美国CUI安全保护体系研究及启示*

赵墨颖，刘克清，周 俊，靳侃侃，陈玮健

（1.中国移动通信集团公司，北京 100032；2.中国移动通信集团设计院有限公司，北京 100080）

0 引 言

美国定义了一类受控非密信息（Controlled Unclassified Information，CUI），即“由美国政府产生或持有的，或由代表或服务于美国政府的非政府机构接收、持有或产生的联邦非密信息，需要采取一定的信息安全措施加以防护，并控制其传递和使用[1-2]。”美国在CUI安全管控方面形成了一套独立且较为成熟的法律法规、管理机制、业务流程规范以及统一的系统安全技术标准。根据我国的法律法规，工作秘密不属于国家秘密，但也不属于应公开的政府信息。目前，我国工作秘密管理还没有制定全国统一的法律法规、管理机制、指导规范、技术标准。美国的CUI定义与我国对工作秘密的描述非常相近。本文研究了美国CUI安全管控的法律法规形成、管理机构设置和流程，重点分析了美国CUI安全管控技术标准体系，希望为进一步加强和完善我国工作秘密的管理制度提供参考和借鉴。

1 美国CUI管理制度研究

美国作为全球网络信息技术的发源地，在网络安全领域的立法也起步最早，数量最多，网络安全立法框架相对完备。受2001年“9·11”等一系列恐怖事件的影响，美国随即推动制定CUI相关法律法规、设立管理机构、细化管理流程等工作。美国经过10余年发展保密管理制度较为成熟。

1.1 美国CUI法律法规制定历程

2008年，美国时任总统布什向各部门和机构发布了一份备忘录“指定和共享受控非机密信息（CUI）”并成立CUI办公室，由美国国家档案和记录管理局（National Archives and Records Administration，NARA）主管。

2012年，美国国防部在2012年新修订的《信息安全纲要》手册的第4卷将CUI独立成卷，指导信息的识别与保护，并在“手册”的第2部分给出CUI的定义：依据相关法律法规和政府政策，需要保护和控制传播的非密信息[4]。将非密信息分成仅供官方使用信息、执法敏感信息、国防部受控非密核信息、限制分发信息等8类。

2016年，《美国联邦法规》第32条2002部分“最终条例”（32 CFR Part 2002）制定CUI的认定、保护、传递、标识、解除控制、处理政策，并对自我审查和监督等方面提出要求，为联邦执行机构和组织处理、持有、使用、共享、接收CUI提供规则保障。“最终条例”为机构处理CUI提供了基本遵循和统一范式，为第13556号行政令提供实施指南[4]。

2017年后，特朗普政府全面提升了CUI管控的地位，发布大量新政策、新标准、新指南，扩展了CUI的类别与子类别，扩大了CUI的管理范围。

从法律法规的演进历程来看，美国CUI管控从2010年起正式以总统令方式推进，到2016年颁布实施指南仅用了6年时间。同时为应对国际环境的快速变化、信息技术的迅猛发展，特朗普政府时期大幅提升了对CUI项目的重视力度，加强CUI的管控力度。我国工作秘密安全管控可借鉴美国CUI保护的经验，形成统一的法律法规及对应的实施细则，指导各地开展安全管控。

1.2 美国CUI管理机构设置

美国设立受控非密信息办公室（Controlled Unclassified Information Office）负责对CUI信息实施综合管理。如图1所示，该办公室隶属于美国国家档案和记录管理局下设的信息安全监督办公室（Information Security Oversight Office，ISOO），是ISOO中一个独立的机构。受控非密信息办公室下设登记处（CUI Registry），为受控非密信息的政策制定和实践操作提供指导[4]。在美国安全保密制度运行过程中，ISOO是一个非常重要的部门，其下设7个机构，分别涉及国家秘密、国家工业安全、国家地方私营部门的国家保密安全计划、受控非密信息等保密安全制度的运作和执行。ISOO的CUI制度法律依据来源于第13556号行政令，并将相关法律法规、政策的保护要求汇总，提供统一的执行指导。

ISOO分为3类人员：分类管理人员、业务人员和CUI人员。CUI人员负责制定标准化的CUI政策和程序，通过有效的数据访问和控制措施适当保护敏感信息。从机构设置来看，美国CUI管理与国家秘密管理均隶属ISOO，但是分属于不同的分支机构；CUI管理人员与国家秘密管理人员分设。

未获得完全缓解（complete resolution，CR）或者研究期间复发的AL患者；急性早幼粒细胞白血病患者（该类患者长期无病生存率较高、生存质量亦明显高于其他类型的白血病，故剔除）；近期准备行骨髓移植的患者；不能按要求配合治疗和复查的患者；伴有严重心脑肝肺肾等其他脏器功能损害者。

1.3 美国CUI管理流程

ISOO对CUI的认定、标识、保护、传播、解除控制、处理政策做出规范，并对自我审查和监督等提出要求。事项范围是CUI认定、标识的基础。截至目前，ISOO公布公共事项主类20个、子类125个。公共事项主类包括关键基础设施、防御、执法、核、专利等，其中，以关键基础设施为例的事项子类包括信息系统漏洞信息、关键能源基础设施信息、通用关键基础设施信息、化学—恐怖主义脆弱性信息、有毒物等[5]。该分类为CUI的认定和标识提供了标准化的依据。

不管信息由哪个机构产生，只要需要保护和传播控制，均需在CUI办公室设立的网上登记处进行登记，每一类事项范围登记表由类目名称、类目描述、控制标识、保护与传播的授权、保护标准、解除控制等部分组成。登记表中对CUI设立了保护等级，以防信息非授权窃取或疏忽泄露；设定了传递控制等级，以限制信息的传播范围，包括禁止对外传播、仅限联邦雇员、仅限联邦雇员和承包商、不得向承包商传播、传播清单受控制、仅授权向某些国民发布以及仅显示等[5]。

ISOO根据CUI注册表对机构的CUI保护措施进行审查、评估、监督，确保其符合保护要求。

美国在CUI管理实施阶段建立了完整的管理流程，尤其是明确了受控非密事项的分类和标识，为我国工作秘密的确定及管理范围提供了很好的参考依据。细化的CUI保护等级及传递控制等级，为工作秘密的差异化管理提供参考。

2 美国安全技术标准研究

美国的网络安全标准研究体系完整、覆盖全面、可实施性强。经过10年规划，美国理清了网络安全标准发展的脉络，明确了标准制定的路线图，建立了一套科学合理、分类规范、层次清晰的网络安全标准体系架构。其核心基线标准NIST SP 800-53《信息系统和组织的安全和隐私控制》为所有信息系统提供了一个综合详细的安全控制目录，并描述了如何通过裁剪方法，针对某一具体系统制定安全控制集的过程。标准的控制项更加灵活，可操作性强。下面分别从CUI安全技术标准在美国安全技术标准体系中的位置，CUI安全技术标准基于核心基线标准NIST SP 800-53所进行的裁剪，对CUI安全技术标准进行分析。

2.1 美国安全技术标准体系研究

1965年，美国颁布公共法《布鲁克斯法案》（Pub.L.No.89-306），随即美国商务部国家标准局（National Bureau of Standards，NBS）启动安全领域标准的制定活动。经过多年的发展，美国安全领域技术标准体系性强，如图2所示。

近代的安全领域标准来源于2002年美国颁布的《联邦信息安全管理法案》，该法涉及的信息安全范围涵盖非国家秘密和国家秘密两部分，授权美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）牵头制定非国家秘密的信息系统安全技术标准，国家安全系统委员会（Committee on National Security Systems，CNSS）制定涉及国家秘密的信息系统安全技术标准。

对于非国家秘密的信息系统安全技术标准，NIST分别于2004年和2006年先后发布FIPS 199《联邦信息和信息系统安全分类》标准和FIPS 200《联邦信息和信息系统的最低安全需求》标准。其中，FIPS 200为强制性标准，除联邦政府机构外，NIST还鼓励组成美国关键基础设施的州、地方和部落政府以及私营部门组织酌情考虑使用本标准。联邦信息处理标准（Federal Information Processing Standards，FIPS）定 位 是美国联邦计算机系统标准和指南方面的官方出版物，主要规定总体或高层次的要求，版本比较稳定、数量少。为满足执行FIPS所需的技术、管理和操作等各领域的标准化要求，NIST制定NIST特殊出版物（NIST SP）系列规范，SP 800系列标准为了适应现实信息安全环境的多变和快变性，出版物相对变化比较快，标准化成果的数量比较多。NIST SP 800-53《信息系统和组织的安全和隐私控制》是联邦信息系统安全体系的核心基线标准，在制定之初国防和情报部门一起参与起草工作，目的是希望能够同时反映国家安全系统的安全要求。2015年6月，CUI安全技术标准NIST SP 800-171《非联邦系统和组织中的受控非机密信息保护》第一版发布，与CUI管理实施指南32 CFR Part 2002属于同一时期发布。从名称上来看，其主体强调非联邦机构，认为CUI无论是否属于联邦系统，只要具有相同的价值就需要同等保护，实际上扩大了CUI的保护范围。

美国涉及国家秘密信息系统安全标准CNSSI 1253《国家安全系统的安全分类和控制选择》是在NIST SP 800-53标准基础上裁剪形成的，删除NIST SP 800-53中不适用于国家安全系统的控制项，以减少建设时间和成本，叠加了保密特殊属性，如信息聚合效应、系统所处环境、用户属性等。

许多美国组织选择NIST框架，因为它们向联邦机构提供服务时，必须遵守CUI的安全技术标准NIST SP 800-171，该标准是在NIST SP 800-53基础上裁剪而来。美国NIST SP 800安全标准体系比欧洲国际标准化组织的ISO 27002安全标准体系更为全面，它包含了选择控制和NIST SP 800-53A《信息系统和组织的安全评估和隐私控制》。NIST SP 800-53具有详细的基本控制要求和增强控制要求，机构可以直接利用其制定安全计划。

2.2 美国CUI安全技术标准分析

美国安全技术标准是一个大而全的体系，为了能够适用于各种系统，增强对CUI的安全管控，通过对核心标准NIST SP 800-53进行裁剪，形成了适用于CUI的NIST SP 800-171安全技术标准。在安全技术体系NIST SP 800-53B《信息系统和组织的控制基线》中详细描述了裁剪标准的过程，并将安全控制大类的裁剪标准定义为NCO（与CUI保密事项的保护无直接关系）、FED（只有联邦属性，是联邦政府的主要责任）、NFO（非联邦组织已经满足的非特定安全要求）、CUI（CUI基本或派生安全需求，可在安全控制、控制增强中找到的特定要求）。

NIST SP 800-171安全技术标准利用以上裁剪标准，将NIST SP 800-53r4的17类安全控制裁剪为14类[6]，应用NCO标准裁剪掉应急规划安全控制类，应用NFO标准裁剪掉规划、系统和服务采购安全控制类。具体内容如图3所示。在NIST SP 800-171标准中还删除了各个安全控制类别中的策略制定要求，以降低管理复杂度。

NIST SP 800-171针对关键过程或高价值资产提出系统和通信保护、系统和信息完整性、风险评估、人员安全、意识和培训、事件响应能力6个安全控制类别的增强要求，以重点保护CUI的保密性、完整性、可用性[6]。

同时，美国机构在建立某一具体信息系统的安全管控措施时可以根据NIST SP 800-53B标准要求，对NIST SP 800-171安全标准基线清单的控制项进行裁剪，既符合安全要求又降低信息系统安全措施成本。具体裁剪过程包括5个步骤：标志公共控制、考虑作用域、选择补偿控制、赋值和补充基线控制[7]。其中，标志公共控制是指当机构具有多个系统时，为节约系统的安全措施成本，每个系统须满足人员安全保密意识培训、应急事件响应、安全物理环境等安全要求，指定人力资源、安保等部门进行总体协调的过程；考虑作用域是指当安全标准基线中的某些控制项不涉及某些专业或领域时，可对该控制项进行删除的裁剪操作，删除时需说明原因；选择补偿控制是指当安全标准基线中的某些控制项由于实施环境的不具备或者实施成本过高而无法落地时，可对该控制项进行替换的裁剪操作，但需要说明替换后的控制项可以达到同等的安全效果；赋值是指对安全基线标准条款要求“赋值”或“选择”的具体化过程，例如对于密码修改时间，不同应用的修改时间由于其重要性不同而选择不同的赋值；补充基线控制是指专业或领域为了提升安全性、应对高级持续攻击或处理高度敏感信息，对安全标准基线要求进行补充的裁剪操作。

利用安全标准基线清单与裁剪相结合的方式，可以灵活制定具体系统的安全管控体系，满足多种信息系统的安全要求，使用范围非常广泛。我国工作秘密管控同样具有业务种类多，场景复杂的特点，可以借鉴美国CUI安全管控体系建立面向多业务多场景的技术标准。但是在机构具体信息系统安全体系建立时，还需要一套相对完整的安全标准体系裁剪咨询、系统安全评估方法、标准化自动化的安全评估工具配合安全举措的落地实施，保证工作秘密受到相应保护。

3 对我国工作秘密管控的启示

《中华人民共和国公务员法》第14条规定公务员应当履行“（五）保守国家秘密和工作秘密”的义务，《中华人民共和国政府信息公开条例》第5条要求“行政机关公开政府信息，应当坚持以公开为常态、不公开为例外，遵循公正、公平、合法、便民的原则”。从以上法律法规的描述看，工作秘密不属于国家秘密，也不属于应公开的政府信息。

当前，我国在法律层面尚未明确工作秘密的内涵和外延。在相关研究分析中，对工作秘密主要有以下4种表述方式：一是工作秘密是机关单位在公务活动和内部管理中产生的事项和信息，一旦泄露便会影响管理职能的正常行使，直接干扰机关单位的工作秩序[8]。二是工作秘密是各级国家机关在其公务活动和内部管理中产生的不属于国家秘密而又不宜对外公开的事项[9]。三是各级国家机关、授权单位为了保障其职权的正当行使，依据简易程序确定并在一定时间内只限一定范围人员知悉的工作事项[10]。四是机关、单位在公务活动和内部管理中产生的，一旦泄露会直接干扰机关、单位正常工作秩序，影响正常行使管理职能，在一定时间内不宜对外公开的事项和信息[11]。总体来看，工作秘密来源于国家机关、法律法规授权的行政主体及提供公共服务的企事业单位的公务活动和内部管理事项。

我国工作秘密管理还没有形成全国统一的法律法规、管理机制、指导规范、技术标准。工作秘密管理由各级机关单位自行确定，机关单位从工作惯例、业务需要出发，各自确定工作秘密管理体制、方法和措施，没有明确的技术标准。对工作秘密过度保护会妨碍正常政府信息公开、降低机关效能、影响公共利益。在当前互联网、大数据等技术极度发达的信息化时代，信息传播和扩散速度快，工作秘密泄露可能在较大范围内对工作秩序造成严重影响；大量非密、敏感的信息碎片经大数据及数据挖掘技术聚合、叠加形成影响国家安全、损害国家利益的涉密信息。

我国工作秘密管理可以参考美国经验，将工作秘密管理机构纳入国家秘密安全保密机构中统一部署，形成相对独立的部门和管理制度，既可以维护国家秘密的权威性，又可以在降低工作秘密保护成本，便利信息资源利用的同时维护国家安全。

我国等保2.0的核心标准GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》的制定将NIST SP 800-53作为参考[12]。我国在制定工作秘密安全技术标准时也可参考美国经验，将现有等级保护和分级保护标准作为基线标准，通过裁剪方法形成适用于工作秘密保护的标准。

4 结 语

美国信息技术发展在全球范围名列前茅，遇到的安全挑战也由来已久，近些年尤其重视CUI安全管控体系的建立和完善。我国的工作秘密与美国CUI存在较强的相似性，工作秘密安全管控可以借鉴美国，制定全国性法律法规，界定其内涵与外延，推出统一性的法规政策指导法律执行。国家秘密管理机构设立独立的管理部门对工作秘密进行管控，建立从工作秘密识别、标识、监督、审查、解除的全生命周期管理流程。为应对工作秘密多业务、多场景特点，可借鉴美国安全技术标准体系，明确量化工作秘密涉及范围，对工作秘密进行分级分类，利用裁剪方法制定适应具体系统的安全技术措施，通过具备资质的专业安全机构开展系统安全体系建立、安全性评估的咨询工作，保证工作秘密切实得到保护。