韋銀星 鐘 宏 鄭 均

(中興通訊股份有限公司 南京 210012)

通信設(shè)備和系統(tǒng)是網(wǎng)絡(luò)空間中關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,由于安全威脅和防御的不對(duì)稱性和系統(tǒng)固有的脆弱性,這些設(shè)備和系統(tǒng)容易受到攻擊和破壞.一方面,全球性的網(wǎng)絡(luò)安全威脅和網(wǎng)絡(luò)犯罪十分猖獗,Verizon數(shù)據(jù)泄露調(diào)查報(bào)告(2022年)深入挖掘了全球多個(gè)行業(yè)的網(wǎng)絡(luò)安全狀況,分析了23896起網(wǎng)絡(luò)安全事件和5212起經(jīng)證實(shí)的數(shù)據(jù)泄露,報(bào)告指出82%的數(shù)據(jù)泄露涉及人為因素[1];另一方面,信息系統(tǒng)存在大量的安全漏洞,截至2022年11月13日,公開批露的CVE(common vulnerabilities and exposures)漏洞達(dá)188902件,其中嚴(yán)重漏洞占10.6%,高危漏洞占19.6%[2].因此,網(wǎng)絡(luò)空間中關(guān)鍵基礎(chǔ)設(shè)施面臨著巨大的安全風(fēng)險(xiǎn).

解決網(wǎng)絡(luò)空間安全問題是一個(gè)復(fù)雜的系統(tǒng)工程.本文從產(chǎn)品安全治理的角度研究如何保障供應(yīng)商交付安全可信的產(chǎn)品和服務(wù),從而減緩網(wǎng)絡(luò)空間安全風(fēng)險(xiǎn),提升監(jiān)管機(jī)構(gòu)和客戶的信任.

1 相關(guān)研究工作

保障供應(yīng)商交付安全可信的產(chǎn)品和服務(wù),不單純是技術(shù)問題,也是安全治理問題,涉及組織、人員、流程和技術(shù).相關(guān)研究工作如下:

1) 信息安全治理.IT治理研究所指出信息安全治理保護(hù)的對(duì)象是組織的信息資產(chǎn),并提出安全治理的5個(gè)目標(biāo)、角色和職責(zé)以及治理框架[3-4].Ahuja等人[5]結(jié)合ISO/IEC 38500治理框架實(shí)現(xiàn)信息安全治理;Ohki等人[6]提出信息安全治理框架幫助企業(yè)高管指導(dǎo)、監(jiān)控和評(píng)估信息系統(tǒng)相關(guān)的活動(dòng);Volchkov[7]提出3級(jí)控制框架:戰(zhàn)略、戰(zhàn)術(shù)和運(yùn)營來建模信息安全治理的活動(dòng).這些研究提供了有益的安全治理思路,但是其關(guān)注的對(duì)象是組織的信息資產(chǎn),而本文的研究對(duì)象是供應(yīng)商交付的產(chǎn)品和服務(wù),二者有明顯差異.

2) 網(wǎng)絡(luò)安全治理.嚴(yán)寒冰[8]提出網(wǎng)絡(luò)安全治理是國家治理體系和治理能力的客觀要求,強(qiáng)調(diào)從源頭上提供網(wǎng)絡(luò)安全技術(shù)保障能力.De Bruin等人[9]指出網(wǎng)絡(luò)安全不只是技術(shù)問題,已經(jīng)發(fā)展到業(yè)務(wù)問題.網(wǎng)絡(luò)安全治理應(yīng)關(guān)注能力、威脅、法律和合規(guī)等方面.Bodeau等人[10]提出網(wǎng)絡(luò)安全治理是企業(yè)治理的組成部分,包括戰(zhàn)略整合、相關(guān)學(xué)科、高管參與、風(fēng)險(xiǎn)緩解和分析等方面.這些研究從多個(gè)角度探討網(wǎng)絡(luò)安全治理,而本文是關(guān)于產(chǎn)品安全治理的內(nèi)容,二者在研究對(duì)象和技術(shù)方法上存在不同.

3) 軟件安全治理.Hamou-Lhadj等人[11]在構(gòu)建安全軟件的組織框架中,提出該框架由4個(gè)部分組成:治理、人員、過程和技術(shù).該研究對(duì)組織模型與治理的結(jié)合缺少具體的描述.

4) 安全策略.ComplianceForge[12]描述網(wǎng)絡(luò)安全治理框架的整體視圖,說明內(nèi)部外部影響因素、策略、控制目標(biāo)、標(biāo)準(zhǔn)、指南、控制、風(fēng)險(xiǎn)、過程和度量之間的關(guān)系.該框架沒有提供具體的指導(dǎo);Landoll[13]指出在開發(fā)信息安全策略時(shí)可基于安全策略框架,如:ISO/IEC 27001,美國FISMA(Federal Information Security Management Act),ISACA COBIT(control objectives for information and related technology).這些方法是針對(duì)信息安全策略的制定,難以直接用于產(chǎn)品安全策略的制定.

5) 其他研究.Ross等人[14]提出構(gòu)建安全可信的系統(tǒng).ISO/IEC 27014制定信息安全治理框架,提出治理機(jī)構(gòu)與管理分離,通過戰(zhàn)略和策略推動(dòng)安全管理活動(dòng)[15]. IIA(The Institute of Internal Auditors)[16]提出三線模型的框架,CRO(Chief Risk Officers)論壇[17]對(duì)三線模型進(jìn)行了分析.這些研究側(cè)重于特定的技術(shù)領(lǐng)域,本文綜合這些領(lǐng)域的研究成果并在產(chǎn)品安全治理框架中應(yīng)用.

2 產(chǎn)品安全內(nèi)涵

本文關(guān)注的是直接提供產(chǎn)品和服務(wù)的組織,如設(shè)備供應(yīng)商.本文提到的產(chǎn)品是指ICT(information and communications technology)產(chǎn)品[18],包括軟件和硬件(含軟件)產(chǎn)品,其產(chǎn)品安全上下文如圖1所示.

圖1 產(chǎn)品安全上下文

圖1描述了端到端產(chǎn)品安全保障的重要環(huán)節(jié),包括提供產(chǎn)品和服務(wù)的公司、公司的供應(yīng)商、公司的客戶和第三方機(jī)構(gòu).公司是產(chǎn)品安全保障的主體,產(chǎn)品安全除了交付基本的安全特性和安全方案外,還包括供應(yīng)鏈安全、研發(fā)安全、交付安全、安全事件響應(yīng)和安全審計(jì),作為一個(gè)完整的安全體系,產(chǎn)品安全還需要信息安全和業(yè)務(wù)連續(xù)性管理的支撐.在供應(yīng)商方面,需考慮原材料、外購件和開源組件的安全性.在客戶方面,公司需要向客戶安全交付運(yùn)營網(wǎng)絡(luò).公司接受第三方機(jī)構(gòu)對(duì)其產(chǎn)品、服務(wù)和流程的安全評(píng)估和審計(jì).公司的產(chǎn)品安全策略要求延伸到供應(yīng)商和客戶:通過SLA(service-level agreement)把公司的要求傳遞給供應(yīng)商,產(chǎn)品和服務(wù)交付到客戶現(xiàn)場后仍需保障產(chǎn)品安全.產(chǎn)品交付給客戶后,資產(chǎn)的所有者出現(xiàn)了轉(zhuǎn)移,產(chǎn)品安全的目標(biāo)是向客戶交付安全可信的產(chǎn)品和服務(wù),這個(gè)特點(diǎn)與傳統(tǒng)的公司信息安全有顯著的差異,后者目標(biāo)是保護(hù)組織內(nèi)的信息資產(chǎn).

產(chǎn)品安全目前沒有統(tǒng)一的定義,參考CyBOK(the cyber security body of knowledge)的描述[19],本文給出的產(chǎn)品安全定義如下:產(chǎn)品安全是指遵循法律法規(guī)、安全標(biāo)準(zhǔn)、安全最佳實(shí)踐和組織的安全策略,保護(hù)系統(tǒng)(產(chǎn)品和相關(guān)基礎(chǔ)設(shè)施)、系統(tǒng)中的數(shù)據(jù),以及系統(tǒng)所提供的服務(wù)免受攻擊、破壞或未授權(quán)的訪問,以實(shí)現(xiàn)滿足利益相關(guān)方需要的、安全可信的產(chǎn)品和服務(wù),是人員、流程、技術(shù)和工具的全體.產(chǎn)品安全概念要素如圖2所示:

圖2 產(chǎn)品安全概念要素

產(chǎn)品安全概念不僅僅涉及安全技術(shù),也涉及安全治理問題,包括外部法律法規(guī)要求、安全策略、組織、人員、流程和技術(shù).產(chǎn)品安全治理是公司治理的1個(gè)子集,它為安全活動(dòng)提供戰(zhàn)略方向并確保實(shí)現(xiàn)目標(biāo),確保產(chǎn)品安全風(fēng)險(xiǎn)得到妥善管理,公司資源得到有效利用.

產(chǎn)品安全治理有助于實(shí)現(xiàn)5個(gè)方面的組織目標(biāo):

1) 戰(zhàn)略對(duì)齊.產(chǎn)品安全與業(yè)務(wù)戰(zhàn)略保持一致來支持組織目標(biāo)的實(shí)現(xiàn).對(duì)于供應(yīng)商來說,交付產(chǎn)品和服務(wù)通常是其核心業(yè)務(wù)戰(zhàn)略,產(chǎn)品安全的目標(biāo)是交付安全可信的產(chǎn)品,二者的戰(zhàn)略是一致的.

2) 有效風(fēng)險(xiǎn)管理.交付的產(chǎn)品和服務(wù)本身可能存在安全漏洞,需要采取管理、技術(shù)、物理措施來管理和減輕安全風(fēng)險(xiǎn).產(chǎn)品安全本身就是解決安全風(fēng)險(xiǎn)的,通過執(zhí)行適當(dāng)?shù)拇胧┕芾砗蜏p輕風(fēng)險(xiǎn),并將對(duì)產(chǎn)品和服務(wù)的潛在影響降低到可接受的水平,從而進(jìn)行有效的風(fēng)險(xiǎn)管理.

3) 價(jià)值交付.通過優(yōu)化產(chǎn)品安全投資支持組織交付價(jià)值.安全是產(chǎn)品和服務(wù)的內(nèi)在屬性,實(shí)現(xiàn)產(chǎn)品安全自然也實(shí)現(xiàn)了價(jià)值交付.

4) 資源管理.通過有效使用產(chǎn)品安全知識(shí)和基礎(chǔ)設(shè)施進(jìn)行資源管理.產(chǎn)品安全作為產(chǎn)品組合管理的一項(xiàng)指標(biāo),影響公司對(duì)各個(gè)項(xiàng)目進(jìn)行投資的決策,從而支持資源的管理.

5) 績效測量.通過測量、監(jiān)控和報(bào)告產(chǎn)品安全治理指標(biāo)確保實(shí)現(xiàn)組織目標(biāo)的績效測量.在交付產(chǎn)品和服務(wù)的運(yùn)行過程中會(huì)產(chǎn)生各種產(chǎn)品安全的度量數(shù)據(jù),支持組織的績效測量.

綜上可知,產(chǎn)品安全是一個(gè)公司安全治理問題,可通過組織、人員、流程、技術(shù)等視角來系統(tǒng)地解決產(chǎn)品安全治理.下面重點(diǎn)從組織和流程的角度來研究產(chǎn)品安全治理.

3 產(chǎn)品安全治理組織結(jié)構(gòu)

信息安全治理的組件包括戰(zhàn)略規(guī)劃、組織結(jié)構(gòu)、角色和職責(zé)、企業(yè)架構(gòu)、策略和指南[20-21].

在信息安全的上下文中,Volchkov[7]指出安全組織包括ISMS(information security management system)框架內(nèi)的不同功能、組織單元、角色和職責(zé).如果負(fù)責(zé)安全的組織機(jī)構(gòu)存在缺陷,公司可能無法明確承擔(dān)某些責(zé)任,從而導(dǎo)致流程出現(xiàn)缺陷并削弱公司對(duì)其資產(chǎn)的保護(hù).

Kiely等人[22]指出了典型的組織實(shí)體、安全系統(tǒng)的關(guān)鍵要素以及這些要素之間的動(dòng)態(tài)關(guān)系,確定了人員、流程、技術(shù)和組織戰(zhàn)略4個(gè)元素.

要執(zhí)行的基本安全治理功能在各個(gè)組織之間本質(zhì)上是相同的,ISO/IEC 27014在更廣泛的背景下說明了這些框架、角色和職責(zé)、戰(zhàn)略和策略,并通過策略連接組織的戰(zhàn)略和流程[15].

上述研究沒有展示清晰統(tǒng)一的安全組織結(jié)構(gòu),也沒有展現(xiàn)職責(zé)分離和避免潛在的利益沖突.三線模型具體規(guī)定了屬于管理層的一線和二線職能,三線職能由內(nèi)控審計(jì)提供,通過對(duì)理事機(jī)構(gòu)負(fù)責(zé)來強(qiáng)調(diào)獨(dú)立性.本文提出在產(chǎn)品安全治理組織體系中應(yīng)用三線模型[16-17],在三線模型的框架下對(duì)產(chǎn)品安全治理組織要素進(jìn)行定義、分配和實(shí)施(如圖3所示),從而有效地解決了上述問題.

董事會(huì)/審計(jì)委員會(huì):董事會(huì)最終對(duì)治理負(fù)責(zé),并建立適當(dāng)?shù)慕M織結(jié)構(gòu)和程序,以實(shí)現(xiàn)本組織的目標(biāo).董事會(huì)將責(zé)任和能力下放給產(chǎn)品安全委員會(huì)(管理層)開展產(chǎn)品安全治理工作.董事會(huì)設(shè)立內(nèi)部審計(jì)職能,并監(jiān)督產(chǎn)品安全、風(fēng)險(xiǎn)管理和內(nèi)部控制的活動(dòng).

產(chǎn)品安全委員會(huì):作為公司產(chǎn)品安全工作的最高決策機(jī)構(gòu),負(fù)責(zé)制定公司產(chǎn)品安全戰(zhàn)略及在一線和二線部署資源;確定公司產(chǎn)品安全工作戰(zhàn)略方向和目標(biāo);審議產(chǎn)品安全規(guī)劃;決策產(chǎn)品安全相關(guān)重大議題等,并定期向董事會(huì)報(bào)告風(fēng)險(xiǎn)和成果.

一線(業(yè)務(wù)單位):業(yè)務(wù)單位通常為內(nèi)部和外部客戶提供產(chǎn)品和服務(wù),是產(chǎn)品安全治理的第一線.各業(yè)務(wù)單位通過自我規(guī)劃、執(zhí)行、檢測、改進(jìn),實(shí)現(xiàn)產(chǎn)品安全自我控制,管理其業(yè)務(wù)活動(dòng)中固有的安全風(fēng)險(xiǎn).

二線(產(chǎn)品安全部):產(chǎn)品安全部是產(chǎn)品安全治理的第二線.產(chǎn)品安全部支撐產(chǎn)品安全委員會(huì)制定公司產(chǎn)品安全方針和中長期規(guī)劃;牽頭產(chǎn)品安全相關(guān)流程和規(guī)范的頂層設(shè)計(jì),并推動(dòng)實(shí)施;進(jìn)行安全測評(píng),檢查、監(jiān)督、評(píng)估一線產(chǎn)品安全工作;負(fù)責(zé)產(chǎn)品安全事件管理和信息披露.

三線(內(nèi)控審計(jì)):內(nèi)控審計(jì)負(fù)責(zé)審計(jì)一線和二線的工作,是產(chǎn)品安全治理的第三線.內(nèi)控審計(jì)定期向董事會(huì)/審計(jì)委員會(huì)匯報(bào)安全審計(jì)情況.

產(chǎn)品安全治理還涉及一些其他支持團(tuán)隊(duì),如人力資源、戰(zhàn)略及投資、運(yùn)營管理、公共事務(wù)和法律合規(guī)等.

4 產(chǎn)品安全策略

為符合法律法規(guī)、標(biāo)準(zhǔn)、最佳實(shí)踐和客戶的安全要求,體現(xiàn)高層管理人員應(yīng)盡的責(zé)任,公司可制定產(chǎn)品安全策略.產(chǎn)品安全策略為公司產(chǎn)品安全治理的建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)提供方向指導(dǎo),同時(shí)為公司產(chǎn)品的安全評(píng)估和審計(jì)提供依據(jù).

產(chǎn)品安全策略規(guī)定了產(chǎn)品安全有關(guān)的規(guī)則集,涵蓋硬件、軟件、數(shù)據(jù)、人員、過程、設(shè)施、物料等方面的安全要求.產(chǎn)品安全策略反映了管理層的意圖、期望和指導(dǎo)方向,體現(xiàn)了公司的戰(zhàn)略,可被視為公司產(chǎn)品安全治理的“憲法”.

多個(gè)安全標(biāo)準(zhǔn)和最佳實(shí)踐定義了安全策略的要求:NIST SP800-218定義SDLC(software development life cycle)和維護(hù)中軟件開發(fā)基礎(chǔ)設(shè)施安全的策略,定義基于風(fēng)險(xiǎn)的軟件架構(gòu)和設(shè)計(jì)需求的策略(如模塊化、隔離、避免未文檔化的命令和設(shè)置、提供安全部署和運(yùn)維特性),定義SDLC和維護(hù)中軟件開發(fā)過程安全的策略,定義SDLC門控點(diǎn)處驗(yàn)證合規(guī)的策略,定義制品歸檔的策略,確保策略覆蓋全生命周期[23].其他標(biāo)準(zhǔn)如新思BSIMM(building security in maturity model)、PCI SLC(software lifecycle)、OWASP SAMM(software assurance maturity model)、NIST SP800-160v1、NIST CSF(cybersecurity framework)、IEC 62443-2-1、ISO/IEC 27001、ISACA COBIT等規(guī)范中也定義了安全策略相關(guān)的要求.

ComplianceForge層次化網(wǎng)絡(luò)安全治理框架從總體上說明安全策略在整個(gè)框架中的位置,其中策略來源包括公司高層的要求、法律法規(guī)、標(biāo)準(zhǔn)、最佳實(shí)踐[12].

開發(fā)安全策略時(shí)基于策略框架,制定信息安全策略通常參照ISO/IEC 27001/2、美國FISMA、ISACA COBIT[13],但是產(chǎn)品安全與信息安全在保護(hù)對(duì)象、目標(biāo)上有顯著的差別,如表1所示:

表1 安全策略框架的對(duì)比

在表1中,面向保護(hù)信息資產(chǎn)的類似策略框架有:ISF SOGP(standard of good practice for information security),ISACA COBIT,NSIT CSF等;面向交付安全可信產(chǎn)品的類似策略框架有:微軟SDL(security development lifecycle)、GSMA NESAS(network equipment security assurance scheme)、新思BSIMM、ISO/IEC 27034等.

本文提出產(chǎn)品安全策略體系應(yīng)具有4個(gè)特性:1)符合性(conformance)——產(chǎn)品安全策略完全符合NIST SP800-160v1中各過程的結(jié)果(outcomes);2)完備性(completeness)——外部主流的產(chǎn)品安全管理類要求,90%以上都能匹配對(duì)應(yīng)的策略要求;3)可靠性(soundness)——每個(gè)安全策略要求都有可靠的來源,如法規(guī)、標(biāo)準(zhǔn)、客戶要求;4)有效性(effectiveness)——每條安全策略要求都在規(guī)范和項(xiàng)目層面落地執(zhí)行以及產(chǎn)品安全策略體系支持外部認(rèn)證和評(píng)估.

組織通過系統(tǒng)生命周期過程中定義的過程組來創(chuàng)建滿足需要的產(chǎn)品和服務(wù).ISO/IEC/IEEE 24748-1:2018描述了4個(gè)過程組(協(xié)議過程組、組織項(xiàng)目使能過程組、技術(shù)管理過程組和技術(shù)過程組)及其關(guān)系,其中每個(gè)過程組由1組過程構(gòu)成[24],NIST SP800-160v1對(duì)系統(tǒng)生命周期過程中的各個(gè)方面提出了安全要求[14],如圖4中虛框所示.

從產(chǎn)品安全策略的完備性角度看,NIST SP800-160v1定義的安全要求還不足以支持整個(gè)產(chǎn)品安全策略體系,本文提出產(chǎn)品安全策略體系的建立方法分為2個(gè)方面(如圖4所示):1)策略體系組織.策略按照系統(tǒng)生命周期過程的層次進(jìn)行組織,即過程組→過程→策略→策略要求,這種組織方式便于產(chǎn)品安全策略的持續(xù)迭代擴(kuò)展以適應(yīng)內(nèi)外部要求的變化.2)策略體系內(nèi)容.NIST SP800-160v1每個(gè)過程的結(jié)果可轉(zhuǎn)化為一條安全策略,但是這些安全要求相對(duì)比較寬泛且難以覆蓋一些具體要求,如GSMA NESAS、新思BSIMM和英國NCSC(National Cyber Security Centre)供應(yīng)商安全評(píng)估等.本文提出在相應(yīng)的過程中擴(kuò)展這些具體的安全要求:在圖4技術(shù)過程組的實(shí)現(xiàn)過程中,除了滿足NIST SP800-160v1中實(shí)現(xiàn)過程的安全要求外,還需要滿足安全編碼要求、源代碼審查要求、版本構(gòu)建要求;在圖4技術(shù)過程組的獲取過程中,除了滿足NIST SP800-160v1中獲取過程的安全要求外,還需要滿足供應(yīng)商安全管理要求、供應(yīng)商安全協(xié)議要求、供應(yīng)商安全評(píng)估要求和第三方組件安全要求.類似地,可以將適用的安全標(biāo)準(zhǔn)、最佳實(shí)踐、法規(guī)要求和組織的內(nèi)部要求融入到此策略框架中,從而建立一套產(chǎn)品安全策略體系.每條產(chǎn)品安全策略通過一組策略要求來描述,直接約束組織下層規(guī)范的細(xì)化和項(xiàng)目的實(shí)際執(zhí)行.

產(chǎn)品安全策略的落地實(shí)施可遵循PDCA(plan-do-check-act)方法論.

1) 規(guī)劃(P):依據(jù)法律法規(guī)、安全標(biāo)準(zhǔn)、安全最佳實(shí)踐和客戶安全要求等規(guī)定產(chǎn)品生命周期中安全策略要求.

2) 執(zhí)行(D):產(chǎn)品安全策略要求在產(chǎn)品安全文檔體系(標(biāo)準(zhǔn)、規(guī)程、指導(dǎo)書和記錄)中落實(shí).

3) 檢查(C):對(duì)策略要求的落地進(jìn)行對(duì)照分析,建立安全策略對(duì)照看板,檢查安全策略的實(shí)現(xiàn)程度,識(shí)別差距項(xiàng).

4) 行動(dòng)(A):從策略要求、組織規(guī)范和落地執(zhí)行等方面對(duì)識(shí)別的差距項(xiàng)進(jìn)行改進(jìn).

產(chǎn)品安全策略可以帶來多方面的好處:1)統(tǒng)一外部的監(jiān)管要求、安全標(biāo)準(zhǔn)、最佳實(shí)踐和客戶要求,屏蔽外部要求的復(fù)雜性和多樣性,使得公司的規(guī)范體系保持相對(duì)穩(wěn)定;2)建立客戶和監(jiān)管機(jī)構(gòu)對(duì)公司治理體系的信任;3)管理者清晰地了解外部要求在公司內(nèi)部的落地情況,減緩合規(guī)風(fēng)險(xiǎn);4)員工可以清晰地了解各個(gè)產(chǎn)品安全崗位的工作要求.

5 結(jié) 語

本文的主要貢獻(xiàn)如下:提出產(chǎn)品安全的概念和上下文,指出產(chǎn)品安全屬于安全治理的范疇;在三線模型的框架下對(duì)產(chǎn)品安全治理組織要素進(jìn)行定義、分配和實(shí)施,為業(yè)界應(yīng)用三線模型提供了一個(gè)范例;提出基于NIST SP800-160v1的安全策略框架建立產(chǎn)品安全策略體系,以及產(chǎn)品安全策略體系的構(gòu)建和實(shí)施方法.這些研究結(jié)果已在中興通訊的產(chǎn)品安全實(shí)踐中得到應(yīng)用,取得了良好的治理效果[25].本質(zhì)上,這些研究成果適用于所有ICT軟硬件供應(yīng)商的產(chǎn)品安全治理.作為完整的治理模型,涉及多個(gè)組件[20-21],下一步的研究是產(chǎn)品安全人員的崗位能力模型:知識(shí)、技能和評(píng)估;端到端開發(fā)生命周期的技術(shù)問題,如基本的安全原則、需求架構(gòu)、設(shè)計(jì)和測試;產(chǎn)品安全度量;產(chǎn)品安全策略體系的具體要求和評(píng)估.