郭藏龍，張 嵐，葉曉俊

（清華大學(xué)軟件學(xué)院，北京 100084）

0 引 言

習(xí)近平總書記指出：“沒有網(wǎng)絡(luò)安全，就沒有國家安全?！币虼?，我國在2014年5月就提出要建立網(wǎng)絡(luò)安全審查制度，并在2017年5月發(fā)布了《網(wǎng)絡(luò)產(chǎn)品和安全審查辦法（試行）》（簡稱審查辦法），為業(yè)界理解審查制度提供了指導(dǎo)[1]。該辦法第十一條明確“承擔(dān)網(wǎng)絡(luò)安全審查的第三方機(jī)構(gòu)，應(yīng)當(dāng)堅持客觀、公正、公平的原則，按照國家有關(guān)規(guī)定，參照有關(guān)標(biāo)準(zhǔn)，重點從產(chǎn)品和服務(wù)及其供應(yīng)鏈的安全性、可控性，安全機(jī)制和技術(shù)的透明性等方面進(jìn)行評價，并對評價結(jié)果負(fù)責(zé)”。可見，安全性、透明性和可控性是網(wǎng)絡(luò)安全審查的核心目標(biāo)[2]。

本文主要圍繞審查辦法中的透明性審查目標(biāo)，給出了透明性概念，明確了不同對象的透明需求；通過劃分特性、子特性和構(gòu)建度量屬性的方法，對透明性進(jìn)行建模；最后，以數(shù)據(jù)庫產(chǎn)品為例，介紹了如何將透明性模型應(yīng)用于網(wǎng)絡(luò)安全審查。

1 透明性概念

1.1 透明性的含義

計算機(jī)技術(shù)中，一種本來是存在的事物或?qū)傩裕珡哪硞€角度看似乎不存在，稱為透明性現(xiàn)象。本文提出的透明性與計算機(jī)術(shù)語的定義相反。對于網(wǎng)絡(luò)產(chǎn)品和服務(wù)而言，透明性是指提供者應(yīng)當(dāng)將其組織機(jī)構(gòu)、策略規(guī)程、管理制度及實施情況、安全機(jī)制、技術(shù)實現(xiàn)等相關(guān)信息以軟件功能或接口、技術(shù)手冊、實施指南等以文檔化和電子化的方式公開，以滿足應(yīng)用方的知情權(quán)，支撐應(yīng)用方對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的選擇權(quán)、控制權(quán)和支配權(quán)[3]。以安全機(jī)制為例，安全性關(guān)注安全機(jī)制是否存在、實現(xiàn)是否正確且滿足安全目的。而透明性關(guān)注安全機(jī)制依據(jù)何種安全模型、采用哪些實現(xiàn)方式，以及安全機(jī)制輸入/輸出信息等方面是否公開、可訪問與可信等。

1.2 透明性需求

安全可控需要解決審查辦法提出的產(chǎn)品和服務(wù)供應(yīng)鏈安全風(fēng)險、危害產(chǎn)品和服務(wù)使用者風(fēng)險和危害國家安全風(fēng)險。因此，透明性應(yīng)從面向組織、用戶和國家三個方面考慮對網(wǎng)絡(luò)產(chǎn)品和服務(wù)審查對象的透明性需求[4]，如圖1所示。

（1）國家透明主要針對國家監(jiān)管部門和公眾的透明性需求，特別是關(guān)系到國家安全、社會公共利益的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。國家監(jiān)管和公眾監(jiān)督是網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全的重要保障形式，使其符合相關(guān)法律法規(guī)的要求，避免危害國家安全或網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者實施不正當(dāng)競爭的風(fēng)險。

（2）用戶透明主要針對產(chǎn)品和服務(wù)的使用者，旨在滿足用戶對所使用產(chǎn)品和服務(wù)的數(shù)據(jù)支配權(quán)和產(chǎn)品控制權(quán)，避免提供者非法收集、使用、銷毀個人信息和國家重要數(shù)據(jù)的風(fēng)險。

（3）組織透明主要是針對產(chǎn)品和服務(wù)內(nèi)外部成員，如股東、雇員、供應(yīng)鏈成員等，旨在保障股東利益，發(fā)揮員工的監(jiān)督和反饋作用，并為管理決策提供建議，同時也可以提高供應(yīng)鏈中各組織的互操作性，降低供應(yīng)鏈的安全風(fēng)險。

2 透明性建模

圖1 面向不同對象的透明性需求

透明性要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)當(dāng)將透明需求置于與功能需求、安全需求、性能需求同等重要的地位。因此，透明性可采用與系統(tǒng)、與軟件質(zhì)量模型ISO/IEC 25000系列標(biāo)準(zhǔn)類似的結(jié)構(gòu)[5]。透明性模型分為兩部分：第一部分是描述網(wǎng)絡(luò)產(chǎn)品和服務(wù)無關(guān)的透明性目標(biāo)，分為特性和子特性；第二部分是依據(jù)網(wǎng)絡(luò)產(chǎn)品和服務(wù)體系架構(gòu)及其部署架構(gòu)，結(jié)合當(dāng)前國家、用戶和組織的透明性需求，構(gòu)建相應(yīng)的度量屬性。因此，對透明性建模分為確定透明性目標(biāo)和構(gòu)建度量屬性兩步。

2.1 透明性目標(biāo)建模

參考ISO/IEC 25000系列標(biāo)準(zhǔn)中定義的產(chǎn)品和服務(wù)質(zhì)量屬性，結(jié)合透明性需求，透明性特性包含4個特性，如表1所示。

表1 透明性需求特性

每個特性可根據(jù)其審查目標(biāo)將其進(jìn)一步細(xì)分為若干子特性，分別如表2、表3、表4和表5所示。

2.2 構(gòu)建度量屬性

需結(jié)合網(wǎng)絡(luò)產(chǎn)品和服務(wù)的體系架構(gòu)以及國家、用戶和組織的不同透明性需求，對透明內(nèi)容、透明程度的不同要求形成滿足不同對象需求、處理不同風(fēng)險的度量屬性，如表6所示。

表2 可訪問性子特性

表3 易使用性子特性

表4 信息有效性子特性

表5 可審計性子特性

表6 透明性度量屬性示例

構(gòu)建透明性模型的作用有兩個方面：一是透明性較抽象，難以直接被度量，將其區(qū)分產(chǎn)品和服務(wù)無關(guān)和相關(guān)兩部分，有助于明確透明性目標(biāo)以及不同網(wǎng)絡(luò)產(chǎn)品和服務(wù)的具體透明需求，具有全面性、通用性、靈活性等特點；二是網(wǎng)絡(luò)產(chǎn)品和服務(wù)是一個比較復(fù)雜的整體，審查人員可以根據(jù)審查需求、透明范圍，選擇適當(dāng)?shù)耐该魈匦?、子特性和度量屬性，形成合理可行的檢查項，進(jìn)而從不同維度度量產(chǎn)品和服務(wù)的透明性。

3 透明性模型的應(yīng)用

透明性模型應(yīng)用于網(wǎng)絡(luò)安全審查，需要針對特定的網(wǎng)絡(luò)產(chǎn)品和服務(wù)將模型具體化（簡稱具化），其過程分為以下三個步驟。

（1）確定透明性目標(biāo)：根據(jù)產(chǎn)品和服務(wù)類型、目標(biāo)宗旨、服務(wù)場景、審查需求等信息，對透明性目標(biāo)進(jìn)行剪裁，使其既能滿足透明性需求，又不會帶來非必須的額外成本。

（2）明確透明性審查內(nèi)容：根據(jù)產(chǎn)品和服務(wù)自身的功能、流程、機(jī)制、管理策略等信息，確定度量屬性包含的具體審查內(nèi)容。由于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的透明性審查內(nèi)容較多，可將相似的審查內(nèi)容通過屬性組的形式進(jìn)行組織。因此，透明性模型中的一個度量屬性具化后包含若干屬性組，而一個屬性組包含審查對象的若干審查內(nèi)容。度量屬性與屬性組的區(qū)別在于度量屬性是與特定產(chǎn)品和服務(wù)無關(guān)的，由透明性模型確定。而屬性組則是根據(jù)具體產(chǎn)品和服務(wù)對度量屬性的精確化表示。

（3）建立透明性目標(biāo)和檢查項的映射關(guān)系：根據(jù)透明性目標(biāo)的定義和關(guān)注角度，需將透明性目標(biāo)映射到屬性組中的每個審查內(nèi)容，形成對應(yīng)的檢查項。審查內(nèi)容是對產(chǎn)品和服務(wù)體系架構(gòu)的某個組成部分的描述，如某個功能或安全機(jī)制。而檢查項是對審查內(nèi)容“是否滿足”透明性目標(biāo)的描述，如某安全機(jī)制的實現(xiàn)是否向用戶公開。

下面以數(shù)據(jù)庫透明性審查框架的構(gòu)建為例，闡述透明性模型的應(yīng)用過程。數(shù)據(jù)庫產(chǎn)品透明性目標(biāo)如圖2所示，選取了模型中所有的透明性目標(biāo)。

圖2 數(shù)據(jù)庫透明性目標(biāo)

數(shù)據(jù)庫產(chǎn)品審查內(nèi)容針對其功能和安全機(jī)制建立透明性目標(biāo)度量相關(guān)的屬性組及其審查內(nèi)容（如表7所示），將每個度量屬性具化為數(shù)據(jù)庫的屬性組和審查點。由于每個屬性組包含的審查點較多，這里選擇包含的典型審查內(nèi)容為代表，沒有列舉其所有審查內(nèi)容。

表7 數(shù)據(jù)庫屬性組及審查內(nèi)容示例

透明性目標(biāo)與每個審查內(nèi)容結(jié)合，就可形成具體的檢查項（如圖3所示）。圖3中省略了上層的特性、度量屬性和屬性組，以公開性、完整性、可理解性、可驗證性四個數(shù)據(jù)庫透明性子特性以及傳輸數(shù)據(jù)加密為例展示了映射過程，完成映射后共形成了4個檢查項。

最終形成的數(shù)據(jù)庫透明性審查指標(biāo)體系的結(jié)構(gòu)如圖4所示，圖中省略了部分子特性和屬性組。整個體系由透明性模型中的透明性目標(biāo)和度量屬性、針對數(shù)據(jù)庫產(chǎn)品具化的屬性組、審查內(nèi)容以及將目標(biāo)與審查內(nèi)容映射形成的檢查項構(gòu)成。每個檢查項既可以用于度量產(chǎn)品和服務(wù)某個屬性組的透明性，也可以用于度量某個透明性目標(biāo)的滿足程度。因此，設(shè)計評估方法時[6]，可以根據(jù)需求靈活選擇。

圖3 檢查項的生成

圖4 數(shù)據(jù)庫透明性審查指標(biāo)體系

4 結(jié) 語

本文首先對審查辦法中的透明性進(jìn)行了定義，并從社會透明、用戶透明、組織透明三個方面明確了透明性需求。其次，劃分透明性的特性、子特性，介紹了如何根據(jù)透明性需求形成網(wǎng)絡(luò)產(chǎn)品和服務(wù)的度量屬性，并給出了透明性模型。最后，以數(shù)據(jù)庫產(chǎn)品為例，介紹了將透明性模型通過模型剪裁、度量屬性具化、檢查項映射形成審查指標(biāo)體系的方法，可用于指導(dǎo)相關(guān)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查內(nèi)容的建設(shè)，從而促進(jìn)產(chǎn)品和服務(wù)提供者對透明性的保障。

本文貢獻(xiàn)點主要體現(xiàn)在以下三個方面：

（1）構(gòu)建的透明性模型具有通用性，可以用于指導(dǎo)所有的網(wǎng)絡(luò)產(chǎn)品和服務(wù)透明性審查；

（2）度量屬性具有靈活性，可以結(jié)合不同的透明需求以及產(chǎn)品和服務(wù)的特點，具化為合適的屬性組和審查內(nèi)容；

（3）評估方法具有靈活性，可以從透明性目標(biāo)和度量屬性兩個角度評估產(chǎn)品和服務(wù)透明性。

參考文獻(xiàn)：

[1] 丁蔚.網(wǎng)絡(luò)安全審查制度的理解和建議[J].信息安全與通信保密,2017(03):12-15.DING Wei.Understanding and Suggestion of Network Security Review System[J].Information Security and Communication Privacy,2017(03):12-15.

[2] 陳曉樺,何德全,王海龍等.網(wǎng)絡(luò)安全審查制度研究及建議[J].中國工程科學(xué),2016(06):39-43.CHEN Xiao-hua,HE De-quan,WANG Hai-long,et al.Research and Suggestions on Network Security Review System[J].Engineering Science,2016(06):39-43.

[3] Leite J C S D P,Cappelli C.Software Transparency[J]. Wi rtschaftsinformatik,2010,52(03):119-132.

[4] Meis R,Wirtz R,Heisel M.A Taxonomy of Requirements for the Privacy Goal Transparency[M].Trust,Privacy and Security in Digital Business.Springer International Publishing,2015:195-209.

[5] ISO/IEC 25010:2011,Systems and Software Engineering—Systems and Software Quality Requirements and Evaluation-System and Software Quality Models[S].2011.

[6] Spagnuelo D,Bartolini C,Lenzini G.Metrics for Transparency[C].International Workshop on Data Privacy Management,2016:3-18.