全球网络空壳游戏：在跨境监管混乱中求生存

执行摘要

运营国际网络基础设施的感觉就像玩扑克牌，每个国家用不同的扑克牌发牌。规则是什么？监管机构用无形的墨水书写规则，这些规则的颜色会随着监管对象的不同而改变。当公司超越国界时，就会跌入监管雷区，遵守一个国家的法律可能会违反另一个国家的要求。监管冲突带来的不仅仅是令人头疼的文书工作--合规要求迫使工程师重新思考网络设计，限制设备选项，限制数据位置，并从根本上改变系统通信协议。

在本指南中，我将带领网络架构师和数据中心专业人员穿越这个充满矛盾的迷宫。没有糖衣炮弹，没有企业口号--只有真正的策略，这些策略来自于那些经历过如何在保持系统合规性的同时又不降低性能的人。因为让我们面对现实吧，没有人会为 "在保证正常运行的情况下玩转最多的监管框架 "颁奖。

1.导言：监管复杂性矩阵

现代网络基础设施不会礼貌地停留在边界内，而是像数字章鱼一样跨越司法管辖区，触角伸向每一个可以想象到的监管池塘。每个触角都会遇到不同的规则，这就造成了一个合规难题，即使是最能喝咖啡的系统架构师也会被难倒。

试想一下：从新加坡到德国的一条数据流可能要跨越十几个司法管辖区，每个管辖区都有自己的正确处理方法。网络架构师不再仅仅是在构建系统，他们还是外交谈判者，在没有外交豁免权或花哨的使馆宴会的情况下，在国际条约中穿梭。

全球监管格局不像一个连贯的框架，而更像一个由素不相识的委员会缝制而成的拼凑被子：

• 电信监管框架（每个国家都认为自己的频谱分配方法客观上是最好的）

• 数据保护和本地化法律（因为数据需要护照和永久居留权）

• 网络设备的进口法规和关税（"路由器 "和 "网络交换设备 "之间的区别可能会让你付出数千美元的代价）

• 电磁认证标准（很明显，因为不同的旗帜在头顶飘扬，物理作用也不同）

• 加密限制（有些国家希望你把加密密钥和开胃菜一起放在银盘上交给他们）

• 国家安全规定（"可信供应商 "定义的变化速度比智能手机型号的变化速度还快）。

• 关键基础设施保护要求（冗余要求使美国国家航空航天局的三重冗余看起来很随意）

面对这种复杂性，如果不采取战略方法，就好比戴着烤箱手套一边背诵《独立宣言》一边解魔方。让我们来解决这个问题。

2.区域监管框架：技术实施要求

2.1 欧盟的监管环境

欧盟对待监管的方式就像大师傅对待精确食谱一样--有条不紊、标准严苛，偶尔的创新也会让每个人都提心吊胆。他们的框架提供了全球监管格局中罕见的东西：多个国家间的相对和谐。但不要把和谐误认为简单。

2.1.1 网络与信息系统（NIS2）指令

NIS2（指令（欧盟）2022/2555）是欧盟网络安全要求的巨著，与其他续集一样，它更庞大、更大胆，对受众的要求也更高。关键基础设施运营商必须执行

• OT 与 IT 环境之间的网络分隔使柏林墙看起来像花园栅栏

• 特权访问管理系统，其身份验证协议的严格程度足以让诺克斯堡的保安人员感到紧张

• 不眨眼、不休眠的连续网络监控系统，可能还会判断你所选择的协议。

• 具有特定参数的事件响应程序，实际上需要一个专门的开发团队

不要只听我的一面之词--指令详细说明了一切。

2.1.2 《一般数据保护条例》（GDPR）

啊，GDPR--发布了无数 Cookie 广告的法规，让 "数据保护官 "成为令人羡慕的职称。对于网络基础设施来说，遵守 GDPR 要求：

• 数据流映射功能非常精确，可以追踪整个基础设施中一个比特的传输过程

• 网络流量分析能以比隐私保护人士说 "不合规 "更快的速度发现个人数据传输情况

• 在设计网络架构时，从分子层面考虑了数据最小化原则

• 加密标准（最低 AES-256），量子计算机需要几个世纪才能破解

• 用于进行数据保护影响评估的自主系统，可在法律团队喝早茶前预测问题的发生

欧洲网络与信息安全局制定了技术指南，如果你喜欢，读起来会很有吸引力。

2.1.3 欧盟网络安全法和共同标准

欧盟网络安全法案》建立了一个认证框架，使 ISO 标准看起来就像随意提出的建议。实施要求

• 物联网设备符合 ETSI EN 303 645 标准--因为即使是智能灯泡也需要严格的安全审查

• 与 EUCC 硬件组件认证保持一致，这就像毕业舞会之夜的直升机家长一样宽松

• 整合 ENISA 的技术指南，这些指南变化频繁，足以让您的合规团队忙得不可开交

• 采用欧盟批准的加密基元，因为并非所有数学都是一样的

如果您是一位技术型失眠者，ENISA 的认证框架要么会治愈您的睡眠问题，要么会让您在凌晨 3 点时有很多事情要思考。

2.2 亚太地区框架

欧盟至少试图协调其监管方式，而亚太地区却正经历着监管混乱。每个国家都在数字主权问题上各行其是，造成了各种自相矛盾的要求，让您的法律团队苦不堪言。

2.2.1 中国的 MLPS 2.0：欢迎使用 "类固醇 "安全软件

中国的 "多级保护计划 "可不是闹着玩的。2.0 版颠覆了你对安全认证的一切认识。您需要

• 要让中国实验室以严格的标准对您的装备进行测试，欧盟的认证看起来就像幼儿园发的金星。

• 实施中国特有的加密算法（SM2、SM3、SM4），因为 AES 和 RSA 在穿越防火长城时无法正确计算

• 网络架构可随时接受政府检查--将其视为设计整个基础设施，使其永远 "为访客准备就绪"。

• 强制性供应链验证，可精确追溯每个组件的来源

• 服务器端实名注册系统，让匿名浏览者怀念过去的美好时光

对于受虐狂来说，TC260 的标准门户网站提供了所有血淋淋的细节--前提是你要么懂普通话，要么喜欢用机器翻译玩技术术语轮盘赌。

2.2.2 印度的混合监管包

印度采取了 "庖丁解牛 "的方法，将老式电信规则和雄心勃勃的数字主权梦想混为一谈。结果呢？一个既混乱又不断变化的监管框架：

• 你需要建立拦截能力，让老式的窃听就像两只用绳子连接的杯子。

• 将重要个人数据保存在印度边界内的网络架构--这些比特和字节不允许休假

• 通过标准化测试和质量认证 (STQC) 认证的本土密码解决方案--因为密码民族主义已经成为一种潮流

• 网络分段与关键信息基础设施分类保持一致，而关键信息基础设施分类的频繁变化足以让网络架构师终身受聘

电信部有一个合规性门户网站，可以回答您的所有问题，而且每次访问都会提出几个新问题。

2.2.3 新加坡的《网络安全法》和关键信息基础设施（CII）保护

新加坡以城市规划的方式处理网络安全问题--对细节一丝不苟，具有战略远见：

• 技术风险评估和风险处理计划详尽无遗，足以在安全事故发生之前进行预测。

• 企业必须将安全设计原则融入网络架构的每一层。

• 实施网络安全局的框架，该框架以某种方式做到既全面又不断发展

• 网络监控能力，可从全岛发现可疑数据包

CSA 的《网络安全行为准则》为监管文件提供了令人惊讶的可读性指导。

2.3 北美监管混乱

欧洲的烹饪方法只有一本食谱（有地方差异），而北美的调节空间看起来更像是每个人都带了一道菜去邻居的聚餐会，而没有去看别人做的是什么。希望你喜欢七种不同的土豆沙拉！

2.3.1 美国监管悖论

美国的法规完美地体现了美国的民族特色--它们在某种程度上既非常详细，同时又模糊不清，令人沮丧：

• 试着实施 NIST SP 800-53 Rev 5 控制措施，它详尽准确地阐明了安全要求，同时也留出了足够的回旋余地，以便对其含义进行无休止的争论。

• 网络架构与 NIST 网络安全框架保持一致--这是一个出色的框架，让人感觉既是强制性的，同时又是可选的

• 符合 FCC 第 15 部分关于电磁辐射的规定，因为没有人希望自己的网络基础设施干扰当地的广播电台

• 符合 FIPS 140-3 标准的加密模块，让普通加密看起来像儿童解码环

• 按照 NIST 准则实施 SDN 安全控制，同时在某种程度上保持足够的适应性，以满足实际操作的需要

如果您难以入睡，NIST 的《800-53 特别出版物》将是一本引人入胜的读物。

2.3.2 美国外国投资委员会（CFIUS）的要求

美国外国投资委员会不仅审查外国投资，还改变了国际组织设计网络的方式：

• 网络架构隔离要求会让您的全球集成基础设施突然感觉非常......隔离

• 从技术上落实国家安全协议，读起来像间谍小说情节

• 网络监控要求，其功能连最偏执的安全分析师都会刮目相看

• 外资网络接入控制机制，将 "零信任 "从理念转化为监管任务

财政部的指导方针读起来就像一个看了太多间谍惊悚小说的人写的。

3.跨境网络实施的技术挑战

3.1 BGP 路由和自治系统合规性

跨辖区实施《边界网关协议》就像在网络上赶猫--如果这些猫都有各自不同的监管要求，说着不同的语言：

• 区域互联网注册机构 (RIR) 合规性：ARIN、RIPE NCC、APNIC、LACNIC 和 AFRINIC 各有不同的 ASN 分配政策，导致各种要求错综复杂。每个区域互联网注册管理机构的技术文档就像平行宇宙中开发的互联网版本略有不同。

• 路由起始授权 (ROA)：实施 RPKI 时要满足特定司法管辖区的加密要求，这让直接的路由声明感觉像是外交谈判。

• BGPSEC 实施差异：不同司法管辖区在 BGPSEC 和 RPKI 方面的差异，使本应标准化的协议变成了风险极大的自选冒险小说。

MANRS（路由安全共同商定规范）的人员编写了全面的技术实施指南，在某些学术界，这些指南可以被称为文献。

3.2 密码合规挑战

密码学--数学变得政治化的速度比你说 "加密后门 "还要快。网络安全实施面临的障碍会让密码学家哭泣：

• 算法限制：俄罗斯要求使用 GOST R 34.10-2012，中国要求使用 SM2/SM3/SM4，而美国则坚持使用 NIST 批准的算法。不同的政府认为数学在其境内的作用是不同的。

• 密钥长度规定：欧盟要求至少使用 2048 位 RSA，而某些美国联邦应用程序则要求使用 3072 位，这显然是因为数字越大安全性越高。

• 密钥托管要求：某些司法管辖区要求您将加密密钥（如备用房门钥匙）交给爱管闲事的邻居。

• 硬件安全模块认证：FIPS 140-3、Common Criteria、OSCCA......认证标准的字母汤让实施符合标准的加密技术就像收集无穷宝石。

ECRYPT-CSA 文件是将密码学专家关在房间里太久后的结果--杂乱无章的合规要求迷宫，会让你怀疑自己的职业选择¹¹。

3.3 跨境数据噩梦

在各国之间合法地移动数据需要复杂的技术解决方案，这些解决方案应该有自己的研究基金：

• 数据分类引擎：您需要的系统必须能对流量进行即时分类，就像图书管理员一样，对细节有着执着的追求。

• 基于数据分类的动态流量路由：根据内容分类重新路由流量的 SDN 实施可在网络内创建数据边界控制检查点。

• 网络边界点的假名化：在跨境网络交界处进行即时数据转换，让身份保护证人保护计划羡慕不已。

• 流量分割：网络架构根据监管要求分离流量流，将简单的数据路由变成复杂的分类工作。

对于那些喜欢深入研究技术细节的人（谁不喜欢呢？）来说，ISO/IEC 27701:2019 实施指南提供的细节足以让经验丰富的网络架构师质疑自己的职业选择。

4.网络硬件进出口条例

4.1 协调制度（HS）代码分类面临的挑战

网络设备分类是国际贸易与荒诞派戏剧的结合：

• 8517.62:用于接收、转换和传输或再生语音、图像或数据的机器--这是个宽泛的类别，可能包括从智能手机到数据中心路由器的所有设备。

• 8517.70:发送和接收设备的部件--因为拆卸的设备应归其类。

• 8544.42：带连接器的光纤电缆--但如果海关官员发现你的连接器没有适当的文件，那就天助你也。

• 8517.69:其他传输设备--国际贸易中的 "杂项 "抽屉，不寻常的设备将面临不确定的关税命运。

正确的归类需要结合精密的工程技术和神秘的海关法规知识进行技术分析。如果你弄错了，你最先进的网络设备可能会在海关滞留足够长的时间，以至于被淘汰。

世界海关组织的协调制度术语文件就像一部惊悚片，主角是海关归类专家，而反派则是模棱两可的产品描述。

4.2 进口许可证要求

许多司法管辖区对待网络设备进口的态度，就像对待铀浓缩设备一样热情：

• 欧盟无线电设备指令 (RED)认证--因为上帝不允许您的设备在没有适当文件的情况下发射无线电波。

• 日本VCCI认证--电磁兼容性验证让你的高中物理考试看起来像手指画。

• 中国国家无线电管理委员会（SRRC）的审批会让设备制造商怀念更简单的监管时代，比如中世纪的行会认证。

• 印度的无线规划与协调（WPC）审批--"规划 "和 "协调 "是 "大量文件 "和 "耐心测试 "的委婉说法。

获得这些认证需要详细的文档，包括电路图、方框图、PCB 布局、BOM 清单和电磁兼容性测试报告--基本上就是工程团队的咖啡喜好之外的所有内容。

4.3 技术合规文件要求

进口流程所需的文件会让中世纪的抄写员哭泣：

• 安全测试报告：符合 IEC 62368-1 标准的文件，在没有适当认证的情况下，将每件设备都视为可能自燃的设备。

• EMC 测试报告：根据 CISPR 32/EN 55032 等标准进行测试，以防您的交换机干扰到别人的老式收音机。

• 无线电测试报告：对于无线组件（EN 300 328、EN 301 893），详细的文件可以告诉您设备可能发射的每一个无线电波的准确轨迹。

• 符合 RoHS 规范：测试报告确认您的设备不含有害物质，就像网络工程师经常在设备上涂镉以取乐一样。

• 能效文档：能耗指标让你怀疑设备制造商是否必须证明他们的设备不会在闲置时偷偷挖掘加密货币。

国际电工委员会（International Electrotechnical Commission）发布的标准在某种程度上同时兼具技术性、全面性和吸引力，就像在慢动作中观看油漆干涸一样。

5.电信许可要求

5.1 网络运营商许可证技术要求

电信许可证所规定的技术要求让航天发射法规看起来简单明了：

• 网络冗余要求：冗余级别（N+1、2N、2N+1）的技术规格，假设您的基础设施能在灾难电影中的场景中正常运行。

• 服务质量参数：有关数据包丢失、抖动和延迟的具体技术指标，即使是最执着的网络工程师也会为之紧张不安。

• 合法拦截能力：根据 ETSI TS 101 331，规范要求您在网络中建立监控功能，但别担心，这些功能只用于合法目的（眨眨眼）。

• 紧急服务支持：路由应急服务流量的技术要求，假定您的网络在世界末日期间仍能正常运行。

• 号码可携性基础设施：实施号码可携带性数据库的技术要求，使转换电话运营商的痛苦略低于中世纪的牙科治疗。

ITU-T 建议数据库包含的技术规范足以让整个工程部门忙到退休。

5.2 频谱许可的技术影响

无线网络部署所面临的频谱管理要求复杂程度足以让量子物理学显得直观：

• 特定频段技术要求：功率限制、带外发射掩码和特定调制要求，这些要求因辖区、频率，有时还因月相而异。

• 动态频谱接入要求：实施认知无线电技术，要求你的设备对频谱可用性了如指掌。

• 边境地区协调：边境地区的特殊技术要求，假定无线电波可以读取地图并尊重国际边界。

• 频谱共享技术：实施数据库驱动的频谱共享技术，将 "可用频谱 "概念转化为实时拍卖系统。

国际电联《无线电规章》汇编是一本引人入胜的读物--如果您喜欢那些让税法看起来平易近人的技术文件的话。

6.数据保护要求和网络架构

6.1 数据本地化技术实施

数据本地化法律已将网络架构从纯粹的技术工作转变为地缘政治棋局：

• 地理围栏实施：将数据处理限制在特定地理边界内的技术控制，其要求的精确度会让 GPS 开发人员感到紧张。

• 数据驻留控制：存储分配系统确保数据像被禁足的青少年一样留在原地--未经明确许可不得越界。

• 共享服务架构修改：在技术上等同于同时身处多个地方--维护全球共享服务的同时严格保持数据的本地化。

• 内容交付网络架构：内容分发网络节点配置，使 "全球分发 "和 "本地存储 "看起来是兼容的概念，而不是矛盾的概念。

ISO/IEC 27018:2019 指南读起来就像法律专业出身的工程师写的，也可能是工程专业出身的律师写的。无论如何，它们都精确得令人痛苦。

6.2 跨境数据传输马戏团

合法地跨境获取数据就像在电影院里偷运零食，而引座员却直勾勾地盯着你：

• 标准合同条款：您需要将密集的法律协议转化为实际的技术控制。您的律师希望路由器配置包含合同中的段落--"if packet.contains(personalData) then apply.legalClause(27b)"

• 支持具有约束力的公司规则：通过技术措施支持 BCR 的网络架构，即使是最敬业的隐私官也会怀疑自己的职业选择。

• 充足性决策支持：利用数据流的充足性决策进行技术实施，同时保持应急措施，以应对政治家不可避免地改变主意的情况。

• 化名技术：符合 GDPR 标准的网络边界化名技术，能以身份保护程序的效率转换识别数据。

欧洲数据保护委员会制定的指导方针奇迹般地将法律术语转化为可操作的技术要求--这是监管荒野中的独角兽。

7.关键基础设施保护要求

7.1 有形基础设施安全任务

关键基础设施法规将实体安全从 "良好做法 "提升为 "法律规定的偏执狂"：

• 设施加固规范：这些是物理建筑标准，假定您的数据中心可能需要抵御从自然灾害到协同攻击等各种情况。

• 环境控制冗余：N+1 或 2N 冗余要求表明，即使在灾难电影中的场景下，您的冷却系统也能继续运行。

• 电磁脉冲 (EMP) 防护：电磁脉冲屏蔽技术标准，让您的基础设施做好准备，应对从太阳耀斑到以前只在间谍惊悚片中出现的各种情况。

• 物理门禁控制系统：生物识别身份验证规格和幔帐设计，让诺克斯堡的安保看起来像荣誉系统。

TIA-942-B 数据中心标准文件既全面又不断扩展，就像一个具有通货膨胀理论的法规宇宙。

7.2 网络复原力要求

关键基础设施的指定将 "高可用性 "从一个营销术语转变为一项法律义务：

• 路径分集实施：监管机构规定的技术要求假定糟糕的运气会同时切断主路径上的每一根电缆，从而迫使您保持详尽的物理路径多样性。

• 自治系统多样性：要求通过多个 ASN 保持连接，因为单个骨干网提供商不够可靠。

• 协议层弹性：在不同的协议层实施弹性功能，创建令 NASA 工程师点头称赞的冗余。

• 符合恢复时间目标（RTO）：符合 RTO 要求的技术实施非常激进，假设停机时间每微秒的成本超过黄金。

这些人看透了系统可能出现故障的各种方式，而且为了彻底起见，还发明了一些新的方式，他们似乎就是 NIST 有关网络复原力的主要出版物的作者。

8.处理相互矛盾的规定

8.1 网络分割：分而治之

当不同国家的法规开始像麻袋里的猫一样打架时，网络分段就成了你最好的朋友：

• 基于监管的微分区：基于监管域而非传统安全边界实施，让每项监管都能在您的基础架构中发挥作用。

• 软件定义的周界：SDP 架构可创建符合法规要求的网段，使传统防火墙看起来就像 "请勿靠近 "标志一样复杂。

• 零信任网络访问 (ZTNA)：ZTNA 原则在连接层面执行监管合规性，以偏执的海关人员的怀疑态度对待每一个访问请求。

• 基于意图的合规网络：IBN 可将监管要求转化为网络策略，其高效率的监管人工智能可理解法律术语和 RFC 规范。

NIST 的 "零信任架构 "指南读起来就像由那些被隐性信任烧伤过太多次的安全专业人士撰写的。

8.2 多云合规架构

多云部署需要复杂的合规方法，足以让监管顾问喜极而泣：

• 云提供商监管映射：从技术上实施跨云提供商的合规矩阵，创建复杂到足以称为艺术的电子表格。

• 主权云集成：将主权云实例与全球基础设施集成的技术方法--云计算相当于在法律冲突的国家之间维持外交关系。

• 一致的安全策略执行：跨云安全策略执行机制可在每个提供商都以独特方式完成所有工作的世界中创造一致性。

• 合规意识服务网：具有内置监管意识的服务网格架构，就像在每个服务连接中都嵌入了一个小小的合规官。

云安全联盟的 "云控制矩阵 "提供了一个详细的框架，使合规看起来几乎可以实现。

9.技术文件和合规审计准备工作

9.1 合规文件自动生成

维护技术合规性文档已经从一种必要的 "恶 "演变成一种需要自动化的艺术形式：

• 基础设施即代码 (IaC) 合规文档：根据 IaC 模板生成合规性文档--因为没有什么比能记录自身文档的基础架构更能体现 "审计就绪"。

• 基于 API 的合规性报告：采用 API 实时报告合规状态，使人工合规检查看起来像传真机一样过时。

• 网络配置合规性验证：根据监管要求自动验证网络配置，其精确度令机械制表师瞠目结舌。

• 持续合规性监控：对配置漂移实施持续监控，将合规性视为吃醋的伙伴，不断检查你是否偏离了承诺。

NIST 的《安全控制评估的自动化支持》读起来就像一封写给自动化的情书，而这封信的作者是一个花了太多周末时间手动准备合规性审核的人。

9.2 技术审计准备

要做好监管审核的准备工作，就必须采取从明智到略显偏执的技术措施：

• 配置加密证明：实施加密机制来证明配置状态--本质上是提供数学证明，证明你没有篡改设置。

• 不可变审计日志：这是利用区块链或类似技术在技术上实现不可篡改的审计跟踪，创建即使是最坚定的内部人员也无法篡改的日志。

• 时间点恢复能力：在特定时间点重现网络状态的技术能力，就像为您的基础架构提供了一台时间机器，消除了悖论。

• 自动取证系统：实施高效收集、关联和展示合规证据的系统，让最苛刻的审计人员也会心一笑。

ISACA 的 IT 审计框架是一份源源不断的礼物--当你认为自己已经记录了所有内容时，你会发现又有几百页的要求是你从来不知道的。

10.唯一的出路：将合规性融入架构

我们中的大多数人对待合规性的态度就像健康应用程序告诉我们要多站起来一样。我们忽视它，直到它变得令人痛苦。建设网络，然后再慌忙地使其合规，就像设计摩天大楼，直到建成后才考虑管道问题。改造成本将是天文数字。您需要的是

• 与网络管理平台集成的监管智能系统，可在合规要求成为昂贵的改造项目之前进行预测。

• 具有合规意识的路由和流量管理系统，能像处理 QoS 参数一样精确地处理法规要求。

• 监管区映射是网络架构的基本组成部分，与 IP 寻址方案一样是设计的基本要素。

• 动态合规控制，可适应不断变化的法规，就像初创企业灵活调整业务模式一样。

通过将监管要求纳入网络架构 DNA，企业可以大幅减少技术债务，最大限度地降低运营开销，并创建适应性强的基础设施，以应对不断变化的全球监管浪潮，而不是一再被其淹没。

毕竟，在一个合规不可避免的世界里，赢家不会是那些回避合规（不可能）或勉强适应合规（成本高昂）的人，而是那些从头开始设计合规的人--他们不是把监管框架当作障碍，而是当作大型基础设施拼图中的设计参数。

说明

1. 欧洲联盟，"欧洲议会和理事会指令（EU）2022/2555"，EUR-Lex，2022 年 12 月、 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555.

2. 欧洲网络与信息安全局 (ENISA)，《网络安全技术指南》，《风险管理清单》，2023 年、 https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/rm-ra-methods.

3. 欧洲网络与信息安全局 (ENISA)，"ENISA 认证框架"，《标准认证》，2023 年、 https://www.enisa.europa.eu/topics/standards/certification.

4. TC260，"标准门户网站"，网络安全标准门户网站，2023 年、 http://www.tc260.org.cn/.

5. 电信部，"合规门户网站"，运营商服务，2023 年、 https://dot.gov.in/carrier-services.

6. 新加坡网络安全局，《网络安全业务守则》，立法，2023 年、 https://www.csa.gov.sg/legislation/codes-of-practice.

7. 国家标准与技术研究所，《NIST 特别出版物 800-53 修订版 5》，计算机安全资源中心，2023 年、 https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final.

8. 美国财政部，《美国外国投资委员会监督与执法指南》，政策问题，2023 年、 https://home.treasury.gov/policy-issues/international/the-committee-on-foreign-investment-in-the-united-states-cfius.

9. RIPE NCC，"RIPE 数据库文档"，《知识产权管理》，2023 年、 https://www.ripe.net/manage-ips-and-asns/db.

10. 互联网协会，《路由安全相互商定规范（MANRS）技术实施指南》，MANRS，2023、 https://www.manrs.org/netops/guide/.

11. ECRYPT-CSA，《加密建议》，《加密标准》，2023 年、 https://www.ecrypt.eu.org/csa/.

12. 国际标准化组织，"ISO/IEC 27701:2019"，标准，2019 年、 https://www.iso.org/standard/71670.html.

13. 世界海关组织，"协调制度命名法 2022 年版"，命名法，2022 年、 http://www.wcoomd.org/en/topics/nomenclature/overview/what-is-the-harmonized-system.aspx.

14. 国际电工委员会：《IEC 62368-1:2018》，标准，2018 年、 https://www.iec.ch/.

15. 国际电信联盟，"ITU-T 建议数据库"，《建议》，2023 年、 https://www.itu.int/ITU-T/recommendations/index.aspx.

16. 国际电信联盟，《无线电条例》，出版物，2023 年、 https://www.itu.int/pub/R-REG-RR.

17. 国际标准化组织，"ISO/IEC 27018:2019"，标准，2019 年、 https://www.iso.org/standard/76559.html.

18. 欧洲数据保护委员会，"准则 2/2020"，文件，2020 年、 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22020-articles-46-2-and-3-regulation-2016679_en.

19. 电信行业协会，"ANSI/TIA-942-B 数据中心电信基础设施标准"，标准，2022 年、 https://tiaonline.org/.

20. 国家标准与技术研究所，"NIST SP 800-160 Vol. 2：开发网络弹性系统"，计算机安全资源中心，2023 年、 https://csrc.nist.gov/publications/detail/sp/800-160/vol-2/final.

21. 美国国家标准与技术研究院，《NIST SP 800-207：零信任架构》，计算机安全资源中心，2023 年、 https://csrc.nist.gov/publications/detail/sp/800-207/final.

22. 云安全联盟，《云控制矩阵 v4.0》，研究，2023 年、 https://cloudsecurityalliance.org/research/cloud-controls-matrix/.

23. 国家标准与技术研究所，"NIST IR 8011：自动化支持安全控制评估》，计算机安全资源中心，2023 年、 https://csrc.nist.gov/publications/detail/nistir/8011/final.

24. ISACA, "IT Audit Framework," Resources, 2023、 https://www.isaca.org/resources/it-audit.