黎艷青+張賀勛+陳遠(yuǎn)平+吳澤江+張煉樞

摘 要

“互聯(lián)網(wǎng)+”融合發(fā)展概念的提出，使互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)在追求創(chuàng)新中不斷快速發(fā)展，帶來(lái)的不僅僅是生產(chǎn)變革和生活便利，對(duì)社會(huì)輿論和國(guó)家安全等的影響力也愈來(lái)愈大，同時(shí)帶來(lái)一系列行業(yè)信息安全管理和技術(shù)上的挑戰(zhàn)。因此，為了互聯(lián)網(wǎng)業(yè)務(wù)能有序、健康、創(chuàng)新的成長(zhǎng)，互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評(píng)估顯得尤為重要。本論文將結(jié)合《互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)評(píng)估指南》提出的評(píng)估模型與實(shí)施要點(diǎn)，針對(duì)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評(píng)估進(jìn)行探索。

【關(guān)鍵詞】互聯(lián)網(wǎng)+ 新技術(shù)新業(yè)務(wù) 安全評(píng)估

1 背景

為貫徹落實(shí)習(xí)總書(shū)記重要講話(huà)精神和落實(shí)中央全面深化改革領(lǐng)導(dǎo)小組工作部署任務(wù)，安全評(píng)估已成為網(wǎng)絡(luò)信息安全態(tài)勢(shì)感知、主動(dòng)應(yīng)對(duì)、防御和威懾，掌握風(fēng)險(xiǎn)發(fā)生規(guī)律、動(dòng)向等的重要手段。《電信業(yè)務(wù)經(jīng)營(yíng)許可管理辦法》修訂四十二號(hào)部令和《互聯(lián)網(wǎng)新業(yè)務(wù)安全評(píng)估管理辦法》等均明確提出新技術(shù)新業(yè)務(wù)安全評(píng)估適用范圍、重要定義、企業(yè)責(zé)任、評(píng)估啟動(dòng)實(shí)施要點(diǎn)、安全評(píng)估報(bào)告與整改要求、監(jiān)督檢查說(shuō)明以及相關(guān)法律責(zé)任等。相關(guān)人員應(yīng)按照相關(guān)法律法規(guī)，學(xué)習(xí)已建立統(tǒng)一的安全風(fēng)險(xiǎn)報(bào)告機(jī)制、情報(bào)共享機(jī)制和研判處置機(jī)制等，嚴(yán)格按照要求開(kāi)展安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警和風(fēng)險(xiǎn)評(píng)估。

2 評(píng)估模型

2017年《評(píng)估指南》最新修訂的互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評(píng)估模型主要從業(yè)務(wù)系統(tǒng)的“應(yīng)用”和“平臺(tái)”兩個(gè)安全層面展開(kāi)，通過(guò)實(shí)踐經(jīng)驗(yàn)對(duì)各類(lèi)業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn)進(jìn)行歸納總結(jié)，共細(xì)分為十一個(gè)評(píng)估模塊。使安全評(píng)估與安全管理緊密結(jié)合，始終圍繞不良信息監(jiān)測(cè)發(fā)現(xiàn)、定位處置，追蹤溯源等重要監(jiān)控管理環(huán)節(jié)開(kāi)展安全評(píng)估?；ヂ?lián)網(wǎng)業(yè)務(wù)安全評(píng)估主要涉及兩個(gè)評(píng)估流程，分別是“業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估”和“企業(yè)安全保障能力評(píng)估”。

3 評(píng)估內(nèi)容

3.1 業(yè)務(wù)應(yīng)用安全

3.1.1 用戶(hù)

“用戶(hù)”評(píng)估模塊是由“規(guī)?！薄ⅰ邦?lèi)型”、“相關(guān)性”、“身份真實(shí)性”、“真實(shí)身份鑒別”和“身份信息保護(hù)”等6個(gè)評(píng)估指標(biāo)組成。業(yè)務(wù)系統(tǒng)的使用用戶(hù)數(shù)量越大，風(fēng)險(xiǎn)越高。此外用戶(hù)數(shù)量還涉及定期核查指標(biāo)，用戶(hù)人數(shù)變動(dòng)較大時(shí)需及時(shí)更新配套保障能力并開(kāi)展評(píng)估。而用戶(hù)身份真實(shí)性與鑒別，則需確保業(yè)務(wù)系統(tǒng)使用者在注冊(cè)、信息變更和使用過(guò)程中，提供真實(shí)身份信息，系統(tǒng)通過(guò)人機(jī)交互策略識(shí)別驗(yàn)證身份信息。

3.1.2 信息內(nèi)容

“信息內(nèi)容”評(píng)估模塊體現(xiàn)在“可審核性”、“多樣性”和“相關(guān)性”等3個(gè)評(píng)估指標(biāo)。評(píng)估系統(tǒng)信息內(nèi)容主要關(guān)注平臺(tái)信息內(nèi)容主題間相關(guān)性，若多元主題則風(fēng)險(xiǎn)較高。另外對(duì)不良信息的識(shí)別、監(jiān)測(cè)和處置能力是否滿(mǎn)足人工與技術(shù)手段相結(jié)合的要求則是信息內(nèi)容評(píng)估重點(diǎn)，需針對(duì)此評(píng)估要點(diǎn)開(kāi)展安全測(cè)試檢查，是否將不良信息過(guò)濾監(jiān)測(cè)技術(shù)應(yīng)用業(yè)務(wù)系統(tǒng)的全部功能模塊等，特別需注意的是對(duì)不良信息測(cè)試的時(shí)候，除了敏感信息詞原詞測(cè)試，還需對(duì)模糊化的敏感信息詞開(kāi)啟測(cè)試。

3.1.3 信息載體

“信息載體”評(píng)估模塊可分為2個(gè)評(píng)估指標(biāo)，分別是“信息呈現(xiàn)方式”和“語(yǔ)言類(lèi)型”。查看業(yè)務(wù)系統(tǒng)公眾信息的呈現(xiàn)形式，如存在技術(shù)難以實(shí)現(xiàn)自動(dòng)化識(shí)別的非文本形式信息內(nèi)容，需檢查這些公共信息是否建立先審后發(fā)的機(jī)制。

3.1.4 信息生成

“信息生成”評(píng)估模塊有兩個(gè)指標(biāo)：“信息源”和“信息產(chǎn)生方式”。對(duì)于可接受來(lái)自外部、非系統(tǒng)管理成員產(chǎn)生的業(yè)務(wù)信息，需要配備相關(guān)的管理制度和技術(shù)手段對(duì)用戶(hù)的真實(shí)身份進(jìn)行認(rèn)證鑒別，確保做到“前端匿名，后臺(tái)實(shí)名”的要求。并在注冊(cè)環(huán)節(jié)中《用戶(hù)注冊(cè)協(xié)議》明確告知用戶(hù)禁止發(fā)布、復(fù)制、傳播違法信息。

3.1.5 信息傳播

“信息傳播”評(píng)估模塊對(duì)“信息傳播方式”、“通信媒介”和“信息傳遞實(shí)時(shí)性”等3個(gè)方面展開(kāi)評(píng)估。了解業(yè)務(wù)系統(tǒng)的信息傳播方式與通信媒介，如查看是否存在群組及人數(shù)上限限制、是否存在轉(zhuǎn)發(fā)功能等，分析系統(tǒng)的傳播能力以識(shí)別風(fēng)險(xiǎn)擴(kuò)散速度。并結(jié)合查看系統(tǒng)是否結(jié)合自身情況設(shè)置應(yīng)急處置辦法和配備應(yīng)急管理小組，使有能力對(duì)突發(fā)事件進(jìn)行及時(shí)處理。

3.1.6 信息接收

“信息接收”關(guān)注的是信息的接收方式是系統(tǒng)主動(dòng)推動(dòng)給用戶(hù)還是用戶(hù)主動(dòng)去獲取。如信息主動(dòng)推送且用戶(hù)無(wú)法自行選擇取消，則風(fēng)險(xiǎn)較高也不符合評(píng)估要求。

3.1.7 信息留存

“信息留存”主要是對(duì)業(yè)務(wù)系統(tǒng)的操作日志，用戶(hù)行為日志，不良信息處置日志等按照法律法規(guī)要求進(jìn)行存留，至少6個(gè)月以上。并能按要求對(duì)查詢(xún)條件進(jìn)行查詢(xún)、檢索和審計(jì)相關(guān)日志等。另外對(duì)后臺(tái)數(shù)據(jù)的備份恢復(fù)方面也需要有相應(yīng)的保障措施，確保系統(tǒng)物理設(shè)備宕機(jī)等情況下能恢復(fù)相關(guān)數(shù)據(jù)等。

3.2 業(yè)務(wù)平臺(tái)安全

3.2.1 設(shè)備位置分布

對(duì)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)拓?fù)溥M(jìn)行組網(wǎng)結(jié)構(gòu)分析，并了解涉及的設(shè)備，如服務(wù)器、機(jī)房、節(jié)點(diǎn)等的位置分布情況，是否存在境外分布，存在境外分布的業(yè)務(wù)系統(tǒng)是否按要求配備境內(nèi)外數(shù)據(jù)交互相關(guān)管理規(guī)章制度或辦法，同時(shí)需要具備技術(shù)手段實(shí)現(xiàn)監(jiān)管。最后需要查看核實(shí)業(yè)務(wù)系統(tǒng)相關(guān)資質(zhì)信息。

3.2.2 資源調(diào)度方式

了解業(yè)務(wù)系統(tǒng)的IP、域名、帶寬、數(shù)據(jù)、存儲(chǔ)、計(jì)算等資源的調(diào)度方式，查看業(yè)務(wù)系統(tǒng)的資源分配利用情況和實(shí)時(shí)監(jiān)控系統(tǒng)記錄等。

3.2.3 業(yè)務(wù)合作

如評(píng)估對(duì)象存在業(yè)務(wù)合作，則也需要對(duì)合作業(yè)務(wù)進(jìn)行合規(guī)性評(píng)估和企業(yè)保障能力評(píng)估。查看與合作業(yè)務(wù)的合作方式是否符合相關(guān)行業(yè)規(guī)定或法律法規(guī)。核查校對(duì)合作業(yè)務(wù)的經(jīng)營(yíng)開(kāi)辦資質(zhì)，審核合作業(yè)務(wù)的信息安全保障能力，如相關(guān)的工作管理辦法、機(jī)制和保障措施是否合規(guī)。

3.2.4 開(kāi)放接口

開(kāi)放接口指的是業(yè)務(wù)系統(tǒng)為第三方開(kāi)啟提供與自身系統(tǒng)產(chǎn)生信息交互的標(biāo)準(zhǔn)的API接口。如有開(kāi)啟，則需了解API接口類(lèi)型，功能、權(quán)限和技術(shù)實(shí)現(xiàn)文檔，并按要求建立安全審計(jì)機(jī)制和技術(shù)保障說(shuō)明。endprint

4 評(píng)估方法

互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評(píng)估工作涉及到以下評(píng)估方法：人員訪(fǎng)談、文檔審查和測(cè)評(píng)驗(yàn)證等。

人員訪(fǎng)談，是指安全評(píng)估人員與系統(tǒng)管理員開(kāi)展訪(fǎng)談工作。初步對(duì)業(yè)務(wù)系統(tǒng)的基本情況進(jìn)行了解，如：用戶(hù)規(guī)?；蝾A(yù)期規(guī)模、市場(chǎng)發(fā)展情況、業(yè)務(wù)功能、技術(shù)實(shí)現(xiàn)手段、信息傳播方式和簡(jiǎn)單對(duì)系統(tǒng)安全策略等。初步對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析識(shí)別。

文檔審查，安全評(píng)估小組根據(jù)業(yè)務(wù)系統(tǒng)的特點(diǎn)提出業(yè)務(wù)安全保障相關(guān)的文檔需求清單給業(yè)務(wù)系統(tǒng)。評(píng)估人員對(duì)反饋提交的材料進(jìn)行逐點(diǎn)查驗(yàn)，觀(guān)察系統(tǒng)實(shí)際操作情況是否與文檔列舉的要點(diǎn)匹配。如配備日常巡查機(jī)制、敏感信息詞庫(kù)更新機(jī)制等的業(yè)務(wù)系統(tǒng)，需給出相應(yīng)頻率的日常巡查記錄表或不良信息詞庫(kù)更新記錄表等。

測(cè)評(píng)驗(yàn)證，安全評(píng)估小組需向系統(tǒng)管理方申請(qǐng)獲取測(cè)試賬號(hào)，對(duì)業(yè)務(wù)系統(tǒng)功能進(jìn)行信息安全測(cè)試，判斷是否滿(mǎn)足評(píng)估要求。同時(shí)也要對(duì)用戶(hù)登錄注冊(cè)模塊進(jìn)行模擬核驗(yàn)，判斷是否有用戶(hù)真實(shí)性和鑒別等功能。還要對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全測(cè)試，對(duì)系統(tǒng)配置的合規(guī)性進(jìn)行基線(xiàn)檢查，還有系統(tǒng)弱口令檢查，開(kāi)放端口檢查，主機(jī)漏洞自動(dòng)化檢查，互聯(lián)網(wǎng)業(yè)務(wù)人工滲透并整理反饋漏洞、跟進(jìn)漏洞加固復(fù)查工作等。

5 評(píng)估流程

新技術(shù)新業(yè)務(wù)安全評(píng)估流程主要分為3個(gè)階段，分別是評(píng)估準(zhǔn)備階段，評(píng)估實(shí)施階段和評(píng)估總結(jié)階段。

評(píng)估準(zhǔn)備階段：安全評(píng)估小組向系統(tǒng)管理員了解業(yè)務(wù)基本情況和收集業(yè)務(wù)相關(guān)管理制度等資料文檔。評(píng)估所需提供文檔包含但不限于以下文檔：

（1）總體說(shuō)明文檔：包括平臺(tái)總體介紹材料、基本結(jié)構(gòu)模塊文檔、對(duì)外開(kāi)放接口能力介紹、已采用的安全手段及設(shè)備等。

（2）技術(shù)文檔：包括總體技術(shù)要求、設(shè)備規(guī)范、業(yè)務(wù)規(guī)范、接口規(guī)范、安全技術(shù)規(guī)范等。

（3）管理文檔：包括不良信息管理辦法、信息安全應(yīng)急管理辦法等

基于《評(píng)估指南》、結(jié)合業(yè)務(wù)特點(diǎn)，對(duì)先期準(zhǔn)備的資料進(jìn)行分析判斷，選擇業(yè)務(wù)適用的安全評(píng)估指標(biāo)，對(duì)業(yè)務(wù)安全風(fēng)險(xiǎn)進(jìn)行初步識(shí)別與判斷。

評(píng)估實(shí)施階段：安全評(píng)估小組對(duì)系統(tǒng)管理員進(jìn)行了調(diào)研，通過(guò)人員訪(fǎng)談、系統(tǒng)查看、評(píng)測(cè)驗(yàn)證等多種方式對(duì)業(yè)務(wù)的安全風(fēng)險(xiǎn)再次深入識(shí)別，以及對(duì)企業(yè)的安全保障能力進(jìn)行了核實(shí)驗(yàn)證。

評(píng)估總結(jié)階段：針對(duì)業(yè)務(wù)安全風(fēng)險(xiǎn)分析以及安全保障能力評(píng)估結(jié)果，提出業(yè)務(wù)后續(xù)發(fā)展中企業(yè)安全保障能力改進(jìn)方向及重點(diǎn)，并與系統(tǒng)管理員召開(kāi)會(huì)議進(jìn)行確認(rèn)，最后整理形成評(píng)估報(bào)告等材料。

6 總結(jié)

新技術(shù)新業(yè)務(wù)安全評(píng)估需要相關(guān)人員對(duì)《評(píng)估指南》的內(nèi)容進(jìn)行認(rèn)真解讀并細(xì)化整理，充分按照已制定的規(guī)范步驟、評(píng)估指標(biāo)和風(fēng)險(xiǎn)要點(diǎn)等開(kāi)展安全評(píng)估工作，從而全面客觀(guān)識(shí)別業(yè)務(wù)真實(shí)的安全風(fēng)險(xiǎn)和確定配套有相應(yīng)的企業(yè)安全保障能力應(yīng)對(duì)風(fēng)險(xiǎn)。

參考文獻(xiàn)

[1]GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范.

[2]YD/T 3169-2016互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估指南.

[3]NIST-SP800-26 IT系統(tǒng)安全自評(píng)估指南.

[4]NIST-SP800-30 IT系統(tǒng)風(fēng)險(xiǎn)管理指南.

作者簡(jiǎn)介

黎艷青（1993-），女，廣東省江門(mén)市新會(huì)區(qū)人。大學(xué)本科學(xué)歷。項(xiàng)目經(jīng)理，安全評(píng)估、安全咨詢(xún)、安全體系等。

作者單位

北京天融信 北京市 100085endprint