趙墨穎，劉克清，周 俊，靳侃侃，陳瑋健

（1.中國移動通信集團公司，北京 100032；2.中國移動通信集團設計院有限公司，北京 100080）

0 引 言

美國定義了一類受控非密信息（Controlled Unclassified Information，CUI），即“由美國政府產(chǎn)生或持有的，或由代表或服務于美國政府的非政府機構接收、持有或產(chǎn)生的聯(lián)邦非密信息，需要采取一定的信息安全措施加以防護，并控制其傳遞和使用[1-2]?！泵绹贑UI安全管控方面形成了一套獨立且較為成熟的法律法規(guī)、管理機制、業(yè)務流程規(guī)范以及統(tǒng)一的系統(tǒng)安全技術標準。根據(jù)我國的法律法規(guī)，工作秘密不屬于國家秘密，但也不屬于應公開的政府信息。目前，我國工作秘密管理還沒有制定全國統(tǒng)一的法律法規(guī)、管理機制、指導規(guī)范、技術標準。美國的CUI定義與我國對工作秘密的描述非常相近。本文研究了美國CUI安全管控的法律法規(guī)形成、管理機構設置和流程，重點分析了美國CUI安全管控技術標準體系，希望為進一步加強和完善我國工作秘密的管理制度提供參考和借鑒。

1 美國CUI管理制度研究

美國作為全球網(wǎng)絡信息技術的發(fā)源地，在網(wǎng)絡安全領域的立法也起步最早，數(shù)量最多，網(wǎng)絡安全立法框架相對完備。受2001年“9·11”等一系列恐怖事件的影響，美國隨即推動制定CUI相關法律法規(guī)、設立管理機構、細化管理流程等工作。美國經(jīng)過10余年發(fā)展保密管理制度較為成熟。

1.1 美國CUI法律法規(guī)制定歷程

2008年，美國時任總統(tǒng)布什向各部門和機構發(fā)布了一份備忘錄“指定和共享受控非機密信息（CUI）”并成立CUI辦公室，由美國國家檔案和記錄管理局（National Archives and Records Administration，NARA）主管。

2012年，美國國防部在2012年新修訂的《信息安全綱要》手冊的第4卷將CUI獨立成卷，指導信息的識別與保護，并在“手冊”的第2部分給出CUI的定義：依據(jù)相關法律法規(guī)和政府政策，需要保護和控制傳播的非密信息[4]。將非密信息分成僅供官方使用信息、執(zhí)法敏感信息、國防部受控非密核信息、限制分發(fā)信息等8類。

2016年，《美國聯(lián)邦法規(guī)》第32條2002部分“最終條例”（32 CFR Part 2002）制定CUI的認定、保護、傳遞、標識、解除控制、處理政策，并對自我審查和監(jiān)督等方面提出要求，為聯(lián)邦執(zhí)行機構和組織處理、持有、使用、共享、接收CUI提供規(guī)則保障?！白罱K條例”為機構處理CUI提供了基本遵循和統(tǒng)一范式，為第13556號行政令提供實施指南[4]。

2017年后，特朗普政府全面提升了CUI管控的地位，發(fā)布大量新政策、新標準、新指南，擴展了CUI的類別與子類別，擴大了CUI的管理范圍。

從法律法規(guī)的演進歷程來看，美國CUI管控從2010年起正式以總統(tǒng)令方式推進，到2016年頒布實施指南僅用了6年時間。同時為應對國際環(huán)境的快速變化、信息技術的迅猛發(fā)展，特朗普政府時期大幅提升了對CUI項目的重視力度，加強CUI的管控力度。我國工作秘密安全管控可借鑒美國CUI保護的經(jīng)驗，形成統(tǒng)一的法律法規(guī)及對應的實施細則，指導各地開展安全管控。

1.2 美國CUI管理機構設置

美國設立受控非密信息辦公室（Controlled Unclassified Information Office）負責對CUI信息實施綜合管理。如圖1所示，該辦公室隸屬于美國國家檔案和記錄管理局下設的信息安全監(jiān)督辦公室（Information Security Oversight Office，ISOO），是ISOO中一個獨立的機構。受控非密信息辦公室下設登記處（CUI Registry），為受控非密信息的政策制定和實踐操作提供指導[4]。在美國安全保密制度運行過程中，ISOO是一個非常重要的部門，其下設7個機構，分別涉及國家秘密、國家工業(yè)安全、國家地方私營部門的國家保密安全計劃、受控非密信息等保密安全制度的運作和執(zhí)行。ISOO的CUI制度法律依據(jù)來源于第13556號行政令，并將相關法律法規(guī)、政策的保護要求匯總，提供統(tǒng)一的執(zhí)行指導。

ISOO分為3類人員：分類管理人員、業(yè)務人員和CUI人員。CUI人員負責制定標準化的CUI政策和程序，通過有效的數(shù)據(jù)訪問和控制措施適當保護敏感信息。從機構設置來看，美國CUI管理與國家秘密管理均隸屬ISOO，但是分屬于不同的分支機構；CUI管理人員與國家秘密管理人員分設。

未獲得完全緩解（complete resolution，CR）或者研究期間復發(fā)的AL患者；急性早幼粒細胞白血病患者（該類患者長期無病生存率較高、生存質(zhì)量亦明顯高于其他類型的白血病，故剔除）；近期準備行骨髓移植的患者；不能按要求配合治療和復查的患者；伴有嚴重心腦肝肺腎等其他臟器功能損害者。

1.3 美國CUI管理流程

ISOO對CUI的認定、標識、保護、傳播、解除控制、處理政策做出規(guī)范，并對自我審查和監(jiān)督等提出要求。事項范圍是CUI認定、標識的基礎。截至目前，ISOO公布公共事項主類20個、子類125個。公共事項主類包括關鍵基礎設施、防御、執(zhí)法、核、專利等，其中，以關鍵基礎設施為例的事項子類包括信息系統(tǒng)漏洞信息、關鍵能源基礎設施信息、通用關鍵基礎設施信息、化學—恐怖主義脆弱性信息、有毒物等[5]。該分類為CUI的認定和標識提供了標準化的依據(jù)。

不管信息由哪個機構產(chǎn)生，只要需要保護和傳播控制，均需在CUI辦公室設立的網(wǎng)上登記處進行登記，每一類事項范圍登記表由類目名稱、類目描述、控制標識、保護與傳播的授權、保護標準、解除控制等部分組成。登記表中對CUI設立了保護等級，以防信息非授權竊取或疏忽泄露；設定了傳遞控制等級，以限制信息的傳播范圍，包括禁止對外傳播、僅限聯(lián)邦雇員、僅限聯(lián)邦雇員和承包商、不得向承包商傳播、傳播清單受控制、僅授權向某些國民發(fā)布以及僅顯示等[5]。

ISOO根據(jù)CUI注冊表對機構的CUI保護措施進行審查、評估、監(jiān)督，確保其符合保護要求。

美國在CUI管理實施階段建立了完整的管理流程，尤其是明確了受控非密事項的分類和標識，為我國工作秘密的確定及管理范圍提供了很好的參考依據(jù)。細化的CUI保護等級及傳遞控制等級，為工作秘密的差異化管理提供參考。

2 美國安全技術標準研究

美國的網(wǎng)絡安全標準研究體系完整、覆蓋全面、可實施性強。經(jīng)過10年規(guī)劃，美國理清了網(wǎng)絡安全標準發(fā)展的脈絡，明確了標準制定的路線圖，建立了一套科學合理、分類規(guī)范、層次清晰的網(wǎng)絡安全標準體系架構。其核心基線標準NIST SP 800-53《信息系統(tǒng)和組織的安全和隱私控制》為所有信息系統(tǒng)提供了一個綜合詳細的安全控制目錄，并描述了如何通過裁剪方法，針對某一具體系統(tǒng)制定安全控制集的過程。標準的控制項更加靈活，可操作性強。下面分別從CUI安全技術標準在美國安全技術標準體系中的位置，CUI安全技術標準基于核心基線標準NIST SP 800-53所進行的裁剪，對CUI安全技術標準進行分析。

2.1 美國安全技術標準體系研究

1965年，美國頒布公共法《布魯克斯法案》（Pub.L.No.89-306），隨即美國商務部國家標準局（National Bureau of Standards，NBS）啟動安全領域標準的制定活動。經(jīng)過多年的發(fā)展，美國安全領域技術標準體系性強，如圖2所示。

近代的安全領域標準來源于2002年美國頒布的《聯(lián)邦信息安全管理法案》，該法涉及的信息安全范圍涵蓋非國家秘密和國家秘密兩部分，授權美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）牽頭制定非國家秘密的信息系統(tǒng)安全技術標準，國家安全系統(tǒng)委員會（Committee on National Security Systems，CNSS）制定涉及國家秘密的信息系統(tǒng)安全技術標準。

對于非國家秘密的信息系統(tǒng)安全技術標準，NIST分別于2004年和2006年先后發(fā)布FIPS 199《聯(lián)邦信息和信息系統(tǒng)安全分類》標準和FIPS 200《聯(lián)邦信息和信息系統(tǒng)的最低安全需求》標準。其中，F(xiàn)IPS 200為強制性標準，除聯(lián)邦政府機構外，NIST還鼓勵組成美國關鍵基礎設施的州、地方和部落政府以及私營部門組織酌情考慮使用本標準。聯(lián)邦信息處理標準（Federal Information Processing Standards，F(xiàn)IPS）定 位 是美國聯(lián)邦計算機系統(tǒng)標準和指南方面的官方出版物，主要規(guī)定總體或高層次的要求，版本比較穩(wěn)定、數(shù)量少。為滿足執(zhí)行FIPS所需的技術、管理和操作等各領域的標準化要求，NIST制定NIST特殊出版物（NIST SP）系列規(guī)范，SP 800系列標準為了適應現(xiàn)實信息安全環(huán)境的多變和快變性，出版物相對變化比較快，標準化成果的數(shù)量比較多。NIST SP 800-53《信息系統(tǒng)和組織的安全和隱私控制》是聯(lián)邦信息系統(tǒng)安全體系的核心基線標準，在制定之初國防和情報部門一起參與起草工作，目的是希望能夠同時反映國家安全系統(tǒng)的安全要求。2015年6月，CUI安全技術標準NIST SP 800-171《非聯(lián)邦系統(tǒng)和組織中的受控非機密信息保護》第一版發(fā)布，與CUI管理實施指南32 CFR Part 2002屬于同一時期發(fā)布。從名稱上來看，其主體強調(diào)非聯(lián)邦機構，認為CUI無論是否屬于聯(lián)邦系統(tǒng)，只要具有相同的價值就需要同等保護，實際上擴大了CUI的保護范圍。

美國涉及國家秘密信息系統(tǒng)安全標準CNSSI 1253《國家安全系統(tǒng)的安全分類和控制選擇》是在NIST SP 800-53標準基礎上裁剪形成的，刪除NIST SP 800-53中不適用于國家安全系統(tǒng)的控制項，以減少建設時間和成本，疊加了保密特殊屬性，如信息聚合效應、系統(tǒng)所處環(huán)境、用戶屬性等。

許多美國組織選擇NIST框架，因為它們向聯(lián)邦機構提供服務時，必須遵守CUI的安全技術標準NIST SP 800-171，該標準是在NIST SP 800-53基礎上裁剪而來。美國NIST SP 800安全標準體系比歐洲國際標準化組織的ISO 27002安全標準體系更為全面，它包含了選擇控制和NIST SP 800-53A《信息系統(tǒng)和組織的安全評估和隱私控制》。NIST SP 800-53具有詳細的基本控制要求和增強控制要求，機構可以直接利用其制定安全計劃。

2.2 美國CUI安全技術標準分析

美國安全技術標準是一個大而全的體系，為了能夠適用于各種系統(tǒng)，增強對CUI的安全管控，通過對核心標準NIST SP 800-53進行裁剪，形成了適用于CUI的NIST SP 800-171安全技術標準。在安全技術體系NIST SP 800-53B《信息系統(tǒng)和組織的控制基線》中詳細描述了裁剪標準的過程，并將安全控制大類的裁剪標準定義為NCO（與CUI保密事項的保護無直接關系）、FED（只有聯(lián)邦屬性，是聯(lián)邦政府的主要責任）、NFO（非聯(lián)邦組織已經(jīng)滿足的非特定安全要求）、CUI（CUI基本或派生安全需求，可在安全控制、控制增強中找到的特定要求）。

NIST SP 800-171安全技術標準利用以上裁剪標準，將NIST SP 800-53r4的17類安全控制裁剪為14類[6]，應用NCO標準裁剪掉應急規(guī)劃安全控制類，應用NFO標準裁剪掉規(guī)劃、系統(tǒng)和服務采購安全控制類。具體內(nèi)容如圖3所示。在NIST SP 800-171標準中還刪除了各個安全控制類別中的策略制定要求，以降低管理復雜度。

NIST SP 800-171針對關鍵過程或高價值資產(chǎn)提出系統(tǒng)和通信保護、系統(tǒng)和信息完整性、風險評估、人員安全、意識和培訓、事件響應能力6個安全控制類別的增強要求，以重點保護CUI的保密性、完整性、可用性[6]。

同時，美國機構在建立某一具體信息系統(tǒng)的安全管控措施時可以根據(jù)NIST SP 800-53B標準要求，對NIST SP 800-171安全標準基線清單的控制項進行裁剪，既符合安全要求又降低信息系統(tǒng)安全措施成本。具體裁剪過程包括5個步驟：標志公共控制、考慮作用域、選擇補償控制、賦值和補充基線控制[7]。其中，標志公共控制是指當機構具有多個系統(tǒng)時，為節(jié)約系統(tǒng)的安全措施成本，每個系統(tǒng)須滿足人員安全保密意識培訓、應急事件響應、安全物理環(huán)境等安全要求，指定人力資源、安保等部門進行總體協(xié)調(diào)的過程；考慮作用域是指當安全標準基線中的某些控制項不涉及某些專業(yè)或領域時，可對該控制項進行刪除的裁剪操作，刪除時需說明原因；選擇補償控制是指當安全標準基線中的某些控制項由于實施環(huán)境的不具備或者實施成本過高而無法落地時，可對該控制項進行替換的裁剪操作，但需要說明替換后的控制項可以達到同等的安全效果；賦值是指對安全基線標準條款要求“賦值”或“選擇”的具體化過程，例如對于密碼修改時間，不同應用的修改時間由于其重要性不同而選擇不同的賦值；補充基線控制是指專業(yè)或領域為了提升安全性、應對高級持續(xù)攻擊或處理高度敏感信息，對安全標準基線要求進行補充的裁剪操作。

利用安全標準基線清單與裁剪相結合的方式，可以靈活制定具體系統(tǒng)的安全管控體系，滿足多種信息系統(tǒng)的安全要求，使用范圍非常廣泛。我國工作秘密管控同樣具有業(yè)務種類多，場景復雜的特點，可以借鑒美國CUI安全管控體系建立面向多業(yè)務多場景的技術標準。但是在機構具體信息系統(tǒng)安全體系建立時，還需要一套相對完整的安全標準體系裁剪咨詢、系統(tǒng)安全評估方法、標準化自動化的安全評估工具配合安全舉措的落地實施，保證工作秘密受到相應保護。

3 對我國工作秘密管控的啟示

《中華人民共和國公務員法》第14條規(guī)定公務員應當履行“（五）保守國家秘密和工作秘密”的義務，《中華人民共和國政府信息公開條例》第5條要求“行政機關公開政府信息，應當堅持以公開為常態(tài)、不公開為例外，遵循公正、公平、合法、便民的原則”。從以上法律法規(guī)的描述看，工作秘密不屬于國家秘密，也不屬于應公開的政府信息。

當前，我國在法律層面尚未明確工作秘密的內(nèi)涵和外延。在相關研究分析中，對工作秘密主要有以下4種表述方式：一是工作秘密是機關單位在公務活動和內(nèi)部管理中產(chǎn)生的事項和信息，一旦泄露便會影響管理職能的正常行使，直接干擾機關單位的工作秩序[8]。二是工作秘密是各級國家機關在其公務活動和內(nèi)部管理中產(chǎn)生的不屬于國家秘密而又不宜對外公開的事項[9]。三是各級國家機關、授權單位為了保障其職權的正當行使，依據(jù)簡易程序確定并在一定時間內(nèi)只限一定范圍人員知悉的工作事項[10]。四是機關、單位在公務活動和內(nèi)部管理中產(chǎn)生的，一旦泄露會直接干擾機關、單位正常工作秩序，影響正常行使管理職能，在一定時間內(nèi)不宜對外公開的事項和信息[11]?？傮w來看，工作秘密來源于國家機關、法律法規(guī)授權的行政主體及提供公共服務的企事業(yè)單位的公務活動和內(nèi)部管理事項。

我國工作秘密管理還沒有形成全國統(tǒng)一的法律法規(guī)、管理機制、指導規(guī)范、技術標準。工作秘密管理由各級機關單位自行確定，機關單位從工作慣例、業(yè)務需要出發(fā)，各自確定工作秘密管理體制、方法和措施，沒有明確的技術標準。對工作秘密過度保護會妨礙正常政府信息公開、降低機關效能、影響公共利益。在當前互聯(lián)網(wǎng)、大數(shù)據(jù)等技術極度發(fā)達的信息化時代，信息傳播和擴散速度快，工作秘密泄露可能在較大范圍內(nèi)對工作秩序造成嚴重影響；大量非密、敏感的信息碎片經(jīng)大數(shù)據(jù)及數(shù)據(jù)挖掘技術聚合、疊加形成影響國家安全、損害國家利益的涉密信息。

我國工作秘密管理可以參考美國經(jīng)驗，將工作秘密管理機構納入國家秘密安全保密機構中統(tǒng)一部署，形成相對獨立的部門和管理制度，既可以維護國家秘密的權威性，又可以在降低工作秘密保護成本，便利信息資源利用的同時維護國家安全。

我國等保2.0的核心標準GB/T 22239—2019《信息安全技術 網(wǎng)絡安全等級保護基本要求》的制定將NIST SP 800-53作為參考[12]。我國在制定工作秘密安全技術標準時也可參考美國經(jīng)驗，將現(xiàn)有等級保護和分級保護標準作為基線標準，通過裁剪方法形成適用于工作秘密保護的標準。

4 結 語

美國信息技術發(fā)展在全球范圍名列前茅，遇到的安全挑戰(zhàn)也由來已久，近些年尤其重視CUI安全管控體系的建立和完善。我國的工作秘密與美國CUI存在較強的相似性，工作秘密安全管控可以借鑒美國，制定全國性法律法規(guī)，界定其內(nèi)涵與外延，推出統(tǒng)一性的法規(guī)政策指導法律執(zhí)行。國家秘密管理機構設立獨立的管理部門對工作秘密進行管控，建立從工作秘密識別、標識、監(jiān)督、審查、解除的全生命周期管理流程。為應對工作秘密多業(yè)務、多場景特點，可借鑒美國安全技術標準體系，明確量化工作秘密涉及范圍，對工作秘密進行分級分類，利用裁剪方法制定適應具體系統(tǒng)的安全技術措施，通過具備資質(zhì)的專業(yè)安全機構開展系統(tǒng)安全體系建立、安全性評估的咨詢工作，保證工作秘密切實得到保護。