网络服务安全审查与安全可控评价指标建设思考

■中国银行数据中心 陈旦；中国信息安全测评中心 李斌；清华大学 叶晓俊

根据《国家安全法》的规定，我国将建立国家网络安全审查制度。《网络安全法》第三十六条也要求“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当组织国家安全审查”。2017 年6月1日起实施的《网络产品和服务安全审查办法》(简称《审查办法》)进一步明确要求我国重点行业和领域主管部门，组织开展本行业、本领域网络产品和服务安全审查工作。本文将讨论面向第三方审查机构执行安全审查所需的安全可控评价指标建设框架，并给出安全审查过程和安全可控评价指标建设思路。

一、网络服务质量评价

网络服务已有的质量模型、度量指标、服务可 信准则等标准与最佳实践可为我国网络服务安全审查和安全可控评价指标建设提供参考。

1. 服务质量模型

国际标准化组织 ISO/IEC 发布了针对信息技术系统和软件产品质量评估的 ISO/IEC 25010 标准和针对信息技术服务质量评估的 ISO/IEC 25011 标准。ISO/IEC 25010 定义的产品质量的 8 项特性和 31 个子特性已在面向操作系统、通用计算机、中央处理器等信息技术产品安全可控评价指标标准中体现。 ISO/IEC 25011 定义的使用质量和服务质量特性和子特性也可用于指导我国网络服务相关信息技术服务的安全可控评价指标建设。

使用质量模型由效率、效果、满意度、风险规 避和环境覆盖率 5 项特性组成，主要用于对软件产品 或系统使用过程中的环境和交互结果进行评估，侧 重于评价客户在消费和获取 IT 产品和系统服务过程 中的期望是否得到满足。服务质量模型侧重于对 IT产品和服务本身的评价，主要评价网络服务相关的人员、过程、技术、资源和信息等内在的服务质量， 共定义了8 个特性和 26 个子特性。

2. 服务度量指标

卡内基梅隆大学主导的云服务评价联盟（CSMIC）设计了一套面向云服务效益和风险度量的服务度量指标（SMI）。该指标将服务度量空间分为 7 个类别，每个类别细分为若干度量子特性，共明确了 51 个子特性度量内容。例如责任性类别度量服务提供者必须履行的职能和义务，包括合规性、拥有权、签约体验、可追溯性、服务治理、业务满意度、业务稳定性、服务可持续性、服务支持性、服务水平协议、道德伦理、数据和 IT 供应链、服务认证和人员能力共13 个子特性。再如安全和隐私类别采用了云安全联盟的云控制矩阵（CSA CCM），包括访问控制和权限管理、数据完整性、隐私与数据丢失、物理和环境安全、主动威胁和漏洞管理、数据留存和销毁7个子特性。

3. 可信服务准则

可信服务准则（TSP）是美国注册会计师协会（AICPA）针对服务组织控制建立的安全可信审计框架，以证明企业内部控制措施设计的合理性和执行的有效性。 2017 年版可信服务准则按照IT系统的五个组成部分将服务组织控制分为 32 个通用准则和近 200 个关注点，加上可用性、保密性、处理完整性和个 人隐私增强审查需求，服务组织安全审计内容包括 61 个可信准则和近 300 个安全审查关注点。

二、网络服务安全可控审查框架

1. 网络服务安全可控内涵

《审查办法》第四条在法规层面明确解释了网络产品和服务安全可控要解决的五大风险，并在十一条要求从产品和服务及其供应链的安全性、可控性、安全机制和技术的透明性等方面进行评价：

●安全性：是指网络产品和服务本身的安全、用 户在网络产品和服务中数据处理、传输和存储安全和 网络产品和服务影响下的国家安全。不同于传统的采用测试等技术手段判断网络产品和服务安全性，安全审查需要依据网络产品和服务提供商的承诺、信用、信誉、审查、核查、评估、 评价等调查和分析手段来判断其安全性。因此《审查办法》所指安全性需覆盖网络产品和服务安全运行生命周期中的安全保护（Safety）等操作安全（OpSec）属性。

●透明性：是指网络产品和服务提供者应当将其 策略规程、业务支持、安全机制及技术实现等相关 信息以文档化和电子化公开，包括其技术手册、软件功能与访问接口等，以满足应用方的知情权，支撑应用方的选择权、控制权和支配权。

●可控性：是指通过对网络产品和服务的数据及 其技术机制的控制操作，引导产品和服务到达理想的状态，确保产品和服务提供者不应利用其便利条件来非法获取用户信息或不应损害用户 对自己信息的自主权、支配权；确保产品和服务提供者不能利用其便利条件来非法控制、 非法操纵用户的系统和设备，损害用户对自己系统和设备的控制权；确保网络产品和服务的提供者不应 利用广大用户对产品和服务的依赖进行不正当竞争、 谋取不正当利益等。

2. 网络服务安全审查指标建设框架

安全可控评价指标建设首先需要从《审查办法》出发，明确与审查对象无关的安全性、透明性和可控性审查目标；其次需要依据网络产品和服务相关的标准规范等建立安全审查内容。因此 安全可控审查指标可从这两个维度出发，依据具体审查工作相应网络产品和服务建立审查目标和审查内容映射关系对应的审查控制项列表（第3个维度）。由此可以从审查目标、审查内容和具体对象的审查控制项项三个维度，建立具体网络服务的安全审查指标框架（图 1 所示），明确相关的安全评价内容及其评价方法。

3. 网络服务安全审查目标设计

依据《审查办法》，安全性、透明性和可控性安全 审查目标可细化为以下审查子目标。

（1）安全性

安全性来源于网络服务有关法律法规及相关安 全标准，可从合规性、责任性和抗脆弱性三个方面 进行评价：

●合规性：网络服务提供者的策略规程及服务数 据、服务系统的供应链、相关服务系统建设运维等 应当满足国家法律、法规及相关标准的安全要求。

●责任性：网络服务提供者对其所实施的服务应 承担责任，不允许危害国家政权和主权安全、危害 广大人民群众利益、影响国家经济可持续发展及国 家其他重大利益而无相对应的法律责任的现象。

●抗脆弱性：网络服务平台和业务应用不应存在 已知的安全漏洞以及恶意设计的后门接口，能主动 防范网络安全攻击。

（2）透明性

透明性是指实现网络服务安全运行的技术、机 制及其策略应该让用户理解、可访问、可配置等需求，以满足服务使用者、提供者和监管方对其可控的要 求。因此透明性可从以下四个方面进行评价：

●信息有效性：服务提供者应当保证提供给使用 者的数据或信息是准确的、及时的、一致的和真实的。

●信息可理解性：服务提供者提供的信息以及提供的方式应当便于用户使用。首先提供信息的方式应当多样化、便捷化；其次提供的信息应当便于理解和使用，例如具备规范简洁的格式，信息详实等。

●信息和服务可访问性：用户应当可以获取所需 的信息，以满足对所使用网络服务的支配权，并对 其实施监控、管理和审计。此特性关注服务提供者 是否提供软件功能、接口、文档和指南等访问产品 和服务信息的途径。

●服务可追溯性：服务提供者提供的信息应当可 被验证、度量和审计。透明性不仅仅要求服务过程 透明，而且要求产生信息服务及时透明，以保证服 务可信。

（3）可控性

可控性是指网络产品和服务系统内的所有状态可以由输入影响。可控性应包括三个方面的评价指标：

●用户可控性：用户应当能通过网络服务的支持 技术与机制，了解和掌控所使用的网络产品和服务，以防范网络服务危害用户权利的风险。

●组织可控性：产品和服务提供组织的内外部成 员应当能通过内外部控制体系和管控手段有效维持 网络服务的正常运作，同时应当提高供应链中各组 织网络服务的互操作性，降低网络服务数据和信息 技术供应链的安全风险。

●监控可控性：监管方应当能通过网络服务提供 者提供的信息，对网络产品和服务进行安全监管， 实现信息技术风险可监控、可管理、可审计的目标， 以防止危害国家安全和公共利益的行为。

三、网络服务审查指标设计

1. 网络服务安全审查过程设计

要评价网络服务的安全可控能力，首先要按照 主管部门确定的审查目的，明确安全性、透明性和可控性审查要点，然后按照审查对象的相关标准规范建立相应的审查内容。注意在针对具体对象选择审查要点时需综合考虑用户、组织和监管方对安全可控目的和安全审查指标的选用、权重设置及评价方法应用等因素。在此基础上执行审查的第三方机构就可将审查对象的审查控制项具体化，采集和分析安全可控评价指标相关数据，最后按照审查要点及其评价方法生成审查报告。

对于不同审查的对象，其安全审查所关注的安 全可控特性不同，对评价结果的期望也不同。因此， 在安全可控审查指标设计时，宜先确定待评价的服 务模式、服务类型、支持的服务平台技术和机制， 明确安全可控审查子目标相关的评价指标。

例如针对大数据服务，首先要明确支撑大数据服务的平台和应用类型及其支持的数据服务和系统服务能力，才能确定安全审查内容。不同商业模式对大数据平台的基础设施资源选择、大数据计算和分析平台的资源调度与管理、支持数据生命周期管理的大数据服务组件部署等控制范围不同，因此大数据服务提供者在为服务使用者提供服务时所要求的安全可控能力也不同。因此在评价指标设计时，宜根据不同类型的服务以及不同的评价目的，对图1所示的审查目标、内容和控制项进行适当的剪裁，以获得适合的审查指标。

2. 网络服务安全审查目标子特性设计

网络服务安全审查目标子特性设计应依据相关产品和服务的安全要求、质量模型或安全规范等相关标准和规范，建立相应的安全审查目标指标的子特性。例如责任性子特性指标应包括：

●伦理与道德：审查是否遵循数据驱动业务合规 性外的数据服务伦理相关秩序规则和道德相关的平 等规则，保证服务供应链上各参与者内在数据价值 和 IT 价值理想，以及大数据行为规范的公平性等。

●数据服务权利：审查是否明确大数据服务相关使用者的数据占有权、支配权、使用权、收益权、处置权等，包括大数据服务相关服务软件与组件的使用权、控制权等知识产权。

●签约体验与服务水平协议（SLA）：审查获得大数据服务的能力方式及服务满足度相关因素（如愉悦感、参与度、接受度等），包括 SLA 的合适性和服务失效风险缓解能力因素等。

●服务及时性：审查是否按照 SLA 要求的请求响应时间和解决速度对服务使用者提供数据服务和系统服务。

●服务追踪溯源性：审查大数据平台和应用相关服务是否符合法律法规证据、业务规范证据、策略规程证据及服务运行追踪证据等，确保大数据服务提供者的行为能进行因果解释和推论。

●服务可持续性：从大数据服务生态可持续性、 大数据提供者股权结构和使用服务的经济可持续性 以及社会可持续性等方面审查大数据服务的可持续 能力。

●业务稳定性：审查履行合同中约定的大数据服务模式在一定时期内是否是固定和基本不变的，且大数据系统架构、服务组件、安装配置等更改不影响大数据服务使用者的业务质量感知、业务价值感知和业务问题感知等。

●服务证书和人员能力：审查服务资质认证是否满足使用者需要的服务证书，并从人员技能、经验、 教育及证书方面考查相关人员的服务能力。

●服务弹性：从随用户需求进行调整数据资源和 IT 资源的能力、增加新数据、新服务或新特性的能力等方面审查大数据服务提供者的服务适应性和服务弹性。

●供应链责任：审查大数据服务相关的关键部件生产、测试、交付、技术支持过程中的数据和 IT 供应链安全风险。

基于上述的责任性审查目标，就可分别对 具体网络服务相关标准中规定安全要求审查内容明确责任性安全审查目标指标的审查内容及其评价方法，建立审查目标和审查内容之间的映射关系。

3. 网络服务安全审查控制项设计

安全审查目标与内容映射关系的控制项设计需结合具体网络服务相关的功能、流程、机制、管理策略等信息，具体化之后形成审查控制项列表（审查用例集）。例如大数据服务安全涉及组织、业务和系统三个层次，且需要从组织、用户和监管等维度度量安全机制与技术的透明性和可控性审查审查控制项。因此安全目标、审查内容和审查控制项指标之间是多对多的映射关系，需要按照图1所示的审查指标体系建设框架，设计每个审查目标和审查内容相对应的审查控制项列表。

审查目标是依据《审查办法》中的安全风险控制需求，审查内容是依据网络服务安全相关标准，而审查控制项是根据具体服务组织及其提供的业务服务和系统服务安全功能及其运行机制对审查内容的检测列表化表示，是特定审查工作的具体安全可控控制点。对于同一个审查目标和审查内容映射关系，不同产品和服务包含的审查控制项也会有差异，主要区别在于审查内容是对产品和服务安全体系的某个组成部分的描述，例如某项功能或安全机制；而审查控制项是对审查内容中某个审查指标“是否满足”目标的描述，例如某安全机制的实现（审查内容）是否满足保密性目标（控制项1）、实现原理的公开（控制项2）、否满足透明性目标等（控制项3）。

结论

本文提出了一种网络服务安全审查指标建设框架和思路：一是给出了网络服务安全性、透明性和可控性安全审查目标的特性及子特性；二是结合大数据服务安全审查示例了网络服务安全审查内容设计过程；三是明确了针对特定产品和服务的审查控制项设计方法。该框架将为云计算服务、移动支付服务、物联网服务等我国网络服务的审查指标建设与控制项设计提供借鉴。

（本文刊登于《中国信息安全》杂志2018年第6期）

更多信息安全专家文章

请关注公众号！