中国信息通信研究院-安全评估培训

互联网新技术新业务安全评估政策解读及评估方法信息通信安全研究所2015年3月18日主要内容二、安全评估实施要求2三、安全评估方法33一、安全评估工作重要性及历程31四、典型评估案例4安全评估工作是对互联网新业态、新技术以及传统业务领域中重大事件所引发的信息安全新风险进行研判、预警和事前防范的安全监管制度举措。安全评估工作是顺应国家简政放权、弱化许可、突出属地化职能等政府行政管理思路的必然选择。安全评估工作是一个更加适应互联网业务快速创新、融合发展等特征的有利监管抓手。互联网新技术新业务安全评估工作的重要性2011年明确思路2012年构建体系2013年重点实践2014年全面落地信息安全评估工作发展历程“动态演进”安全评估开启元年安全评估预备年安全评估过渡年安全评估全面落地年成立《互联网新技术新业务信息安全评估管理研究》专家研究组,完成基础性预研工作，提出安全评估工作的具体组织实施思路中央领导高度重视，要求进一步加强互联网管理，要求各相关部门研究建立互联网安全评估制度正式颁布安全评估相关管理办法1.构建部、省、企业三级安全评估管理体系2.构建以联合评估办公室为核心的多级组织机构体系3.建立互联网动态监测与上报机制4.探索开展重点业务领域信息安全评估实践着力推进工信部层面安全评估工作实践建立健全部、省、企业三级评估体系，深化推动属地化评估和企业自评估有效落实旨在通过创新工作机制、明确工作抓手，指导地方与企业评估工作，调动各方积极性1.跨部门、行业评估全面实施2.启动安全评估标准体系的探索研究3.安全评估信息化管理平台上线使用互联网新技术新业务信息安全评估工作推进历程主要内容二、安全评估实施要求2三、安全评估方法33一、安全评估工作重要性及历程31四、典型评估案例4（一）评估对象信息安全评估对象应当包括业务本身及业务运营企业。问题一：安全评估的对象是谁？业务•获取业务发展情况、业务实现原理和方式等基本信息，总结业务主要功能、业务属性及特征、信息流动（传播）方式。企业•获取企业现有信息安全管理制度及落实情况、信息安全技术保障措施建设及使用情况。同时依照业务功能，梳理业务策略或者业务功能限制条件。问题二：评估前准备什么信息？（二）评估启动条件业务上线前业务运营阶段政府部门要求业务上线（含合作推广）/试运营之前完成业务信息安全评估关键指标（用户规模、业务范围、业务功能/属性、业务承载网络）发生较大变化，即时启动评估定期开展自评估（半年/一年）积极配合跨部门评估、行业内评估提供客观、详实的安全评估报告业务规划阶段业务规划、开发阶段，开展业务信息安全预评估业务规划安全评估新业务上线安全评估周期性安全评估建立覆盖业务全生命周期的信息安全评估体系，在业务规划、建设、运维等阶段按需实施安全评估，实现业务流程与安全流程的有机统一。（三）评估实施流程信息安全评估实施流程评估准备开展评估评估总结制定评估计划成立评估组准备评估文档业务信息安全风险评估企业信息安全保障能力评估形成评估结论整改方案完成评估报告评估实施流程包括三个阶段：评估准备、组织实施、评估总结。•根据现有信息安全监管要求，评判企业信息安全管理工作是否落实到位。•对照业务的信息安全风险，评判企业安全保障措施是否能有效控制风险。•深入剖析业务，从多个维度分析业务可能存在的信息安全风险。（四）安全评估报告的规范要求信息安全评估报告应当包括以下组成部分（格式规范）：a）安全评估工作组织情况，包括评估人员组成、评估流程；b）业务基本情况，包括业务定义、功能及属性、市场发展情况、用户规模及技术实现原理等；c）业务信息安全风险分析；d）企业配套安全管理措施、技术手段和保障机制；e）评估结论及整改建议。主要内容二、安全评估实施要求2三、安全评估方法33一、安全评估工作重要性及历程31四、典型评估案例4（一）信息安全概念界定从学术研究的角度来讲，信息安全包括信息自身安全、信息系统安全和信息内容安全等从支撑新技术新业务安全评估的角度来讲，信息安全指信息内容安全及数据安全信息自身安全：可用性、保密性、完整性、真实性、不可否认性和可核查性等信息系统安全：信息系统不被非授权使用等信息内容安全：是指电信服务和互联网信息服务过程中承载的公共信息内容应符合国家法律法规的强制性要求（二）安全评估的总体思路监管需求监测处置溯源管理业务信息安全风险评估企业信息安全保障能力评估总体思路：安全评估应与信息安全管理工作紧密结合，始终围绕违法不良信息及其相关行为的监测处置、溯源管理等关键监管环节开展评估工作。及时、客观、全面的评价新技术新业务的业务功能、业务属性、业务特点、技术原理等关键要素对信息安全监管工作的威胁和挑战。全面评估互联网企业信息安全管理措施能否有效应对信息安全威胁，可从信息安全管理机构、制度、手段建设、等多个方面进行核验。（三）业务信息安全风险评估信息安全风险评估模型三个层次十五个模块应用平台数据总结实战经验归纳总结各类业务的风险点（三）业务信息安全风险评估信息安全风险评估模型信息载体包括信息呈现方式、语言类型。①信息呈现的方式包括文本、图片、音频、视频、二维码等，考虑到对图片、音频、视频等多媒体信息识别技术尚不能满足信息安全监管的需求，此类信息载体存在含有、传播不良及违法信息的潜在风险。②语言类型主要包括中文、英文、及其他小语种等，考虑到小语种语言的识别技术尚不能满足监管需求，且容易被极端组织和民族分裂分子利用进行违法不良信息传播，存在潜在风险。（三）业务信息安全风险评估信息安全评估模型的使用方法：业务分析风险分析结论业务技术原理业务主要功能业务主要特征业务的市场发展情况逐一比照15个评估模块，分析业务潜在信息安全风险挖掘其他潜在风险总结上一步发现的风险（四）企业信息安全保障能力评估企业信息安全保障要求Diagram2Diagram3Diagram2Diagram3业务应用信息安全保障要求业务平台信息安全保障要求数据安全保障要求企业信息安全保障能力评估方法根据业务信息安全风险分析的结论，对照企业信息安全保障要求评价企业现有信息安全管理措施和技术保障措施是否满足基本要求，是否能够有效控制业务信息安全风险。对标过程用户用户注册管理用户分级管理用户投诉管理信息内容管理信息内容管理技术手段建设信息传播方式管理信息搜索查询搜索引擎信息发布递送公众账号应用分发平台信息社区平台信息即时交互群组匿名、转发阅后即焚配合监管责任落实信息安全规则张贴与主动提示制度定位溯源管理用户实名制管理日志留存管理信息联动管理应急配合管理应急处置制度敏感用户监测制度应急处置技术能力业务应用信息安全保障要求（四）企业信息安全保障能力评估业务平台信息安全保障要求业务平台部署信息备案设施境内外分布资源调度资源实时监控违法信息监测处置日志留存用户接入资质审核信息备案用户分级管理开放接口数据安全保障要求个人数据安全用户信息收集保护用户信息存储保护用户信息使用保护用户信息转移保护业务平台信息安全保障要求及数据安全保障要求主要内容二、安全评估实施要求2三、安全评估方法33一、安全评估工作重要性及历程31四、典型评估案例4评估案例——翼信易信中国电信与网易于2013年8月19日宣布合资成立浙江翼信科技有限公司并发布一款新的移动即时通讯社交产品“易信”。网易科技发布数据显示，“易信”发布24小时之内,总用户量突破100万。2014年7月16日，易信发布《易信一亿用户白皮书》，正式对外宣布用户总数破亿。易信是全球首次电信运营商与互联网公司成立合资公司并合作打造移动即时通讯社交产品，浙江翼信科技有限公司注册资金两亿，中国电信占股73%，网易占27%。评估案例——翼信易信业务主要功能免费短信易信可以跨网给电信、移动、联通用户发送免费短信。电话留言易信可以跨网给电信、移动、联通的手机用户和固话用户发送电话留言。可用户可以通过朋友圈发表文字和图片，也可以对好友新发的照片进行“评论”或“喜欢”。朋友圈聊天可发送多媒体信息宽松的群聊人数限制：上限200人显示信息状态：消息“已读”状态显示语音连续播放：类VOIP公众平台易信用户通过建立公众账号，可以向订阅用户发布、传播信息和服务。打电话易信专线电话：免费呼叫全国任意手机和座机多人电话：向国内多个座机或手机号码发起多人通话国际漫游电话：可以通过易信向国内座机或手机号码业务特征及属性打通了移动互联网业务与传统电信业务的边界。基于兴趣、娱乐的社交功能易于快速建立交际圈。文本、语音、图片、视频等信息心态多媒体化。通过大力度免费策略吸引用户。高质量的语音通话，支持VOIP业务。易信作为一款移动互联网即时通信软件，同时具备通信属性、社交属性和媒体属性，并创新性地引入电信属性。评估案例——翼信易信评估案例——翼信易信易信容易成为发送垃圾短信和骚扰电话的工具和不良信息散播的新途径。由只要知道一个人的手机号，就可以随时用易信向对方的手机或座机打电话、发短信、语音留言，并且可以匿名留言。可能被利用来散布谣言、黄色、暴力、反动言论等不良违法信息，庞大的用户群体将导致影响范围更广，后果更严重。通过梳理易信业务的主要功能、业务特征及属性、业务定位，可以推断易信业务可能存在的信息安全问题集中在跨网的免费短信和电话留言、打电话功能，以及开放式的社交关系网。电信属性下的信息安全风险社交属性下的信息安全风险开放性设计难保用户隐私且易成为不良信息传播温床。易信1.0设计非常开放，主要体现在“好友推荐”、“评论可见”和“群组无上限”这几个方面。而这些开放式的设计存在损害用户个人隐私的风险。评估案例——翼信易信建议一企业应当对易信文本消息建立消息监测和过滤机制，及时发现、拦截文本消息中违规违法信息，并做好相关记录，形成监测日志。建议二对群组实行分级分类管理企业需根据群组人数、日发送消息数、是否曾发现不良信息等参数，对微信群组进行等级划分，并根据等级制定群组消息监测策略。对于高危群组，必要时需采取人工审核方式。建议三对关键业务策略开展深入评估企业需重点对跨网免费短信和电话留言功能、群组不设上限人数限制、好友添加无需验证策略等方面进行信息安全风险评估，依据评估结果完善相应的业务信息安全措施。建立文本消息消息监测和过滤机制措施建议感谢聆听！