馬民虎，馬 寧

(西安交通大學(xué) 法學(xué)院，陜西 西安 710049)

?

威脅態(tài)勢感知視域下國家網(wǎng)絡(luò)安全審查法律制度的塑造

馬民虎，馬 寧

(西安交通大學(xué) 法學(xué)院，陜西 西安 710049)

國家網(wǎng)絡(luò)安全審查制度必須正視“風(fēng)險殘余”的棘手問題，盡管各國為實現(xiàn)信息技術(shù)產(chǎn)品和服務(wù)安全均建立了相對完備的審查制度或過程，但網(wǎng)絡(luò)安全的改善狀況卻并不樂觀；指出造成國家網(wǎng)絡(luò)安全審查效用低下的根本原因是安全風(fēng)險的“泛在化”，需要國家網(wǎng)絡(luò)安全審查制度改變目前“節(jié)點控制”的審查方法，強調(diào)國家保有對風(fēng)險的實時感知和應(yīng)對能力；威脅態(tài)勢感知可以作為理念引入到國家網(wǎng)絡(luò)安全審查法律制度的塑造過程中，國家網(wǎng)絡(luò)安全審查應(yīng)確立“風(fēng)險控制”的制度價值，采用“動態(tài)監(jiān)測”的審查方式，明確“IT供應(yīng)鏈”的審查范圍。

國家網(wǎng)絡(luò)安全審查；威脅態(tài)勢感知；風(fēng)險控制；動態(tài)監(jiān)測；IT供應(yīng)鏈

國家網(wǎng)絡(luò)安全審查制度是“為維護國家網(wǎng)絡(luò)安全*國家“網(wǎng)絡(luò)安全”的內(nèi)涵已經(jīng)遠遠超越其原本應(yīng)然的狹義范疇，正在成為關(guān)乎國家生存和發(fā)展的基礎(chǔ)性命題。在各國的政策立法實踐中，網(wǎng)絡(luò)安全往往有其特定的涵義，圍繞國家網(wǎng)絡(luò)安全而展開的各項制度設(shè)計均以此為出發(fā)點。例如2013年澳大利亞的《國家網(wǎng)絡(luò)安全戰(zhàn)略》認為，網(wǎng)絡(luò)安全是“網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施安全，數(shù)據(jù)交換安全和使用網(wǎng)絡(luò)空間的所有人員安全?！?2013年印度的《國家網(wǎng)絡(luò)安全政策》認為，網(wǎng)絡(luò)安全是“保護信息基礎(chǔ)設(shè)施，實現(xiàn)網(wǎng)絡(luò)空間信息的保密性、完整性和可用性?！?2013年意大利的《國家網(wǎng)絡(luò)安全戰(zhàn)略》認為，網(wǎng)絡(luò)安全是“所有交互的ICT軟硬件基礎(chǔ)設(shè)施的集合。”而2012年挪威的《國家網(wǎng)絡(luò)安全戰(zhàn)略》則使用了信息安全的概念，其認為網(wǎng)絡(luò)安全即是“保護信息免受未經(jīng)授權(quán)的訪問和更改，保證信息的可用性?！蔽覈秶野踩ā坊久鞔_界定了國家網(wǎng)絡(luò)安全的內(nèi)涵。該法第二十五條規(guī)定，國家建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護能力，加強網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開發(fā)應(yīng)用，實現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控；加強網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。同時《網(wǎng)絡(luò)安全法(草案)》也對網(wǎng)絡(luò)安全進行了明確界定，其六十五條規(guī)定，網(wǎng)絡(luò)安全是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、入侵、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)存儲、傳輸、處理信息的完整性、保密性、可用性的能力。而設(shè)立的一項重要制度”[1]，我國《國家安全法》*2015年7月1日，第十二屆全國人民代表大會常務(wù)委員會第十五次會議通過的新《國家安全法》第五十九條規(guī)定，國家建立國家安全審查和監(jiān)管的制度和機制，對影響或者可能影響國家安全的外商投資、特定物項和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)、涉及國家安全事項的建設(shè)項目，以及其他重大事項和活動，進行國家安全審查，有效預(yù)防和化解國家安全風(fēng)險。和《網(wǎng)絡(luò)安全法(草案)》*2015年6月，第十二屆全國人大常委會第十五次會議初次審議的《網(wǎng)絡(luò)安全法(草案)》第三十條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品或者服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的安全審查。具體辦法由國務(wù)院規(guī)定。均對此進行了明確規(guī)定，自此開啟了國家網(wǎng)絡(luò)安全審查制度的法治化進程。但是將我國的國家網(wǎng)絡(luò)安全審查視為一項法律制度，我們認為還為時尚早，因為現(xiàn)有立法規(guī)定并不足以支撐審查活動實施的有效性。正如所有新生法律制度需要經(jīng)歷實踐、研判、豐富、調(diào)整和完善的必由路徑一樣，國家網(wǎng)絡(luò)安全審查也存在針對法律制度本身的塑造過程*當(dāng)然，這里的“塑造”并不僅針對法律制度的創(chuàng)設(shè)，也應(yīng)當(dāng)包括對制度理念、價值、方法和原則的改良與修正。。在長期的質(zhì)疑和爭論中，我國國家網(wǎng)絡(luò)安全審查制度似乎已然能夠回答“審查什么”和“如何審查”這兩個基本問題*根據(jù)2014年5月22日國家互聯(lián)網(wǎng)信息辦公室發(fā)布的公告，我國將實行網(wǎng)絡(luò)安全審查制度，主要針對關(guān)系國家安全和公共利益系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)實行安全性和可控性審查，防止產(chǎn)品提供者非法控制、干擾、中斷用戶系統(tǒng)，非法收集、存儲、處理和利用用戶有關(guān)信息。，但是其能否實現(xiàn)制度設(shè)立的初衷尚存疑問*例如，各國為實現(xiàn)信息技術(shù)產(chǎn)品和服務(wù)安全均建立了相對完備的審查制度或過程，特別是針對關(guān)鍵部門和重要領(lǐng)域中部署的信息技術(shù)產(chǎn)品和服務(wù)的審查力度在逐年增強，但網(wǎng)絡(luò)安全的改善狀況卻并不樂觀。。為此，國家網(wǎng)絡(luò)安全審查法律制度的塑造必然是一個長期而艱巨的過程，與之相匹配的理念引入和更新就變得格外重要。

目前，威脅態(tài)勢感知在我國僅僅被視為一種技術(shù)方法或策略，在政策法律領(lǐng)域鮮有論及。本文則傾向于將威脅態(tài)勢感知視為一種理念，“如同我們不能去構(gòu)造一種有效的正義觀念一樣，我們也并非去構(gòu)建，而是去發(fā)現(xiàn)對于一個時代的某種法律理念”。[2]威脅態(tài)勢感知默認安全風(fēng)險“泛在化”的認知基礎(chǔ)為國家網(wǎng)絡(luò)安全審查制度提供了新的途徑，有助于解決審查過程中“風(fēng)險殘余”的棘手問題。按照對于法律理念功能*武漢大學(xué)的李雙元教授曾經(jīng)對法律理念的基本功能進行過經(jīng)典描述，其認為法律理念包括表征和指稱功能、中介和外化功能、科學(xué)的預(yù)測功能、導(dǎo)引功能和文化進化功能。[3]的評判，將威脅態(tài)勢感知作為法律理念對國家網(wǎng)絡(luò)審查進行制度塑造也并無不妥，反而與審查活動面臨的困境極為契合，其抽象出的方法論確實能夠提供具有指導(dǎo)意義的“法律范式”。威脅態(tài)勢感知不要求審查活動實現(xiàn)絕對的風(fēng)險排除——事實上這也是不可能實現(xiàn)的——而要求國家保有對風(fēng)險的實時感知和應(yīng)對能力。這就要求國家安全審查應(yīng)當(dāng)強調(diào)建立常態(tài)性的安全審查過程，將審查范圍擴展至以IT供應(yīng)鏈為依托的整個產(chǎn)品和服務(wù)生命周期，而不是僅在提供環(huán)節(jié)實施“節(jié)點控制”審查。

一、國家網(wǎng)絡(luò)安全審查制度解構(gòu)與威脅態(tài)勢感 知理念的引入

(一)國家網(wǎng)絡(luò)安全審查制度解構(gòu)

國家網(wǎng)絡(luò)安全審查是指對國家安全系統(tǒng)*國家網(wǎng)絡(luò)安全審查應(yīng)針對國家安全系統(tǒng)予以展開，1994年美國《國家安全通信和信息系統(tǒng)認證認可政策》中規(guī)定，國家安全系統(tǒng)(NSS)是指：任何由政府機構(gòu)、政府機構(gòu)合同商或代表機構(gòu)履行職責(zé)的其他組織使用或運維的下列信息系統(tǒng)(包括通信系統(tǒng))：(1)其功能、運行和使用涉及情報、與國家安全相關(guān)的密碼技術(shù)、軍事事項，或其包括武器或武器系統(tǒng)的設(shè)備；(2)涉及由行政命令或國會法案特別授權(quán)永久保護的信息系統(tǒng)。但我國目前并沒有國家安全系統(tǒng)的概念，因此國家網(wǎng)絡(luò)安全審查制度使用了“關(guān)系國家安全和公共利益系統(tǒng)”的表述。中使用的信息技術(shù)產(chǎn)品與服務(wù)進行的安全性和可控性審查。為了減少國家公共事務(wù)管理活動中的不確定性和隨意性，類似網(wǎng)絡(luò)安全審查這種明顯帶有國家意志和公共利益訴求的制度，理應(yīng)基于立法進行解構(gòu)。但由于具體的審查細則尚未出臺，我們對于國家網(wǎng)絡(luò)安全審查制度的理解只能主要依據(jù)國家互聯(lián)網(wǎng)信息管理辦公室發(fā)布的公告*這種現(xiàn)狀也導(dǎo)致目前針對國家網(wǎng)絡(luò)安全審查制度存在大量誤讀，中國信息安全研究院的左曉棟副院長對此進行過詳細的澄清，其指出，網(wǎng)絡(luò)安全審查制度是國家一項具體的網(wǎng)絡(luò)安全政策，不是戰(zhàn)略；網(wǎng)絡(luò)安全審查制度的目標是單一的，不是解決網(wǎng)絡(luò)安全問題的“萬能藥”；網(wǎng)絡(luò)安全審查制度有明確的重點，不是“事無巨細”的監(jiān)管手段；網(wǎng)絡(luò)安全審查制度針對的是IT產(chǎn)品與服務(wù)，不涉及信息內(nèi)容；網(wǎng)絡(luò)安全審查制度對內(nèi)外一視同仁，不是為了獲得產(chǎn)業(yè)上的競爭優(yōu)勢。[4]。根據(jù)該公告，我國建立網(wǎng)絡(luò)安全審查制度的目的在于防止產(chǎn)品提供者非法控制、干擾、中斷用戶*這里的用戶除公眾個人用戶以外，顯然也包括國家關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵部門。系統(tǒng)，非法收集、存儲、處理和利用用戶有關(guān)信息，審查范圍將圍繞“涉及國家安全和社會公共利益系統(tǒng)中使用的信息技術(shù)產(chǎn)品和服務(wù)”。盡管我國目前對上述系統(tǒng)沒有明確的解釋，但結(jié)合各國在網(wǎng)絡(luò)安全審查中的實踐，網(wǎng)絡(luò)安全審查的范圍仍然需要圍繞關(guān)鍵基礎(chǔ)設(shè)施展開，重點關(guān)注政務(wù)、金融、能源、醫(yī)療、國防、電信、交通、科研、化學(xué)和核工業(yè)等重要單位和部門；審查方式是針對信息技術(shù)產(chǎn)品和服務(wù)的安全性和可控性進行審查，在黨政部門的云計算服務(wù)領(lǐng)域還將對服務(wù)商進行審查*2015年6月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》，該意見第四條要求統(tǒng)一組織黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查，中央網(wǎng)信辦會同有關(guān)部門建立云計算服務(wù)安全審查機制，對為黨政部門提供云計算服務(wù)的服務(wù)商，參照有關(guān)網(wǎng)絡(luò)安全國家標準，組織第三方機構(gòu)進行網(wǎng)絡(luò)安全審查，重點審查云計算服務(wù)的安全性、可控性。黨政部門采購云計算服務(wù)時，應(yīng)逐步通過采購文件或合同等手段，明確要求服務(wù)商應(yīng)通過安全審查。鼓勵重點行業(yè)優(yōu)先采購和使用通過安全審查的服務(wù)商提供的云計算服務(wù)。。因此，很可能包括技術(shù)審查和背景審查兩個方面。

(二)國家網(wǎng)絡(luò)安全審查制度面臨的困境

目前我國的網(wǎng)絡(luò)安全審查法律制度非常類似于信息技術(shù)產(chǎn)品和服務(wù)的許可準入制度，即只有通過相關(guān)安全性和可控性的審查活動——例如，信息技術(shù)測評認證或背景盡職調(diào)查——信息技術(shù)產(chǎn)品和服務(wù)才能夠進行部署，但是部署之后的審查要求卻并未涉及。因而，我國建立的網(wǎng)絡(luò)安全審查制度只是一種風(fēng)險“節(jié)點控制”，而非“過程控制”。如果從制度本身的效用*嚴格來講，效用并不是法律概念，而是經(jīng)濟學(xué)范疇的消費與需求滿足之間的度量概念。將效用概念引入網(wǎng)絡(luò)安全審查制度是為了解釋制度建設(shè)投入的法律成本與網(wǎng)絡(luò)安全保障能力實現(xiàn)的度量問題?？紤]，我國的網(wǎng)絡(luò)安全審查很可能面臨尷尬境遇，其設(shè)立的預(yù)期目標將很難實現(xiàn)。最明顯的例證是“攻擊先于防御”理念*“攻擊先于防御”理論(The offense is ahead of the defense)被認為是目前網(wǎng)絡(luò)安全中的基礎(chǔ)性問題。[5]的現(xiàn)實表現(xiàn)。各國為實現(xiàn)信息技術(shù)產(chǎn)品和服務(wù)安全均建立了相對完備的審查制度或過程，特別是針對關(guān)鍵部門和重要領(lǐng)域中部署的信息技術(shù)產(chǎn)品和服務(wù)的審查力度在逐年增強，但網(wǎng)絡(luò)安全的改善狀況卻并不明顯*例如，美國在2002年頒布《聯(lián)邦信息安全管理法》(FISMA)之后，政務(wù)信息技術(shù)采購要進行嚴格的審查流程，但2015年美國人事管理辦公室(OPM)遭受入侵而泄露2570萬個人信息的嚴重事件，使安全審查的功效備受質(zhì)疑。?！袄忡R事件”也能夠充分印證這一論斷。

造成國家網(wǎng)絡(luò)安全審查效用低下的根本原因是安全風(fēng)險的“泛在化”。例如，網(wǎng)絡(luò)攻擊和入侵借助的常用途徑是后門和漏洞*后門和漏洞二者在技術(shù)方面并沒有本質(zhì)區(qū)別，只不過前者是惡意為之，其存在都可能引入未經(jīng)授權(quán)訪問、更改、刪除、披露或使用的風(fēng)險，為此，除特定語境外，本文不對二者進行區(qū)分，而統(tǒng)一表述為漏洞。，這也是我國網(wǎng)絡(luò)安全審查中的重要內(nèi)容。然而，漏洞在信息技術(shù)產(chǎn)品和服務(wù)中廣泛存在，其類似于產(chǎn)品或服務(wù)缺陷，在技術(shù)上被證明是不可能完全避免的。這意味著我們必須默認任何信息技術(shù)產(chǎn)品和服務(wù)的引入和部署都存在風(fēng)險，而且這種風(fēng)險是廣泛存在的。

2015年7月，意大利黑客公司(Hacking Team)遭黑客攻擊，泄露了400G的內(nèi)部資料。該事件引人注意的并不是資料泄露本身，而是資料披露出該公司向多國政府出售漏洞*例如尚未被披露的零日漏洞。進行監(jiān)控或入侵。這表明使用尚未披露的漏洞進行入侵和攻擊在實踐中非常有效。因為這類漏洞通常不為公眾所知，也缺乏相應(yīng)的補丁和應(yīng)對措施，安全審查過程幾乎不可能對此進行識別*2015年，新修訂的《瓦森納協(xié)議》將漏洞視為武器進行出口管控，也側(cè)面反映了漏洞在國家網(wǎng)絡(luò)安全保障中的威脅性。。在這種情況下，“聊勝于無”的網(wǎng)絡(luò)安全審查態(tài)度無異于自欺欺人，對法律理念引入的有益探索是必要的。

(三)威脅態(tài)勢感知及其在國家網(wǎng)絡(luò)安全審查中的引入

態(tài)勢感知通常被理解為一種能力，是“通過感知特定時間和空間內(nèi)的元素，預(yù)設(shè)和理解其在未來的意義和狀態(tài)?！盵6]這是目前最為廣泛接受的態(tài)勢感知定義，但是其過于晦澀，需要結(jié)合不同的適用場景進行二次界定。為了契合信息技術(shù)發(fā)展，態(tài)勢感知也被單純從技術(shù)角度加以闡述，即態(tài)勢感知是“編譯、處理和融合數(shù)據(jù)，這種數(shù)據(jù)處理包括評估數(shù)據(jù)碎片以及融合信息的信息質(zhì)量，并依此判斷變動及發(fā)展趨勢。”[7]網(wǎng)絡(luò)安全的語境下，態(tài)勢感知也被強調(diào)為一種“動態(tài)、準實時的預(yù)測系統(tǒng)。”[8]

盡管很少有人深入探討態(tài)勢感知與安全風(fēng)險發(fā)生之間的辯證關(guān)系，但無論在技術(shù)層面還是管理層面，態(tài)勢感知都要求“實時性”的風(fēng)險感知和應(yīng)對策略，也就是以承認風(fēng)險在信息系統(tǒng)中的廣泛存在性為前提，而以風(fēng)險識別、預(yù)測、控制和處置為內(nèi)容。這同時也體現(xiàn)了網(wǎng)絡(luò)安全理念的變革或改良，既然安全風(fēng)險幾乎無法通過具體的審查措施進行絕對排除，那么對潛在風(fēng)險保有感知和預(yù)測能力就變得格外重要，其能夠通過環(huán)境要素變化提供可預(yù)期的風(fēng)險發(fā)生概率，或在風(fēng)險發(fā)生之時具有實時性的應(yīng)對能力，進而有效降低風(fēng)險造成的損害。

網(wǎng)絡(luò)安全威脅態(tài)勢感知的方式或能力建設(shè)路徑和我國網(wǎng)絡(luò)安全審查制度可能面臨的問題非常契合，可以適度進行理念引入，用以彌補審查功能在風(fēng)險控制方面的缺陷。在實踐中，各國網(wǎng)絡(luò)安全政策也普遍開始關(guān)注態(tài)勢感知的積極作用。2009年澳大利亞《國防白皮書》設(shè)立了網(wǎng)絡(luò)安全操作中心(Cyber security operational center，CSOC)，向澳大利亞政府提供全資源(all source)范疇內(nèi)的網(wǎng)絡(luò)安全態(tài)勢感知能力，并對國家層面的網(wǎng)絡(luò)安全事件提供快速而便利的應(yīng)急操作能力[9]。2009年英國《網(wǎng)絡(luò)安全戰(zhàn)略》同樣建立了CSOC，動態(tài)監(jiān)控英國網(wǎng)絡(luò)安全的健康度，提供綜合性的態(tài)勢感知能力，以更好地理解和應(yīng)對針對英國的攻擊行為[10]。2013年印度《網(wǎng)絡(luò)安全戰(zhàn)略》要求在信息技術(shù)采購供應(yīng)鏈風(fēng)險管理的各機構(gòu)之間建立針對威脅(threat)、脆弱性(vulnerability)和安全違反(breach of security)事件的感知能力[11]。

二、威脅態(tài)勢感知理念要求確立“風(fēng)險控制”的 制度價值

“在法律史的各個經(jīng)典時期，無論在古代或近代世界里，對價值準則的論證、批判或合乎邏輯的適用，都曾是法學(xué)家的主要活動?！盵12]法律價值無論被視為“法律對社會主體需求的滿足程度*該價值也被稱為法律的“實質(zhì)價值”?！?，還是“法律自身值得追求和保護的屬性*該價值也被稱為法律的“形式價值”。”，其無疑建立在強烈的主觀認知基礎(chǔ)上，不同社會主體的判斷和期待催生了愈發(fā)多元化的價值訴求。在全球網(wǎng)絡(luò)安全環(huán)境日益嚴峻的態(tài)勢下，國家網(wǎng)絡(luò)安全審查制度的積極意義無需贅言，因何建立該制度似乎變得并不那么重要。但是正如戰(zhàn)后日本向美國的持續(xù)資本滲透影響了其后十幾年美國國家安全外資審查的基本思路，由特定事件誘發(fā)的制度考量很可能會偏離應(yīng)然的法律價值，這一判斷適用于我國網(wǎng)絡(luò)安全審查制度尤為契合。

2012年前后，美國針對我國信息技術(shù)的種種限制策略是我國實施網(wǎng)絡(luò)安全審查的直接誘因。2012年10月9日，美國國會眾議院情報委員會公布針對華為和中興的調(diào)查報告*事實上，該調(diào)查并非為美國國會眾議院情報委員會發(fā)起，而是由華為公司主動申請，本質(zhì)上屬于典型的企業(yè)信息安全自證明過程，目的在于通過提升自身透明度而改善投資環(huán)境。這在國際信息安全管理及遵從過程中非常常見，但華為公司的努力顯然并沒有實現(xiàn)預(yù)期的效果。，該報告認為“華為和中興向美國關(guān)鍵基礎(chǔ)設(shè)施提供的設(shè)備存在風(fēng)險，會削弱美國國家安全的核心利益?！盵13]委員會同時向美國政府建議，要求美國政府和私營部門都不應(yīng)當(dāng)在其系統(tǒng)中使用華為和中興的設(shè)備*該建議同時包括：美國政府應(yīng)當(dāng)以懷疑的態(tài)度審查中國通信企業(yè)向美國通信市場的滲透；鼓勵美國的私營企業(yè)正視與華為和中興商業(yè)合作中存在的長期安全風(fēng)險，鼓勵美國的網(wǎng)絡(luò)提供商和系統(tǒng)開發(fā)商尋求其他合作伙伴；美國國會司法委員會應(yīng)該促進立法，以更好應(yīng)對與其他國家政府相關(guān)的電信公司所帶來的風(fēng)險，否則就不要充分信任他們來建造關(guān)鍵基礎(chǔ)設(shè)施。。這一事件在很多場合下被援引為我國建立網(wǎng)絡(luò)安全審查制度必要性的依據(jù)*例如倪光南院士曾表示，2012年美國政府以“可能威脅美國國家通信安全”為名，不允許華為、中興的產(chǎn)品進入美國市場，如果當(dāng)時有這樣的安全審查制度，我們也可以對美國企業(yè)進行類似的審查，也許可以制約美國方面對華為、中興的制裁措施。。其后，2013年3月26日，美國《2013年合并與持續(xù)撥款法案》生效，該法案第516條款限制聯(lián)邦機構(gòu)對中國信息技術(shù)系統(tǒng)進行采購*美國“2013年合并與持續(xù)撥款法案”第516條第a款規(guī)定，美國商務(wù)部、司法部、國家宇航局和國家科學(xué)基金會不得利用任何撥款采購信息技術(shù)系統(tǒng)，除非上述聯(lián)邦機構(gòu)負責(zé)人與聯(lián)邦調(diào)查局或其他適當(dāng)機構(gòu)對網(wǎng)絡(luò)間諜或破壞行為進行了風(fēng)險評估，該風(fēng)險包括由中國擁有、管理或資助的一個或多個機構(gòu)所生產(chǎn)、制造或組裝的信息技術(shù)系統(tǒng)有關(guān)的任何風(fēng)險。該條第b款規(guī)定，上述聯(lián)邦機構(gòu)不得利用任何撥款采購根據(jù)第a款規(guī)定需要進行評估的信息技術(shù)系統(tǒng)，不得采購由中國擁有、管理或資助的一個或多個機構(gòu)所生產(chǎn)、制造或組裝的信息技術(shù)系統(tǒng)，除非第a款規(guī)定的評估機構(gòu)的負責(zé)人決定并向眾議院和參議院的撥款委員會報告，該系統(tǒng)采購符合美國的國家利益。。盡管該條款飽受爭議*2013年4月4日，美國主要行業(yè)協(xié)會共同致信美國國會，請求國會審查該規(guī)定對網(wǎng)絡(luò)安全和市場競爭產(chǎn)生的影響，并就解決這一問題考慮更具有建設(shè)性的方法，主張類似條款不再出現(xiàn)在任何其他法律文件中。美國信息技術(shù)產(chǎn)業(yè)理事會(ITI)的丹妮爾·克里茲和白石撰文稱，該條款令“信息技術(shù)行業(yè)非常不滿”，“516條款所含的信息技術(shù)安全審查規(guī)定開創(chuàng)了一個非常糟糕的先例”。，但仍然得以沿用，美國《2014年合并與持續(xù)撥款法案》第515條款繼續(xù)堅持了上述對中國信息技術(shù)系統(tǒng)采購的限制策略。

鑒于上述事件產(chǎn)生的消極影響，我國2014年宣布實施的網(wǎng)絡(luò)安全審查制度在價值的判斷方面很自然地被理解為包含強烈的“反制”意味，因為按照對等原則，我國針對美國不公正的信息安全政策實施相應(yīng)的反制措施并無不妥。然而，如果僅僅將網(wǎng)絡(luò)安全審查制度的法律價值限于“以牙還牙”的反制功能，那么無疑是將網(wǎng)絡(luò)安全審查降格為一種普遍意義上的“政策工具”。盡管“反制”理念在價值選擇中天然包含“保障”要求，但這種保障是非理性的。因為其在價值判斷中并沒有將整個國家網(wǎng)絡(luò)安全的內(nèi)在要求考慮在內(nèi)，而將制度的保障價值構(gòu)建于廣泛的國別化審查思路之上?？紤]到國家網(wǎng)絡(luò)安全風(fēng)險滲透渠道的多樣性，基于反制理念的法律價值無疑將縮小安全審查的范圍，也會令國家喪失利用先進信息技術(shù)的機會。如果將信息技術(shù)供應(yīng)全球化的現(xiàn)狀考慮在內(nèi)，信息技術(shù)產(chǎn)品將可能在不同的國家進行設(shè)計、生產(chǎn)、組裝和調(diào)試，這種價值選擇顯然是毫無意義的。盡管美國種種有失理性的行徑引起了極大憤慨，但同時也起到了積極的效果——我們比以往任何時候都更為審慎地對待國家網(wǎng)絡(luò)安全問題——這也是我們重新審視網(wǎng)絡(luò)安全審查法律價值的初衷。

基于威脅態(tài)勢感知理念，對于信息技術(shù)的依賴性是我們的基本判斷，國家重要領(lǐng)域和關(guān)鍵部門的持續(xù)性運行高度依賴于廣泛部署的信息技術(shù)產(chǎn)品和服務(wù)，其安全性和可靠性成為評估國家網(wǎng)絡(luò)風(fēng)險的重要指標。與此相伴的是，網(wǎng)絡(luò)安全風(fēng)險正在變得日益嚴峻，各國政府均毫不諱言地對此表示了擔(dān)憂，例如英國認為，“不幸的是，越來越多的對手正在利用網(wǎng)絡(luò)空間竊取、危害和毀壞關(guān)鍵數(shù)據(jù)，我們的依賴性意味著我們的繁榮、關(guān)鍵基礎(chǔ)設(shè)施、工作和家庭都將受到影響?！盵14]美國通過解釋多元化的風(fēng)險來源*這些風(fēng)險包括政府重要信息資源丟失或被盜，遭受未經(jīng)授權(quán)的訪問和攻擊，敏感信息遭受身份盜竊、網(wǎng)絡(luò)間諜或其他形式的犯罪，政府關(guān)鍵部門運行的中斷，數(shù)據(jù)被篡改并用于欺詐或入侵。，表明“聯(lián)邦系統(tǒng)和基礎(chǔ)設(shè)施正在遭受日益嚴峻的網(wǎng)絡(luò)威脅?！盵15]由此可見，依賴性和風(fēng)險性是目前國家網(wǎng)絡(luò)安全的基本矛盾，同時也是網(wǎng)絡(luò)安全審查必須面對和解決的客觀現(xiàn)狀，“風(fēng)險控制”應(yīng)當(dāng)成為網(wǎng)絡(luò)安全審查制度應(yīng)然的價值選擇。

三、威脅態(tài)勢感知理念要求采用“動態(tài)監(jiān)測”的 審查方式

網(wǎng)絡(luò)安全審查中引入威脅態(tài)勢感知理念并不是全面否認現(xiàn)有審查方式的有效性，而是在預(yù)設(shè)所有審查方式都存在風(fēng)險識別疏漏或不可能性的情況下，對傳統(tǒng)審查有效性的補強。從目前我國的網(wǎng)絡(luò)安全審查法律制度來看，審查方式仍然將主要依靠測評認證，即“以網(wǎng)絡(luò)安全產(chǎn)品測評認證為基礎(chǔ)開展系統(tǒng)全面的安全審查。”[16]

但是信息技術(shù)產(chǎn)品和服務(wù)的測評認證是典型的“節(jié)點控制”方式，對于已通過測評認證但存在潛在風(fēng)險的信息技術(shù)產(chǎn)品和服務(wù)無法起到審查應(yīng)有的效果。國家信息技術(shù)安全研究中心總工李京春也曾表示過這樣的擔(dān)憂，“我們以前所做的許多測評認證工作，只是集中在信息安全產(chǎn)品本身是否達到標準，達標后的信息安全產(chǎn)品是否還存在安全風(fēng)險，存在多少、何等程度的安全風(fēng)險，誰也不知道，也很少有人關(guān)心?！盵17]

為此，有效的網(wǎng)絡(luò)安全審查應(yīng)當(dāng)是一個動態(tài)的風(fēng)險監(jiān)測過程，貫穿于信息技術(shù)產(chǎn)品部署和使用的整個生命周期，能夠通過審查活動提供必要的態(tài)勢感知的能力。在各國實踐中，態(tài)勢感知包含非常豐富的內(nèi)容，簡單歸納可以包括對當(dāng)前態(tài)勢、態(tài)勢變化和態(tài)勢預(yù)測的感知[18]，其通過常態(tài)性的安全審查實現(xiàn)對已知風(fēng)險的感知和應(yīng)對，增強對未知風(fēng)險的判斷和預(yù)測。

那么，網(wǎng)絡(luò)安全審查事實上可以劃分為兩個基本階段，第一階段是在信息技術(shù)產(chǎn)品和服務(wù)采購階段，實施建立在測評認證基礎(chǔ)上的安全審查；第二階段是在信息技術(shù)產(chǎn)品和服務(wù)使用階段，實施建立在動態(tài)監(jiān)控基礎(chǔ)上的安全審查。就國家網(wǎng)絡(luò)安全保障而言，第二階段的網(wǎng)絡(luò)安全審查往往更為重要，因為正如木桶原理一樣，國家網(wǎng)絡(luò)安全的整體水平取決于保護措施最為薄弱的環(huán)節(jié)，而持續(xù)性的動態(tài)監(jiān)控恰恰能夠識別和強化這類環(huán)節(jié)。例如，2009年，奧巴馬政府針對聯(lián)邦政務(wù)網(wǎng)絡(luò)安全開展了為期60天的網(wǎng)絡(luò)安全審查，以此來判斷聯(lián)邦層面的數(shù)據(jù)保護水平[19]。2014年，澳大利亞政府也宣布在全國范圍內(nèi)開展網(wǎng)絡(luò)安全審查，旨在評估公私領(lǐng)域的網(wǎng)絡(luò)攻擊風(fēng)險，評估政府網(wǎng)絡(luò)和信息保護水平，確保對政務(wù)和關(guān)鍵基礎(chǔ)設(shè)施威脅有足夠的應(yīng)對能力[20]。

為此，威脅態(tài)勢感知要求審查范圍從傳統(tǒng)產(chǎn)品和服務(wù)審查擴展為建立在“風(fēng)險環(huán)境”基礎(chǔ)上的“威脅態(tài)勢數(shù)據(jù)審查”。然而“數(shù)據(jù)”是個過于寬泛的概念，現(xiàn)代社會的一切信息表征都可以泛化為數(shù)據(jù)。為了保證網(wǎng)絡(luò)安全審查活動的有效性和可預(yù)測性，數(shù)據(jù)審查必須依托于具備組織性的特定審查對象，考慮到網(wǎng)絡(luò)安全風(fēng)險的持續(xù)性滲透和信息技術(shù)產(chǎn)品和服務(wù)全生命周期的安全審查要求，國家網(wǎng)絡(luò)安全審查向IT供應(yīng)鏈的擴展就成為必由路徑。

四、威脅態(tài)勢感知理念要求明確“IT供應(yīng)鏈”的 審查范圍

IT供應(yīng)鏈安全是國家網(wǎng)絡(luò)安全審查在威脅態(tài)勢感知能力建設(shè)中的重要內(nèi)容，但是并沒有引起足夠的關(guān)注。按照國家互聯(lián)網(wǎng)信息辦公室發(fā)布的公告，我國將主要針對“重要技術(shù)產(chǎn)品和服務(wù)”實行審查，這表明我國的網(wǎng)絡(luò)安全審查制度仍然沒有跳出“終端產(chǎn)品”和“直接供應(yīng)商”的審查思路。當(dāng)然，這樣的審查思路沒有錯誤，但是對于保障國家網(wǎng)絡(luò)安全而言并不充分。

(一)網(wǎng)絡(luò)安全風(fēng)險的IT供應(yīng)鏈滲透

目前，信息技術(shù)產(chǎn)品和服務(wù)的提供越來越依賴于廣泛的全球市場，出于成本和效率的考慮，大量的信息技術(shù)產(chǎn)品和服務(wù)存在業(yè)務(wù)外包的情況，復(fù)雜的供應(yīng)鏈系統(tǒng)導(dǎo)致安全邊界變得異常模糊，安全風(fēng)險具有更多的滲透途徑*其中最著名的例子是海灣戰(zhàn)爭期間，美國在伊拉克從法國采購的打印機中植入了名為Afgl的病毒，而該打印機最終被用于伊拉克防空系統(tǒng)，導(dǎo)致美國在“沙漠風(fēng)暴”行動中成功癱瘓了伊拉克的防空系統(tǒng)。而臭名昭著的震網(wǎng)病毒也被證明是通過供應(yīng)鏈感染了伊朗的核設(shè)施并通過供應(yīng)鏈系統(tǒng)快速進行傳播。。非盈利組織Safecode*該組織的全稱為：Software assurance forum for excellence in code定義了典型的IT供應(yīng)鏈結(jié)構(gòu)，其中包括供應(yīng)商采購*在該階段，采購活動的直接供應(yīng)商將選擇次級供應(yīng)商，建立交付規(guī)范，并接受相關(guān)軟硬件的交付。、產(chǎn)品開發(fā)和測試*在該階段，供應(yīng)商將建立、評估、整合和測試次級供應(yīng)商交付的組件。、產(chǎn)品交付*在該階段，供應(yīng)商將產(chǎn)品或服務(wù)交付給用戶。三個主要階段[21]，在上述任何階段中，“產(chǎn)品規(guī)格的變化，持續(xù)改進的措施，外包，內(nèi)部網(wǎng)絡(luò)重設(shè)，IT更新，技術(shù)升級過程，供應(yīng)商關(guān)系都會影響IT供應(yīng)鏈的不確定性?！盵22]為此，缺乏審查和安全保障的IT供應(yīng)鏈將是致命的，因為對于信息技術(shù)采購者而言，供應(yīng)商自身的供應(yīng)鏈安全狀況在很多情況下是不可見的，“攻擊者可能在產(chǎn)品開發(fā)、制造、生產(chǎn)或交付過程中篡改產(chǎn)品?！盵23]2015年，英國計算機應(yīng)急響應(yīng)小組(CERT)發(fā)布了專門的供應(yīng)鏈網(wǎng)絡(luò)安全報告，認為“組織的網(wǎng)絡(luò)安全水平與供應(yīng)鏈中最薄弱的環(huán)節(jié)相一致，APT攻擊能夠利用這些脆弱性?！盵24]同時列舉了包括第三方軟件供應(yīng)商*2014年，名為Dragonfly的網(wǎng)絡(luò)間諜組織承認自2011年開始就針對歐洲背景的眾多公司實施供應(yīng)鏈滲透，在最近的活動中，Dragonfly通過入侵工控系統(tǒng)(ICS)軟件供應(yīng)商的網(wǎng)站，將合法文檔替換為惡意程序，該惡意程序包含遠程訪問功能，而在源頭替換的惡意程序很難被使用者檢測到。、網(wǎng)站建設(shè)者*2014年7月，Shylock銀行木馬被英國執(zhí)法機構(gòu)和網(wǎng)絡(luò)安全組織發(fā)現(xiàn)，該木馬主要針對英國、意大利和美國的電子金融業(yè)務(wù)，攻擊者利用重定向腳本通過合法網(wǎng)站建設(shè)者發(fā)送惡意域名，將Shylock惡意程序下載并安裝到合法網(wǎng)站的系統(tǒng)和瀏覽器中。、第三方數(shù)據(jù)存儲*2013年9月，一個大型數(shù)據(jù)處理機構(gòu)被發(fā)現(xiàn)存在小型的僵尸網(wǎng)絡(luò)，該網(wǎng)絡(luò)通過加密信道將內(nèi)部系統(tǒng)中的信息傳輸給公共網(wǎng)絡(luò)中僵尸主機的控制者，這種供應(yīng)鏈威脅能夠使攻擊者訪問到通過第三方機構(gòu)存儲的有價值的信息，并可能導(dǎo)致大范圍的欺詐活動。和水坑攻擊*水坑式攻擊是指攻擊者通過分析受害者的網(wǎng)絡(luò)活動規(guī)律，在受害者經(jīng)常訪問的網(wǎng)站中預(yù)先植入攻擊代碼，等待受害者訪問時實施攻擊。在內(nèi)四類典型的IT供應(yīng)鏈風(fēng)險。盡管IT供應(yīng)鏈的安全風(fēng)險很早便在各國國家信息安全保障政策中有所體現(xiàn)*2008年，美國發(fā)布的《國家網(wǎng)絡(luò)安全綜合計劃》(CNCI)就曾建議應(yīng)當(dāng)建立多元化的全球供應(yīng)鏈風(fēng)險管理，應(yīng)對試圖通過供應(yīng)鏈滲透進行未經(jīng)授權(quán)的數(shù)據(jù)訪問、數(shù)據(jù)篡改及通信信息攔截等供應(yīng)鏈風(fēng)險。根據(jù)上述建議，美國2011年《國防授權(quán)法案》第806節(jié)授權(quán)國防部長或陸軍、海軍和空軍秘書長排除存在重大供應(yīng)鏈風(fēng)險的合同商。，但在信息技術(shù)采購中的落實情況并不理想。2012年，美國審計局(GAO)提示聯(lián)邦政府在政府采購中的信息安全脆弱性已經(jīng)顯現(xiàn)出來*在該報告中，GAO認為聯(lián)邦政府目前存在通過獨立分銷商、經(jīng)紀機構(gòu)和灰色市場進行采購的危險行為，缺乏對IT供應(yīng)商完整信息的有效掌握，缺乏對軟件更新的有效測試，使用不安全的供應(yīng)鏈分發(fā)和存儲機制，這些都會導(dǎo)致聯(lián)邦信息系統(tǒng)存在被嵌入惡意程序，使用不合格的產(chǎn)品組件，存在非惡意的漏洞，關(guān)鍵產(chǎn)品生產(chǎn)的中斷等威脅。，認為“通過全球供應(yīng)鏈提供的IT產(chǎn)品和服務(wù)存在威脅，要求聯(lián)邦機構(gòu)識別和防范IT供應(yīng)鏈風(fēng)險。”[25]

威脅態(tài)勢感知理念對于風(fēng)險的判斷和實施的控制方法與IT供應(yīng)鏈審查極為契合。在實踐中，已經(jīng)有國家將IT供應(yīng)鏈審查與威脅態(tài)勢感知在政策立法中進行結(jié)合考慮。例如，2013年印度的《國家網(wǎng)絡(luò)安全戰(zhàn)略》將IT供應(yīng)鏈安全和態(tài)勢感知進行了綜合考慮，建立了較為先進的安全審查框架。在該戰(zhàn)略中，印度明確要求建立強制性的持續(xù)信息安全審計；建立產(chǎn)品/應(yīng)用供應(yīng)商和服務(wù)提供商之間的信賴關(guān)系，改善“端到端”供應(yīng)鏈安全的“可視性”；在信息技術(shù)采購供應(yīng)鏈風(fēng)險管理的各機構(gòu)之間建立針對威脅(threat)、脆弱性(vulnerability)和安全違反(breach of security)事件的感知能力[26]。美國在《國家網(wǎng)絡(luò)安全綜合計劃》中也認為，為了應(yīng)對供應(yīng)鏈滲透的風(fēng)險，“美國需提高對威脅、脆弱性以及與采購決定相關(guān)的后果的感知能力?！盵27]同時，保證政府信息安全辦公室與戰(zhàn)略運行中心的信息共享，全面了解政府系統(tǒng)的整體威脅情況。

(二)美國內(nèi)政部IT供應(yīng)鏈審查的實證分析

威脅態(tài)勢感知理念下的IT供應(yīng)鏈審查要比產(chǎn)品和服務(wù)審查包含更多的控制要素，過于繁瑣的審查環(huán)節(jié)不僅會降低審查效率，也會令審查機構(gòu)感到無所適從。本文將以美國內(nèi)政部(DOI)針對信息技術(shù)采購的審查要求為例，梳理國家網(wǎng)絡(luò)安全審查中IT供應(yīng)鏈審查的框架。

DOI在信息技術(shù)采購中重點審查供應(yīng)商的自我聲明(SOW)，供應(yīng)商要在SOW中明確闡述對美國信息技術(shù)安全標準及相關(guān)立法的遵從情況。這樣DOI將大量的細節(jié)性審查工作轉(zhuǎn)移給供應(yīng)商，并通過“安全合同”明確供應(yīng)商的安全責(zé)任，增強“事后懲處”的效果和力度。

DOI對于不同類別的供應(yīng)商有不同的審查要求，對商業(yè)現(xiàn)貨(COTS)軟硬件供應(yīng)商僅要求其陳述質(zhì)量控制內(nèi)容，而對于開發(fā)或提供客戶端應(yīng)用服務(wù)、IT服務(wù)外包或在線支持服務(wù)的供應(yīng)商則具有廣泛的審查要求。具體而言，供應(yīng)商在SOW中需要陳述包括背景調(diào)查*DOI要求供應(yīng)商對可能訪問DOI信息系統(tǒng)的雇員進行背景調(diào)查，背景調(diào)查的細致度應(yīng)當(dāng)與處于類似職位的聯(lián)邦雇員的背景調(diào)查相一致。DOI的DM441(Position Risk and Sensitivity Level Designation)規(guī)定了具體的背景審查細節(jié)，而相關(guān)背景調(diào)查的費用也由供應(yīng)商承擔(dān)。、保密審查*任何能夠訪問DOI信息系統(tǒng)的供應(yīng)商雇員在提供相關(guān)服務(wù)之前必須與DOI簽署保密協(xié)議，未簽署保密協(xié)議的供應(yīng)商無法通過安全審查。、培訓(xùn)審查*在提供服務(wù)之前，DOI會審查供應(yīng)商雇員是否通過了DOI終端用戶計算機安全意識培訓(xùn)，該培訓(xùn)的內(nèi)容會定期更新。、位置審查*DOI要求軟件開發(fā)及其外包活動必須位于美國境內(nèi)，如果該服務(wù)需要在境外予以提供，供應(yīng)商必須提交可行的安全計劃，用以降低跨境通信、控制和數(shù)據(jù)保護的風(fēng)險。、服務(wù)標準審查*供應(yīng)商必須滿足DOI系統(tǒng)開發(fā)生命周期(SDLC)安全指南(DOI SDLC Security Integration Guide)和NIST SP800-64的具體要求。、資產(chǎn)評估審查*DOI要求供應(yīng)商必須使用DOI的資產(chǎn)評估指南(DOI Asset Valuation Guide)決定所有系統(tǒng)和數(shù)據(jù)的敏感性和風(fēng)險水平。、獨立認證審查(IV&V)*DOI要求所有的軟件更新在部署到產(chǎn)品中之前必須通過獨立的認證審查。、認證認可審查(C&A)*DOI要求主要應(yīng)用和通用性支持系統(tǒng)在投入使用前必須經(jīng)過認證認可，并且每三年需要重新進行認證，在安全環(huán)境發(fā)生變化時也需要進行重新認證。DOI要求供應(yīng)商必須遵從NIST SP800-37，800-18，800-30，800-53，800-60，F(xiàn)IP199，F(xiàn)IP200以及DOI安全測試與評估指南和DOI隱私影響評估指南的具體要求。、安全事件報告審查*供應(yīng)商必須遵從DOI計算機事件相應(yīng)指南(DOI Computer Incident Response Guide.)，對可能影響DOI數(shù)據(jù)和系統(tǒng)的安全事件進行報告。、質(zhì)量控制審查*供應(yīng)商應(yīng)當(dāng)保證所有軟硬件不帶有惡意代碼。、脆弱性分析*所有系統(tǒng)每月應(yīng)當(dāng)進行脆弱性分析，高風(fēng)險系統(tǒng)和可以接入互聯(lián)網(wǎng)的系統(tǒng)必須進行獨立的滲透測試。、登錄標示*供應(yīng)商能夠訪問DOI數(shù)據(jù)的雇員在登錄系統(tǒng)前必須接受政府批準的登錄警告。、安全控制審查*供應(yīng)商應(yīng)遵從NIST SP800-53，F(xiàn)IP199，F(xiàn)IP200有關(guān)安全控制的具體要求。、業(yè)務(wù)連續(xù)性審查*供應(yīng)商應(yīng)遵從NIST SP800-34和DOI持續(xù)性計劃指南的具體要求。等情況，上述內(nèi)容也構(gòu)成了DOI網(wǎng)絡(luò)安全審查的基本框架。

由此可見，在DOI的網(wǎng)絡(luò)安全審查中，信息技術(shù)產(chǎn)品和服務(wù)認證認可僅僅是其中的一部分，大量的審查內(nèi)容關(guān)注了IT供應(yīng)鏈中涉及人員、系統(tǒng)和環(huán)境的安全要素，并規(guī)定了由供應(yīng)商完成的安全事件報告和持續(xù)性安全審計，實現(xiàn)了態(tài)勢感知的基本要求。我國可以參照DOI的有益實踐來設(shè)計我國的網(wǎng)絡(luò)安全審查制度，但是仍然需要解決安全標準嚴重不足的問題，DOI的網(wǎng)絡(luò)安全審查在各控制域中依賴完善的信息安全標準，一方面提高了網(wǎng)絡(luò)安全審查的透明度，另一方面也為供應(yīng)商的安全遵從提供了指引。

標準化是各國實施網(wǎng)絡(luò)安全審查的基礎(chǔ)。盡管我國已經(jīng)在立法中建立了網(wǎng)絡(luò)安全審查制度，但目前在信息安全標準的建設(shè)方面發(fā)展緩慢，沒有形成具有配套性和完整性的安全標準族。當(dāng)然，在進行安全審查時可以使用ISO等國際標準，但國際標準一來僅僅提供了信息系統(tǒng)的最低安全標準，二來與我國具體國情也并不完全匹配。因此，在國家網(wǎng)絡(luò)安全審查向IT供應(yīng)鏈審查進行擴展時，我國的信息安全標準化建設(shè)也需要同步加快。

五、結(jié)語

國家網(wǎng)絡(luò)安全審查目前面臨的現(xiàn)實問題是安全風(fēng)險的“泛在化”， 傳統(tǒng)風(fēng)險防范理論正在受到越來越嚴峻的挑戰(zhàn)，風(fēng)險的絕對排除已然成為“鏡花水月”，將風(fēng)險降低到可以接受的程度就成為更為可行的選擇。威脅態(tài)勢感知以承認風(fēng)險在信息系統(tǒng)中的廣泛存在性為前提，而以風(fēng)險識別、預(yù)測、控制和處置為內(nèi)容。在國家網(wǎng)絡(luò)安全審查中，既然安全風(fēng)險幾乎無法通過具體的審查措施進行絕對排除，那么對潛在風(fēng)險保有感知和預(yù)測能力就變得格外重要，其能夠通過環(huán)境要素變化提供可預(yù)期的風(fēng)險發(fā)生概率，或在風(fēng)險發(fā)生之時具有實時性的應(yīng)對能力，進而有效降低殘余風(fēng)險造成的損害。當(dāng)然，在網(wǎng)絡(luò)安全審查中引入威脅態(tài)勢感知并不是全面否認現(xiàn)有審查方式的有效性，而是在預(yù)設(shè)所有審查方式都存在風(fēng)險識別疏漏或不可能性的情況下，對傳統(tǒng)審查方式有效性的補強，其強調(diào)常態(tài)性的安全審查，也就是建立動態(tài)的風(fēng)險“過程控制”體系。那么，圍繞“終端產(chǎn)品”和“直接供應(yīng)商”的審查范圍顯然過于狹窄，網(wǎng)絡(luò)安全審查向IT供應(yīng)鏈進行擴展是十分必要的。但是DOI在網(wǎng)絡(luò)安全審查中的實踐也表明，IT供應(yīng)鏈審查將比現(xiàn)有的“產(chǎn)品和服務(wù)安全性和可控性”審查要復(fù)雜很多，為了提高審查效率、增加透明度、明確指引性，我國相關(guān)的信息安全標準體系建設(shè)也需要同步加快。

[1] 左曉棟.近年中美網(wǎng)絡(luò)安全貿(mào)易糾紛回顧及其對網(wǎng)絡(luò)安全審查制度的啟示[J].中國信息安全，2014(8)：69-72.

[2] 馬民虎，李江鴻.我國信息安全法的法理念探析[J]. 西安交通大學(xué)學(xué)報(社會科學(xué)版)，2007(5)：74-80.

[3] 李雙元、蔣新苗、沈紅宇.法律理念的內(nèi)涵與功能初探[J].湖南師范大學(xué)社會科學(xué)學(xué)報，1997(4)：53-55.

[4] 左曉棟.以務(wù)實態(tài)度對待網(wǎng)絡(luò)安全審查制度[J].中國信息安全，2015(5)：88-89.

[5] PETER SWIRE, KENESA AHMAD. Encryption and globalization[M]. The Columbia Science & technology law review, spring 2012:416-481.

[6] ENDSLEY MR. Design and evaluation for situation awareness enhancement[M]. Human Factors Society 32nd Annual Meeting. Santa Monica, California; 1988: 97-101.

[7] ARNBORG S, ARTMAN H, BRYNIELSSON J, WALLENIUS K. Information awareness in command and control: precision, quality, utility [EB/OL].[2015-12-10]. http://www.csc.kth.se/～joel/iq.pdf.

[8] 劉超.網(wǎng)絡(luò)安全態(tài)勢感知在網(wǎng)絡(luò)安全監(jiān)控中的作用[J].信息安全與技術(shù)，2011(12)：30-32.

[9] MICHAEL LEE.Australian Defence White Paper emphasises need for cybersecurity[EB/OL].[2015-12-02].http://www.zdnet.com/article/australian-defence-white-paper-emphasises-need-for-cybersecurity

[10] PRIME MINISTER. Cyber Security Strategy of the United Kingdom safety, security and resilience in cyber space[R].UK,2009:5.

[11] MINISTRY OF COMMUNICATION AND INFORMATION TECHNOLOGY. Department of electronics and information technology, national cyber security policy[R].India,2013:9.

[12] 龐德.通過法律的社會控制[M].北京：商務(wù)印書館，1984：55.

[13] U,S. House of Representatives. Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE[R]. 112th Congress,2012:5.

[14] THE CABINET OFFICE. The UK Cyber Security Strategy Protecting and promoting the UK in a digital world[R].UK,2011:15.

[15] GAO. Information security: Cyber Threats and Vulnerabilities Place Federal Systems at Risk[R].GAO,2009:2.

[16] 陳月華，馮偉.來自安全審查的網(wǎng)絡(luò)風(fēng)險整治力量[J]. 信息安全與通信保密，2014(9)：33-34.

[17] 李雪，楊晨.對話專家，建言審查[J]. 信息安全與通信保密，2014(8)：27-33.

[18] P BARFORD, M DACIER, T G.Dietterich. Cyber SA: Situational Awareness for Cyber Defense[J]. the series Advances in Information Security ,2009(9)：3-4.

[19] ANGELA MOSCARITOLO. Obama orders 60-day cybersecurity review[EB/OL]. [2015-12-04]. http://www.scmagazine.com/obama-orders-60-day-cybersecurity-review/article/127141/

[20] SIMON SHARWOOD. Australia to conduct national cyber-security review[EB/OL]. [2015-12-04]. http://www.theregister.co.uk/2014/11/27/australia_to_conduct_national_cybersecurity_review/

[21] STACY SIMPSON.The Software Supply Chain Integrity Framework：Defining Risks and Responsibilities for Securing Software in the Global Supply Chain[R].Safecode,2009:6.

[22] HELEN PECK. Drivers of supply chain vulnerability: an integrated framework[J].International Journal of Physical Distribution & Logistics Management, 2005(4)：210-232.

[23] SCOTT CHARNEY，ERIC T WERNER. Cyber Supply Chain Risk Management: Toward a Global Vision of Transparency and Trust[R].Microsoft，2011:1.

[24] CERT-UK.Cyber-security risks in the supply chain[R].UK,2015:3.

[25] GAO. IT Supply Chain National Security-Related Agencies Need to Better Address Risks[R]. USA, 2012:6.

[26] MINISTRY OF COMMUNICATION AND INFORMATION TECHNOLOGY. Department of electronics and information technology, national cyber security policy[R].India,2013:8-9.

[27] THE WHITE HOUSE. The Comprehensive National Cybersecurity Initiative[R].US,2008:5.

(責(zé)任編輯：馮 蓉)

The Model of National Cyber Security Review Legal System under the Threat Situational Awareness Horizon

MA Minhu, MA Ning

(School of Law, Xi′an Jiaotong University，Xi′an 710049，China)

The national cyber security review system must face the thorny issue of "risk residual", because the improvement of cyber security situation is not optimistic though most countries have alredy established review system or process in order to make the information technology products and services safe. The root cause of the low utility of cyber security review is that the risk is ubiquitous. On the basis of the above anaysis, this paper suggests that the national cyber security review system should change the current "node control" review method, and emphasizes that the state retain the ability to perceive and respond to the risks in real time. In this case, the threat situation awareness can be used as a concept in the process of model of national cyber security review legal system, which requires to establish the system value of "risk control", to use the dynamic monitoring review mode, and to make the "IT supply chain" review scope clear.

national cyber security review; threat situational awareness; risk control; dynamic monitoring; IT supply chain

10.15896/j.xjtuskxb.201602010

2015-12-13

國家社會科學(xué)基金重大項目(15ZDA047)；國家社會科學(xué)基金項目(15BFX050)

馬民虎(1958- )，男，西安交通大學(xué)法學(xué)院教授，博士生導(dǎo)師。

D035.29

A

1008-245X(2016)02-0065-08