周亞超　左曉棟

摘? ?要：在我國(guó)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（本文簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）和《數(shù)據(jù)安全管理辦法》等政策中都使用了“重要數(shù)據(jù)”的概念，并與網(wǎng)絡(luò)數(shù)據(jù)安全管理、數(shù)據(jù)出境安全評(píng)估等多項(xiàng)網(wǎng)絡(luò)安全制度的實(shí)施密切相關(guān)。盡管國(guó)外沒有使用“重要數(shù)據(jù)”的概念，但對(duì)非個(gè)人數(shù)據(jù)、非國(guó)家秘密信息的安全管理屬于常態(tài)，只是各國(guó)的管理重點(diǎn)各有不同。美國(guó)將政府?dāng)?shù)據(jù)中介于保密數(shù)據(jù)與公開數(shù)據(jù)之間，需要限制公開或控制傳播的數(shù)據(jù)歸為受控非密信息（CUI），實(shí)施統(tǒng)一的登記備案和標(biāo)識(shí)管理制度，并通過技術(shù)標(biāo)準(zhǔn)將其范圍擴(kuò)大到了非聯(lián)邦機(jī)構(gòu)和系統(tǒng)的CUI。文章梳理了CUI概念和分類，總結(jié)了CUI相關(guān)標(biāo)準(zhǔn)中的安全控制要求，并與一般安全保護(hù)要求進(jìn)行比較。CUI研究對(duì)我國(guó)重要數(shù)據(jù)識(shí)別和管理方面的政策和標(biāo)準(zhǔn)制定具有借鑒意義。

關(guān)鍵詞：受控非密信息;重要數(shù)據(jù);分類;安全控制

中圖分類號(hào)： TP393? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： The concept of "key data" is used in China's "Cybersecurity Law" and "Data Security Management Regulation" and other policies， and is closely related to the implementation of several cybersecurity requirements such as network data security management and data outbound assessment. Although the concept of "key data" is not used abroad， the security management of non-personal data and non-state secret information is normal practices， only varies from country to country. The United States defines CUI as government data between confidential data and public data， although its not state secret but may cause serious potential damage once it disclosed or damaged， and implements unified identification and management. Besides， the scope of application of CUI information is expanded to non-federal agencies and systems through the development of technical standards. This article investigates the concept and categories of CUI， analyzes the management mechanism and security controls of CUI through NIST standards and compares with general security requirements. Research on CUI is meaning to the identification and management of key data.

Key words： CUI; key data; categorization; security controls

1 引言

重要數(shù)據(jù)的概念最早在《網(wǎng)絡(luò)安全法》中正式出現(xiàn)，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)”。2019年5月，中央網(wǎng)信辦發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》對(duì)重要數(shù)據(jù)安全管理提出備案、明確安全責(zé)任人以及采取安全措施等方面的要求;同期發(fā)布的《網(wǎng)絡(luò)安全審查辦法（征求意見稿）》也將重要數(shù)據(jù)安全作為審查的一個(gè)方面，重點(diǎn)評(píng)估采購(gòu)活動(dòng)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)，包括考慮導(dǎo)致大量個(gè)人信息和重要數(shù)據(jù)泄露、丟失、毀損、出境的可能性等因素。國(guó)外沒有使用重要數(shù)據(jù)的概念，在不同領(lǐng)域的法律法規(guī)中對(duì)非個(gè)人數(shù)據(jù)、非國(guó)家秘密信息實(shí)施安全管理也是常規(guī)的做法，其中最為典型的就是美國(guó)政府信息中的受控非密信息。

2010年11月，奧巴馬總統(tǒng)簽署第13556號(hào)行政命令《受控非密信息》[1]，建立和實(shí)施CUI登記備案及標(biāo)識(shí)管理制度，作為對(duì)國(guó)家秘密保護(hù)的補(bǔ)充。此前，美國(guó)相關(guān)執(zhí)行部門在涉及隱私、安全、財(cái)務(wù)商業(yè)利益和執(zhí)法調(diào)查等信息時(shí)，通常采用各自特定的機(jī)構(gòu)、程序和標(biāo)記來(lái)保護(hù)和控制這些信息，導(dǎo)致信息標(biāo)識(shí)混亂、管理效率低下。信息傳輸策略不明確，對(duì)授權(quán)信息共享造成了障礙，而部門特有的政策往往不讓公眾知情，也加劇了這些問題的影響。

美國(guó)CUI管理制度由美國(guó)文件和檔案管理局牽頭，制定并發(fā)布CUI識(shí)別指南、標(biāo)識(shí)指南、保護(hù)方法等文件，建設(shè)CUI登記系統(tǒng)，以提升信息的一致性和透明性。實(shí)際掌握CUI的部門根據(jù)文件識(shí)別確定本機(jī)構(gòu)掌握的受控非密信息類型，提交檔案與文件管理局批準(zhǔn)并進(jìn)行注冊(cè)登記。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）制定了非聯(lián)邦系統(tǒng)和機(jī)構(gòu)CUI保護(hù)標(biāo)準(zhǔn)[2～4]，認(rèn)為CUI不論是否在聯(lián)邦系統(tǒng)中都具有同樣的價(jià)值并應(yīng)受到同等保護(hù)，這實(shí)際上將CUI擴(kuò)大到了非聯(lián)邦范圍。

2? 聯(lián)邦政府CUI分類

CUI是根據(jù)適用法律、法規(guī)和政府政策進(jìn)行保護(hù)或傳播控制的信息，CUI的類別和子類別是用于識(shí)別整個(gè)行政部門中需要保護(hù)或傳播控制的非機(jī)密信息的唯一指定，并與適用的法律、法規(guī)和整個(gè)政府的政策相一致。根據(jù)美國(guó)檔案管理局網(wǎng)站信息，CUI分為20類、124子類，如表1 所示。此外，還有相應(yīng)的分類描述、分類標(biāo)識(shí)、CUI標(biāo)識(shí)及對(duì)應(yīng)的法律法規(guī)要求。

關(guān)鍵基礎(chǔ)設(shè)施—受保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施信息。

分類描述：根據(jù)美國(guó)法典6 USC 131-134和6 CFR 29的定義。PCII指與國(guó)家基礎(chǔ)設(shè)施相關(guān)的威脅、漏洞或運(yùn)營(yíng)經(jīng)驗(yàn)信息。標(biāo)識(shí)PCII信息可以為自愿與政府進(jìn)行共享的私營(yíng)部門基礎(chǔ)設(shè)施信息提供保護(hù)，以保護(hù)國(guó)土安全。

分類標(biāo)識(shí)：PCII。

CUI標(biāo)識(shí)：受限傳播控制CUI//Category Marking//Limited Dissemination Control。

適用法律：6 CFR 29。

3 非聯(lián)邦機(jī)構(gòu)CUI的一般安全控制

美國(guó)認(rèn)為對(duì)聯(lián)邦系統(tǒng)和機(jī)構(gòu)的CUI保護(hù)也是十分重要，將會(huì)直接影響到聯(lián)邦政府執(zhí)行任務(wù)和業(yè)務(wù)運(yùn)營(yíng)的能力。針對(duì)非聯(lián)邦系統(tǒng)和組織中的CUI信息，NIST制定了相應(yīng)的標(biāo)準(zhǔn)。

（1）NIST SP 800171《保護(hù)非聯(lián)邦系統(tǒng)和機(jī)構(gòu)的受控非密信息》[2] ，提出基于FIPS 200[5]的一般安全控制以及基于NIST SP 80053[6]的擴(kuò)展安全控制。

（2）NIST SP 800171B《保護(hù)非聯(lián)邦系統(tǒng)和組織中的受控非密信息：關(guān)鍵程序和高價(jià)值資產(chǎn)的增強(qiáng)安全要求》[3]，提出基于NIST SP 80053[6]的增強(qiáng)安全控制。

（3）NIST SP 800171A《受控非密信息安全要求評(píng)估》[4]，提供了對(duì)CUI安全要求進(jìn)行評(píng)估的程序和方法。

為區(qū)別聯(lián)邦信息系統(tǒng)的安全要求，上述標(biāo)準(zhǔn)適用的場(chǎng)景限制在當(dāng)非聯(lián)邦機(jī)構(gòu)不代表聯(lián)邦機(jī)構(gòu)收集或維護(hù)信息、不代表聯(lián)邦機(jī)構(gòu)使用或運(yùn)行系統(tǒng)時(shí)，并且在CUI類別或子類別相關(guān)授權(quán)法律、法規(guī)或政府范圍的政策中，沒有關(guān)于CUI機(jī)密性保護(hù)的特殊要求。此外，標(biāo)準(zhǔn)還基于三點(diǎn)假定：一是不論CUI信息是否在聯(lián)邦系統(tǒng)都應(yīng)受到同等保護(hù)，即采取同等強(qiáng)度的安全控制;二是依據(jù)FIPS199[7]評(píng)估的CUI保密性影響至少為中級(jí);三是非聯(lián)邦機(jī)構(gòu)有適當(dāng)?shù)男畔⒓夹g(shù)能力實(shí)施安全解決方案，如果不具備標(biāo)準(zhǔn)要求的組織架構(gòu)或資源時(shí)，可通過替代方式或其他同等有效的措施來(lái)實(shí)現(xiàn)。

考慮到非聯(lián)邦機(jī)構(gòu)CUI的保護(hù)需求，NIST SP 800-171對(duì)FIPS 200和NIST SP 80053進(jìn)行了裁剪，刪除了三種類型的安全控制。

（1）僅適用于聯(lián)邦機(jī)構(gòu)或系統(tǒng)（即主要由聯(lián)邦政府負(fù)責(zé)的），如信息共享、安全授權(quán)、特定類型的鑒別管理、密碼模塊鑒別等。

（2）與保護(hù)CUI的機(jī)密性沒有直接關(guān)系，如溫濕度防火等物理環(huán)境保護(hù)、應(yīng)急計(jì)劃、應(yīng)急演練、審計(jì)存儲(chǔ)能力等。

（3）非聯(lián)邦組織一般已滿足的非特定安全要求，如安全策略與規(guī)程、應(yīng)急響應(yīng)計(jì)劃等。

依據(jù)上述原則裁剪后不包括持續(xù)規(guī)劃、系統(tǒng)和設(shè)備采購(gòu)等控制類，如表2所示給出了14類安全控制的重點(diǎn)考慮項(xiàng)，可以看成是與CUI的保密性、完整性、可用性直接相關(guān)的最小控制集。

4 非聯(lián)邦機(jī)構(gòu)CUI的增強(qiáng)安全控制

NIST SP 800-171B主要針對(duì)非聯(lián)邦系統(tǒng)和組織中具有關(guān)鍵程序和高價(jià)值資產(chǎn)的受控非密信息，基于NIST SP 80053提出了增強(qiáng)安全控制，以保護(hù)CUI的機(jī)密性和完整性，特別是防御高級(jí)網(wǎng)絡(luò)攻擊，并確保系統(tǒng)和組織在受到攻擊時(shí)的網(wǎng)絡(luò)可恢復(fù)性。為應(yīng)對(duì)高級(jí)可持續(xù)威脅（APT）攻擊，增強(qiáng)安全控制主要考慮的要素為：

（1）采用以威脅為中心的方法;

（2）采用支持邏輯和物理隔離的替代系統(tǒng)和安全體系結(jié)構(gòu)，通過系統(tǒng)和網(wǎng)絡(luò)分段技術(shù)、虛擬機(jī)和容器實(shí)現(xiàn)隔離;

（3）對(duì)關(guān)鍵或敏感操作實(shí)施雙重授權(quán)控制;

（4）將永久性存儲(chǔ)限制在隔離區(qū)域或隔離域中;

（5）為系統(tǒng)和網(wǎng)絡(luò)實(shí)施遵循連接的方法;

（6）通過建立系統(tǒng)和系統(tǒng)組件變更的權(quán)威性源頭，擴(kuò)展配置管理要求;

（7）定期將組織系統(tǒng)和系統(tǒng)組件刷新或升級(jí)到已知狀態(tài)，或者開發(fā)新的系統(tǒng)或組件;

（8）使用具有高級(jí)分析功能的安全運(yùn)營(yíng)中心來(lái)支持對(duì)組織系統(tǒng)的持續(xù)監(jiān)視和保護(hù);

（9）使用欺騙手段保護(hù)決策信息來(lái)混淆和誤導(dǎo)入侵者，以保護(hù)可能泄露的信息的價(jià)值和真實(shí)性或者運(yùn)行環(huán)境。

對(duì)于每項(xiàng)增強(qiáng)控制，NIST SP 800-171B還提供了便于實(shí)施和評(píng)估的輔助信息。對(duì)于某些組織來(lái)說，如果增強(qiáng)安全控制太困難或成本太高，無(wú)法通過內(nèi)部配置來(lái)滿足這些要求，可通過采購(gòu)?fù)獠糠?wù)來(lái)滿足要求。外部服務(wù)可包括IT基礎(chǔ)架構(gòu)、平臺(tái)和軟件服務(wù)，威脅情報(bào)，威脅發(fā)現(xiàn)，威脅、脆弱性和風(fēng)險(xiǎn)評(píng)估，網(wǎng)絡(luò)和系統(tǒng)恢復(fù)等。

具體來(lái)說，NIST SP 800-171B針對(duì)關(guān)鍵過程或高價(jià)值資產(chǎn)相關(guān)CUI信息提出了五個(gè)方面的增強(qiáng)安全控制，以應(yīng)對(duì)更嚴(yán)峻的網(wǎng)絡(luò)攻擊。

一是增強(qiáng)系統(tǒng)和通信保護(hù)。加強(qiáng)系統(tǒng)訪問控制，對(duì)關(guān)鍵敏感的系統(tǒng)操作實(shí)施雙授權(quán)機(jī)制，將系統(tǒng)和系統(tǒng)組件的訪問權(quán)限限制為僅由組織擁有、供應(yīng)或發(fā)布的信息資源，使用安全的傳輸方案控制安全域之間的信息流。加強(qiáng)標(biāo)識(shí)和鑒別措施，使用自動(dòng)機(jī)制禁止未鑒別或未正確配置的系統(tǒng)組件連接系統(tǒng);在使用密碼、可重放的雙向身份驗(yàn)證建立網(wǎng)絡(luò)連接之前應(yīng)對(duì)系統(tǒng)和系統(tǒng)組件進(jìn)行標(biāo)識(shí)和身份驗(yàn)證。加強(qiáng)系統(tǒng)和通信保護(hù)，使用物理和邏輯隔離技術(shù)以及不同的系統(tǒng)組件，減少惡意代碼傳播范圍，通過不可預(yù)測(cè)的或移動(dòng)的目標(biāo)防御降低系統(tǒng)和組件的受攻擊面使用偽裝虛假或混淆信息誤導(dǎo)入侵者。

二是增強(qiáng)系統(tǒng)和信息完整性保護(hù)。嚴(yán)格實(shí)施配置管理，建立和維護(hù)可信賴的系統(tǒng)組件源，自動(dòng)檢測(cè)是否存在配置錯(cuò)誤或未授權(quán)的系統(tǒng)組件并將其移除或隔離修復(fù)，使用自動(dòng)恢復(fù)或管理工具維護(hù)完整準(zhǔn)確的系統(tǒng)組件清單。保護(hù)CUI信息的完整性，利用信任根、正式驗(yàn)證或加密簽名來(lái)驗(yàn)證關(guān)鍵任務(wù)或核心軟件的完整性和準(zhǔn)確性，持續(xù)監(jiān)測(cè)異?；蚩梢尚袨?，至少每年兩次將組織系統(tǒng)和系統(tǒng)組件刷新為已知的受信任狀態(tài)，定期檢查永久性存儲(chǔ)介質(zhì)并清除不再需要的CUI。

三是加強(qiáng)風(fēng)險(xiǎn)評(píng)估力度。使用自動(dòng)機(jī)制來(lái)預(yù)測(cè)和識(shí)別組織、系統(tǒng)或系統(tǒng)組件的風(fēng)險(xiǎn)，基于當(dāng)前和積累的威脅情報(bào)來(lái)應(yīng)對(duì)系統(tǒng)和組織的預(yù)期風(fēng)險(xiǎn)，識(shí)別系統(tǒng)安全架構(gòu)、系統(tǒng)組件、邊界隔離或保護(hù)機(jī)制，以及對(duì)外部服務(wù)提供者的依賴，評(píng)估、響應(yīng)和監(jiān)控組織系統(tǒng)的供應(yīng)鏈風(fēng)險(xiǎn)。定期實(shí)施滲透性測(cè)試，增加臨時(shí)性測(cè)試。

四是增強(qiáng)人員安全和培訓(xùn)。嚴(yán)格人員審核，持續(xù)評(píng)估人員可信度且當(dāng)有CUI訪問權(quán)限的人員的可信度降低時(shí)，確保組織系統(tǒng)受到保護(hù)。加強(qiáng)有關(guān)識(shí)別和響應(yīng)社會(huì)工程學(xué)、APT攻擊、違規(guī)行為和可疑行為的威脅方面的培訓(xùn)，提供與當(dāng)前威脅情景相適應(yīng)的演練，定期或在威脅發(fā)生重大變化時(shí)更新培訓(xùn)。

五是提升應(yīng)急響應(yīng)能力。建立和維護(hù)全天候安全運(yùn)行中心和事件響應(yīng)小組，確保可在24小時(shí)內(nèi)部署到組織確定的任何位置。

5 結(jié)束語(yǔ)

CUI分類和安全控制研究為明確制定我國(guó)重要數(shù)據(jù)識(shí)別和安全管理相關(guān)政策和標(biāo)準(zhǔn)提供了有益借鑒。CUI分類有助于提高信息標(biāo)識(shí)的一致性和透明性，說明為什么將其定義為CUI、有哪些特殊性，并梳理法律法規(guī)中的特定要求。CUI保護(hù)重點(diǎn)關(guān)注信息的保密性、完整性、可用性，在通用安全保護(hù)基礎(chǔ)上裁剪與CUI關(guān)系不大的以及組織或系統(tǒng)默認(rèn)已滿足或不必要的安全控制;針對(duì)高價(jià)值資產(chǎn)類CUI，提出增強(qiáng)安全控制，按照多維縱深防御策略使用抗入侵架構(gòu)、提高網(wǎng)絡(luò)可恢復(fù)性并對(duì)損害程度進(jìn)行限制，提高防御APT攻擊以保護(hù)高價(jià)值資產(chǎn)。

參考文獻(xiàn)

[1] 奧巴馬總統(tǒng)第13556號(hào)行政令（EO 13556）.受控非密信息[S].2010年.

[2] NIST SP 800-171.保護(hù)非聯(lián)邦系統(tǒng)和機(jī)構(gòu)的受控非密信息[S].美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院，2016.

[3] NIST SP 800-171A.受控非密信息安全要求評(píng)估[S].美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院，2018.

[4] NIST SP 800-171B.保護(hù)非聯(lián)邦系統(tǒng)和組織中的受控非密信息：關(guān)鍵程序和高價(jià)值資產(chǎn)的（草案）[S].美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院，2019.

[5] FIPS200.聯(lián)邦信息和信息系統(tǒng)最小安全要求[S].美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院，2006.

[6] NIST SP 800-53.聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制規(guī)范（第四版更新）[S].美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院，2015.

[7] FIPS199.聯(lián)邦信息和信息系統(tǒng)安全分類[S].美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院，2004.

作者簡(jiǎn)介：

周亞超（1985-），女，滿族，河北唐山人，愛爾蘭都柏林城市大學(xué)，博士，中電數(shù)據(jù)服務(wù)有限公司，高級(jí)工程師;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全戰(zhàn)略與法規(guī)、網(wǎng)絡(luò)安全產(chǎn)業(yè)、數(shù)據(jù)安全。

左曉棟（1975-），男，漢族，河北石家莊人，中國(guó)科學(xué)院研究生院，博士，中國(guó)信息安全研究院有限公司，正高級(jí)工程師;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全。