周亞超　左曉棟

摘? ?要：在我國《中華人民共和國網(wǎng)絡(luò)安全法》（本文簡稱《網(wǎng)絡(luò)安全法》）和《數(shù)據(jù)安全管理辦法》等政策中都使用了“重要數(shù)據(jù)”的概念，并與網(wǎng)絡(luò)數(shù)據(jù)安全管理、數(shù)據(jù)出境安全評估等多項網(wǎng)絡(luò)安全制度的實施密切相關(guān)。盡管國外沒有使用“重要數(shù)據(jù)”的概念，但對非個人數(shù)據(jù)、非國家秘密信息的安全管理屬于常態(tài)，只是各國的管理重點各有不同。美國將政府?dāng)?shù)據(jù)中介于保密數(shù)據(jù)與公開數(shù)據(jù)之間，需要限制公開或控制傳播的數(shù)據(jù)歸為受控非密信息（CUI），實施統(tǒng)一的登記備案和標(biāo)識管理制度，并通過技術(shù)標(biāo)準(zhǔn)將其范圍擴(kuò)大到了非聯(lián)邦機(jī)構(gòu)和系統(tǒng)的CUI。文章梳理了CUI概念和分類，總結(jié)了CUI相關(guān)標(biāo)準(zhǔn)中的安全控制要求，并與一般安全保護(hù)要求進(jìn)行比較。CUI研究對我國重要數(shù)據(jù)識別和管理方面的政策和標(biāo)準(zhǔn)制定具有借鑒意義。

關(guān)鍵詞：受控非密信息;重要數(shù)據(jù);分類;安全控制

中圖分類號： TP393? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

Abstract： The concept of "key data" is used in China's "Cybersecurity Law" and "Data Security Management Regulation" and other policies， and is closely related to the implementation of several cybersecurity requirements such as network data security management and data outbound assessment. Although the concept of "key data" is not used abroad， the security management of non-personal data and non-state secret information is normal practices， only varies from country to country. The United States defines CUI as government data between confidential data and public data， although its not state secret but may cause serious potential damage once it disclosed or damaged， and implements unified identification and management. Besides， the scope of application of CUI information is expanded to non-federal agencies and systems through the development of technical standards. This article investigates the concept and categories of CUI， analyzes the management mechanism and security controls of CUI through NIST standards and compares with general security requirements. Research on CUI is meaning to the identification and management of key data.

Key words： CUI; key data; categorization; security controls

1 引言

重要數(shù)據(jù)的概念最早在《網(wǎng)絡(luò)安全法》中正式出現(xiàn)，“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲”。2019年5月，中央網(wǎng)信辦發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》對重要數(shù)據(jù)安全管理提出備案、明確安全責(zé)任人以及采取安全措施等方面的要求;同期發(fā)布的《網(wǎng)絡(luò)安全審查辦法（征求意見稿）》也將重要數(shù)據(jù)安全作為審查的一個方面，重點評估采購活動可能帶來的國家安全風(fēng)險，包括考慮導(dǎo)致大量個人信息和重要數(shù)據(jù)泄露、丟失、毀損、出境的可能性等因素。國外沒有使用重要數(shù)據(jù)的概念，在不同領(lǐng)域的法律法規(guī)中對非個人數(shù)據(jù)、非國家秘密信息實施安全管理也是常規(guī)的做法，其中最為典型的就是美國政府信息中的受控非密信息。

2010年11月，奧巴馬總統(tǒng)簽署第13556號行政命令《受控非密信息》[1]，建立和實施CUI登記備案及標(biāo)識管理制度，作為對國家秘密保護(hù)的補充。此前，美國相關(guān)執(zhí)行部門在涉及隱私、安全、財務(wù)商業(yè)利益和執(zhí)法調(diào)查等信息時，通常采用各自特定的機(jī)構(gòu)、程序和標(biāo)記來保護(hù)和控制這些信息，導(dǎo)致信息標(biāo)識混亂、管理效率低下。信息傳輸策略不明確，對授權(quán)信息共享造成了障礙，而部門特有的政策往往不讓公眾知情，也加劇了這些問題的影響。

美國CUI管理制度由美國文件和檔案管理局牽頭，制定并發(fā)布CUI識別指南、標(biāo)識指南、保護(hù)方法等文件，建設(shè)CUI登記系統(tǒng)，以提升信息的一致性和透明性。實際掌握CUI的部門根據(jù)文件識別確定本機(jī)構(gòu)掌握的受控非密信息類型，提交檔案與文件管理局批準(zhǔn)并進(jìn)行注冊登記。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）制定了非聯(lián)邦系統(tǒng)和機(jī)構(gòu)CUI保護(hù)標(biāo)準(zhǔn)[2～4]，認(rèn)為CUI不論是否在聯(lián)邦系統(tǒng)中都具有同樣的價值并應(yīng)受到同等保護(hù)，這實際上將CUI擴(kuò)大到了非聯(lián)邦范圍。

2? 聯(lián)邦政府CUI分類

CUI是根據(jù)適用法律、法規(guī)和政府政策進(jìn)行保護(hù)或傳播控制的信息，CUI的類別和子類別是用于識別整個行政部門中需要保護(hù)或傳播控制的非機(jī)密信息的唯一指定，并與適用的法律、法規(guī)和整個政府的政策相一致。根據(jù)美國檔案管理局網(wǎng)站信息，CUI分為20類、124子類，如表1 所示。此外，還有相應(yīng)的分類描述、分類標(biāo)識、CUI標(biāo)識及對應(yīng)的法律法規(guī)要求。

關(guān)鍵基礎(chǔ)設(shè)施—受保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施信息。

分類描述：根據(jù)美國法典6 USC 131-134和6 CFR 29的定義。PCII指與國家基礎(chǔ)設(shè)施相關(guān)的威脅、漏洞或運營經(jīng)驗信息。標(biāo)識PCII信息可以為自愿與政府進(jìn)行共享的私營部門基礎(chǔ)設(shè)施信息提供保護(hù)，以保護(hù)國土安全。

分類標(biāo)識：PCII。

CUI標(biāo)識：受限傳播控制CUI//Category Marking//Limited Dissemination Control。

適用法律：6 CFR 29。

3 非聯(lián)邦機(jī)構(gòu)CUI的一般安全控制

美國認(rèn)為對聯(lián)邦系統(tǒng)和機(jī)構(gòu)的CUI保護(hù)也是十分重要，將會直接影響到聯(lián)邦政府執(zhí)行任務(wù)和業(yè)務(wù)運營的能力。針對非聯(lián)邦系統(tǒng)和組織中的CUI信息，NIST制定了相應(yīng)的標(biāo)準(zhǔn)。

（1）NIST SP 800171《保護(hù)非聯(lián)邦系統(tǒng)和機(jī)構(gòu)的受控非密信息》[2] ，提出基于FIPS 200[5]的一般安全控制以及基于NIST SP 80053[6]的擴(kuò)展安全控制。

（2）NIST SP 800171B《保護(hù)非聯(lián)邦系統(tǒng)和組織中的受控非密信息：關(guān)鍵程序和高價值資產(chǎn)的增強安全要求》[3]，提出基于NIST SP 80053[6]的增強安全控制。

（3）NIST SP 800171A《受控非密信息安全要求評估》[4]，提供了對CUI安全要求進(jìn)行評估的程序和方法。

為區(qū)別聯(lián)邦信息系統(tǒng)的安全要求，上述標(biāo)準(zhǔn)適用的場景限制在當(dāng)非聯(lián)邦機(jī)構(gòu)不代表聯(lián)邦機(jī)構(gòu)收集或維護(hù)信息、不代表聯(lián)邦機(jī)構(gòu)使用或運行系統(tǒng)時，并且在CUI類別或子類別相關(guān)授權(quán)法律、法規(guī)或政府范圍的政策中，沒有關(guān)于CUI機(jī)密性保護(hù)的特殊要求。此外，標(biāo)準(zhǔn)還基于三點假定：一是不論CUI信息是否在聯(lián)邦系統(tǒng)都應(yīng)受到同等保護(hù)，即采取同等強度的安全控制;二是依據(jù)FIPS199[7]評估的CUI保密性影響至少為中級;三是非聯(lián)邦機(jī)構(gòu)有適當(dāng)?shù)男畔⒓夹g(shù)能力實施安全解決方案，如果不具備標(biāo)準(zhǔn)要求的組織架構(gòu)或資源時，可通過替代方式或其他同等有效的措施來實現(xiàn)。

考慮到非聯(lián)邦機(jī)構(gòu)CUI的保護(hù)需求，NIST SP 800-171對FIPS 200和NIST SP 80053進(jìn)行了裁剪，刪除了三種類型的安全控制。

（1）僅適用于聯(lián)邦機(jī)構(gòu)或系統(tǒng)（即主要由聯(lián)邦政府負(fù)責(zé)的），如信息共享、安全授權(quán)、特定類型的鑒別管理、密碼模塊鑒別等。

（2）與保護(hù)CUI的機(jī)密性沒有直接關(guān)系，如溫濕度防火等物理環(huán)境保護(hù)、應(yīng)急計劃、應(yīng)急演練、審計存儲能力等。

（3）非聯(lián)邦組織一般已滿足的非特定安全要求，如安全策略與規(guī)程、應(yīng)急響應(yīng)計劃等。

依據(jù)上述原則裁剪后不包括持續(xù)規(guī)劃、系統(tǒng)和設(shè)備采購等控制類，如表2所示給出了14類安全控制的重點考慮項，可以看成是與CUI的保密性、完整性、可用性直接相關(guān)的最小控制集。

4 非聯(lián)邦機(jī)構(gòu)CUI的增強安全控制

NIST SP 800-171B主要針對非聯(lián)邦系統(tǒng)和組織中具有關(guān)鍵程序和高價值資產(chǎn)的受控非密信息，基于NIST SP 80053提出了增強安全控制，以保護(hù)CUI的機(jī)密性和完整性，特別是防御高級網(wǎng)絡(luò)攻擊，并確保系統(tǒng)和組織在受到攻擊時的網(wǎng)絡(luò)可恢復(fù)性。為應(yīng)對高級可持續(xù)威脅（APT）攻擊，增強安全控制主要考慮的要素為：

（1）采用以威脅為中心的方法;

（2）采用支持邏輯和物理隔離的替代系統(tǒng)和安全體系結(jié)構(gòu)，通過系統(tǒng)和網(wǎng)絡(luò)分段技術(shù)、虛擬機(jī)和容器實現(xiàn)隔離;

（3）對關(guān)鍵或敏感操作實施雙重授權(quán)控制;

（4）將永久性存儲限制在隔離區(qū)域或隔離域中;

（5）為系統(tǒng)和網(wǎng)絡(luò)實施遵循連接的方法;

（6）通過建立系統(tǒng)和系統(tǒng)組件變更的權(quán)威性源頭，擴(kuò)展配置管理要求;

（7）定期將組織系統(tǒng)和系統(tǒng)組件刷新或升級到已知狀態(tài)，或者開發(fā)新的系統(tǒng)或組件;

（8）使用具有高級分析功能的安全運營中心來支持對組織系統(tǒng)的持續(xù)監(jiān)視和保護(hù);

（9）使用欺騙手段保護(hù)決策信息來混淆和誤導(dǎo)入侵者，以保護(hù)可能泄露的信息的價值和真實性或者運行環(huán)境。

對于每項增強控制，NIST SP 800-171B還提供了便于實施和評估的輔助信息。對于某些組織來說，如果增強安全控制太困難或成本太高，無法通過內(nèi)部配置來滿足這些要求，可通過采購?fù)獠糠?wù)來滿足要求。外部服務(wù)可包括IT基礎(chǔ)架構(gòu)、平臺和軟件服務(wù)，威脅情報，威脅發(fā)現(xiàn)，威脅、脆弱性和風(fēng)險評估，網(wǎng)絡(luò)和系統(tǒng)恢復(fù)等。

具體來說，NIST SP 800-171B針對關(guān)鍵過程或高價值資產(chǎn)相關(guān)CUI信息提出了五個方面的增強安全控制，以應(yīng)對更嚴(yán)峻的網(wǎng)絡(luò)攻擊。

一是增強系統(tǒng)和通信保護(hù)。加強系統(tǒng)訪問控制，對關(guān)鍵敏感的系統(tǒng)操作實施雙授權(quán)機(jī)制，將系統(tǒng)和系統(tǒng)組件的訪問權(quán)限限制為僅由組織擁有、供應(yīng)或發(fā)布的信息資源，使用安全的傳輸方案控制安全域之間的信息流。加強標(biāo)識和鑒別措施，使用自動機(jī)制禁止未鑒別或未正確配置的系統(tǒng)組件連接系統(tǒng);在使用密碼、可重放的雙向身份驗證建立網(wǎng)絡(luò)連接之前應(yīng)對系統(tǒng)和系統(tǒng)組件進(jìn)行標(biāo)識和身份驗證。加強系統(tǒng)和通信保護(hù)，使用物理和邏輯隔離技術(shù)以及不同的系統(tǒng)組件，減少惡意代碼傳播范圍，通過不可預(yù)測的或移動的目標(biāo)防御降低系統(tǒng)和組件的受攻擊面使用偽裝虛假或混淆信息誤導(dǎo)入侵者。

二是增強系統(tǒng)和信息完整性保護(hù)。嚴(yán)格實施配置管理，建立和維護(hù)可信賴的系統(tǒng)組件源，自動檢測是否存在配置錯誤或未授權(quán)的系統(tǒng)組件并將其移除或隔離修復(fù)，使用自動恢復(fù)或管理工具維護(hù)完整準(zhǔn)確的系統(tǒng)組件清單。保護(hù)CUI信息的完整性，利用信任根、正式驗證或加密簽名來驗證關(guān)鍵任務(wù)或核心軟件的完整性和準(zhǔn)確性，持續(xù)監(jiān)測異?；蚩梢尚袨?，至少每年兩次將組織系統(tǒng)和系統(tǒng)組件刷新為已知的受信任狀態(tài)，定期檢查永久性存儲介質(zhì)并清除不再需要的CUI。

三是加強風(fēng)險評估力度。使用自動機(jī)制來預(yù)測和識別組織、系統(tǒng)或系統(tǒng)組件的風(fēng)險，基于當(dāng)前和積累的威脅情報來應(yīng)對系統(tǒng)和組織的預(yù)期風(fēng)險，識別系統(tǒng)安全架構(gòu)、系統(tǒng)組件、邊界隔離或保護(hù)機(jī)制，以及對外部服務(wù)提供者的依賴，評估、響應(yīng)和監(jiān)控組織系統(tǒng)的供應(yīng)鏈風(fēng)險。定期實施滲透性測試，增加臨時性測試。

四是增強人員安全和培訓(xùn)。嚴(yán)格人員審核，持續(xù)評估人員可信度且當(dāng)有CUI訪問權(quán)限的人員的可信度降低時，確保組織系統(tǒng)受到保護(hù)。加強有關(guān)識別和響應(yīng)社會工程學(xué)、APT攻擊、違規(guī)行為和可疑行為的威脅方面的培訓(xùn)，提供與當(dāng)前威脅情景相適應(yīng)的演練，定期或在威脅發(fā)生重大變化時更新培訓(xùn)。

五是提升應(yīng)急響應(yīng)能力。建立和維護(hù)全天候安全運行中心和事件響應(yīng)小組，確保可在24小時內(nèi)部署到組織確定的任何位置。

5 結(jié)束語

CUI分類和安全控制研究為明確制定我國重要數(shù)據(jù)識別和安全管理相關(guān)政策和標(biāo)準(zhǔn)提供了有益借鑒。CUI分類有助于提高信息標(biāo)識的一致性和透明性，說明為什么將其定義為CUI、有哪些特殊性，并梳理法律法規(guī)中的特定要求。CUI保護(hù)重點關(guān)注信息的保密性、完整性、可用性，在通用安全保護(hù)基礎(chǔ)上裁剪與CUI關(guān)系不大的以及組織或系統(tǒng)默認(rèn)已滿足或不必要的安全控制;針對高價值資產(chǎn)類CUI，提出增強安全控制，按照多維縱深防御策略使用抗入侵架構(gòu)、提高網(wǎng)絡(luò)可恢復(fù)性并對損害程度進(jìn)行限制，提高防御APT攻擊以保護(hù)高價值資產(chǎn)。

參考文獻(xiàn)

[1] 奧巴馬總統(tǒng)第13556號行政令（EO 13556）.受控非密信息[S].2010年.

[2] NIST SP 800-171.保護(hù)非聯(lián)邦系統(tǒng)和機(jī)構(gòu)的受控非密信息[S].美國國家標(biāo)準(zhǔn)與技術(shù)研究院，2016.

[3] NIST SP 800-171A.受控非密信息安全要求評估[S].美國國家標(biāo)準(zhǔn)與技術(shù)研究院，2018.

[4] NIST SP 800-171B.保護(hù)非聯(lián)邦系統(tǒng)和組織中的受控非密信息：關(guān)鍵程序和高價值資產(chǎn)的（草案）[S].美國國家標(biāo)準(zhǔn)與技術(shù)研究院，2019.

[5] FIPS200.聯(lián)邦信息和信息系統(tǒng)最小安全要求[S].美國國家標(biāo)準(zhǔn)與技術(shù)研究院，2006.

[6] NIST SP 800-53.聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制規(guī)范（第四版更新）[S].美國國家標(biāo)準(zhǔn)與技術(shù)研究院，2015.

[7] FIPS199.聯(lián)邦信息和信息系統(tǒng)安全分類[S].美國國家標(biāo)準(zhǔn)與技術(shù)研究院，2004.

作者簡介：

周亞超（1985-），女，滿族，河北唐山人，愛爾蘭都柏林城市大學(xué)，博士，中電數(shù)據(jù)服務(wù)有限公司，高級工程師;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全戰(zhàn)略與法規(guī)、網(wǎng)絡(luò)安全產(chǎn)業(yè)、數(shù)據(jù)安全。

左曉棟（1975-），男，漢族，河北石家莊人，中國科學(xué)院研究生院，博士，中國信息安全研究院有限公司，正高級工程師;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全。