寇金鋒 張?jiān)朴?陶 冶 劉 鏑 閆 碩

1 北京郵電大學(xué) 北京 100876

2 中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司 北京 100033

3 中國(guó)聯(lián)通研究院 北京 100176

引言

伴隨著信息通信產(chǎn)業(yè)的快速發(fā)展，各種方便快捷的互聯(lián)網(wǎng)應(yīng)用正以前所未有的速度改變著當(dāng)今社會(huì)的生產(chǎn)生活方式。與此同時(shí)，基于互聯(lián)網(wǎng)的信息安全風(fēng)險(xiǎn)也隨之誕生，數(shù)據(jù)泄密、電信詐騙、病毒攻擊等安全事件頻發(fā)且愈演愈烈，對(duì)用戶利益、社會(huì)穩(wěn)定乃至國(guó)家安全產(chǎn)生了嚴(yán)峻威脅。

2016年8月，由移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室組成的專門檢測(cè)團(tuán)隊(duì)，對(duì)88個(gè)互聯(lián)網(wǎng)金融類移動(dòng)APP進(jìn)行了深入測(cè)試，發(fā)現(xiàn)了包括信息數(shù)據(jù)明文發(fā)送、通信數(shù)據(jù)可解密、敏感數(shù)據(jù)本地可破解、調(diào)試信息泄露、敏感信息泄露、密碼學(xué)誤用、功能泄露、可二次打包、可調(diào)試、代碼可逆向等十大安全隱患。

面對(duì)如此嚴(yán)峻的安全形勢(shì)，為了進(jìn)一步促進(jìn)互聯(lián)網(wǎng)行業(yè)健康有序發(fā)展，維護(hù)國(guó)家安全和社會(huì)穩(wěn)定，保障用戶合法權(quán)益，加強(qiáng)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全管理，工業(yè)和信息化部出臺(tái)了《互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估管理辦法》[1]，要求對(duì)有可能引發(fā)信息安全風(fēng)險(xiǎn)，對(duì)國(guó)家安全、社全穩(wěn)定和用戶權(quán)益產(chǎn)生重要影響的互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)組織開展安全評(píng)估[2-5]。其中新技術(shù)新業(yè)務(wù)具體指各電信企業(yè)(含互聯(lián)網(wǎng)企業(yè))提供的具有新功能或新使用價(jià)值的技術(shù)業(yè)務(wù)，包括未上線新技術(shù)新業(yè)務(wù)、新上線新技術(shù)新業(yè)務(wù)(一年內(nèi))以及已有技術(shù)業(yè)務(wù)的新增功能。

1 安全評(píng)估介紹

互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評(píng)估(以下簡(jiǎn)稱“安全評(píng)估”)是指運(yùn)用科學(xué)的方法和手段，系統(tǒng)地識(shí)別和分析互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用等可能引發(fā)的信息安全風(fēng)險(xiǎn)，評(píng)估信息安全事件一旦發(fā)生可能造成的危害程度，評(píng)估企業(yè)配套的信息安全保障能力是否能夠?qū)L(fēng)險(xiǎn)控制在可接受的水平，提出有針對(duì)性的預(yù)防信息安全事件發(fā)生的管理對(duì)策和安全措施，為最大限度地保障互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用的信息安全提供科學(xué)依據(jù)[1，6]。

安全評(píng)估的對(duì)象是基礎(chǔ)電信企業(yè)及增值電信企業(yè)運(yùn)營(yíng)的互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)或應(yīng)用，當(dāng)滿足以下任一情況時(shí)應(yīng)及時(shí)啟動(dòng)安全評(píng)估[1，6]。

1)互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)或應(yīng)用上線前(含合作推廣、試點(diǎn)、試商用)；

2)互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)或應(yīng)用在運(yùn)營(yíng)階段出現(xiàn)基礎(chǔ)資源配置、技術(shù)實(shí)現(xiàn)方式、業(yè)務(wù)功能或用戶規(guī)模等發(fā)生較大變化時(shí)；

3)應(yīng)行業(yè)主管部門要求，或行業(yè)主管部門規(guī)定的其他情況。

其中基礎(chǔ)資源配置發(fā)生較大變化是指IP地址、域名等網(wǎng)絡(luò)資源的分配方式發(fā)生較大變化；技術(shù)實(shí)現(xiàn)方式發(fā)生較大變化是指采用新技術(shù)、或技術(shù)升級(jí)改造、或網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生較大變化、或網(wǎng)絡(luò)設(shè)備升級(jí)改造等情況；業(yè)務(wù)功能發(fā)生較大變化是指互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用的信息產(chǎn)生方式、傳播渠道、傳播方式發(fā)生較大變化等情況；用戶規(guī)模發(fā)生較大變化包括互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用的用戶數(shù)量發(fā)生較大變化，或接入網(wǎng)站的數(shù)量發(fā)生較大變化。

2 安全評(píng)估實(shí)施過程

如圖1所示，互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評(píng)估過程的實(shí)施，主要分為四個(gè)階段：1)成立業(yè)務(wù)安全評(píng)估小組；2)對(duì)業(yè)務(wù)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估；3)對(duì)企業(yè)進(jìn)行安全保障能力評(píng)估；4)進(jìn)行安全評(píng)估總結(jié)。

2.1 成立業(yè)務(wù)安全評(píng)估小組

根據(jù)業(yè)務(wù)具體情況，由業(yè)務(wù)相關(guān)部門共同選派人員組成安全評(píng)估小組，負(fù)責(zé)整個(gè)安全評(píng)估過程的實(shí)施，并出具最后的安全評(píng)估結(jié)論。一般情況下，安全評(píng)估小組成員包括但不限于以下部門：業(yè)務(wù)開發(fā)部門、業(yè)務(wù)運(yùn)營(yíng)維護(hù)部門、市場(chǎng)部、客服部、第三方合作單位等。

2.2 業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估

圖1 互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評(píng)估流程圖

業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估分兩步進(jìn)行：首先，由業(yè)務(wù)部門準(zhǔn)備業(yè)務(wù)相關(guān)材料；然后，召開安全評(píng)估會(huì)議，由安全評(píng)估小組共同討論，對(duì)業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行研判。一般情況下，需要準(zhǔn)備的業(yè)務(wù)材料包括但不限于：1)業(yè)務(wù)基本情況，包括業(yè)務(wù)功能、技術(shù)實(shí)現(xiàn)方式、市場(chǎng)發(fā)展情況等；2)企業(yè)安全保障情況，包括制度管理文件、日常保障機(jī)制、應(yīng)急保障機(jī)制等。

根據(jù)業(yè)務(wù)具體情況，安全評(píng)估小組制定與業(yè)務(wù)相適用的安全評(píng)估體系，重點(diǎn)評(píng)估業(yè)務(wù)應(yīng)用安全、業(yè)務(wù)平臺(tái)安全、業(yè)務(wù)運(yùn)行安全三方面的信息安全風(fēng)險(xiǎn)。其中業(yè)務(wù)應(yīng)用安全主要關(guān)注用戶、信息內(nèi)容、信息載體、信息生成、信息傳播、信息接收、信息留存等方面。業(yè)務(wù)平臺(tái)安全主要關(guān)注設(shè)備位置分布、資源調(diào)度方式、開放接口等方面。業(yè)務(wù)運(yùn)行安全主要關(guān)注個(gè)人信息安全、業(yè)務(wù)邏輯安全、邏輯信息管理安全等方面。具體見表1～表3中所示。

2.3 企業(yè)安全保障能力評(píng)估

針對(duì)每一項(xiàng)評(píng)估指標(biāo)，安全評(píng)估小組通過文檔分析、人員訪談、系統(tǒng)測(cè)試等方式深入了解業(yè)務(wù)實(shí)際情況，分析研判可能存在的信息安全風(fēng)險(xiǎn)。最后，安全評(píng)估小組對(duì)所有的信息安全風(fēng)險(xiǎn)進(jìn)行匯總，形成業(yè)務(wù)安全風(fēng)險(xiǎn)分析報(bào)告。

表1 業(yè)務(wù)應(yīng)用安全風(fēng)險(xiǎn)評(píng)估指標(biāo)

表2 業(yè)務(wù)平臺(tái)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)

表3 業(yè)務(wù)運(yùn)行安全風(fēng)險(xiǎn)評(píng)估指標(biāo)

企業(yè)安全保障能力評(píng)估重點(diǎn)研判企業(yè)配備的安全保障機(jī)制是否充分，是否能夠滿足業(yè)務(wù)應(yīng)用安全保障基線、業(yè)務(wù)平臺(tái)安全保障基線、業(yè)務(wù)運(yùn)行安全保障基線三方面的要求。具體見表4～表6中所示。

針對(duì)每一項(xiàng)評(píng)估指標(biāo)，安全評(píng)估小組通過文檔分析、人員訪談、系統(tǒng)測(cè)試等方式深入了解企業(yè)安全保障情況，分析研判企業(yè)保障措施是否能夠有效降低信息安全風(fēng)險(xiǎn)。最后，安全評(píng)估小組對(duì)企業(yè)安全保障能力進(jìn)行分析匯總，形成報(bào)告。

表4 業(yè)務(wù)應(yīng)用安全保障基線評(píng)估指標(biāo)

表5 業(yè)務(wù)平臺(tái)安全保障基線評(píng)估指標(biāo)

表6 業(yè)務(wù)運(yùn)行安全保障基線評(píng)估指標(biāo)

2.4 安全評(píng)估總結(jié)

安全評(píng)估小組基于業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估中識(shí)別出的信息安全風(fēng)險(xiǎn)，結(jié)合企業(yè)安全保障情況，分析判斷企業(yè)安全保障能力是否能夠使業(yè)務(wù)安全風(fēng)險(xiǎn)可管可控。如果認(rèn)為企業(yè)安全保障能力缺失或不足，應(yīng)作出分析和建議，為企業(yè)防范和整改提供參考。

3 電信運(yùn)營(yíng)商應(yīng)對(duì)策略及建議

互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)引發(fā)的信息安全風(fēng)險(xiǎn)日益突出，這對(duì)于目前正在勇敢嘗試互聯(lián)網(wǎng)化[7-10]的電信運(yùn)營(yíng)商來(lái)說，是一件非常嚴(yán)峻的挑戰(zhàn)。為防范互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全風(fēng)險(xiǎn)，保障互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)健康有序發(fā)展，進(jìn)一步推進(jìn)企業(yè)互聯(lián)網(wǎng)化進(jìn)程，電信運(yùn)營(yíng)商應(yīng)高度重視互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評(píng)估工作，具體策略及建議如下。

1)建立健全安全評(píng)估管理體系。電信運(yùn)營(yíng)商應(yīng)建立健全新技術(shù)新業(yè)務(wù)安全評(píng)估管理體系，完善安全評(píng)估管理辦法和實(shí)施細(xì)則，使安全評(píng)估工作逐步制度化、規(guī)范化；建立新業(yè)務(wù)“未評(píng)估通過不得上線”的保障機(jī)制，以及存量業(yè)務(wù)定期核查機(jī)制；將安全評(píng)估工作納入企業(yè)績(jī)效考核，完善安全評(píng)估工作獎(jiǎng)懲機(jī)制。

2)加快安全評(píng)估隊(duì)伍建設(shè)。電信運(yùn)營(yíng)商應(yīng)加快安全評(píng)估隊(duì)伍建設(shè)，設(shè)置安全評(píng)估專崗，統(tǒng)籌負(fù)責(zé)安全評(píng)估工作；組建安全評(píng)估專家?guī)欤瑑?chǔ)備高級(jí)人才，支撐重大事件及決策；定期組織培訓(xùn)，加快安全評(píng)估人員整體能力提升。

3)推進(jìn)安全評(píng)估技術(shù)創(chuàng)新。電信運(yùn)營(yíng)商應(yīng)在安全評(píng)估重點(diǎn)技術(shù)領(lǐng)域開展研究和創(chuàng)新實(shí)踐，如用戶真實(shí)身份鑒別技術(shù)、用戶信息加密技術(shù)、違法信息監(jiān)測(cè)處置技術(shù)、資源實(shí)時(shí)監(jiān)控技術(shù)等。

4)加強(qiáng)行業(yè)合作和共享?；ヂ?lián)網(wǎng)新技術(shù)新業(yè)務(wù)具有一定程度的相似性，電信運(yùn)營(yíng)商應(yīng)加強(qiáng)與互聯(lián)網(wǎng)企業(yè)的合作共享，在技術(shù)創(chuàng)新、管理創(chuàng)新、風(fēng)險(xiǎn)研判、人才交流等方面開展交流合作。

4 結(jié)束語(yǔ)

本文重點(diǎn)關(guān)注互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評(píng)估工作，介紹了安全評(píng)估工作的整體情況和實(shí)施流程，希望可以為相關(guān)工作提供借鑒。

由于互聯(lián)網(wǎng)技術(shù)發(fā)展迅速，新技術(shù)新業(yè)務(wù)更新頻繁，本文所提安全評(píng)估實(shí)踐將來(lái)難免會(huì)存在一定的局限性，希望相關(guān)工作人員能夠結(jié)合最新技術(shù)和最新實(shí)踐，綜合研判業(yè)務(wù)安全風(fēng)險(xiǎn)、及企業(yè)安全保障能力，持續(xù)推動(dòng)互聯(lián)網(wǎng)新業(yè)務(wù)健康有序發(fā)展。