)查相一致。DOI的DM441(Position Risk and Sensitivity Level Designation)規(guī)定了具體的背景審查細(xì)節(jié)，而相關(guān)背景調(diào)查的費(fèi)用也由供應(yīng)商承擔(dān)。、保密審查*任何能夠訪問(wèn)DOI信息系統(tǒng)的供應(yīng)商雇員在提供相關(guān)服務(wù)之前必須與DOI簽署保密協(xié)議，未簽署保密協(xié)議的供應(yīng)商無(wú)法通過(guò)安全審查。、培訓(xùn)審查*在提供服務(wù)之前，DOI會(huì)審查供應(yīng)商雇員是否通過(guò)了DOI終端用戶計(jì)算機(jī)安全意識(shí)培訓(xùn)，該培訓(xùn)的內(nèi)容會(huì)定期更新。、位置審查*DOI要求軟件開(kāi)發(fā)及其外包活動(dòng)必須位于美國(guó)境內(nèi)，如果該服務(wù)需要在境外予以提供，供應(yīng)商必須提交可行的安全計(jì)劃，用以降低跨境通信、控制和數(shù)據(jù)保護(hù)的風(fēng)險(xiǎn)。、服務(wù)標(biāo)準(zhǔn)審查*供應(yīng)商必須滿足DOI系統(tǒng)開(kāi)發(fā)生命周期(SDLC)安全指南(DOI SDLC Security Integration Guide)和NIST SP800-64的具體要求。、資產(chǎn)評(píng)估審查*DOI要求供應(yīng)商必須使用DOI的資產(chǎn)評(píng)估指南(DOI Asset Valuation Guide)決定所有系統(tǒng)和數(shù)據(jù)的敏感性和風(fēng)險(xiǎn)水平。、獨(dú)立認(rèn)證審查(IV&V)*DOI要求所有的軟件更新在部署到產(chǎn)品中之前必須通過(guò)獨(dú)立的認(rèn)證審查。、認(rèn)證認(rèn)可審查(C&A)*DOI要求主要應(yīng)用和通用性支持系統(tǒng)在投入使用前必須經(jīng)過(guò)認(rèn)證認(rèn)可，并且每三年需要重新進(jìn)行認(rèn)證，在安全環(huán)境發(fā)生變化時(shí)也需要進(jìn)行重新認(rèn)證。DOI要求供應(yīng)商必須遵從NIST SP800-37，800-18，800-30，800-53，800-60，F(xiàn)IP199，F(xiàn)IP200以及DOI安全測(cè)試與評(píng)估指南和DOI隱私影響評(píng)估指南的具體要求。、安全事件報(bào)告審查*供應(yīng)商必須遵從DOI計(jì)算機(jī)事件相應(yīng)指南(DOI Computer Incident Response Guide.)，對(duì)可能影響DOI數(shù)據(jù)和系統(tǒng)的安全事件進(jìn)行報(bào)告。、質(zhì)量控制審查*供應(yīng)商應(yīng)當(dāng)保證所有軟硬件不帶有惡意代碼。、脆弱性分析*所有系統(tǒng)每月應(yīng)當(dāng)進(jìn)行脆弱性分析，高風(fēng)險(xiǎn)系統(tǒng)和可以接入互聯(lián)網(wǎng)的系統(tǒng)必須進(jìn)行獨(dú)立的滲透測(cè)試。、登錄標(biāo)示*供應(yīng)商能夠訪問(wèn)DOI數(shù)據(jù)的雇員在登錄系統(tǒng)前必須接受政府批準(zhǔn)的登錄警告。、安全控制審查*供應(yīng)商應(yīng)遵從NIST SP800-53，F(xiàn)IP199，F(xiàn)IP200有關(guān)安全控制的具體要求。、業(yè)務(wù)連續(xù)性審查*供應(yīng)商應(yīng)遵從NIST SP800-34和DOI持續(xù)性計(jì)劃指南的具體要求。等情況，上述內(nèi)容也構(gòu)成了DOI網(wǎng)絡(luò)安全審查的基本框架。

由此可見(jiàn)，在DOI的網(wǎng)絡(luò)安全審查中，信息技術(shù)產(chǎn)品和服務(wù)認(rèn)證認(rèn)可僅僅是其中的一部分，大量的審查內(nèi)容關(guān)注了IT供應(yīng)鏈中涉及人員、系統(tǒng)和環(huán)境的安全要素，并規(guī)定了由供應(yīng)商完成的安全事件報(bào)告和持續(xù)性安全審計(jì)，實(shí)現(xiàn)了態(tài)勢(shì)感知的基本要求。我國(guó)可以參照DOI的有益實(shí)踐來(lái)設(shè)計(jì)我國(guó)的網(wǎng)絡(luò)安全審查制度，但是仍然需要解決安全標(biāo)準(zhǔn)嚴(yán)重不足的問(wèn)題，DOI的網(wǎng)絡(luò)安全審查在各控制域中依賴完善的信息安全標(biāo)準(zhǔn)，一方面提高了網(wǎng)絡(luò)安全審查的透明度，另一方面也為供應(yīng)商的安全遵從提供了指引。

標(biāo)準(zhǔn)化是各國(guó)實(shí)施網(wǎng)絡(luò)安全審查的基礎(chǔ)。盡管我國(guó)已經(jīng)在立法中建立了網(wǎng)絡(luò)安全審查制度，但目前在信息安全標(biāo)準(zhǔn)的建設(shè)方面發(fā)展緩慢，沒(méi)有形成具有配套性和完整性的安全標(biāo)準(zhǔn)族。當(dāng)然，在進(jìn)行安全審查時(shí)可以使用ISO等國(guó)際標(biāo)準(zhǔn)，但國(guó)際標(biāo)準(zhǔn)一來(lái)僅僅提供了信息系統(tǒng)的最低安全標(biāo)準(zhǔn)，二來(lái)與我國(guó)具體國(guó)情也并不完全匹配。因此，在國(guó)家網(wǎng)絡(luò)安全審查向IT供應(yīng)鏈審查進(jìn)行擴(kuò)展時(shí)，我國(guó)的信息安全標(biāo)準(zhǔn)化建設(shè)也需要同步加快。

五、結(jié)語(yǔ)

國(guó)家網(wǎng)絡(luò)安全審查目前面臨的現(xiàn)實(shí)問(wèn)題是安全風(fēng)險(xiǎn)的“泛在化”， 傳統(tǒng)風(fēng)險(xiǎn)防范理論正在受到越來(lái)越嚴(yán)峻的挑戰(zhàn)，風(fēng)險(xiǎn)的絕對(duì)排除已然成為“鏡花水月”，將風(fēng)險(xiǎn)降低到可以接受的程度就成為更為可行的選擇。威脅態(tài)勢(shì)感知以承認(rèn)風(fēng)險(xiǎn)在信息系統(tǒng)中的廣泛存在性為前提，而以風(fēng)險(xiǎn)識(shí)別、預(yù)測(cè)、控制和處置為內(nèi)容。在國(guó)家網(wǎng)絡(luò)安全審查中，既然安全風(fēng)險(xiǎn)幾乎無(wú)法通過(guò)具體的審查措施進(jìn)行絕對(duì)排除，那么對(duì)潛在風(fēng)險(xiǎn)保有感知和預(yù)測(cè)能力就變得格外重要，其能夠通過(guò)環(huán)境要素變化提供可預(yù)期的風(fēng)險(xiǎn)發(fā)生概率，或在風(fēng)險(xiǎn)發(fā)生之時(shí)具有實(shí)時(shí)性的應(yīng)對(duì)能力，進(jìn)而有效降低殘余風(fēng)險(xiǎn)造成的損害。當(dāng)然，在網(wǎng)絡(luò)安全審查中引入威脅態(tài)勢(shì)感知并不是全面否認(rèn)現(xiàn)有審查方式的有效性，而是在預(yù)設(shè)所有審查方式都存在風(fēng)險(xiǎn)識(shí)別疏漏或不可能性的情況下，對(duì)傳統(tǒng)審查方式有效性的補(bǔ)強(qiáng)，其強(qiáng)調(diào)常態(tài)性的安全審查，也就是建立動(dòng)態(tài)的風(fēng)險(xiǎn)“過(guò)程控制”體系。那么，圍繞“終端產(chǎn)品”和“直接供應(yīng)商”的審查范圍顯然過(guò)于狹窄，網(wǎng)絡(luò)安全審查向IT供應(yīng)鏈進(jìn)行擴(kuò)展是十分必要的。但是DOI在網(wǎng)絡(luò)安全審查中的實(shí)踐也表明，IT供應(yīng)鏈審查將比現(xiàn)有的“產(chǎn)品和服務(wù)安全性和可控性”審查要復(fù)雜很多，為了提高審查效率、增加透明度、明確指引性，我國(guó)相關(guān)的信息安全標(biāo)準(zhǔn)體系建設(shè)也需要同步加快。

[1] 左曉棟.近年中美網(wǎng)絡(luò)安全貿(mào)易糾紛回顧及其對(duì)網(wǎng)絡(luò)安全審查制度的啟示[J].中國(guó)信息安全，2014(8)：69-72.

[2] 馬民虎，李江鴻.我國(guó)信息安全法的法理念探析[J]. 西安交通大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2007(5)：74-80.

[3] 李雙元、蔣新苗、沈紅宇.法律理念的內(nèi)涵與功能初探[J].湖南師范大學(xué)社會(huì)科學(xué)學(xué)報(bào)，1997(4)：53-55.

[4] 左曉棟.以務(wù)實(shí)態(tài)度對(duì)待網(wǎng)絡(luò)安全審查制度[J].中國(guó)信息安全，2015(5)：88-89.

[5] PETER SWIRE, KENESA AHMAD. Encryption and globalization[M]. The Columbia Science & technology law review, spring 2012:416-481.

[6] ENDSLEY MR. Design and evaluation for situation awareness enhancement[M]. Human Factors Society 32nd Annual Meeting. Santa Monica, California; 1988: 97-101.

[7] ARNBORG S, ARTMAN H, BRYNIELSSON J, WALLENIUS K. Information awareness in command and control: precision, quality, utility [EB/OL].[2015-12-10]. http://www.csc.kth.se/～joel/iq.pdf.

[8] 劉超.網(wǎng)絡(luò)安全態(tài)勢(shì)感知在網(wǎng)絡(luò)安全監(jiān)控中的作用[J].信息安全與技術(shù)，2011(12)：30-32.

[9] MICHAEL LEE.Australian Defence White Paper emphasises need for cybersecurity[EB/OL].[2015-12-02].http://www.zdnet.com/article/australian-defence-white-paper-emphasises-need-for-cybersecurity

[10] PRIME MINISTER. Cyber Security Strategy of the United Kingdom safety, security and resilience in cyber space[R].UK,2009:5.

[11] MINISTRY OF COMMUNICATION AND INFORMATION TECHNOLOGY. Department of electronics and information technology, national cyber security policy[R].India,2013:9.

[12] 龐德.通過(guò)法律的社會(huì)控制[M].北京：商務(wù)印書(shū)館，1984：55.

[13] U,S. House of Representatives. Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE[R]. 112th Congress,2012:5.

[14] THE CABINET OFFICE. The UK Cyber Security Strategy Protecting and promoting the UK in a digital world[R].UK,2011:15.

[15] GAO. Information security: Cyber Threats and Vulnerabilities Place Federal Systems at Risk[R].GAO,2009:2.

[16] 陳月華，馮偉.來(lái)自安全審查的網(wǎng)絡(luò)風(fēng)險(xiǎn)整治力量[J]. 信息安全與通信保密，2014(9)：33-34.

[17] 李雪，楊晨.對(duì)話專家，建言審查[J]. 信息安全與通信保密，2014(8)：27-33.

[18] P BARFORD, M DACIER, T G.Dietterich. Cyber SA: Situational Awareness for Cyber Defense[J]. the series Advances in Information Security ,2009(9)：3-4.

[19] ANGELA MOSCARITOLO. Obama orders 60-day cybersecurity review[EB/OL]. [2015-12-04]. http://www.scmagazine.com/obama-orders-60-day-cybersecurity-review/article/127141/

[20] SIMON SHARWOOD. Australia to conduct national cyber-security review[EB/OL]. [2015-12-04]. http://www.theregister.co.uk/2014/11/27/australia_to_conduct_national_cybersecurity_review/

[21] STACY SIMPSON.The Software Supply Chain Integrity Framework：Defining Risks and Responsibilities for Securing Software in the Global Supply Chain[R].Safecode,2009:6.

[22] HELEN PECK. Drivers of supply chain vulnerability: an integrated framework[J].International Journal of Physical Distribution & Logistics Management, 2005(4)：210-232.

[23] SCOTT CHARNEY，ERIC T WERNER. Cyber Supply Chain Risk Management: Toward a Global Vision of Transparency and Trust[R].Microsoft，2011:1.

[24] CERT-UK.Cyber-security risks in the supply chain[R].UK,2015:3.

[25] GAO. IT Supply Chain National Security-Related Agencies Need to Better Address Risks[R]. USA, 2012:6.

[26] MINISTRY OF COMMUNICATION AND INFORMATION TECHNOLOGY. Department of electronics and information technology, national cyber security policy[R].India,2013:8-9.

[27] THE WHITE HOUSE. The Comprehensive National Cybersecurity Initiative[R].US,2008:5.

(責(zé)任編輯：馮 蓉)

The Model of National Cyber Security Review Legal System under the Threat Situational Awareness Horizon

MA Minhu, MA Ning

(School of Law, Xi′an Jiaotong University，Xi′an 710049，China)

The national cyber security review system must face the thorny issue of "risk residual", because the improvement of cyber security situation is not optimistic though most countries have alredy established review system or process in order to make the information technology products and services safe. The root cause of the low utility of cyber security review is that the risk is ubiquitous. On the basis of the above anaysis, this paper suggests that the national cyber security review system should change the current "node control" review method, and emphasizes that the state retain the ability to perceive and respond to the risks in real time. In this case, the threat situation awareness can be used as a concept in the process of model of national cyber security review legal system, which requires to establish the system value of "risk control", to use the dynamic monitoring review mode, and to make the "IT supply chain" review scope clear.

national cyber security review; threat situational awareness; risk control; dynamic monitoring; IT supply chain

10.15896/j.xjtuskxb.201602010

2015-12-13

國(guó)家社會(huì)科學(xué)基金重大項(xiàng)目(15ZDA047)；國(guó)家社會(huì)科學(xué)基金項(xiàng)目(15BFX050)

馬民虎(1958- )，男，西安交通大學(xué)法學(xué)院教授，博士生導(dǎo)師。

D035.29

A

1008-245X(2016)02-0065-08