網絡安全審查中的透明性研究*

郭藏龍，張 嵐，葉曉俊

（清華大學軟件學院，北京 100084）

0 引 言

習近平總書記指出：“沒有網絡安全，就沒有國家安全?！币虼?，我國在2014年5月就提出要建立網絡安全審查制度，并在2017年5月發布了《網絡產品和安全審查辦法（試行）》（簡稱審查辦法），為業界理解審查制度提供了指導[1]。該辦法第十一條明確“承擔網絡安全審查的第三方機構，應當堅持客觀、公正、公平的原則，按照國家有關規定，參照有關標準，重點從產品和服務及其供應鏈的安全性、可控性，安全機制和技術的透明性等方面進行評價，并對評價結果負責”?？梢?，安全性、透明性和可控性是網絡安全審查的核心目標[2]。

本文主要圍繞審查辦法中的透明性審查目標，給出了透明性概念，明確了不同對象的透明需求；通過劃分特性、子特性和構建度量屬性的方法，對透明性進行建模；最后，以數據庫產品為例，介紹了如何將透明性模型應用于網絡安全審查。

1 透明性概念

1.1 透明性的含義

計算機技術中，一種本來是存在的事物或屬性，但從某個角度看似乎不存在，稱為透明性現象。本文提出的透明性與計算機術語的定義相反。對于網絡產品和服務而言，透明性是指提供者應當將其組織機構、策略規程、管理制度及實施情況、安全機制、技術實現等相關信息以軟件功能或接口、技術手冊、實施指南等以文檔化和電子化的方式公開，以滿足應用方的知情權，支撐應用方對網絡產品和服務的選擇權、控制權和支配權[3]。以安全機制為例，安全性關注安全機制是否存在、實現是否正確且滿足安全目的。而透明性關注安全機制依據何種安全模型、采用哪些實現方式，以及安全機制輸入/輸出信息等方面是否公開、可訪問與可信等。

1.2 透明性需求

安全可控需要解決審查辦法提出的產品和服務供應鏈安全風險、危害產品和服務使用者風險和危害國家安全風險。因此，透明性應從面向組織、用戶和國家三個方面考慮對網絡產品和服務審查對象的透明性需求[4]，如圖1所示。

（1）國家透明主要針對國家監管部門和公眾的透明性需求，特別是關系到國家安全、社會公共利益的網絡產品和服務。國家監管和公眾監督是網絡產品和服務安全的重要保障形式，使其符合相關法律法規的要求，避免危害國家安全或網絡產品和服務提供者實施不正當競爭的風險。

（2）用戶透明主要針對產品和服務的使用者，旨在滿足用戶對所使用產品和服務的數據支配權和產品控制權，避免提供者非法收集、使用、銷毀個人信息和國家重要數據的風險。

（3）組織透明主要是針對產品和服務內外部成員，如股東、雇員、供應鏈成員等，旨在保障股東利益，發揮員工的監督和反饋作用，并為管理決策提供建議，同時也可以提高供應鏈中各組織的互操作性，降低供應鏈的安全風險。

2 透明性建模

圖1 面向不同對象的透明性需求

透明性要求網絡產品和服務提供者應當將透明需求置于與功能需求、安全需求、性能需求同等重要的地位。因此，透明性可采用與系統、與軟件質量模型ISO/IEC 25000系列標準類似的結構[5]。透明性模型分為兩部分：第一部分是描述網絡產品和服務無關的透明性目標，分為特性和子特性；第二部分是依據網絡產品和服務體系架構及其部署架構，結合當前國家、用戶和組織的透明性需求，構建相應的度量屬性。因此，對透明性建模分為確定透明性目標和構建度量屬性兩步。

2.1 透明性目標建模

參考ISO/IEC 25000系列標準中定義的產品和服務質量屬性，結合透明性需求，透明性特性包含4個特性，如表1所示。

表1 透明性需求特性

每個特性可根據其審查目標將其進一步細分為若干子特性，分別如表2、表3、表4和表5所示。

2.2 構建度量屬性

需結合網絡產品和服務的體系架構以及國家、用戶和組織的不同透明性需求，對透明內容、透明程度的不同要求形成滿足不同對象需求、處理不同風險的度量屬性，如表6所示。

表2 可訪問性子特性

表3 易使用性子特性

表4 信息有效性子特性

表5 可審計性子特性

表6 透明性度量屬性示例

構建透明性模型的作用有兩個方面：一是透明性較抽象，難以直接被度量，將其區分產品和服務無關和相關兩部分，有助于明確透明性目標以及不同網絡產品和服務的具體透明需求，具有全面性、通用性、靈活性等特點；二是網絡產品和服務是一個比較復雜的整體，審查人員可以根據審查需求、透明范圍，選擇適當的透明特性、子特性和度量屬性，形成合理可行的檢查項，進而從不同維度度量產品和服務的透明性。

3 透明性模型的應用

透明性模型應用于網絡安全審查，需要針對特定的網絡產品和服務將模型具體化（簡稱具化），其過程分為以下三個步驟。

（1）確定透明性目標：根據產品和服務類型、目標宗旨、服務場景、審查需求等信息，對透明性目標進行剪裁，使其既能滿足透明性需求，又不會帶來非必須的額外成本。

（2）明確透明性審查內容：根據產品和服務自身的功能、流程、機制、管理策略等信息，確定度量屬性包含的具體審查內容。由于網絡產品和服務的透明性審查內容較多，可將相似的審查內容通過屬性組的形式進行組織。因此，透明性模型中的一個度量屬性具化后包含若干屬性組，而一個屬性組包含審查對象的若干審查內容。度量屬性與屬性組的區別在于度量屬性是與特定產品和服務無關的，由透明性模型確定。而屬性組則是根據具體產品和服務對度量屬性的精確化表示。

（3）建立透明性目標和檢查項的映射關系：根據透明性目標的定義和關注角度，需將透明性目標映射到屬性組中的每個審查內容，形成對應的檢查項。審查內容是對產品和服務體系架構的某個組成部分的描述，如某個功能或安全機制。而檢查項是對審查內容“是否滿足”透明性目標的描述，如某安全機制的實現是否向用戶公開。

下面以數據庫透明性審查框架的構建為例，闡述透明性模型的應用過程。數據庫產品透明性目標如圖2所示，選取了模型中所有的透明性目標。

圖2 數據庫透明性目標

數據庫產品審查內容針對其功能和安全機制建立透明性目標度量相關的屬性組及其審查內容（如表7所示），將每個度量屬性具化為數據庫的屬性組和審查點。由于每個屬性組包含的審查點較多，這里選擇包含的典型審查內容為代表，沒有列舉其所有審查內容。

表7 數據庫屬性組及審查內容示例

透明性目標與每個審查內容結合，就可形成具體的檢查項（如圖3所示）。圖3中省略了上層的特性、度量屬性和屬性組，以公開性、完整性、可理解性、可驗證性四個數據庫透明性子特性以及傳輸數據加密為例展示了映射過程，完成映射后共形成了4個檢查項。

最終形成的數據庫透明性審查指標體系的結構如圖4所示，圖中省略了部分子特性和屬性組。整個體系由透明性模型中的透明性目標和度量屬性、針對數據庫產品具化的屬性組、審查內容以及將目標與審查內容映射形成的檢查項構成。每個檢查項既可以用于度量產品和服務某個屬性組的透明性，也可以用于度量某個透明性目標的滿足程度。因此，設計評估方法時[6]，可以根據需求靈活選擇。

圖3 檢查項的生成

圖4 數據庫透明性審查指標體系

4 結 語

本文首先對審查辦法中的透明性進行了定義，并從社會透明、用戶透明、組織透明三個方面明確了透明性需求。其次，劃分透明性的特性、子特性，介紹了如何根據透明性需求形成網絡產品和服務的度量屬性，并給出了透明性模型。最后，以數據庫產品為例，介紹了將透明性模型通過模型剪裁、度量屬性具化、檢查項映射形成審查指標體系的方法，可用于指導相關網絡產品和服務安全審查內容的建設，從而促進產品和服務提供者對透明性的保障。

本文貢獻點主要體現在以下三個方面：

（1）構建的透明性模型具有通用性，可以用于指導所有的網絡產品和服務透明性審查；

（2）度量屬性具有靈活性，可以結合不同的透明需求以及產品和服務的特點，具化為合適的屬性組和審查內容；

（3）評估方法具有靈活性，可以從透明性目標和度量屬性兩個角度評估產品和服務透明性。

參考文獻：

[1] 丁蔚.網絡安全審查制度的理解和建議[J].信息安全與通信保密,2017(03):12-15.DING Wei.Understanding and Suggestion of Network Security Review System[J].Information Security and Communication Privacy,2017(03):12-15.

[2] 陳曉樺,何德全,王海龍等.網絡安全審查制度研究及建議[J].中國工程科學,2016(06):39-43.CHEN Xiao-hua,HE De-quan,WANG Hai-long,et al.Research and Suggestions on Network Security Review System[J].Engineering Science,2016(06):39-43.

[3] Leite J C S D P,Cappelli C.Software Transparency[J]. Wi rtschaftsinformatik,2010,52(03):119-132.

[4] Meis R,Wirtz R,Heisel M.A Taxonomy of Requirements for the Privacy Goal Transparency[M].Trust,Privacy and Security in Digital Business.Springer International Publishing,2015:195-209.

[5] ISO/IEC 25010:2011,Systems and Software Engineering—Systems and Software Quality Requirements and Evaluation-System and Software Quality Models[S].2011.

[6] Spagnuelo D,Bartolini C,Lenzini G.Metrics for Transparency[C].International Workshop on Data Privacy Management,2016:3-18.