Ⅱ 政策法规篇 PolicyandRegulationArticle

B.2 2020年国外工业信息安全法规政策进展研究

刘芷君[1]

摘　要：2020年，美国、欧盟、澳大利亚等国家和地区发布系列政策法规，工业信息安全保障不断强化。美国进一步加强对国防工业、电力能源等关键基础设施的安全保障，提升供应商及相关产品和服务的安全性；多个国家和地区发布法案和指导性文件，指导公私部门提升物联网设备生产制造及使用过程中的网络安全水平；美欧发布政策文件要求评估5G网络安全风险，进一步提升5G基础设施建设中的网络安全性。

关键词：关键基础设施安全；供应链安全；物联网安全；5G网络安全

Abstract:In 2020,the United States,the European Union,Australia and other countries and regions issued a series of policies and regulations,and the security of industrial information has been continuously strengthened.The United States further strengthens the security of key infrastructure such as the defense industry,power and energy,and improves the security of suppliers and related products and services.Many countries and regions have issued bills and guidance documents to guide public and private sectors to improve the manufacturing of IoT equipment as well as the level of network security in the process of use.The United States and the European Union issued policy documents that require assessment of 5G network security risks and further enhance network security in the construction of 5G infrastructure.

Keywords:Critical Infrastructure Security;Supply Chain Security;IoT Security;5G Network Security

2020年，国外工业信息安全相关战略、法律、法规、指导性文件等政策进一步出台（见表2-1），涉及关键基础设施安全、物联网安全、5G网络安全等多个重点方面。多个国家和地区工业信息安全相关政策对供应链安全的重视程度进一步提升，强调要评估供应商的网络安全水平，以及增强供应链上的设备和服务的安全性。

一、美国进一步强化国防工业、电力能源等关键基础设施的安全保障

2020年，美国出台了系列行政令和指导性文件，通过加强对供应商的管理、提升供应链产品和服务的安全性等，进一步强化国防工业、电力能源等关键基础设施领域的安全保障。

（一）美国国防部发布认证标准加强对国防供应商的安全管控

2020年1月，美国国防部发布《网络安全成熟度模型认证（CMMC）1.0版》，对美国国防供应商提出体系化、强制性的第三方网络安全评估要求，强化国防供应商网络安全保障能力，确保重要敏感信息安全。该文件在整合现有网络安全相关标准的基础上，为国防供应商构建了一套体系化的网络安全评价评估标准，由经过认证的第三方专业机构作为评估机构。在评估等级方面，将网络安全成熟度由低到高划分为1～5五个等级，评估机构根据根据国防供应商可能接触的重要信息敏感程度，对国防供应商的网络安全成熟度进行认证评级，获得相应等级的认证是供应商获得国防部合同订单的前提条件。在认证标准方面，该文件列举出了涵盖访问控制、身份认证、风险管理、态势感知等网络安全管理的17个方面，细化到171个具体网络安全实践，涵盖了重要信息的全生命周期保护。

（二）美国总统签署行政令提升定位、导航与授时服务的安全性

2020年2月，美国总统签署《通过负责任地使用定位、导航与授时服务（PNT）增强国家弹性》行政令，旨在防止定位、导航和授时（PNT）信号受到干扰与操纵给国家关键基础设施带来的安全威胁。该行政令指出，天基GPS系统提供的PNT服务在电网、通信、移动设备、交通运输等基础设施中应用广泛，一旦中断或被操纵将会破坏关键基础设施的可靠和有效运行，关键基础设施所有者和运营商必须负责任地使用PNT服务。行政令规定了相关行政部门负责人的PNT服务保障职责。商务部部长与相关公私部门共同制定PNT概述文件，指导公私部门明确依赖PNT服务的系统、网络和资源并进行风险管理，确认适用的PNT服务，检测PNT服务是否中断。国土安全部部长负责对关键基础设施系统、网络和资源在PNT服务中断和PNT服务管理时存在的脆弱性进行测试，测试结果将成为PNT概述文件更新的依据。关键基础设施对应的负责机构要会同相关行政部门（必要时通过国土安全部部长）共同制定PNT服务集成和应用所需产品、系统和服务的联邦合同要求，纳入PNT概述文件的有关内容，鼓励私营部门开发和使用具备安全性的PNT服务。交通部部长、能源部部长和国土安全部部长要与关键基础设施所有者和运营商合作，对公私部门使用PNT服务的情况进行评估。

（三）美国总统签署行政令保障电力系统供应链安全

2020年5月，美国总统签署《确保美国大容量电力系统安全》行政令，指出美国大容量电力系统已成为不法分子进行恶意网络攻击等活动的目标，不受限制地购买他国供应的大容量电力系统设备将威胁国家安全、外交政策和经济发展。该行政令禁止美国购买对国家安全造成风险的海外电力设备，并授权能源部长发布相关标准，评估海外电力系统设备和供应商的相关资质，建立通过资质预审的电力设备和供应商名单，评估由他国供应的大容量电力系统设备对美国关键基础设施安全、国家安全和民众安全可能带来的风险，监控并替换已在使用中的禁用设备。该行政令还要求能源部牵头成立能源基础设施采购政策特别工作组，协调联邦政府采购能源基础设施的相关事宜，并共享评估出来的风险信息和风险管理实践，保障电力系统供应链安全。

二、多个国家和地区发布政策关注物联网安全

为应对万物互联带来的网络安全风险，多个国家和地区纷纷出台政策确保物联网设备和技术部署，以及物联网设备使用过程中的安全性。

（一）澳大利亚发布行为准则提升物联网设备安全性

2020年9月，澳大利亚政府发布《行为准则：保障消费者物联网安全》，旨在为物联网设备制造商等主体提出最低程度的网络安全标准，同时提高人们对物联网设备安全保护措施的认识，增强消费者对物联网技术的信心。该文件为物联网设备制造商、物联网服务提供商和移动应用程序开发商等主体提供了提升物联网设备安全性的13条自愿的行为准则（见表2-2），同时明确该准则将在实践中进行定期审查，确保其具有持续的可适用性。在13条行为准则中，澳大利亚政府建议工业界优先贯彻前3项，因为对默认密码、漏洞披露和安全更新等措施将在短期内带来最大的安全利益。

（二）欧盟发布指导性文件确保物联网供应链安全

2020年11月，欧盟网络安全局（ENISA）发布《物联网保护准则》，提出了确保物联网供应链安全的准则，为物联网开发的全生命周期的安全性提供了指南，指导开发人员、制造商、集成商等利益相关者在物联网供应链各环节进行安全决策。该准则列明了物联网供应链的10个阶段[2]，强调了各阶段的关键网络安全挑战，确定了针对物联网供应链的关键网络安全威胁和挑战[3]，提供了物联网供应链安全的最佳实践和安全措施，最终提出5项准则（见表2-3）指导物联网利益相关者提升物联网供应链安全保护能力。

（三）美国发布法案防范物联网设备网络安全风险

2020年12月，美国总统签署美国《物联网网络安全改进法案》，为美国提升物联网网络安全水平提供法律依据。该法案历经多年，几经波折，最终得以出台[4]，是美国第一部国家物联网安全法，将对美国物联网发展产生重要影响。该法案要求美国国家标准与技术研究院（NIST）为联邦政府使用物联网设备制定标准和指南，并授权白宫管理和预算办公室（OMB）审查使用物联网设备的政府机构的信息安全政策，使其符合NIST制定的标准和指南。该法案还要求NIST牵头制定有关信息系统安全披露程序的指南，并由OMB监督应对信息系统安全漏洞所需的政策、标准和指南的实施，向政府提供物联网设备的承包商和分包商应及时报告漏洞和后续解决方案。该法案还针对政府机构和供应商提出了相关采购禁令，禁止购买不符合安全标准的物联网设备。

三、美欧发布政策文件进一步评估5G网络安全风险

2020年，美国和欧盟在此前5G网络安全相关政策的基础上，进一步发布政策文件评估5G网络安全风险。

（一）欧盟发布工具箱指导成员国排除5G网络安全风险

欧盟委员会于2019年3月发布《5G网络安全建议书》，提出欧盟应建立一个通用有效的工具箱，识别5G网络安全风险并提出有效的风险应对措施。2020年1月，欧盟《5G网络安全“工具箱”》正式出台，基于欧盟成员国对其5G网络基础设施进行的风险评估，结合欧盟现行网络安全框架和措施，提出了8项战略性举措和11项技术性举措（见表2-4）。战略措施通过加强监管权力，进行网络采购审查和部署，解决非技术脆弱性相关风险，加强供应链安全；技术措施通过加强技术、过程、人员和物理因素安全来加强5G网络和设备安全。工具箱尤其强调过度依赖单一来源5G网络供应商可能导致的安全风险，建议成员国适当组合适用工具箱措施，防范安全风险。2020年7月24日，欧盟网络与信息系统（NIS）战略合作组织发布《欧盟成员国5G网络安全工具箱实施进展》报告，指出工具箱中提出的一些举措在各成员国取得了良好的进展，如成员国的监管部门对5G网络安全的监管力度加强，一些成员国已采取措施限制高风险供应商参与5G建设，大多数成员国正在审查对运营商的网络安全性和弹性要求等。然而，还有一些措施有待落实，如迫切需要减少对高风险供应商的依赖，多元化供应商策略实施存在挑战等。报告还建议成员国加强交流，继续监测和评估工具箱的实施，保持与欧盟委员会的合作，进一步落实工具箱举措。

（二）美国发布战略文件全方位提升5G网络安全水平

2020年3月，美国白宫按照美国《保障5G与其他安全法案》[5]的要求发布《国家5G安全战略》，旨在促进与合作伙伴及盟友合作，共同开发、部署和管理全球5G通信基础设施。该战略提出了4项战略举措。一是促进国内5G部署，在相关部门推进5G基础设施建设的相关战略和计划的基础上，美国政府将继续加强与私营部门、合作伙伴及盟友之间的合作，加快5G技术的研究、开发、测试和评估。二是评估5G基础设施面临的网络安全等相关风险，确定其核心安全原则，总结5G基础设施建设中的网络安全、供应链风险管理和公共安全等方面的最佳实践。三是应对全球5G基础设施开发和部署对美国经济和国家安全造成的风险，包括供应链风险、高风险供应商风险等。四是促进负责任的全球5G开发和部署，加强双边及多边合作，促进国际5G安全原则的制定和实施，强化美国在国际标准制定中的领导地位。

参考资料

1.Cybersecurity Maturity Model Certification (CMMC) Version 1.0.The Department of Defense,2020(1).

2.Strengthening National Resilience Through Responsible Use of Positioning,Navigation,and Timing Services.The Executive Office of the President,2020(2).

3.Securing the United States Bulk-Power System.The Executive Office of the President,2020(5).

4.Securing the Internet of Things for Consumers.Australian Government,2020(9).

5.Guidelines For Securing The Internet.The Europwan Union Agency,2020(11).

6.Cybersecurity of 5G networks EU Toolbox of risk mitigating measures.NIS Cooperation Group,2020(1).

7.National Strategy To Secure 5G of the United States of America.The White House,2020(3).

---

[1] 刘芷君，国家工业信息安全发展研究中心信息政策所助理工程师，硕士，主要研究方向为供应链安全、数据安全等。

[2] 物联网供应链10个阶段包括产品设计、半导体制造、零件制造、物联网平台开发、组件组装和嵌入式软件、设备编程、物流配送、服务供应和最终用户操作、技术支持和维护、设备恢复和重新利用。

[3] 主要威胁和挑战包括物理攻击、知识产权损失、不法活动、意外损害和信息丢失等。

[4] 该法案2017年即被提出，2017年版的法案未被通过。2019年3月，美国立法者向国会重新提出了该法案。2020年9月14日，美国众议院通过该法案，并提交参议院审议。2020年11月17日，参议院未经修改通过该法案，将该法案呈交给白宫。2020年12月7日，特朗普总统正式签署《物联网网络安全改进法案》，使其成为法律。

[5] 《保障5G与其他安全法案》于2020年3月被特朗普签署成为法律，要求行政部门在180天内制定一项覆盖整个美国政府的战略，以解决5G和未来几代无线通信系统所面临的安全漏洞等问题。