互聯網新技術新業務安全評估

黎艷青+張賀勛+陳遠平+吳澤江+張煉樞

摘 要

“互聯網+”融合發展概念的提出，使互聯網新技術新業務在追求創新中不斷快速發展，帶來的不僅僅是生產變革和生活便利，對社會輿論和國家安全等的影響力也愈來愈大，同時帶來一系列行業信息安全管理和技術上的挑戰。因此，為了互聯網業務能有序、健康、創新的成長，互聯網新技術新業務安全評估顯得尤為重要。本論文將結合《互聯網新技術新業務評估指南》提出的評估模型與實施要點，針對互聯網新技術新業務安全評估進行探索。

【關鍵詞】互聯網+ 新技術新業務 安全評估

1 背景

為貫徹落實習總書記重要講話精神和落實中央全面深化改革領導小組工作部署任務，安全評估已成為網絡信息安全態勢感知、主動應對、防御和威懾，掌握風險發生規律、動向等的重要手段。《電信業務經營許可管理辦法》修訂四十二號部令和《互聯網新業務安全評估管理辦法》等均明確提出新技術新業務安全評估適用范圍、重要定義、企業責任、評估啟動實施要點、安全評估報告與整改要求、監督檢查說明以及相關法律責任等。相關人員應按照相關法律法規，學習已建立統一的安全風險報告機制、情報共享機制和研判處置機制等，嚴格按照要求開展安全風險監測預警和風險評估。

2 評估模型

2017年《評估指南》最新修訂的互聯網新技術新業務安全評估模型主要從業務系統的“應用”和“平臺”兩個安全層面展開，通過實踐經驗對各類業務風險點進行歸納總結，共細分為十一個評估模塊。使安全評估與安全管理緊密結合，始終圍繞不良信息監測發現、定位處置，追蹤溯源等重要監控管理環節開展安全評估。互聯網業務安全評估主要涉及兩個評估流程，分別是“業務安全風險評估”和“企業安全保障能力評估”。

3 評估內容

3.1 業務應用安全

3.1.1 用戶

“用戶”評估模塊是由“規模”、“類型”、“相關性”、“身份真實性”、“真實身份鑒別”和“身份信息保護”等6個評估指標組成。業務系統的使用用戶數量越大，風險越高。此外用戶數量還涉及定期核查指標，用戶人數變動較大時需及時更新配套保障能力并開展評估。而用戶身份真實性與鑒別，則需確保業務系統使用者在注冊、信息變更和使用過程中，提供真實身份信息，系統通過人機交互策略識別驗證身份信息。

3.1.2 信息內容

“信息內容”評估模塊體現在“可審核性”、“多樣性”和“相關性”等3個評估指標。評估系統信息內容主要關注平臺信息內容主題間相關性，若多元主題則風險較高。另外對不良信息的識別、監測和處置能力是否滿足人工與技術手段相結合的要求則是信息內容評估重點，需針對此評估要點開展安全測試檢查，是否將不良信息過濾監測技術應用業務系統的全部功能模塊等，特別需注意的是對不良信息測試的時候，除了敏感信息詞原詞測試，還需對模糊化的敏感信息詞開啟測試。

3.1.3 信息載體

“信息載體”評估模塊可分為2個評估指標，分別是“信息呈現方式”和“語言類型”。查看業務系統公眾信息的呈現形式，如存在技術難以實現自動化識別的非文本形式信息內容，需檢查這些公共信息是否建立先審后發的機制。

3.1.4 信息生成

“信息生成”評估模塊有兩個指標：“信息源”和“信息產生方式”。對于可接受來自外部、非系統管理成員產生的業務信息，需要配備相關的管理制度和技術手段對用戶的真實身份進行認證鑒別，確保做到“前端匿名，后臺實名”的要求。并在注冊環節中《用戶注冊協議》明確告知用戶禁止發布、復制、傳播違法信息。

3.1.5 信息傳播

“信息傳播”評估模塊對“信息傳播方式”、“通信媒介”和“信息傳遞實時性”等3個方面展開評估。了解業務系統的信息傳播方式與通信媒介，如查看是否存在群組及人數上限限制、是否存在轉發功能等，分析系統的傳播能力以識別風險擴散速度。并結合查看系統是否結合自身情況設置應急處置辦法和配備應急管理小組，使有能力對突發事件進行及時處理。

3.1.6 信息接收

“信息接收”關注的是信息的接收方式是系統主動推動給用戶還是用戶主動去獲取。如信息主動推送且用戶無法自行選擇取消，則風險較高也不符合評估要求。

3.1.7 信息留存

“信息留存”主要是對業務系統的操作日志，用戶行為日志，不良信息處置日志等按照法律法規要求進行存留，至少6個月以上。并能按要求對查詢條件進行查詢、檢索和審計相關日志等。另外對后臺數據的備份恢復方面也需要有相應的保障措施，確保系統物理設備宕機等情況下能恢復相關數據等。

3.2 業務平臺安全

3.2.1 設備位置分布

對業務系統網絡拓撲進行組網結構分析，并了解涉及的設備，如服務器、機房、節點等的位置分布情況，是否存在境外分布，存在境外分布的業務系統是否按要求配備境內外數據交互相關管理規章制度或辦法，同時需要具備技術手段實現監管。最后需要查看核實業務系統相關資質信息。

3.2.2 資源調度方式

了解業務系統的IP、域名、帶寬、數據、存儲、計算等資源的調度方式，查看業務系統的資源分配利用情況和實時監控系統記錄等。

3.2.3 業務合作

如評估對象存在業務合作，則也需要對合作業務進行合規性評估和企業保障能力評估。查看與合作業務的合作方式是否符合相關行業規定或法律法規。核查校對合作業務的經營開辦資質，審核合作業務的信息安全保障能力，如相關的工作管理辦法、機制和保障措施是否合規。

3.2.4 開放接口

開放接口指的是業務系統為第三方開啟提供與自身系統產生信息交互的標準的API接口。如有開啟，則需了解API接口類型，功能、權限和技術實現文檔，并按要求建立安全審計機制和技術保障說明。endprint

4 評估方法

互聯網新技術新業務安全評估工作涉及到以下評估方法：人員訪談、文檔審查和測評驗證等。

人員訪談，是指安全評估人員與系統管理員開展訪談工作。初步對業務系統的基本情況進行了解，如：用戶規模或預期規模、市場發展情況、業務功能、技術實現手段、信息傳播方式和簡單對系統安全策略等。初步對業務系統進行風險分析識別。

文檔審查，安全評估小組根據業務系統的特點提出業務安全保障相關的文檔需求清單給業務系統。評估人員對反饋提交的材料進行逐點查驗，觀察系統實際操作情況是否與文檔列舉的要點匹配。如配備日常巡查機制、敏感信息詞庫更新機制等的業務系統，需給出相應頻率的日常巡查記錄表或不良信息詞庫更新記錄表等。

測評驗證，安全評估小組需向系統管理方申請獲取測試賬號，對業務系統功能進行信息安全測試，判斷是否滿足評估要求。同時也要對用戶登錄注冊模塊進行模擬核驗，判斷是否有用戶真實性和鑒別等功能。還要對業務系統進行網絡安全測試，對系統配置的合規性進行基線檢查，還有系統弱口令檢查，開放端口檢查，主機漏洞自動化檢查，互聯網業務人工滲透并整理反饋漏洞、跟進漏洞加固復查工作等。

5 評估流程

新技術新業務安全評估流程主要分為3個階段，分別是評估準備階段，評估實施階段和評估總結階段。

評估準備階段：安全評估小組向系統管理員了解業務基本情況和收集業務相關管理制度等資料文檔。評估所需提供文檔包含但不限于以下文檔：

（1）總體說明文檔：包括平臺總體介紹材料、基本結構模塊文檔、對外開放接口能力介紹、已采用的安全手段及設備等。

（2）技術文檔：包括總體技術要求、設備規范、業務規范、接口規范、安全技術規范等。

（3）管理文檔：包括不良信息管理辦法、信息安全應急管理辦法等

基于《評估指南》、結合業務特點，對先期準備的資料進行分析判斷，選擇業務適用的安全評估指標，對業務安全風險進行初步識別與判斷。

評估實施階段：安全評估小組對系統管理員進行了調研，通過人員訪談、系統查看、評測驗證等多種方式對業務的安全風險再次深入識別，以及對企業的安全保障能力進行了核實驗證。

評估總結階段：針對業務安全風險分析以及安全保障能力評估結果，提出業務后續發展中企業安全保障能力改進方向及重點，并與系統管理員召開會議進行確認，最后整理形成評估報告等材料。

6 總結

新技術新業務安全評估需要相關人員對《評估指南》的內容進行認真解讀并細化整理，充分按照已制定的規范步驟、評估指標和風險要點等開展安全評估工作，從而全面客觀識別業務真實的安全風險和確定配套有相應的企業安全保障能力應對風險。

參考文獻

[1]GB/T 20984-2007信息安全技術信息安全風險評估規范.

[2]YD/T 3169-2016互聯網新技術新業務信息安全評估指南.

[3]NIST-SP800-26 IT系統安全自評估指南.

[4]NIST-SP800-30 IT系統風險管理指南.

作者簡介

黎艷青（1993-），女，廣東省江門市新會區人。大學本科學歷。項目經理，安全評估、安全咨詢、安全體系等。

作者單位

北京天融信 北京市 100085endprint