全球网络空壳游戏：在跨境监管混乱中求生存

执行摘要

运营国际网络基础设施就像在玩扑克，而每个国家都在用不同的牌组发牌。规则是什么？监管机构用隐形墨水制定规则，根据观察者的不同而变换颜色。当企业扩展到海外时，他们会陷入监管雷区，遵循一个国家的法律可能就会违反另一个国家的要求。监管冲突不仅仅是文书工作的麻烦——合规要求迫使工程师从根本上重新思考网络设计，限制设备选择，约束数据位置，并从头开始改造系统通信协议。

我将在本指南中带领网络架构师和数据中心专业人员穿越这个充满矛盾的迷宫。没有粉饰，没有企业话术——只有那些在保持系统合规的同时不把性能拖成糖浆的过程中吃过苦头的人们提供的真实策略。因为说实话，没有人会因为"在保持系统运行的同时处理最多监管框架"而颁奖。

1. 介绍：监管复杂性矩阵

现代网络基础设施并不会礼貌地待在边界内——它像一只数字章鱼一样跨越各个司法管辖区，触手伸向每一个可以想象的监管池塘。每条触手都会遇到不同的规则，形成一个连喝再多咖啡的系统架构师都会被难倒的合规拼图。

想想看：从新加坡到德国的单一数据流可能会穿越十几个司法管辖区，每个区域都有自己关于正确处理方式的想法。网络架构师不再只是构建系统；他们是外交谈判者，在没有外交豁免权或那些精美使馆派对好处的情况下，穿梭于国际条约之间进行协商。

全球监管格局与其说是一个连贯的框架，不如说更像是一床由从未见过面的委员会缝制的百纳被：

• 电信监管框架（每个国家都认为自己的频谱分配方法客观上是最好的）

• 数据保护和本地化法律（因为数据需要护照和永久居住权）

• 网络设备的进口法规和关税（"路由器"和"网络交换设备"之间的差异可能让你损失数千美元）

• 电磁认证标准（显然，物理学根据头顶飘扬的旗帜而有所不同）

• 加密限制（一些国家希望你把加密密钥和开胃菜一起放在银盘子上交出来）

• 国家安全条款（"可信供应商"的定义变化比智能手机型号更新还快）

• 关键基础设施保护要求（冗余要求让NASA的三重冗余看起来都很随意）

在没有战略方法的情况下面对这种复杂性，就像戴着烤箱手套一边背诵《独立宣言》一边解魔方。让我们来解决这个问题。

2. 区域监管框架：技术实施要求

2.1 欧盟监管环境

欧盟处理法规的方式就像大师级厨师处理精确食谱一样——有条不紊，具有严格的标准，偶尔还有创造性的点睛之笔，让每个人都保持警觉。他们的框架在全球监管环境中提供了一些罕见的东西：多个国家之间的相对和谐。但不要把和谐误认为是简单。

2.1.1 网络与信息系统（NIS2）指令

NIS2（指令（EU）2022/2555）是欧盟网络安全要求的杰作，就像任何续作一样，它更庞大、更大胆，对受众要求更高。关键基础设施运营商必须实施：

• OT和IT环境之间的网络分割，使柏林墙看起来像花园栅栏

• 特权访问管理系统，其身份验证协议严格到足以让Fort Knox安保人员紧张

• 持续网络监控系统，永不眨眼、永不睡眠，可能还会对你的协议选择进行评判

• 事件响应程序具有如此具体的参数，几乎需要专门的开发团队

不要只听我的话——该指令以令人痛苦的详细程度阐述了所有内容。¹

2.1.2 通用数据保护条例（GDPR）

啊，GDPR——这个法规催生了无数cookie横幅，并使"数据保护官"成为令人垂涎的职位。对于网络基础设施，GDPR合规要求：

• 数据流映射能力如此精确，可以追踪单个比特在整个基础设施中的旅程

• 网络流量分析能够比隐私活动家说出"不合规"更快地发现个人数据传输

• 网络架构设计在分子水平上融入数据最小化原则

• 加密标准（最低AES-256），量子计算机需要数个世纪才能破解

• 自主系统进行数据保护影响评估，在你的法务团队喝完晨咖前就预见问题

欧洲网络与信息安全局创建的技术指南阅读起来令人惊讶地引人入胜，如果你对这类内容感兴趣的话。²

2.1.3 欧盟网络安全法案和通用准则

欧盟网络安全法案建立了一个认证框架，使ISO标准看起来像随意的建议。实施要求：

• IoT设备的ETSI EN 303 645合规性——因为即使你的智能灯泡也需要严格的安全审查

• 与硬件组件的EUCC认证保持一致，这大约和舞会夜的直升机式家长一样宽容

• 集成ENISA的技术指南，其变更频率刚好足以让你的合规团队永远忙碌

• 采用欧盟批准的加密原语，因为并非所有数学都是平等创造的

如果你是一个有技术倾向的失眠症患者，ENISA的认证框架要么治愈你的睡眠问题，要么给你很多在凌晨3点思考的内容。³

2.2 亚太地区监管框架

虽然欧盟至少尝试协调其监管方法，但亚太地区正在经历监管混乱。每个国家都在数字主权方面各行其是，创造了一团矛盾要求的乱象，这会让你的法务团队喝得酩酊大醉。

2.2.1 中国的MLPS 2.0：欢迎来到强化版安全世界

中国在其多级保护方案方面毫不含糊。2.0版本颠覆了你对安全认证的所有认知。你需要：

• 让你的设备在中国实验室使用严格标准进行测试，这让EU认证看起来就像幼儿园发放的金星贴纸。

• 实施中国特定的密码算法（SM2、SM3、SM4），因为AES和RSA在穿越长城防火墙时计算不正确

• 网络架构随时准备接受政府检查——把它想象成设计你的整个基础设施永远保持"访客就绪"状态

• 强制性供应链验证，以族谱般的精确度追溯每个组件的来源

• 服务器端实名注册系统，这会让匿名浏览怀念过去的美好时光

对于你们中的受虐狂，TC260标准门户网站有所有血腥细节——假设你要么读中文，要么享受用机器翻译玩技术术语轮盘赌。⁴

2.2.2 印度的混合监管包

印度采用了厨房水槽式方法，将老式电信规则和雄心勃勃的数字主权梦想塞在一起。结果？一个既令人困惑又不断变化的监管框架：

• 你需要构建拦截功能，让老式窃听器看起来就像用绳子连接的两个杯子。

• 网络架构必须将关键个人数据保持在印度境内——那些比特和字节不允许度假

• 由标准化测试与质量认证(STQC)认证的本土密码解决方案——因为密码民族主义现在是个东西

• 网络分段与关键信息基础设施分类保持一致，这种分类变化频繁，足以让网络架构师终生就业

电信部维护一个合规门户网站，回答你所有的问题——并在每次访问时提出几个新问题。⁵

2.2.3 新加坡的网络安全法和关键信息基础设施(CII)保护

新加坡处理网络安全的方式就像它处理城市规划一样——对细节一丝不苟，具有战略前瞻性：

• 技术风险评估和风险处理计划详尽到足以在安全事件发生之前预测到它们。

• 组织必须将安全设计原则融入网络架构的每一层。

• 实施网络安全局框架，既全面又持续演进

• 网络监控能力可以从岛屿的另一端发现可疑数据包

CSA的网络安全实践守则为监管文档提供了出人意料的可读指导。⁶

## 2.3 北美监管大杂烩

欧洲是按照单一食谱（带有地方变化）来烹饪，而北美的监管领域更像是每个人都带了一道菜来参加社区聚餐，却没有提前确认别人在做什么。希望你喜欢七种不同的土豆沙拉！

2.3.1 美国监管悖论

美国监管完美地体现了国家特色——既高度详细又令人沮丧地模糊：

• 尝试实施NIST SP 800-53 Rev 5控制措施，它以详尽的精确度阐述了安全要求，同时又留下了足够的回旋余地让人们对其含义进行无休止的争论。

• 符合NIST网络安全框架的网络架构——一个出色的框架，但不知为何同时让人感觉既是强制性的又是可选的

• FCC Part 15电磁辐射合规要求，因为没人希望他们的网络基础设施干扰当地广播电台

• FIPS 140-3合规的加密模块，让普通加密看起来像儿童解码环

• 遵循NIST指导原则的SDN安全控制实施，同时又要保持足够的适应性以供实际运营使用

NIST的特别出版物800-53读起来很有意思——如果你有入睡困难的话。⁷

2.3.2 美国外国投资委员会（CFIUS）要求

CFIUS不仅仅审查外国投资——它改变了国际组织设计网络的方式：

• 网络架构隔离要求可能会让你的全球集成基础设施突然感觉非常……隔离

• 国家安全协议的技术实施读起来就像间谍小说情节

• 网络监控要求具备的能力甚至会让最偏执的安全分析师都印象深刻

• 外资网络的访问控制机制将"零信任"从一种理念转变为监管要求

财政部的指导原则读起来就像是某个看了太多间谍惊悚片的人写的。⁸

3. 跨境网络实施中的技术挑战

3.1 BGP路由和自治系统合规性

跨管辖区边界网关协议实施就像放牧猫群——如果每只猫都有自己独特的监管要求并说着不同的语言：

• 区域互联网注册机构(RIR)合规性：ARIN、RIPE NCC、APNIC、LACNIC和AFRINIC各自不同的ASN分配政策造成了一个拼凑的要求体系。每个RIR的技术文档读起来就像平行宇宙开发了略有不同的互联网版本。⁹

• 路由起源授权(ROA)：在具有管辖区特定密码学要求的情况下实施RPKI，使得直接的路由公告感觉像外交谈判。

• BGPSEC实施变体：BGPSEC和RPKI在各管辖区的差异将本应标准化的协议变成了一本风险显著更高的选择冒险小说。

MANRS（路由安全互助协议规范）的同事们创建了全面的技术实施指南，在某些学术界可能被认定为文学作品。¹⁰

3.2 密码学合规性挑战

密码学——数学比你说出"加密后门"更快地变成政治。网络安全实施面临的障碍足以让密码学家落泪：

• 算法限制：俄罗斯要求GOST R 34.10-2012，中国要求SM2/SM3/SM4，而美国坚持NIST批准的算法。不同政府认为数学在他们的边界内工作方式不同。

• 密钥长度要求：欧盟最少要求2048位RSA，而某些美国联邦应用要求3072位，显然是因为更大的数字等于更好的安全性。

• 密钥托管要求：某些管辖区要求你交出密码学密钥，就像把备用房钥匙交给爱管闲事的邻居一样。

• 硬件安全模块认证：FIPS 140-3、通用标准、OSCCA……认证标准的字母汤让实施合规密码学就像收集无限宝石。

ECRYPT-CSA文档是把密码学专家锁在房间里太久的结果——一个拜占庭式的合规要求迷宫，会让你质疑自己的职业选择。¹¹

3.3 跨境数据噩梦

在国家间合法移动数据需要如此复杂的技术解决方案，以至于应该配备自己的研究资助：

• 数据分类引擎：你需要能够实时分类流量的系统，具有与那个曾因你归还折页书而对你大喊的图书管理员同样强迫性的细节关注。

• 基于数据分类的动态流量路由：基于内容分类重新路由流量的SDN实施在你的网络内创建数据边境管制检查点。

• 网络边界点的假名化：在跨境网络接合点进行实时数据转换，会让证人保护计划嫉妒。

• 流量分割：基于监管要求分离流量的网络架构，将简单的数据路由变成复杂的分拣练习。

对于那些喜欢深入技术细节的人（谁不喜欢呢？），ISO/IEC 27701:2019实施指南提供了足够的细节，让即使是经验丰富的网络架构师也会质疑自己的职业选择。¹²

4. 网络硬件进出口法规

4.1 协调制度(HS)编码分类挑战

网络设备分类就像是国际贸易与荒诞剧场的结合：

• 8517.62：用于接收、转换和传输或再生语音、图像或数据的机器——这个宽泛的类别可能包括从智能手机到数据中心路由器的所有设备。

• 8517.70：传输和接收设备的零件——因为拆解的设备也需要其分类。

• 8544.42：带连接器的光纤电缆——但如果海关官员发现你的连接器没有适当的文档，上天保佑你。

• 8517.69：其他传输设备——国际贸易的"杂项"抽屉，非常规设备在这里面临不确定的关税命运。

正确的分类需要技术分析，既要具备工程的精确性，又要掌握海关法规的神秘知识。如果搞错了，你最先进的网络设备可能在海关滞留得足够久，直到变成过时产品。

世界海关组织的HS术语文档读起来像一部惊悚小说，主角是海关分类专家，反派则是模糊的产品描述。¹³

4.2 进口许可要求

许多司法管辖区对待网络设备进口的热情，就像对待铀浓缩设备一样：

• 欧盟的无线电设备指令(RED)认证——因为上帝禁止你的设备在没有适当文档的情况下发射无线电波。

• 日本的VCCI认证——电磁兼容性验证，让你的高中物理考试看起来像手指画画。

• 中国的国家无线电管理委员会(SRRC)批准可能让设备制造商怀念更简单的监管时代，比如中世纪的行会认证。

• 印度的无线规划和协调(WPC)批准——其中"规划"和"协调"是"大量文档"和"耐心测试"的委婉说法。

获得这些认证需要详细的文档，包括电路图、框图、PCB布局、BOM清单和电磁兼容性测试报告——基本上除了你工程团队的咖啡偏好之外的所有内容。

4.3 技术合规文档要求

进口流程需要的文档会让中世纪的抄写员都落泪：

• 安全测试报告：IEC 62368-1合规文档，将每件设备都视为可能在没有适当认证的情况下自燃。

• EMC测试报告：根据CISPR 32/EN 55032等标准进行测试，因为上天禁止你的交换机干扰别人的古董收音机。

• 无线电测试报告：针对无线组件（EN 300 328、EN 301 893），详细文档可以告诉你设备可能发射的每道无线电波的确切轨迹。

• RoHS合规性：确认设备不含有害物质的测试报告，就好像网络工程师会例行在设备中添加镉来取乐一样。

• 能效文档：功耗指标让你怀疑设备制造商是否必须证明他们的设备在空闲时不会秘密挖掘加密货币。

国际电工委员会发布的标准设法做到了既技术性、全面性，又像看慢镜头油漆晾干一样有趣。¹⁴

5. 电信许可要求

5.1 网络运营商许可技术要求

电信许可证施加的技术要求让太空发射法规看起来都很简单：

• 网络冗余要求：冗余级别的技术规范(N+1、2N、2N+1)，这些规范假设你的基础设施应该能够在灾难电影般的场景中存活下来。

• 服务质量参数：针对丢包率、抖动和延迟的具体技术指标，即使是最强迫症的网络工程师也会因此产生神经性抽搐。

• 合法拦截能力：根据ETSI TS 101 331标准，规范要求你在网络中构建监控能力——但别担心——它们只用于合法目的(眨眼)。

• 紧急服务支持：紧急服务流量路由的技术要求，假设你的网络应该在世界末日期间仍能正常运行。

• 号码可携带基础设施：实施号码可携带数据库的技术要求，使得更换电话运营商比中世纪牙科手术稍微不那么痛苦。

ITU-T建议数据库包含足够多的技术规范，能让整个工程部门忙到退休。¹⁵

5.2 频谱许可技术影响

无线网络部署面临的频谱管理要求复杂到足以让量子物理学看起来很直观：

• 特定频段技术要求：功率限制、带外发射掩码和特定调制要求，这些要求因管辖区域、频率而异，有时甚至因月相而异。

• 动态频谱接入要求：实施认知无线电技术，要求你的设备对频谱可用性具有预知能力。

• 边境地区协调：边境地区的特殊技术要求，假设无线电波能够阅读地图并尊重国际边界。

• 频谱共享技术：实施基于数据库的频谱共享技术，将"可用频谱"概念转变为实时拍卖系统。

ITU无线电规则汇编读起来很有趣——如果你喜欢那些让税法看起来都很易懂的技术文件的话。¹⁶

6. 数据保护要求和网络架构

6.1 数据本地化技术实现

数据本地化法律已经将网络架构从纯技术练习转变为地缘政治象棋对弈：

• 地理围栏实现：技术控制措施将数据处理限制在特定地理边界内，所需的精确度足以让GPS开发者感到紧张。

• 数据驻留控制：存储分配系统确保数据像被禁足的青少年一样乖乖待在原地——未经明确许可不得跨境。

• 共享服务架构修改：技术上相当于同时出现在多个地方——维护全球共享服务的同时严格保持数据本地化。

• 内容分发网络架构：CDN节点配置让"全球分发"和"本地存储"看起来像是兼容的概念，而非它们通常呈现的矛盾修辞。

ISO/IEC 27018:2019指导原则读起来像是拥有法律学位的工程师编写的——或者可能是拥有工程学位的律师编写的。无论如何，它们都痛苦地精确。¹⁷

6.2 跨境数据传输马戏团

合法地跨境传输数据就像在检票员直视你的时候试图偷带零食进电影院：

• 标准合同条款：你需要将复杂的法律协议转化为实际的技术控制。你的律师期望路由器配置包含合同段落——"if packet.contains(personalData) then apply.legalClause(27b)"

• 约束性公司规则支持：通过技术措施支持BCRs的网络架构，这会让即使是最专注的隐私官也质疑自己的职业选择。

• 充分性决定支持：利用充分性决定进行数据流的技术实现，同时为政客们不可避免地改变主意时维护应急措施。

• 假名化技术：网络边界的GDPR合规假名化，以身份保护程序的效率转换识别数据。

欧洲数据保护委员会制定的指导原则奇迹般地将法律术语转化为可操作的技术要求——这是监管荒野中的独角兽。¹⁸

7. 关键基础设施保护要求

7.1 物理基础设施安全强制要求

关键基础设施法规将物理安全从"良好实践"提升为"法律强制的偏执":

• 设施强化规范: 这些是物理建设标准，假设您的数据中心可能需要承受从自然灾害到协调攻击的任何情况。

• 环境控制冗余: N+1或2N冗余要求，建议您的冷却系统即使在灾难电影般的场景中也应继续运行。

• 电磁脉冲(EMP)防护: EMP屏蔽的技术标准，为您的基础设施准备应对从太阳耀斑到以前只在间谍惊悚片中出现的各种事件。

• 物理访问控制系统: 生物识别认证和安全门廊设计规范，让诺克斯堡的安全看起来像荣誉制度。

TIA-942-B数据中心标准文档既全面又不断扩展，就像一个有着通胀理论的法规宇宙。¹⁹

7.2 网络弹性要求

关键基础设施认定将"高可用性"从营销术语转变为法律义务:

• 路径多样性实施: 监管机构强制要求的技术要求假设可怕的运气会同时切断主路径中的每条电缆，迫使您维护详尽的物理路径多样性。

• 自治系统多样性: 通过多个ASN维护连接的要求，因为单一骨干提供商不够可信。

• 协议级弹性: 在各种协议层实施弹性功能，创建的冗余度会让NASA工程师点头赞同。

• 恢复时间目标(RTO)合规: 满足RTO要求的技术实施如此激进，以至于假设停机时间每微秒的成本比黄金还高。

看起来网络弹性NIST厚重出版物的编写者见过系统可能失败的每一种方式——并且为了彻底起见还发明了一些新的方式。²⁰

8. 处理相互矛盾的法规

8.1 网络分段：分而治之

当不同国家的法规开始像麻袋里的猫一样打架时，网络分段就成了你最好的朋友：

• 基于法规的微分段：基于法规域而非传统安全边界的实施方式，为基础设施内的每个法规提供其活动场所。

• 软件定义边界：SDP架构创建符合法规的网络分段，使传统防火墙看起来就像"禁止入内"标志一样简陋。

• 零信任网络访问(ZTNA)：ZTNA原则在连接级别强制执行法规合规，以偏执海关代理的怀疑态度对待每个访问请求。

• 基于意图的合规网络：IBN将法规要求转换为网络策略，其效率堪比理解法律术语和RFC规范的法规AI。

NIST的零信任架构指导读起来就像是被隐性信任伤害过太多次的安全专业人员写的。²¹

8.2 多云合规架构

多云部署需要足够复杂的合规方法，能让法规顾问喜极而泣：

• 云提供商法规映射：跨云提供商的合规矩阵技术实施，创建复杂到可以称为艺术的电子表格。

• 主权云集成：将主权云实例与全球基础设施集成的技术方法——这是云计算领域在法律冲突的国家间维持外交关系的等价物。

• 一致的安全策略实施：跨云安全策略执行机制在一个每个提供商都有独特做事方式的世界中创造一致性。

• 合规感知服务网格：具有内置法规感知的服务网格架构，就像在每个服务连接中嵌入一个微型合规官。

Cloud Security Alliance的云控制矩阵提供了详细框架，使合规似乎几乎可以实现。²²

9. 技术文档和合规审计准备

9.1 自动化合规文档生成

维护技术合规文档已从必要之恶演变为需要自动化的艺术形式：

• 基础设施即代码(IaC)合规文档：从IaC模板生成合规文档——因为没有什么比能够自我文档化的基础设施更能说明"审计就绪"了。

• 基于API的合规报告：实施用于实时合规状态报告的API，使手动合规检查看起来像传真机一样过时。

• 网络配置合规验证：针对监管要求自动验证网络配置，其精确性足以让机械制表师嫉妒。

• 持续合规监控：实施对配置漂移的持续监控，将合规性视为嫉妒的伴侣，不断检查您是否偏离了承诺。

NIST的《安全控制评估自动化支持》读起来就像是由花费了太多周末手动准备合规审计的人写给自动化的情书。²³

9.2 技术审计准备

为监管审计做准备需要从合理到略显偏执的技术措施：

• 配置的密码学证明：实施密码学机制来证明配置状态——本质上提供您未篡改设置的数学证明。

• 不可变审计日志：这是使用区块链或类似技术实现不可变审计轨迹的技术实现，创建连最坚定的内部人员都无法更改的日志。

• 时间点恢复能力：在特定时间点重现网络状态的技术能力——就像基础设施的时间机器，只是没有悖论。

• 自动化证据收集系统：实施系统来高效收集、关联和呈现合规证据，让即使是最苛刻的审计员也会微笑。

ISACA的IT审计框架是不断给予的礼物——当您认为已经记录了一切时，您会发现另外一百页您从未知道存在的要求。²⁴

10. 唯一的前进之路：将合规性融入您的架构中

我们大多数人对待监管合规就像对待那个提醒我们多站立的健康应用一样。我们会忽视它，直到它变得痛苦不堪。先构建网络，然后再匆忙让其符合合规要求，就像在设计摩天大楼时不考虑管道系统，直到施工结束后才想起。这种改造成本将是天文数字。您需要的是：

• 与网络管理平台集成的监管智能系统，在合规要求变成昂贵的改造项目之前就能预测这些需求。

• 具备合规意识的路由和流量管理系统，以处理QoS参数的同等精度来处理监管要求。

• 监管区域映射作为网络架构的基础组件，就像IP地址规划一样基本。

• 动态合规控制，能够以初创公司调整商业模式的敏捷性来适应不断变化的法规。

通过将监管要求融入网络架构的DNA中，组织可以显著减少技术债务，最小化运营开销，并创建足够适应性强的基础设施，能够在全球法规的波涛中乘风破浪，而不是被反复淹没。

毕竟，在一个合规不可避免的世界中，赢家不会是那些试图回避（不可能）或勉强适应（昂贵）的人，而是那些从根本上为合规而设计架构的人——将监管框架不视为障碍，而是作为这个宏大基础设施拼图中的设计参数。

参考文献

• European Union, "Directive (EU) 2022/2555 of the European Parliament and of the Council," EUR-Lex, December 2022, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555.

• European Network and Information Security Agency (ENISA), "网络安全技术指南," 风险管理清单, 2023, https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/rm-ra-methods.

• European Network and Information Security Agency (ENISA), "ENISA 认证框架," 标准认证, 2023, https://www.enisa.europa.eu/topics/standards/certification.

• TC260, "标准门户," 网络安全标准门户, 2023, http://www.tc260.org.cn/.

• Department of Telecommunications, "合规门户," 运营商服务, 2023, https://dot.gov.in/carrier-services.

• Cyber Security Agency of Singapore, "网络安全实践准则," 法规, 2023, https://www.csa.gov.sg/legislation/codes-of-practice.

• National Institute of Standards and Technology, "NIST Special Publication 800-53 Revision 5," 计算机安全资源中心, 2023, https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final.

• US Department of the Treasury, "CFIUS 监督与执法指南," 政策议题, 2023, https://home.treasury.gov/policy-issues/international/the-committee-on-foreign-investment-in-the-united-states-cfius.

• RIPE NCC, "RIPE 数据库文档," IP 管理, 2023, https://www.ripe.net/manage-ips-and-asns/db.

• Internet Society, "路由安全相互认可规范 (MANRS) 技术实施指南," MANRS, 2023, https://www.manrs.org/netops/guide/.

• ECRYPT-CSA, "加密建议," 密码学标准, 2023, https://www.ecrypt.eu.org/csa/.

• International Organization for Standardization, "ISO/IEC 27701:2019," 标准, 2019, https://www.iso.org/standard/71670.html.

• World Customs Organization, "协调制度命名法 2022 版," 命名法, 2022, http://www.wcoomd.org/en/topics/nomenclature/overview/what-is-the-harmonized-system.aspx.

• International Electrotechnical Commission, "IEC 62368-1:2018," 标准, 2018, https://www.iec.ch/.

• International Telecommunication Union, "ITU-T 建议书数据库," 建议书, 2023, https://www.itu.int/ITU-T/recommendations/index.aspx.

• International Telecommunication Union, "无线电规则," 出版物, 2023, https://www.itu.int/pub/R-REG-RR.

• International Organization for Standardization, "ISO/IEC 27018:2019," 标准, 2019, https://www.iso.org/standard/76559.html.

• European Data Protection Board, "Guidelines 2/2020," 文档, 2020, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22020-articles-46-2-and-3-regulation-2016679_en.

• Telecommunications Industry Association, "ANSI/TIA-942-B 数据中心电信基础设施标准," 标准, 2022, https://tiaonline.org/.

• National Institute of Standards and Technology, "NIST SP 800-160 Vol. 2: 开发网络弹性系统," 计算机安全资源中心, 2023, https://csrc.nist.gov/publications/detail/sp/800-160/vol-2/final.

• National Institute of Standards and Technology, "NIST SP 800-207: 零信任架构," 计算机安全资源中心, 2023, https://csrc.nist.gov/publications/detail/sp/800-207/final.

• Cloud Security Alliance, "云控制矩阵 v4.0," 研究, 2023, https://cloudsecurityalliance.org/research/cloud-controls-matrix/.

• National Institute of Standards and Technology, "NIST IR 8011: 安全控制评估的自动化支持," 计算机安全资源中心, 2023, https://csrc.nist.gov/publications/detail/nistir/8011/final.

• ISACA, "IT 审计框架," 资源, 2023, https://www.isaca.org/resources/it-audit.