陳曉樺，何德全，王海龍，尚燕敏，徐克付

（1. 中國網(wǎng)絡空間研究院，北京 100010；2. 中國信息安全評測中心，北京 100085；3. 中國科學院計算技術(shù)研究所，北京 100190；4. 中國科學院信息工程研究所，北京 100093）

網(wǎng)絡安全審查制度研究及建議

陳曉樺1，何德全2，王海龍3，尚燕敏4，徐克付4

（1. 中國網(wǎng)絡空間研究院，北京 100010；2. 中國信息安全評測中心，北京 100085；3. 中國科學院計算技術(shù)研究所，北京 100190；4. 中國科學院信息工程研究所，北京 100093）

網(wǎng)絡安全作為國家安全的一部分，其安全檢查與評估所依循的規(guī)章制度分布在國家安全審查或網(wǎng)絡空間管理的政策制度中。本文著眼于國際上現(xiàn)行的網(wǎng)絡安全審查相關(guān)制度，重點分析各國在信息技術(shù)產(chǎn)品和服務安全評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全評估與管理、供應鏈安全和背景安全調(diào)查等方面的做法，從法律法規(guī)、組織體系、運行模式、審查方法和支撐技術(shù)等方面研究建立我國的網(wǎng)絡安全審查制度。

網(wǎng)絡安全審查；信息技術(shù)產(chǎn)品和服務；關(guān)鍵信息基礎(chǔ)設(shè)施；供應鏈安全；背景安全

DOI 10.15302/J-SSCAE-2016.06.008

一、背景

當前，網(wǎng)絡空間已成為國家間不見硝煙、激烈博弈的主戰(zhàn)場，技術(shù)漏洞、產(chǎn)品后門等安全隱患可能給國家利益帶來災難性損失。根據(jù)美國國家安全情報機構(gòu)前雇員斯諾登提供的文件曝光，美國某些著名的信息技術(shù)（IT）公司曾參與到“棱鏡計劃”中，協(xié)助美國情報機構(gòu)竊取網(wǎng)絡信息、監(jiān)視多國政府和全球網(wǎng)民。而目前中國境內(nèi)使用的芯片、操作系統(tǒng)、數(shù)據(jù)庫、關(guān)鍵技術(shù)仍被國外公司壟斷，存在嚴重安全威脅。同時，中國信息和通信技術(shù)（ICT）企業(yè)的產(chǎn)品則面臨外國的嚴格審查，其在國際市場上進行收購等商業(yè)活動也屢次受到干預和阻止。

本文著眼于研究國外網(wǎng)絡安全審查相關(guān)制度，為建立我國網(wǎng)絡安全審查制度提供參考。

二、國外網(wǎng)絡安全審查相關(guān)制度概述

美英等西方國家的國家安全審查制度較為成熟，并針對ICT產(chǎn)品紛紛設(shè)立了安全調(diào)查與評估制度，不僅涉及產(chǎn)品和服務，還包括產(chǎn)品和服務的提供商。目前，國外尚未見到針對網(wǎng)絡安全專門設(shè)立審查制度的報道，但依據(jù)國家安全審查和信息安全管理制度，已開展嚴格的網(wǎng)絡安全審查活動。

（一）美國網(wǎng)絡安全審查相關(guān)法規(guī)政策

美國是世界上最早開展國家安全審查的國家，其法規(guī)主要包括《政府采購條例》（FAR）[1]、2007年《外國投資和國家安全法案》（FINSA 2007）[2]、《?？松?佛羅里奧修正案》[3]等。

美國依托信息安全行業(yè)和專業(yè)測試機構(gòu)的力量，憑借經(jīng)濟、技術(shù)優(yōu)勢，跟蹤相關(guān)國家標準化戰(zhàn)略和政策動向，控制國際標準主導權(quán)。通過國家安全審查，外國企業(yè)必須與美國的安全部門簽署安全協(xié)議，協(xié)議包含公民隱私、數(shù)據(jù)和文件存儲可靠性以及保證美國執(zhí)法部門對網(wǎng)絡實施有效監(jiān)控等條款。

（二）美國聯(lián)邦信息安全管理法案

美國在聯(lián)邦信息安全管理法案（FISMA）[4]的框架下對政府信息系統(tǒng)開展安全管理，表面上體現(xiàn)為一系列的標準、指南和報告要求。

FISMA賦予各聯(lián)邦機構(gòu)、國家標準與技術(shù)研究院（NIST）[5]以及白宮管理和預算辦公室[6]保障信息系統(tǒng)安全的相應職責，要求每個聯(lián)邦機構(gòu)制定并實施相關(guān)文件，確保信息和信息系統(tǒng)的安全，以支持本機構(gòu)的運行，保護聯(lián)邦資產(chǎn)。

（三）美國國家安全審查機構(gòu)

外國投資委員會（CFIUS）[7]，是一個跨部門的機構(gòu)，代表們來自包括美國國防部、國務院以及國土安全部等，主席是美國的財政部部長。協(xié)調(diào)負責人是財政部投資安全辦公室主管，負責接收、處理、協(xié)調(diào)并購申報。CFIUS審查可能控制美國企業(yè)的外籍人士所進行的交易，以判定這類交易對美國國家安全的影響，但具體實施細節(jié)并不完全透明。

眾議院特別情報委員會曾對華為和中興公司開展了國家安全審查相關(guān)的調(diào)查工作[8]，采取了訪談企業(yè)有關(guān)人員、查閱文件資料、召開聽證會、現(xiàn)場調(diào)查等多種方式。其中，與政府、政黨、軍方、情報部門的關(guān)系是調(diào)查和質(zhì)詢的重點，收集企業(yè)高管及核心人員的言行和背景資料，結(jié)合企業(yè)的內(nèi)部運營、外部經(jīng)營、知識產(chǎn)權(quán)、研發(fā)情況等證據(jù)，達到最終證明存在引發(fā)國家安全問題的可能性。

（四）美國與英國的信息技術(shù)產(chǎn)品和服務安全評估

1. 美國信息技術(shù)安全認證

美國規(guī)定進入國家安全系統(tǒng)的、商業(yè)現(xiàn)貨的信息安全產(chǎn)品及由信息安全功能使能的相關(guān)產(chǎn)品，必須通過美國國家信息保障聯(lián)盟（NIAP）[9]通用準則評估認證體系（CCEVS）的評估認證；政府部門采購該類產(chǎn)品時，必須從NIAP審查通過的產(chǎn)品清單中選擇滿足安全要求的產(chǎn)品[10]。其中國家安全系統(tǒng)是指屬于美國政府部門的，處理涉密信息及軍事、情報等敏感信息的信息系統(tǒng)。

2. 英國信息產(chǎn)品技術(shù)檢查

英國電子通信安全組（CESG）[11]統(tǒng)籌負責關(guān)于信息產(chǎn)品的安全認證工作，源代碼檢查是實施認證的重要手段，具體的測試認證工作可由CESG認可的商業(yè)機構(gòu)負責。

3. 美國云計算服務安全評估

美國聯(lián)邦風險和授權(quán)管理項目（FedRAMP）[12]提供了對云服務進行安全評估、使用授權(quán)和持續(xù)監(jiān)測的標準方法。通過FedRAMP項目，聯(lián)邦機構(gòu)在部署其信息系統(tǒng)時可以使用由FedRAMP授權(quán)的云服務，做到“一次授權(quán)，多次使用”。

（五）關(guān)鍵信息基礎(chǔ)設(shè)施安全管理與評估

關(guān)鍵信息基礎(chǔ)設(shè)施安全是網(wǎng)絡安全的重要構(gòu)成部分，可以將國家關(guān)鍵信息基礎(chǔ)設(shè)施保護視為風險管理流程。美國強調(diào)如果這類系統(tǒng)或資產(chǎn)遭到破壞或喪失工作能力，將對國家安全、國家經(jīng)濟安全、國家公眾健康或公共安全，或任何這些事項的集合產(chǎn)生削弱影響。

美國早期的關(guān)鍵基礎(chǔ)設(shè)施保護政策協(xié)調(diào)主要由關(guān)鍵基礎(chǔ)設(shè)施保障辦公室和國家關(guān)鍵基礎(chǔ)設(shè)施保護中心負責。2002年由美國國土安全部[13]履行這兩個機構(gòu)的職能，同時還指定了特定機構(gòu)，包括農(nóng)業(yè)部、健康和公共服務部、環(huán)境保護局、能源部、財政部、國防部，并采取了多項措施[14,15]加強對國家關(guān)鍵基礎(chǔ)設(shè)施以及國家關(guān)鍵信息基礎(chǔ)設(shè)施的保護。

（六）供應鏈安全管理

美國一直非常關(guān)注供應鏈安全，相繼發(fā)布了《增強國際供應鏈安全的國家戰(zhàn)略》[16]《聯(lián)邦網(wǎng)絡安全和信息保障研發(fā)計劃》[17]《國家網(wǎng)絡安全綜合計劃》[18]以及《美國網(wǎng)絡空間安全政策評估報告》等有關(guān)供應鏈安全的政策性文件，已經(jīng)將IT供應鏈安全問題上升到了國家威脅和國家對抗的層面。美國國家標準與技術(shù)研究院（NIST）負責為非國家安全的聯(lián)邦信息和通信基礎(chǔ)設(shè)施的保護開發(fā)標準、指南、測試和度量指標，同時已經(jīng)在研究和開發(fā)ICT供應鏈風險管理工具和指標，以及有關(guān)緩解措施和實施方法的指南[19～23]。

（七）人員背景調(diào)查

人員背景調(diào)查在美國也稱忠誠調(diào)查，是一個涉及多個部門、多種環(huán)節(jié)和因素，包括大量案頭工作和實地走訪在內(nèi)的系統(tǒng)工程。

人事管理局（OPM）[24]是負責制定背景調(diào)查總體規(guī)則及通行管理辦法的政府機構(gòu)，涉及國家安全或涉密的領(lǐng)域必須進行背景調(diào)查[25,26]。出于國家安全方面的考慮，OPM將所有聯(lián)邦機構(gòu)以及絕大多數(shù)政府合同商的工作職位按敏感程度和風險性劃分為6大類，對應10種管理標準和要求。OPM制定發(fā)布了“標準表格86——國家安全職位調(diào)查表”[27]，要求對可能接觸密級信息的政府人員進行背景調(diào)查；還制定發(fā)布了“標準表格85——非敏感職位調(diào)查表”[28]，要求對政府雇員或按照合同為政府工作的人員進行背景調(diào)查。

三、建立我國網(wǎng)絡安全審查制度的思考與建議

（一）網(wǎng)絡安全審查制度基本內(nèi)涵

基本定義：網(wǎng)絡安全審查，是指對關(guān)系國家安全和社會穩(wěn)定信息系統(tǒng)中使用的信息技術(shù)產(chǎn)品與服務及其提供者的安全性、可控性與可信性進行評估、監(jiān)測分析、持續(xù)監(jiān)督。

直接目的：防范產(chǎn)品和服務的提供者利用提供產(chǎn)品或服務的途徑，非法控制、甚至干擾和破壞用戶系統(tǒng)，非法監(jiān)視用戶行為，包括非法獲取和利用用戶敏感信息，如非法收集、存儲和處理用戶有關(guān)信息。

關(guān)鍵作用：從維護國家安全利益出發(fā)，對影響到重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施的重點產(chǎn)品與服務的安全性、可控性與可信性把關(guān)，加強對信息技術(shù)產(chǎn)品與服務安全的管理。

（二）網(wǎng)絡安全審查制度法規(guī)標準

法規(guī)標準是保證網(wǎng)絡安全審查的正當性、合法性、強制性以及可執(zhí)行性。目前，網(wǎng)絡安全審查的法律依據(jù)主要包括：《國家安全法》和《網(wǎng)絡安全法》；政府信息系統(tǒng)管理與采購、信息技術(shù)產(chǎn)品與服務、關(guān)鍵信息基礎(chǔ)設(shè)施、供應鏈安全管理等法律法規(guī)；相應的網(wǎng)絡安全審查管理辦法及實施細則；WTO等國際準則。

此外，還應該制定軟件安全審查、設(shè)備安全審查、服務安全審查、開發(fā)過程安全審查、背景審查等相關(guān)技術(shù)與管理標準。

（三）網(wǎng)絡安全審查制度組織體系

科學合理的組織體系是完成網(wǎng)絡安全審查各項工作的重要保證。主要機構(gòu)及職能如下：跨部門網(wǎng)絡安全審查委員會，是網(wǎng)絡安全審查工作的總體負責和協(xié)調(diào)組織機構(gòu)，成員由國家相關(guān)部門的代表組成；專家咨詢委員會，網(wǎng)絡安全審查工作的咨詢建議機構(gòu)；管理辦公室，網(wǎng)絡安全審查工作的行政管理機構(gòu)，負責組織實施；審查執(zhí)行機構(gòu)；技術(shù)支撐機構(gòu)。

（四）網(wǎng)絡安全審查制度運行模式

1. 審查對象

網(wǎng)絡安全審查的對象是信息技術(shù)產(chǎn)品和服務及其提供者。審查對象適用范圍包括：用于關(guān)鍵信息基礎(chǔ)設(shè)施；用于國家、政府機構(gòu)的重要信息系統(tǒng)；危害政治、社會、經(jīng)濟；損害公共利益；侵害公眾權(quán)益；其他使用多、影響大且存在威脅國家安全風險的對象。

2. 審查內(nèi)容

針對信息技術(shù)產(chǎn)品和服務及其提供者，網(wǎng)絡安全審查的內(nèi)容包括安全性、可控性與可信性。

安全性包括物理安全、邏輯安全、管理安全。物理安全：相關(guān)系統(tǒng)設(shè)備及設(shè)施受到物理保護，使之免遭破壞或丟失；邏輯安全指相關(guān)系統(tǒng)中信息資源的安全，包括保密性、完整性、可用性；管理安全包括各種安全管理的政策和機制。

可控性是指為了確保信息技術(shù)產(chǎn)品和服務能夠且僅能按照使用者的指令提供應有的服務，對產(chǎn)品和服務進行安全監(jiān)管，實現(xiàn)信息技術(shù)風險可監(jiān)控、可管理，過程可審計的目標，包括可追溯性、可確定性、可審計性以及可審查性。

可信性是指企業(yè)（包括供應鏈）及企業(yè)核心人員，在規(guī)定的時間和范圍內(nèi)，能夠具備相應技術(shù)、符合管理要求、提供澄清材料、回答設(shè)定質(zhì)詢以及承受調(diào)查審查的能力，從而在影響信息技術(shù)產(chǎn)品和服務的安全性和可控性以及影響國家安全方面達到的信任程度，能夠被審查工作收集的情報和證據(jù)所驗證并達到預設(shè)的、可接受的信任標準。

3. 啟動條件

網(wǎng)絡安全審查工作的啟動應符合下列條件之一：依據(jù)法律法規(guī)明確要求；針對投訴舉報；按照市場調(diào)查或抽查結(jié)果；自愿申請；或其他必要條件。

4. 審查方法

針對信息技術(shù)產(chǎn)品和服務的背景審查，目的在于提升國家對其可信性的掌控能力。背景審查的主要方法涉及情報搜集、挖掘、分析及檢索。

（1）針對企業(yè)背景的審查方法

針對企業(yè)背景的審查，可以重點關(guān)注以下方面：與政府、政黨、軍方、情報部門的關(guān)系；企業(yè)聲譽；公司資質(zhì)；運營狀況；信用記錄；犯罪記錄；生產(chǎn)環(huán)境；管理和實施部門；人員配置等。

（2）針對企業(yè)供應鏈的審查方法

企業(yè)背景必須包括供應鏈，主要考慮供應商管理體系及其執(zhí)行情況，可以重點關(guān)注技術(shù)、質(zhì)量、響應、交付、成本、環(huán)境、社會責任、網(wǎng)絡安全等方面。

（3）針對員工背景的審查方法

員工包括企業(yè)高管人員（例如創(chuàng)始人、董事會成員、首席等）、產(chǎn)品主要設(shè)計人員、產(chǎn)品主要開發(fā)人員（無論處在離職還是在職狀態(tài)）。針對員工背景的審查，可以重點關(guān)注以下方面：政治履歷；工作經(jīng)歷；犯罪記錄；信用記錄；身體狀況；家庭狀況；精神狀態(tài)；反人類言行等。

（4）問卷調(diào)查的方法

問卷調(diào)查是開展背景調(diào)查的重要依據(jù)之一，是對調(diào)查對象的初步評價，需要與調(diào)查對象進行多輪次交互。問卷調(diào)查在使用和設(shè)計時應注意的問題如下：使用要慎重；題目設(shè)計注重系統(tǒng)性、針對性、通用性以及差異性；選擇題與問答題相互配合；具備合理的評價原則。

5. 支撐技術(shù)

（1）面向背景審查的支撐技術(shù)

在背景審查方面（包括供應鏈），應充分搜集、處理、分析、評判各方情報，從情報中發(fā)現(xiàn)危害國家安全的隱患。該過程主要包括情報搜集、跟蹤調(diào)查、證據(jù)挖掘、情報關(guān)聯(lián)、大數(shù)據(jù)分析、知識/數(shù)據(jù)庫、風險評估、需求評估、研判決策等支撐技術(shù)。這些技術(shù)雖然有的已經(jīng)很成熟了，但運用在背景審查上還需要進一步的改進和優(yōu)化，才能滿足實際應用的需求。

大數(shù)據(jù)分析是背景審查的核心支撐技術(shù)，由于背景審查需要源源不斷地對國內(nèi)外信息技術(shù)企業(yè)的全面狀況進行跟蹤調(diào)查，存儲、整理、核查、更新、維護調(diào)查所得的各種證據(jù)信息，為之后的審查工作提供持續(xù)的歷史資料和數(shù)據(jù)支持。

（2）面向技術(shù)審查的支撐技術(shù)

安全隱患分析是支撐技術(shù)審查的主要手段，包括源代碼審計、逆向工程、滲透性測試等技術(shù)。

四、結(jié)語

目前，俄羅斯、日本、澳大利亞、印度等國家主要從信息產(chǎn)業(yè)外資并購安全審查、信息產(chǎn)品市場準入、信息產(chǎn)品安全認證等方面構(gòu)建并完善與網(wǎng)絡安全審查相關(guān)的制度體系。

借鑒上述各國經(jīng)驗，我國建立網(wǎng)絡安全審查制度應注重以下方面：加強宣傳，提高對網(wǎng)絡安全審查的正確認識；制定措施，從政策支持、機制建立、隊伍建設(shè)、人才培養(yǎng)等方面進行考慮；重視背景審查和技術(shù)，開發(fā)配套的網(wǎng)絡安全審查信息系統(tǒng)。

[1]General Services Administration (GSA), U.S. Department of Defense (DoD), National Aeronautics and Space Administration (NASA). Federal acquisition regulation (FAR), FAC 2005_91 [Z/OL]. (2016-09-29) [2016-10-12]. https://www.acquisition. gov/?q=browsefar.

[2]U.S. Congress. Public law 110-49：Foreign investment and national security act of 2007(FINSA) [Z/OL]. Washington, DC: U.S. Government Printing Office, (2007-07-26) [2016-10-12]. https://www.gpo.gov/fdsys/pkg/STATUTE-121/pdf/STATUTE-121-Pg246.pdf.

[3]Peterson Institute for International Economics. The Exon-Florio amendment [Z/OL]. Washington, DC: Peterson Institute for International Economics. (2016-04-25) [2016-10-12]. https://piie. com/publications/chapters_preview/3918/02iie3918.pdf.

[4]U.S. Department of Homeland Security. Federal information security management act (FISMA) [Z/OL]. (2016-10-03) [2016-10-12]. https://www.dhs.gov/fisma.

[5]National Institute of Standards and Technology (NIST) [EB/OL]. [2016-10-12]. http://www.nist.gov/.

[6]Office of Management and Budget (OMB) [EB/OL]. [2016-10-12]. https://www.whitehouse.gov/omb.

[7]The committee on foreign investment in the United States (CFIUS) [EB/OL]. [2016-10-12]. https://www.treasury.gov/resource-center/ international/Pages/Committee-on-Foreign-Investment-in-US.aspx.

[8]Rogers M, Ruppersberger D. Investigative report on the U.S. national security issues posed by Chinese telecommunications companies Huawei and ZTE [J]. Journal of Current Issues in Media & Telecommunications, 2012,4(2):59.

[9]National Information Assurance Partnership (NIAP) [EB/OL]. [2016-10-12]. https://www.niap-ccevs.org/.

[10]NIAP. CCEVS objectives[EB/OL]. [2016-10-12]. https://www. niap-ccevs.org/Big_Picture/objectives.cfm.

[11]Communications-Electronics Security Group (CESG) [EB/ OL]. (2012-05-14) [2016-10-12]. http://whatis.techtarget.com/ definition/CESG.

[12]Federal Risk and Authorization Management Program (FedRAMP) [EB/OL]. (2016-10-05) [2016-10-12]. https://www.fedramp.gov/ about-us/about/.

[13]U.S. Department of Homeland Security (DHS) [EB/OL]. [2016-10-12]. https://www.dhs.gov/.

[14]U.S. Department of Homeland Security. Homeland security presidential directive 7: critical infrastructure identification, prioritization, and protection [EB/OL]. (2015-09-22) [2016-10-12]. https://www.dhs.gov/homeland-security-presidential-directive-7.

[15]The White House. Executive order－ Improving critical infrastructure cybersecurity [EB/OL]. (2013-02-12) [2016-10-12]. https://www.whitehouse.gov/the-press-office/2013/02/12/ executive-order-improving-critical-infrastructure-cybersecurity.

[16]U.S. Department of Homeland Security. Strategy to enhance international supply chain security (July 2007)[EB/OL]. (2015-07-14) [2016-10-12]. https://www.dhs.gov/publication/internationalsupply-chain-security.

[17]Cyber Security and Information Assurance Interagency Working Group (CSIA IWG). Federal plan for cyber security and information assurance research and development [R]. Washington, DC: CSIA IWG, 2006.

[18]The White House. The comprehensive national cybersecurity initiative [EB/OL]. [2016-10-12]. https://www.whitehouse.gov/ issues/foreign-policy/cybersecurity/national-initiative.

[19]National Institute of Standard Technology. Standards for security categorization of federal information and information systems, FIPS PUB 199 [S]. Gaithersburg: NIST, 2004.

[20]National Institute of Standard Technology. Minimum security requirements for federal information and information systems, FIPS PUB 200[S]. Gaithersburg: NIST, 2006.

[21]National Institute of Standard Technology. Summary of NIST SP 800-53 revision 4, security and privacy controls for federal information systems and organizations[S]. Gaithersburg: NIST, 2014.

[22]National Institute of Standard Technology. Guideline for identifying an information system as a national security system, SP 800-59[S]. Gaithersburg: NIST, 2003.

[23]National Institute of Standard Technology. Guide for mapping types of information and information systems to security categories, SP 800-60 [S]. Gaithersburg: NIST, 2008.

[24]U.S. Office of Personnel Management (OPM) [EB/OL]. [2016-10-12]. https://www.opm.gov/.

[25]Farrell B S. Personal Security Clearances: Actions needed to ensure quality of background investigations and resulting decisions [R]. Washington, DC: U.S. Government Accountability Office, 2014.

[26]Federal Investigative Services. The security clearance and investigation process [R/OL]. Washington, DC: U.S. OPM. [2016-10-12]. http://www.brac.maryland.gov/documents/security%20 clearance%20101%20pp%20presentation.pdf.

[27]U.S. Office of Personnel Management. Questionnaire for national security positions, OMB No. 3206 0005[Z/OL]. Washington, DC: U.S. OPM, 2010 [2016-10-12]. https://www.opm.gov/forms/pdf_ fill/sf86.pdf.

[28]U.S. Office of Personnel Management. Questionnaire for nonsensitive positions, OMB No. 3206-0261 [Z/OL]. Washington, DC: U.S. OPM, 2013 [2016-10-12]. https://www.opm.gov/forms/ pdf_fill/sf85.pdf.

Research on a Cybersecurity Review System with Suggestions

Chen Xiaohua1, He Dequan2, Wang Hailong3, Shang Yanmin4, Xu Kefu4
(1. Chinese Academy of Cyberspace Studies, Beijing 100010, China; 2. China Information Technology Security Evaluation Center，Beijing 100085; 3. Institute of Computer Technology, Chinese Academy of Sciences, Beijing 100190, China; 4. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China)

Cybersecurity is part of national security. The rules and regulations for security testing and evaluation are distributed as policies for national security review or cyberspace management. This paper focuses on the current international systems related to cybersecurity review, and analyzes governments’ practices in the aspects of information technology product and service security evaluation, critical information infrastructure security evaluation and management, information and communication technology (ICT) supply chain security, and background security investigation. Based on the above, this paper discusses how to establish a cybersecurity review system in the fields of law and regulation, organization framework, operation mode, review approach, and supporting technology.

cybersecurity review; information technology product and service; critical information infrastructure; supply chain security; background security

TP393.08

A

2016-10-12；

2016-10-17

陳曉樺，中國網(wǎng)絡空間研究院，副院長，研究員，研究方向為網(wǎng)絡安全審查、網(wǎng)絡安全評價與標準、云計算和大數(shù)據(jù)安全；E-mail: chenxhcn@263.net

中國工程院重大咨詢項目“網(wǎng)絡空間安全戰(zhàn)略研究”(2015-ZD-10)

本刊網(wǎng)址：www.enginsci.cn