美国 CUI 安全保护体系研究及启示-网盾网络安全培训学校

美国 CUI 安全保护体系研究及启示

摘要：

工作秘密在保密管理中客观存在。与具备严格的法定性、统一的管理制度规范及标准的国家秘密管理相比，工作秘密管理目前没有全国性的管理法规和安全管控标准的指导。泄露工作秘密会扰乱工作秩序、影响社会稳定，严重时会损害国家利益。美国经过多年发展形成一套独立的“受控非密信息”安全保密管控体系，该体系应用较为广泛，对我国工作秘密管控工作具有一定借鉴意义。从法律法规、管理机制、技术标准方面研究美国“受控非密信息”管控体系，分析其对我国工作秘密管理的启示。

内容目录：

1　美国 CUI 管理制度研究

1.1　美国 CUI 法律法规制定历程

1.2　美国 CUI 管理机构设置

2　美国安全技术标准研究

2.1　美国安全技术标准体系研究

2.2　美国 CUI 安全技术标准分析

3　对我国工作秘密管控的启示

4　结　语

美国定义了一类受控非密信息（Controlled Unclassified Information，CUI），即“ 由美国政府产生或持有的，或由代表或服务于美国政府的非政府机构接收、持有或产生的联邦非密信息，需要采取一定的信息安全措施加以防护，并控制其传递和使用。”美国在 CUI 安全管控方面形成了一套独立且较为成熟的法律法规、管理机制、业务流程规范以及统一的系统安全技术标准。根据我国的法律法规，工作秘密不属于国家秘密，但也不属于应公开的政府信息。目前，我国工作秘密管理还没有制定全国统一的法律法规、管理机制、指导规范、技术标准。美国的 CUI 定义与我国对工作秘密的描述非常相近。本文研究了美国 CUI 安全管控的法律法规形成、管理机构设置和流程，重点分析了美国CUI 安全管控技术标准体系，希望为进一步加强和完善我国工作秘密的管理制度提供参考和借鉴。

１美国 CUI 管理制度研究

美国作为全球网络信息技术的发源地，在网络安全领域的立法也起步最早，数量最多，网络安全立法框架相对完备。受 2001 年“9·11”等一系列恐怖事件的影响，美国随即推动制定 CUI 相关法律法规、设立管理机构、细化管理流程等工作。美国经过 10 余年发展保密管理制度较为成熟。

1.1　美国 CUI 法律法规制定历程

2008 年，美国时任总统布什向各部门和机构发布了一份备忘录“指定和共享受控非机密信息（CUI） ”并成立 CUI 办公室，由美国国家档案和记录管理局（National Archives and Records Administration，NARA）主管。

2010 年，美国时任总统奥巴马签署了第 13556 号行政令（EO）“受控非机密信息”，专门对受控非密信息实施管理。该命令要求，联邦政府各部门必须根据法律法规、政策的要求对 CUI 做好安全防护，按照公开统一的制度规范进行管理。随后发布对 CUI 定义的描述。

2012 年，美国国防部在 2012 年新修订的《信息安全纲要》手册的第 4 卷将 CUI 独立成卷，指导信息的识别与保护，并在“手册”的第 2 部分给出 CUI 的定义：依据相关法律法规和政府政策，需要保护和控制传播的非密信息。将非密信息分成仅供官方使用信息、执法敏感信息、国防部受控非密核信息、限制分发信息等 8 类。

2016 年，《美国联邦法规》第 32 条 2002 部分“最终条例”（32 CFR Part 2002）制定 CUI的认定、保护、传递、标识、解除控制、处理政策，并对自我审查和监督等方面提出要求，为联邦执行机构和组织处理、持有、使用、共享、接收 CUI 提供规则保障。“最终条例”为机构处理 CUI 提供了基本遵循和统一范式，为第 13556 号行政令提供实施指南。

2017 年后，特朗普政府全面提升了 CUI 管控的地位，发布大量新政策、新标准、新指南，扩展了 CUI 的类别与子类别，扩大了 CUI 的管理范围。

从法律法规的演进历程来看，美国 CUI 管控从 2010 年起正式以总统令方式推进，到 2016 年颁布实施指南仅用了 6 年时间。同时为应对国际环境的快速变化、信息技术的迅猛发展，特朗普政府时期大幅提升了对 CUI 项目的重视力度，加强 CUI 的管控力度。我国工作秘密安全管控可借鉴美国 CUI 保护的经验，形成统一的法律法规及对应的实施细则，指导各地开展安全管控。

1.2　美国 CUI 管理机构设置

美国设立受控非密信息办公室（Controlled Unclassified Information Office）负责对 CUI 信息实施综合管理。如图 1 所示，该办公室隶属于美国国家档案和记录管理局下设的信息安全监督办公室（Information Security Oversight Office， ISOO），是 ISOO 中一个独立的机构。受控非密信息办公室下设登记处（CUI Registry），为受控非密信息的政策制定和实践操作提供指导。在美国安全保密制度运行过程中，ISOO 是一个非常重要的部门，其下设 7 个机构，分别涉及国家秘密、国家工业安全、国家地方私营部门的国家保密安全计划、受控非密信息等保密安全制度的运作和执行。ISOO 的 CUI 制度法律依据来源于第 13556 号行政令，并将相关法律法规、政策的保护要求汇总，提供统一的执行指导。

图 1 CUI 管理机构设置

ISOO 分为 3 类人员：分类管理人员、业务人员和 CUI 人员。CUI 人员负责制定标准化的 CUI 政策和程序，通过有效的数据访问和控制措施适当保护敏感信息。从机构设置来看，美国 CUI 管理与国家秘密管理均隶属 ISOO，但是分属于不同的分支机构；CUI 管理人员与国家秘密管理人员分设。

1.3　美国 CUI 管理流程

ISOO 对 CUI 的认定、标识、保护、传播、解除控制、处理政策做出规范，并对自我审查和监督等提出要求。事项范围是 CUI 认定、标识的基础。截至目前， ISOO 公布公共事项主类 20 个、子类 125 个。公共事项主类包括关键基础设施、防御、执法、核、专利等，其中，以关键基础设施为例的事项子类包括信息系统漏洞信息、关键能源基础设施信息、通用关键基础设施信息、化学—恐怖主义脆弱性信息、有毒物等。该分类为 CUI 的认定和标识提供了标准化的依据。

不管信息由哪个机构产生，只要需要保护和传播控制，均需在 CUI 办公室设立的网上登记处进行登记，每一类事项范围登记表由类目名称、类目描述、控制标识、保护与传播的授权、保护标准、解除控制等部分组成。登记表中对 CUI 设立了保护等级，以防信息非授权窃取或疏忽泄露；设定了传递控制等级，以限制信息的传播范围，包括禁止对外传播、仅限联邦雇员、仅限联邦雇员和承包商、不得向承包商传播、传播清单受控制、仅授权向某些国民发布以及仅显示等。

ISOO 根据 CUI 注册表对机构的 CUI 保护措施进行审查、评估、监督，确保其符合保护要求。

美国在 CUI 管理实施阶段建立了完整的管理流程，尤其是明确了受控非密事项的分类和标识，为我国工作秘密的确定及管理范围提供了很好的参考依据。细化的 CUI 保护等级及传递控制等级，为工作秘密的差异化管理提供参考。

２美国安全技术标准研究

美国的网络安全标准研究体系完整、覆盖全面、可实施性强。经过 10 年规划，美国理清了网络安全标准发展的脉络，明确了标准制定的路线图，建立了一套科学合理、分类规范、层次清晰的网络安全标准体系架构。其核心基线标准 NIST SP 800-53《信息系统和组织的安全和隐私控制》为所有信息系统提供了一个综合详细的安全控制目录，并描述了如何通过裁剪方法，针对某一具体系统制定安全控制集的过程。标准的控制项更加灵活，可操作性强。下面分别从 CUI 安全技术标准在美国安全技术标准体系中的位置，CUI 安全技术标准基于核心基线标准 NIST SP 800-53 所进行的裁剪，对 CUI 安全技术标准进行分析。

2.1　美国安全技术标准体系研究

1965 年，美国颁布公共法《布鲁克斯法案》（Pub.L.No.89-306），随即美国商务部国家标准局（National Bureau of Standards，NBS）启动安全领域标准的制定活动。经过多年的发展，美国安全领域技术标准体系性强，如图 2所示。

图 2 美国安全技术标准体系

近代的安全领域标准来源于 2002 年美国颁布的《联邦信息安全管理法案》，该法涉及的信息安全范围涵盖非国家秘密和国家秘密两部分，授权美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）牵头制定非国家秘密的信息系统安全技术标准，国家安全系统委员会（Committee on National Security Systems， CNSS）制定涉及国家秘密的信息系统安全技术标准。

对于非国家秘密的信息系统安全技术标准，NIST 分别于 2004 年和 2006 年先后发布 FIPS 199《联邦信息和信息系统安全分类》标准和FIPS 200《联邦信息和信息系统的最低安全需求》标准。其中，FIPS 200 为强制性标准，除联邦政府机构外，NIST还鼓励组成美国关键基础设施的州、地方和部落政府以及私营部门组织酌情考虑使用本标准。联邦信息处理标准（Federal Information Processing Standards，FIPS）定位是美国联邦计算机系统标准和指南方面的官方出版物，主要规定总体或高层次的要求，版本比较稳定、数量少。为满足执行 FIPS 所需的技术、管理和操作等各领域的标准化要求，NIST 制定NIST 特殊出版物（NIST SP）系列规范，SP 800 系列标准为了适应现实信息安全环境的多变和快变性，出版物相对变化比较快，标准化成果的数量比较多。NIST SP 800-53《信息系统和组织的安全和隐私控制》是联邦信息系统安全体系的核心基线标准，在制定之初国防和情报部门一起参与起草工作，目的是希望能够同时反映国家安全系统的安全要求。2015 年 6 月，CUI 安全技术标准 NIST SP 800-171《非联邦系统和组织中的受控非机密信息保护》第一版发布，与CUI管理实施指南 32 CFR Part 2002 属于同一时期发布。从名称上来看，其主体强调非联邦机构，认为 CUI 无论是否属于联邦系统，只要具有相同的价值就需要同等保护，实际上扩大了 CUI 的保护范围。

美国涉及国家秘密信息系统安全标准 CNSSI 1253《国家安全系统的安全分类和控制选择》是在NIST SP 800-53 标准基础上裁剪形成的，删除 NIST SP 800-53 中不适用于国家安全系统的控制项，以减少建设时间和成本，叠加了保密特殊属性，如信息聚合效应、系统所处环境、用户属性等。

许多美国组织选择 NIST 框架，因为它们向联邦机构提供服务时，必须遵守 CUI 的安全技术标准 NIST SP 800-171，该标准是在 NIST SP 800-53 基础上裁剪而来。美国NIST SP 800 安全标准体系比欧洲国际标准化组织的 ISO 27002 安全标准体系更为全面，它包含了选择控制和 NIST SP 800-53A《信息系统和组织的安全评估和隐私控制》。NIST SP 800-53 具有详细的基本控制要求和增强控制要求，机构可以直接利用其制定安全计划。

2.2　美国 CUI 安全技术标准分析

美国安全技术标准是一个大而全的体系，为了能够适用于各种系统，增强对 CUI 的安全管控，通过对核心标准 NIST SP 800-53 进行裁剪，形成了适用于 CUI 的 NIST SP 800-171 安全技术标准。在安全技术体系 NIST SP 800-53B《信息系统和组织的控制基线》中详细描述了裁剪标准的过程，并将安全控制大类的裁剪标准定义为 NCO（与 CUI 保密事项的保护无直接关系）、FED（只有联邦属性，是联邦政府的主要责任）、NFO（非联邦组织已经满足的非特定安全要求）、CUI（CUI 基本或派生安全需求，可在安全控制、控制增强中找到的特定要求）。

NIST SP 800-171 安全技术标准利用以上裁剪标准，将 NIST SP 800-53r4 的 17 类安全控制裁剪为 14 类，应用 NCO 标准裁剪掉应急规划安全控制类，应用NFO 标准裁剪掉规划、系统和服务采购安全控制类。具体内容如图 3 所示。在NIST SP 800-171 标准中还删除了各个安全控制类别中的策略制定要求，以降低管理复杂度。

图 3 CUI 技术标准安全控制类别

NIST SP 800-171 针对关键过程或高价值资产提出系统和通信保护、系统和信息完整性、风险评估、人员安全、意识和培训、事件响应能力 6 个安全控制类别的增强要求，以重点保护 CUI 的保密性、完整性、可用性。

同时，美国机构在建立某一具体信息系统的安全管控措施时可以根据 NIST SP 800-53B标准要求，对NIST SP 800-171 安全标准基线清单的控制项进行裁剪，既符合安全要求又降低信息系统安全措施成本。具体裁剪过程包括5 个步骤：标志公共控制、考虑作用域、选择补偿控制、赋值和补充基线控制。其中，标志公共控制是指当机构具有多个系统时，为节约系统的安全措施成本，每个系统须满足人员安全保密意识培训、应急事件响应、安全物理环境等安全要求，指定人力资源、安保等部门进行总体协调的过程；考虑作用域是指当安全标准基线中的某些控制项不涉及某些专业或领域时，可对该控制项进行删除的裁剪操作，删除时需说明原因；选择补偿控制是指当安全标准基线中的某些控制项由于实施环境的不具备或者实施成本过高而无法落地时，可对该控制项进行替换的裁剪操作，但需要说明替换后的控制项可以达到同等的安全效果；赋值是指对安全基线标准条款要求“赋值” 或“选择”的具体化过程，例如对于密码修改时间，不同应用的修改时间由于其重要性不同而选择不同的赋值；补充基线控制是指专业或领域为了提升安全性、应对高级持续攻击或处理高度敏感信息，对安全标准基线要求进行补充的裁剪操作。

利用安全标准基线清单与裁剪相结合的方式，可以灵活制定具体系统的安全管控体系，满足多种信息系统的安全要求，使用范围非常广泛。我国工作秘密管控同样具有业务种类多，场景复杂的特点，可以借鉴美国 CUI 安全管控体系建立面向多业务多场景的技术标准。但是在机构具体信息系统安全体系建立时，还需要一套相对完整的安全标准体系裁剪咨询、系统安全评估方法、标准化自动化的安全评估工具配合安全举措的落地实施，保证工作秘密受到相应保护。

３对我国工作秘密管控的启示

《中华人民共和国公务员法》第 14 条规定公务员应当履行“（五）保守国家秘密和工作秘密”的义务，中华人民共和国政府信息公开条例》第 5 条要求“行政机关公开政府信息，应当坚持以公开为常态、不公开为例外，遵循公正、公平、合法、便民的原则”。从以上法律法规的描述看，工作秘密不属于国家秘密，也不属于应公开的政府信息。

当前，我国在法律层面尚未明确工作秘密的内涵和外延。在相关研究分析中，对工作秘密主要有以下 4 种表述方式：一是工作秘密是机关单位在公务活动和内部管理中产生的事项和信息，一旦泄露便会影响管理职能的正常行使，直接干扰机关单位的工作秩序。二是工作秘密是各级国家机关在其公务活动和内部管理中产生的不属于国家秘密而又不宜对外公开的事项。三是各级国家机关、授权单位为了保障其职权的正当行使，依据简易程序确定并在一定时间内只限一定范围人员知悉的工作事项。四是机关、单位在公务活动和内部管理中产生的，一旦泄露会直接干扰机关、单位正常工作秩序，影响正常行使管理职能，在一定时间内不宜对外公开的事项和信息。总体来看，工作秘密来源于国家机关、法律法规授权的行政主体及提供公共服务的企事业单位的公务活动和内部管理事项。

我国工作秘密管理还没有形成全国统一的法律法规、管理机制、指导规范、技术标准。工作秘密管理由各级机关单位自行确定，机关单位从工作惯例、业务需要出发，各自确定工作秘密管理体制、方法和措施，没有明确的技术标准。对工作秘密过度保护会妨碍正常政府信息公开、降低机关效能、影响公共利益。在当前互联网、大数据等技术极度发达的信息化时代，信息传播和扩散速度快，工作秘密泄露可能在较大范围内对工作秩序造成严重影响；大量非密、敏感的信息碎片经大数据及数据挖掘技术聚合、叠加形成影响国家安全、损害国家利益的涉密信息。

我国工作秘密管理可以参考美国经验，将工作秘密管理机构纳入国家秘密安全保密机构中统一部署，形成相对独立的部门和管理制度，既可以维护国家秘密的权威性，又可以在降低工作秘密保护成本，便利信息资源利用的同时维护国家安全。

我国等保 2.0 的核心标准 GB/T 22239—2019 《信息安全技术网络安全等级保护基本要求》的制定将 NIST SP 800-53 作为参考。我国在制定工作秘密安全技术标准时也可参考美国经验，将现有等级保护和分级保护标准作为基线标准，通过裁剪方法形成适用于工作秘密保护的标准。

４结　语

美国信息技术发展在全球范围名列前茅，遇到的安全挑战也由来已久，近些年尤其重视CUI 安全管控体系的建立和完善。我国的工作秘密与美国 CUI 存在较强的相似性，工作秘密安全管控可以借鉴美国，制定全国性法律法规，界定其内涵与外延，推出统一性的法规政策指导法律执行。国家秘密管理机构设立独立的管理部门对工作秘密进行管控，建立从工作秘密识别、标识、监督、审查、解除的全生命周期管理流程。为应对工作秘密多业务、多场景特点，可借鉴美国安全技术标准体系，明确量化工作秘密涉及范围，对工作秘密进行分级分类，利用裁剪方法制定适应具体系统的安全技术措施，通过具备资质的专业安全机构开展系统安全体系建立、安全性评估的咨询工作，保证工作秘密切实得到保护。

引用本文：赵墨颖 , 刘克清 , 周俊 , 等 . 美国 CUI 安全保护体系研究及启示 [J]. 信息安全与通信保密 ,2022(1):89-97.

赵墨颖，女，硕士，工程师，主要研究方向为网络安全管控体系；

刘克清，女，硕士，高级工程师，主要研究方向为网络安全保护制度；

周俊，男，学士，教授级高级工程师，主要研究方向为网络优化、网络管理；

靳侃侃，男，学士，工程师，主要研究方向为网络安全产品开发；

陈玮健，学士，工程师，主要研究方向为网络优化、网络管理。

行业新闻