鏈接
美國(guó)的網(wǎng)絡(luò)安全審查
網(wǎng)絡(luò)安全審查,就是對(duì)關(guān)系國(guó)家安全和社會(huì)穩(wěn)定信息系統(tǒng)中使用的信息技術(shù)產(chǎn)品與服務(wù)進(jìn)行測(cè)試評(píng)估、監(jiān)測(cè)分析、持續(xù)監(jiān)督的過程。
2000年,美國(guó)率先在國(guó)家安全系統(tǒng)中對(duì)采購(gòu)的產(chǎn)品進(jìn)行安全審查,隨后陸續(xù)針對(duì)聯(lián)邦政府云計(jì)算服務(wù)、國(guó)防供應(yīng)鏈等出臺(tái)了安全審查政策,實(shí)現(xiàn)了對(duì)國(guó)家安全系統(tǒng)、國(guó)防系統(tǒng)、聯(lián)邦政府系統(tǒng)的全面覆蓋。審查對(duì)象不僅涉及產(chǎn)品和服務(wù),還會(huì)針對(duì)產(chǎn)品和服務(wù)提供商。隨后,美國(guó)等西方國(guó)家為保障國(guó)家安全、防范供應(yīng)鏈安全風(fēng)險(xiǎn),逐步建立了多種形式的網(wǎng)絡(luò)安全審查制度。將全方位、綜合性的供應(yīng)鏈安全審查對(duì)策上升至國(guó)家戰(zhàn)略高度。
美國(guó)網(wǎng)絡(luò)安全審查標(biāo)準(zhǔn)和過程是不公開的。美國(guó)對(duì)供應(yīng)鏈安全審查的過程、標(biāo)準(zhǔn)、機(jī)制完全封閉,不披露原因和理由,不接受供應(yīng)方申訴。主要考慮對(duì)國(guó)家安全、司法和公共利益的潛在影響,且其審查沒有明確的時(shí)間限制。
美國(guó)安全審查的要害之一,是安全審查結(jié)果具有強(qiáng)制性。美國(guó)國(guó)家安全系統(tǒng)委員會(huì)發(fā)布的《國(guó)家信息安全保障采購(gòu)政策》規(guī)定,進(jìn)入國(guó)家安全系統(tǒng)的信息技術(shù)產(chǎn)品必須通過審查。美國(guó)政府發(fā)布的《聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理計(jì)劃》,要求為聯(lián)邦政府提供云計(jì)算服務(wù)的服務(wù)商,必須通過安全審查、獲得授權(quán);聯(lián)邦政府各部門不得采用未經(jīng)審查的云計(jì)算服務(wù)。
美國(guó)網(wǎng)絡(luò)安全審查的內(nèi)容不局限于技術(shù)。美國(guó)聯(lián)邦政府要求,不僅要審查產(chǎn)品安全性能指標(biāo),還要審查產(chǎn)品的研發(fā)過程、程序、步驟、方法、產(chǎn)品的交付方法等,要求企業(yè)自己證明產(chǎn)品已經(jīng)達(dá)到了規(guī)定的安全強(qiáng)度。
美國(guó)要求被審查企業(yè)簽署網(wǎng)絡(luò)安全協(xié)議,協(xié)議通常包括:通信基礎(chǔ)設(shè)施必須位于美國(guó)境內(nèi);通信數(shù)據(jù)、交易數(shù)據(jù)、用戶信息等僅存儲(chǔ)在美國(guó)境內(nèi);若外國(guó)政府要求訪問通信數(shù)據(jù)必須獲得美國(guó)司法部、國(guó)防部、國(guó)土安全部的批準(zhǔn);配合美國(guó)政府對(duì)員工實(shí)施背景調(diào)查等。