郭藏龙，张 岚，叶晓俊

（清华大学软件学院，北京 100084）

0 引 言

习近平总书记指出：“没有网络安全，就没有国家安全。”因此，我国在2014年5月就提出要建立网络安全审查制度，并在2017年5月发布了《网络产品和安全审查办法（试行）》（简称审查办法），为业界理解审查制度提供了指导[1]。该办法第十一条明确“承担网络安全审查的第三方机构，应当坚持客观、公正、公平的原则，按照国家有关规定，参照有关标准，重点从产品和服务及其供应链的安全性、可控性，安全机制和技术的透明性等方面进行评价，并对评价结果负责”。可见，安全性、透明性和可控性是网络安全审查的核心目标[2]。

本文主要围绕审查办法中的透明性审查目标，给出了透明性概念，明确了不同对象的透明需求；通过划分特性、子特性和构建度量属性的方法，对透明性进行建模；最后，以数据库产品为例，介绍了如何将透明性模型应用于网络安全审查。

1 透明性概念

1.1 透明性的含义

计算机技术中，一种本来是存在的事物或属性，但从某个角度看似乎不存在，称为透明性现象。本文提出的透明性与计算机术语的定义相反。对于网络产品和服务而言，透明性是指提供者应当将其组织机构、策略规程、管理制度及实施情况、安全机制、技术实现等相关信息以软件功能或接口、技术手册、实施指南等以文档化和电子化的方式公开，以满足应用方的知情权，支撑应用方对网络产品和服务的选择权、控制权和支配权[3]。以安全机制为例，安全性关注安全机制是否存在、实现是否正确且满足安全目的。而透明性关注安全机制依据何种安全模型、采用哪些实现方式，以及安全机制输入/输出信息等方面是否公开、可访问与可信等。

1.2 透明性需求

安全可控需要解决审查办法提出的产品和服务供应链安全风险、危害产品和服务使用者风险和危害国家安全风险。因此，透明性应从面向组织、用户和国家三个方面考虑对网络产品和服务审查对象的透明性需求[4]，如图1所示。

（1）国家透明主要针对国家监管部门和公众的透明性需求，特别是关系到国家安全、社会公共利益的网络产品和服务。国家监管和公众监督是网络产品和服务安全的重要保障形式，使其符合相关法律法规的要求，避免危害国家安全或网络产品和服务提供者实施不正当竞争的风险。

（2）用户透明主要针对产品和服务的使用者，旨在满足用户对所使用产品和服务的数据支配权和产品控制权，避免提供者非法收集、使用、销毁个人信息和国家重要数据的风险。

（3）组织透明主要是针对产品和服务内外部成员，如股东、雇员、供应链成员等，旨在保障股东利益，发挥员工的监督和反馈作用，并为管理决策提供建议，同时也可以提高供应链中各组织的互操作性，降低供应链的安全风险。

2 透明性建模

图1 面向不同对象的透明性需求

透明性要求网络产品和服务提供者应当将透明需求置于与功能需求、安全需求、性能需求同等重要的地位。因此，透明性可采用与系统、与软件质量模型ISO/IEC 25000系列标准类似的结构[5]。透明性模型分为两部分：第一部分是描述网络产品和服务无关的透明性目标，分为特性和子特性；第二部分是依据网络产品和服务体系架构及其部署架构，结合当前国家、用户和组织的透明性需求，构建相应的度量属性。因此，对透明性建模分为确定透明性目标和构建度量属性两步。

2.1 透明性目标建模

参考ISO/IEC 25000系列标准中定义的产品和服务质量属性，结合透明性需求，透明性特性包含4个特性，如表1所示。

表1 透明性需求特性

每个特性可根据其审查目标将其进一步细分为若干子特性，分别如表2、表3、表4和表5所示。

2.2 构建度量属性

需结合网络产品和服务的体系架构以及国家、用户和组织的不同透明性需求，对透明内容、透明程度的不同要求形成满足不同对象需求、处理不同风险的度量属性，如表6所示。

表2 可访问性子特性

表3 易使用性子特性

表4 信息有效性子特性

表5 可审计性子特性

表6 透明性度量属性示例

构建透明性模型的作用有两个方面：一是透明性较抽象，难以直接被度量，将其区分产品和服务无关和相关两部分，有助于明确透明性目标以及不同网络产品和服务的具体透明需求，具有全面性、通用性、灵活性等特点；二是网络产品和服务是一个比较复杂的整体，审查人员可以根据审查需求、透明范围，选择适当的透明特性、子特性和度量属性，形成合理可行的检查项，进而从不同维度度量产品和服务的透明性。

3 透明性模型的应用

透明性模型应用于网络安全审查，需要针对特定的网络产品和服务将模型具体化（简称具化），其过程分为以下三个步骤。

（1）确定透明性目标：根据产品和服务类型、目标宗旨、服务场景、审查需求等信息，对透明性目标进行剪裁，使其既能满足透明性需求，又不会带来非必须的额外成本。

（2）明确透明性审查内容：根据产品和服务自身的功能、流程、机制、管理策略等信息，确定度量属性包含的具体审查内容。由于网络产品和服务的透明性审查内容较多，可将相似的审查内容通过属性组的形式进行组织。因此，透明性模型中的一个度量属性具化后包含若干属性组，而一个属性组包含审查对象的若干审查内容。度量属性与属性组的区别在于度量属性是与特定产品和服务无关的，由透明性模型确定。而属性组则是根据具体产品和服务对度量属性的精确化表示。

（3）建立透明性目标和检查项的映射关系：根据透明性目标的定义和关注角度，需将透明性目标映射到属性组中的每个审查内容，形成对应的检查项。审查内容是对产品和服务体系架构的某个组成部分的描述，如某个功能或安全机制。而检查项是对审查内容“是否满足”透明性目标的描述，如某安全机制的实现是否向用户公开。

下面以数据库透明性审查框架的构建为例，阐述透明性模型的应用过程。数据库产品透明性目标如图2所示，选取了模型中所有的透明性目标。

图2 数据库透明性目标

数据库产品审查内容针对其功能和安全机制建立透明性目标度量相关的属性组及其审查内容（如表7所示），将每个度量属性具化为数据库的属性组和审查点。由于每个属性组包含的审查点较多，这里选择包含的典型审查内容为代表，没有列举其所有审查内容。

表7 数据库属性组及审查内容示例

透明性目标与每个审查内容结合，就可形成具体的检查项（如图3所示）。图3中省略了上层的特性、度量属性和属性组，以公开性、完整性、可理解性、可验证性四个数据库透明性子特性以及传输数据加密为例展示了映射过程，完成映射后共形成了4个检查项。

最终形成的数据库透明性审查指标体系的结构如图4所示，图中省略了部分子特性和属性组。整个体系由透明性模型中的透明性目标和度量属性、针对数据库产品具化的属性组、审查内容以及将目标与审查内容映射形成的检查项构成。每个检查项既可以用于度量产品和服务某个属性组的透明性，也可以用于度量某个透明性目标的满足程度。因此，设计评估方法时[6]，可以根据需求灵活选择。

图3 检查项的生成

图4 数据库透明性审查指标体系

4 结 语

本文首先对审查办法中的透明性进行了定义，并从社会透明、用户透明、组织透明三个方面明确了透明性需求。其次，划分透明性的特性、子特性，介绍了如何根据透明性需求形成网络产品和服务的度量属性，并给出了透明性模型。最后，以数据库产品为例，介绍了将透明性模型通过模型剪裁、度量属性具化、检查项映射形成审查指标体系的方法，可用于指导相关网络产品和服务安全审查内容的建设，从而促进产品和服务提供者对透明性的保障。

本文贡献点主要体现在以下三个方面：

（1）构建的透明性模型具有通用性，可以用于指导所有的网络产品和服务透明性审查；

（2）度量属性具有灵活性，可以结合不同的透明需求以及产品和服务的特点，具化为合适的属性组和审查内容；

（3）评估方法具有灵活性，可以从透明性目标和度量属性两个角度评估产品和服务透明性。

参考文献：

[1] 丁蔚.网络安全审查制度的理解和建议[J].信息安全与通信保密,2017(03):12-15.DING Wei.Understanding and Suggestion of Network Security Review System[J].Information Security and Communication Privacy,2017(03):12-15.

[2] 陈晓桦,何德全,王海龙等.网络安全审查制度研究及建议[J].中国工程科学,2016(06):39-43.CHEN Xiao-hua,HE De-quan,WANG Hai-long,et al.Research and Suggestions on Network Security Review System[J].Engineering Science,2016(06):39-43.

[3] Leite J C S D P,Cappelli C.Software Transparency[J]. Wi rtschaftsinformatik,2010,52(03):119-132.

[4] Meis R,Wirtz R,Heisel M.A Taxonomy of Requirements for the Privacy Goal Transparency[M].Trust,Privacy and Security in Digital Business.Springer International Publishing,2015:195-209.

[5] ISO/IEC 25010:2011,Systems and Software Engineering—Systems and Software Quality Requirements and Evaluation-System and Software Quality Models[S].2011.

[6] Spagnuelo D,Bartolini C,Lenzini G.Metrics for Transparency[C].International Workshop on Data Privacy Management,2016:3-18.