內(nèi)容摘要：本報(bào)告認(rèn)為歐盟部分國(guó)家濫用云網(wǎng)絡(luò)安全規(guī)則，推動(dòng)EUCS實(shí)施數(shù)字保護(hù)主義，試圖用本土企業(yè)取代美國(guó)領(lǐng)先的云計(jì)算公司。EUCS與FedRAMP不同，更加強(qiáng)調(diào)企業(yè)所有權(quán)，采用封閉技術(shù)標(biāo)準(zhǔn)，涵蓋私營(yíng)部門。這將破壞跨大西洋數(shù)字貿(mào)易。歐洲政策制定者應(yīng)效仿FedRAMP實(shí)施EUCS，專注于技術(shù)細(xì)節(jié)，透明開放制定標(biāo)準(zhǔn)，避免限制性主權(quán)要求。對(duì)此，報(bào)告提出以下建議：歐盟成員國(guó)應(yīng)在EUCS提案中刪除主權(quán)條款；美國(guó)需加強(qiáng)與歐盟在TTC上的接觸；若限制未取消，美國(guó)應(yīng)評(píng)估網(wǎng)絡(luò)安全合作并考慮報(bào)復(fù)措施；雙方應(yīng)利用TTC改善網(wǎng)絡(luò)安全合作，確保標(biāo)準(zhǔn)兼容性；美國(guó)和歐盟應(yīng)關(guān)注電子證據(jù)/CLOUD法案協(xié)議，并努力實(shí)現(xiàn)網(wǎng)絡(luò)安全認(rèn)證和審計(jì)項(xiàng)目的相互承認(rèn)。

背景介紹

歐盟一些國(guó)家濫用云網(wǎng)絡(luò)安全規(guī)則，制定歐洲云服務(wù)網(wǎng)絡(luò)安全認(rèn)證計(jì)劃(European Cybersecurity Certification Scheme for Cloud Services，EUCS)，企圖用本土企業(yè)取代美國(guó)領(lǐng)先的云計(jì)算公司。法國(guó)是其中的領(lǐng)導(dǎo)者。其他歐盟政策制定者對(duì)盲目追隨法國(guó)的網(wǎng)絡(luò)安全、貿(mào)易和經(jīng)濟(jì)保護(hù)主義做法有所顧慮。因此，歐洲政策制定者決定效仿美國(guó)的FedRAMP制定實(shí)施EUCS。

本簡(jiǎn)報(bào)詳細(xì)介紹了兩者的差異，解釋了FedRAMP是什么，最重要的是，與SecNumCloud相比不是什么，以及歐洲在EUCS提案中刪除限制性和誤導(dǎo)性的主權(quán)要求的重要性，并在最后為跨大西洋網(wǎng)絡(luò)安全議程提供了建設(shè)性的合作建議。

停止數(shù)據(jù)流和云市場(chǎng)準(zhǔn)入破壞了歐洲、跨大西洋和全球的網(wǎng)絡(luò)安全合作

根據(jù)EUCS，云提供商將不再能夠?qū)⑷蛲{與國(guó)內(nèi)威脅比對(duì)映射，也無(wú)法將全球網(wǎng)絡(luò)的惡意活動(dòng)跡象追蹤到國(guó)內(nèi)網(wǎng)絡(luò)。

EUCS主權(quán)要求將使美國(guó)公司更難在網(wǎng)絡(luò)攻擊之前采取預(yù)防措施，以保護(hù)歐洲客戶和網(wǎng)絡(luò)安全機(jī)構(gòu)。該要求也將阻礙跨大西洋和全球網(wǎng)絡(luò)安全合作。如果歐洲制定主權(quán)要求，這種合作很難持續(xù)。因?yàn)槿绻麣W洲都不信任美國(guó)的云計(jì)算公司，如何取得第三國(guó)政府的信任呢?

美國(guó)云網(wǎng)絡(luò)安全系統(tǒng)FedRAMP的介紹

FedRAMP為美國(guó)聯(lián)邦政府機(jī)構(gòu)使用的云服務(wù)提供了安全評(píng)估、授權(quán)和持續(xù)監(jiān)控的標(biāo)準(zhǔn)化方法。ITIF在報(bào)告《改革FedRAMP：改進(jìn)聯(lián)邦采購(gòu)和云服務(wù)風(fēng)險(xiǎn)管理指南》中指出獲得FedRAMP認(rèn)證的時(shí)間和成本需要改善。但總的來(lái)說(shuō)，F(xiàn)edRAMP提供了一個(gè)通用的、高水平的云網(wǎng)絡(luò)安全保護(hù)平臺(tái)。

風(fēng)險(xiǎn)級(jí)別決定控制基準(zhǔn)

FedRAMP根據(jù)低、中、高三個(gè)風(fēng)險(xiǎn)級(jí)別指定控制。

NIST設(shè)定了每個(gè)級(jí)別的技術(shù)要求。風(fēng)險(xiǎn)影響等級(jí)越高，需要的基準(zhǔn)控制就越多：低影響系統(tǒng)需要123個(gè)控制，中等影響系統(tǒng)需要325個(gè)控制，高影響系統(tǒng)需要421個(gè)控制。

低風(fēng)險(xiǎn)包括用于公共使用的數(shù)據(jù)，任何數(shù)據(jù)損失都不會(huì)影響機(jī)構(gòu)的任務(wù)、安全、財(cái)務(wù)或聲譽(yù)。中等風(fēng)險(xiǎn)包括公眾無(wú)法獲得的數(shù)據(jù)，這樣的泄露可能會(huì)對(duì)機(jī)構(gòu)的運(yùn)營(yíng)產(chǎn)生嚴(yán)重影響。大多數(shù)美國(guó)聯(lián)邦政府機(jī)構(gòu)都是在這個(gè)中等影響級(jí)別上運(yùn)行，使用的是“受控的、非機(jī)密的信息”。高風(fēng)險(xiǎn)包括敏感的（但非機(jī)密的）聯(lián)邦信息，如執(zhí)法部門、緊急服務(wù)和醫(yī)療保健數(shù)據(jù)，對(duì)包含這些數(shù)據(jù)的政府系統(tǒng)的破壞將具有高度破壞性。

FedRAMP使用第三方評(píng)估機(jī)構(gòu)（PAOs）評(píng)估“云服務(wù)產(chǎn)品”（CSO）

FedRAMP使用專門第三方評(píng)估機(jī)構(gòu)（PAOs）來(lái)評(píng)估CSO。PAOs包括專業(yè)的IT合規(guī)、審計(jì)和咨詢公司。PAOs本身必須滿足FedRAMP特定的要求和國(guó)際最佳實(shí)踐標(biāo)準(zhǔn)，例如ISO/IEC 17020標(biāo)準(zhǔn)對(duì)執(zhí)行合格評(píng)定的機(jī)構(gòu)的要求。PAOs評(píng)估CSO維護(hù)清晰系統(tǒng)邊界的能力，描述系統(tǒng)內(nèi)部和系統(tǒng)間動(dòng)態(tài)的能力，用戶和敏感元數(shù)據(jù)流，與用于傳輸聯(lián)邦敏感數(shù)據(jù)互連相關(guān)的風(fēng)險(xiǎn)，以及與使用未經(jīng)FedRAMP授權(quán)的外部系統(tǒng)和服務(wù)相關(guān)的風(fēng)險(xiǎn)等問(wèn)題。

美國(guó)FedRAMP與歐洲基于“主權(quán)”的網(wǎng)絡(luò)安全方法的區(qū)別

以下部分詳細(xì)介紹了美國(guó)FEDRAMP計(jì)劃與法國(guó)SecNumCloud和EUCS提案的根本不同之處。

FedRAMP向美國(guó)和外國(guó)公司均開放

來(lái)自任何國(guó)家的云公司都可以申請(qǐng)F(tuán)edRAMP認(rèn)證，沒(méi)有國(guó)籍或所有權(quán)限制。截至2022年11月，在285家FedRAMP授權(quán)的服務(wù)產(chǎn)品和78家正在審查的服務(wù)產(chǎn)品中，至少20家公司的總部在國(guó)外，或者是外國(guó)公司（如西門子技術(shù)公司）的美國(guó)子公司。

FedRAMP關(guān)注網(wǎng)絡(luò)安全實(shí)踐，而非公司結(jié)構(gòu)和所有權(quán)

FedRAMP關(guān)注公司使用先進(jìn)網(wǎng)絡(luò)安全實(shí)踐，而非公司的所有權(quán)或控制權(quán)。在歐洲FedRAMP最好的仿效規(guī)定是德國(guó)C5標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)為純粹的技術(shù)網(wǎng)絡(luò)安全認(rèn)證制度。與此不同，許多SecNumCloud要求涉及法律、組織結(jié)構(gòu)、投資和所有權(quán)——與基于技術(shù)的云服務(wù)認(rèn)證或改善網(wǎng)絡(luò)安全無(wú)關(guān)。

數(shù)據(jù)本地化是SecNumCloud和EUCS的核心

無(wú)論是在法國(guó)還是美國(guó)，數(shù)據(jù)本地化都是一種被誤導(dǎo)的政策，即使是為政府?dāng)?shù)據(jù)服務(wù)。本地化并不能改善數(shù)據(jù)隱私或安全性。例如，對(duì)美國(guó)管理和預(yù)算辦公室的黑客攻擊針對(duì)的是美國(guó)政府機(jī)構(gòu)內(nèi)部的數(shù)據(jù)服務(wù)。數(shù)據(jù)本地化在FedRAMP中作為與特定美國(guó)聯(lián)邦政府機(jī)構(gòu)合同的一部分的使用，意味著它的應(yīng)用范圍非常狹窄。其不會(huì)影響更廣泛的美國(guó)商業(yè)云服務(wù)市場(chǎng)。

美國(guó)有限地使用本地化，就像加拿大的公共云市場(chǎng)一樣，也對(duì)外國(guó)公司和產(chǎn)品開放，并允許數(shù)據(jù)流向海外。美國(guó)和加拿大對(duì)敏感政府?dāng)?shù)據(jù)和服務(wù)本地化的限制應(yīng)用遠(yuǎn)勝于法國(guó)和其他歐洲國(guó)家所主張的廣泛而模糊的國(guó)家安全問(wèn)題。

FedRAMP僅供聯(lián)邦政府機(jī)構(gòu)使用，不影響美國(guó)關(guān)鍵基礎(chǔ)設(shè)施或更廣泛的商業(yè)云市場(chǎng)運(yùn)作

FedRAMP是一個(gè)云網(wǎng)絡(luò)安全框架，美國(guó)政府對(duì)云服務(wù)的采購(gòu)市場(chǎng)相對(duì)于其他經(jīng)濟(jì)部門來(lái)說(shuō)規(guī)模較小。相比之下，SecNumCloud和EUCS主權(quán)要求可以有效地阻止外國(guó)云計(jì)算公司向政府機(jī)構(gòu)提供服務(wù)，或在廣泛的商業(yè)經(jīng)濟(jì)領(lǐng)域進(jìn)行競(jìng)爭(zhēng)。

EUCS可能會(huì)對(duì)歐盟的數(shù)字經(jīng)濟(jì)產(chǎn)生廣泛影響。即使其只適用于敏感和高風(fēng)險(xiǎn)影響領(lǐng)域，因?yàn)轭A(yù)計(jì)所有提供商都將努力獲得這一認(rèn)證。這樣一來(lái)，獲得高風(fēng)險(xiǎn)影響認(rèn)證將成為強(qiáng)制性的，EUCS的廣泛應(yīng)用也將在許多行業(yè)成為強(qiáng)制性的。此外，EUCS主權(quán)要求可能與一些現(xiàn)有規(guī)則相沖突。

NIST網(wǎng)絡(luò)安全標(biāo)準(zhǔn)開放、透明，以技術(shù)為重點(diǎn)，而ENISA和EUCS的流程和標(biāo)準(zhǔn)則不是

NIST網(wǎng)絡(luò)安全標(biāo)準(zhǔn)以公開、透明、技術(shù)為核心，吸引全球安全與云專家參與。如ITIF報(bào)告所述，NIST以開放流程選取后量子加密標(biāo)準(zhǔn)并更新FedRAMP核心標(biāo)準(zhǔn)。而ENISA在制定EUCS標(biāo)準(zhǔn)時(shí)，面臨透明度不足及利益相關(guān)者參與度低的批評(píng)。盡管有多個(gè)組織應(yīng)提供建議，實(shí)際上外部利益相關(guān)者征求意見(jiàn)程度有限。ENISA試圖繞過(guò)歐盟委員會(huì)高層的政治考量和對(duì)技術(shù)標(biāo)準(zhǔn)進(jìn)行公開透明辯論，將主權(quán)要求與技術(shù)標(biāo)準(zhǔn)區(qū)分，導(dǎo)致實(shí)際操作中存在問(wèn)題。

原文標(biāo)題｜Europe’s Cloud Security Regime Should Focus on Technology, Not Nationality

原文地址｜https://itif.org/publications/2023/03/27/europes-cloud-security-regime-should-focus-on-technology-not-nationality/

聲明：本文來(lái)自上海市人工智能與社會(huì)發(fā)展研究會(huì)，版權(quán)歸作者所有。