互聯網新技術新業務安全評估方法初探

陳　湉　中國信息通信研究院安全研究所工程師

互聯網新技術新業務安全評估方法初探

陳湉中國信息通信研究院安全研究所工程師

當前，互聯網技術、業務、應用呈現出紛繁多樣的發展態勢，迸發出亙古未有的創新活力，引領著新一代信息技術產業變革，創造出絢麗多彩的互聯網生態文明。我國互聯網得以把握創新浪潮，實現了高速發展，并向著更廣應用、更深融合的方向快速邁進。與此同時，互聯網的快速發展創新及持續增強的輿論影響能力和社會動員能力也對我國信息安全管理、社會管理和國家安全帶來巨大挑戰。互聯網新技術新業務安全評估就是為了應對上述調整的一次創新嘗試。本文首先分析了開展安全評估的積極意義，與現有信息安全風險評估體系的區別和聯系，然后重點從評估要素、流程、風險模型方面闡述了安全評估方法，以期對安全評估實踐的開展提供初步的理論支撐。

互聯網新技術新業務；安全評估；評估方法

1　引言

互聯網已成為全球戰略性公共基礎設施，在我國經濟發展、社會管理、公共服務、文化傳播和對外開放中發揮著不可替代的作用。當前，互聯網技術業務呈現融合化、移動化、社交化、平臺化、多媒體化、云端化等爆炸式發展創新態勢，向更深交融、更廣交互、更寬滲透、更高智能的方向發展，不斷開辟著互聯網發展的新應用、新模式、新市場和新空間。

機遇與挑戰并存。互聯網在迸發出創新活力，不斷向經濟社會方方面面深度滲透的同時，也帶來了前所未有的安全挑戰。當前，網絡與信息安全問題不僅是影響互聯網發展的主要因素，更是事關國家安全、政權安全和國家發展，事關廣大人民群眾工作生活的重大戰略問題。“斯諾登”事件后，各國紛紛意識到網絡安全對本國利益的重要性，網絡空間制網權的爭奪愈發激烈。以5G、工業互聯網、大數據、云計算、物聯網為代表的新一代互聯網技術，微博、微信等為代表的新技術新應用改變了傳統的信息流動模式，進一步加劇了信息傳播的多屬性，對我國信息安全管理、社會管理和國家安全帶來了全新的挑戰。

面對新的形勢，傳統的“救火隊員”式的安全應急處置管理模式已經難以適應互聯網新技術新業務新應用創新發展的步伐。為了實現“信息安全風險提前預判，安全防護措施提前部署”的保障目標，建立互聯網新技術新業務信息安全評估機制至關重要，開展互聯網新技術新業務發展趨勢的動態跟蹤，及時評估信息安全風險，提前預警，提前防范，對凈化網絡環境、促進互聯網持續健康發展、維護國家安全具有重要意義。

此外，實踐互聯網新技術新業務安全評估也是順應國家與黨中央關于互聯網行業“簡政放權”、“寬進嚴管”的深化改革大背景。

2　安全評估與信息安全風險評估的關系

實際上，信息安全風險評估的概念提出由來已久，已經發展出完整的理論體系和技術標準體系。國際上，ISO27000系列標準是國際公認的構建信息安全管理體系的基礎標準。我國也在2007年發布國家標準《GB/T 20984-2007信息安全風險評估規范》。在這些成熟的信息安全風險評估理論體系中，信息安全風險評估被定義為是依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響。

可以認為已有的信息安全風險評估是以信息系統為核心開展評估的。但是新一代信息通信技術的應用普及、各類互聯網創新應用和服務引發的非傳統信息安全問題層出不窮，已經不能依靠傳統的信息安全風險評估解決，需要針對這些互聯網新技術新業務的功能、屬性、應用場景進行分析評估，挖掘潛在的危害用戶合法權益、國家安全和社會穩定的非傳統安全威脅，這才是互聯網新技術新業務安全評估承擔的使命。

因此，有別于已有的信息安全風險評估體系，互聯網新技術新業務安全評估的核心是圍繞互聯網新技術新業務的功能實現，向業務系統和數據擴展，開展評估，與基于信息系統的信息安全風險評估互為補充，共同實現對傳統和非傳統信息安全威脅的積極防范。

3　安全評估的方法

互聯網新技術新業務安全評估本身也是一項創新性的工作，為了能夠科學、規范地的開展安全評估實踐，也需要相關的評估理論進行支撐，首當其沖的就是評估方法。在研究評估方法之前，還需再一次明確安全評估的目標：進一步加強互聯網技術、業務、應用的信息安全管理，提早防范潛在信息安全風險，提早部署安全保障措施，促進互聯網創新健康發展。在目標明確的基礎上，本文給出了互聯網新技術新業務安全評估的定義：系統地識別和分析互聯網技術、業務、應用可能引發的信息安全風險，評估信息安全事件一旦發生可能造成的危害程度，評估企業配套的信息安全保障能力是否能夠將風險控制在可接受的水平，提出有針對性的預防信息安全事件發生的管理對策和安全措施，為最大限度地保障互聯網技術、業務、應用的信息安全提供科學依據。本文將從評估要素、評估流程、風險評估模型3個方面闡述如何開展互聯網新技術、新業務的安全評估。

（1）安全評估要素

安全評估要素是開展互聯網新技術新業務安全評估時的主要考量。通過識別安全評估要素，可以明確安全評估的方向和內容。一般情況下，安全評估要素應當包括業務市場發展情況、業務功能、業務屬性、信息流動鏈條、企業信息安全管理制度以及企業信息安全技術保障措施。細化如下：

●業務市場發展情況

包括（潛在）用戶規模、用戶構成情況、業務發展階段、市場占有率、市場發展前景等。

●業務屬性

業務屬性是指互聯網新技術新業務新應用所具備的特征模塊，包括通信屬性、社交屬性、媒體屬性等。

——通信屬性是指具備限于用戶之間進行點對點信息交流與傳遞的特征。一般情況下，通信屬性的信息傳播范圍小，基本限制在兩個用戶之間。

——社交屬性指具備限于有社交關系的用戶之間進行點對多點或群組信息交流與傳遞的特征，對應的典型功能包括群組聊天、“朋友圈”等。一般情況下，社交屬性的信息傳播范圍大于通信屬性，信息由社交關系的用戶間擴散傳播。

——媒體屬性是指具備面向開放范圍內大量用戶進行廣播式信息發布的特征，對應的典型業務或功能包括微博客、“公眾平臺”等。媒體屬性的信息傳播范圍是3種屬性中最大的，具備大眾廣播功能。

●信息流動鏈條

信息流動鏈條關注在信息生成、信息發布、信息傳播、信息接收等環節互聯網技術、業務、應用是如何傳播信息的。

●信息安全管理

信息安全管理是指企業為了運營互聯網業務、應用所配套的各類信息安全保障措施，包括機構人員、安全制度、培訓演練、日常監測、應急處置、用戶投訴舉報、用戶信息保護等。

●信息安全技術手段

信息安全技術手段是指企業為落實各類信息安全保障措施配套的技術系統，包括IP地址和域名等基礎資源管理、違法信息處置、日志留存等技術手段。

（2）安全評估流程

從評估要素中可以看出，互聯網新技術新業務安全評估的對象其實包括兩個：一個是互聯網技術、業務、應用本身；一個是使用或者運營互聯網技術、業務、應用的企業。因此，安全評估實際上是由兩部分組成：業務安全風險評估和企業安全保障能力評估。兩部分相對獨立，又彼此關聯。安全評估實施過程中，需首先完成業務安全風險評估，識別業務潛在信息安全風險，再基于風險識別的結果完成企業安全保障能力評估。對于兩個流程的具體實施方法正在制定相關標準。

業務安全風險評估是評估互聯網技術、業務、應用（簡稱“業務”）的功能、屬性、特點、技術實現方式、市場發展情況、（潛在）用戶規模等關鍵要素對信息安全管理、社會管理和國家安全的威脅和挑戰，分析、識別信息安全風險。

企業安全保障能力評估是評估企業信息安全管理措施和技術保障手段能否將信息安全風險控制在可接受范圍內，可從安全管理機構、安全管理制度、技術保障手段建設情況等多個方面，評估企業的信息安全保障工作水平。

（3）業務安全風險評估模型

從上述分析中不難發現，互聯網新技術新業務安全評估的一個核心工作和首要任務就是識別互聯網技術、業務、應用的信息安全風險。這些風險都是非傳統安全威脅引發的，不能依靠現有的信息安全風險評估理論得出。因此，解決如何識別互聯網技術、業務、應用的信息安全風險是研究安全評估方法的最重要的一項工作。為了解決這一難題，本文提出了業務安全風險評估模型，具體參見圖1。通過總結多年開展安全評估的實戰經驗，歸納各類評估要素中可能產生的對安全管理工作的威脅和挑戰，形成多個評估模塊。評估人員使用業務安全風險評估模型時，通過遍歷各個評估模塊，根據被評估對象的具體情況，識別對應于每個評估模塊是否存在相應的信息安全風險。對于評估模型涉及的具體安全風險點、評估模型具體使用方法正在制定相關標準。

業務安全風險評估模型從信息內容安全、數據安全兩個層面提出了17個評估模塊，其中信息內容安全又分為業務應用安全、業務平臺安全兩個子層。

業務應用安全子層以業務實現功能、使用情況為基本出發點，以業務系統中傳輸的公共信息內容為核心評估點，分析可能對信息內容安全管理造成影響的各類威脅和隱患，評估模塊包括用戶、信息內容、信息載體、信息生成、信息傳播、信息接收、信息留存。

圖1　業務安全風險評估模型

業務平臺安全子層以承載業務的系統平臺為核心評估點，分析可能對信息內容安全管理造成影響的各類威脅和隱患，評估模塊包括設備地理位置、資源調度方式、業務合作、開放接口。

數據安全層以業務系統中傳輸、存儲的各類數據為核心評估點，從維護企業、個人、國家利益角度出發，分析可能對數據安全造成影響的各類威脅和隱患，評估模塊包括數據采集、數據存儲、數據傳輸、數據加工、數據轉移、數據刪除。

4　結束語

當前，互聯網應用功能不斷集成，單一功能的應用不斷向融合新聞、搜索、即時通信、社交、電子商務等功能的集成應用演變。互聯網產業邊界不斷擴張，產業主體跨界耦合，互聯網應用深度不斷深化。在互聯網演變和創新的過程中，引發的信息安全風險也在不斷升級，復雜程度、影響范圍空前。互聯網新技術新業務安全評估是為了應對信息安全新形勢新需求的一次創新式探索，其本身也是一個全新的事物。本文只是對互聯網新技術新業務安全評估方法研究的一次“拋磚引玉”，希望通過本文的闡述帶動、啟發安全評估相關的理論研究工作，逐步形成一套符合當今互聯網發展趨勢、滿足我國信息安全管理目標的互聯網新技術新業務安全評估理論體系。

華為為德國電信帶來73GHz毫米波多用戶MIMO現場演示

近日，華為與德國最大的移動網絡服務提供者德國電信在巴塞羅那移動世界大會中現場演示毫米波多用戶M IMO技術。該展示在73GHz毫米波段上達到了70Gbit/s的傳輸速率，并實現了極高的頻譜效率。

德國電信在2015年3月啟動了5G：haus項目，目的在于同全球領先的行業伙伴一起探討潛在的5G關鍵使能技術。作為華為與德國電信在5G：haus項目合作框架下的一部分，最新的聯合演示基于毫米波MIMO技術在多用戶的復雜場景下，達到了70Gbit/s的超高速率，并大幅提升了頻譜效率。超材料聚焦陣列（MMFA）技術被應用于創造可調點波束，動態波束追蹤特性也在移動場景中完成了測試。不同用戶可以通過不同的波束在同一時間同一頻率上進行數據傳輸。

“華為正在5G的關鍵使能技術方面投入巨大的創新力量”，華為無線的首席技術官，5G首席科學家童文博士講到：“毫米波多用戶MIMO技術可以實現與光纖接入速度類似的移動寬帶接入，秉承著以客戶為中心的創新理念，華為將會與客戶一同持續推動世界領先的5G技術。”

The General Research of Security Evaluation of Internet Novel Technologies and Services

ChenTian

At present，Internet technologies，services，applications present diverse development trends，burst out unprecedented innovation and vitality，leadar evolution of the Information Technology Industry，create a colorful Internet ecological civilization.Internet in China grabs this opportunity to achieve a rapid development，and is running forward to the direction of wider application and deeper integration.At the same time，the rapid development of the Internet innovation and the continuous enhancement of the capacities of public influence and social mobilization have brought great challenges to the information security management，the social governance and national security defense.Security Evaluation of Internet Novel Technologies and Services is an innovative attempt to cope with the above situation.This paper analyzed the positive significance of security evaluation，discussed the difference and relevance between the existing information security risk assessment theory and security evaluation.Then described the security evaluation method through evaluation factors，process，risk model.The goal of the paper is to general support further security evaluation practice.

internet novel technologies and services；security evaluation；evaluation method

2015-12-10）