互聯(lián)網(wǎng)信息服務(wù)安全評估方法研究

劉善武　于輝　李進(jìn)　孟繁瑞　童奕銘

摘? 要：互聯(lián)網(wǎng)信息服務(wù)安全評估是提升互聯(lián)網(wǎng)信息服務(wù)信息安全保障能力，防止或減少信息安全事件發(fā)生的有效手段。本文根據(jù)國家相關(guān)政策法規(guī)規(guī)定，通過對具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)的信息安全評估要素梳理、分析，并結(jié)合對評估要素關(guān)聯(lián)的信息安全風(fēng)險點(diǎn)的防范或處置探討，提出了互聯(lián)網(wǎng)信息服務(wù)安全評估工作指南，為具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估工作提供了針對性思路。

關(guān)鍵詞：輿論屬性;社會動員;信息服務(wù);信息安全評估

中圖分類號：TP309.2? ? 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2021）17-0149-03

Abstract： Internet information service security evaluation is an effective means to improve the information security guarantee ability of internet information service and prevent or reduce information security incidents. According to relevant policies and regulations， through combing and analyzing the information security evaluation elements of internet information services with public opinion attribute or social mobilization ability， and combined with the discussion on the prevention or disposal of information security risk points associated with the evaluation elements， this paper puts forward the work guide for internet information service security evaluation， and provides targeted ideas for the security evaluation of internet information services with the attribute of public opinion or social mobilization ability.

Keywords： public opinion attribute; social mobilization; information service; information security evaluation

0? 引? 言

當(dāng)前，互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)快速發(fā)展，并不斷呈現(xiàn)出云端化、智能化、移動化、平臺化、共享化等多方面特征。隨著互聯(lián)網(wǎng)新技術(shù)的不斷發(fā)展，隨之而來的各種網(wǎng)絡(luò)信息安全風(fēng)險不斷凸顯，互聯(lián)網(wǎng)技術(shù)在促進(jìn)經(jīng)濟(jì)社會發(fā)展和進(jìn)步的同時，也帶來了各類網(wǎng)絡(luò)信息安全事件，互聯(lián)網(wǎng)逐漸成為影響經(jīng)濟(jì)社會發(fā)展的重要變量[1]。同時，在云計(jì)算、區(qū)塊鏈、5G等新技術(shù)的推動下，依托互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)進(jìn)行惡意攻擊、病毒傳播、信息竊取的行為屢見不鮮，電信網(wǎng)絡(luò)詐騙、個人信息泄漏等安全事件也頻頻發(fā)生，給各行業(yè)帶來了重大的經(jīng)濟(jì)損失[2]。尤其新聞媒體類、通信群組社交類等具有較強(qiáng)輿論傳播屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)應(yīng)用，具有顯著的輿論屬性或社會動員能力，對經(jīng)濟(jì)發(fā)展和社會穩(wěn)定的影響程度更大，更容易產(chǎn)生不可控的信息安全風(fēng)險事件[3]。

對具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)開展信息安全評估，梳理、發(fā)現(xiàn)、分析被評估互聯(lián)網(wǎng)信息服務(wù)對象存在的信息安全風(fēng)險，根據(jù)評估要素情況和關(guān)聯(lián)的安全風(fēng)險防范處置措施，設(shè)計(jì)并提出合理的安全評估方法[4]。通過開展互聯(lián)網(wǎng)信息服務(wù)安全評估工作，可在源頭上減少互聯(lián)網(wǎng)信息服務(wù)中各種信息安全威脅事件的發(fā)生，在維護(hù)經(jīng)濟(jì)社會正常發(fā)展秩序的同時，推動互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)新應(yīng)用健康發(fā)展[5]。

1? 具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估

1.1? 政策依據(jù)

2018年11月15日，國家網(wǎng)信辦頒布《具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估規(guī)定》，對具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)的安全評估做出具體要求[6]。具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估（以下簡稱互聯(lián)網(wǎng)信息服務(wù)安全評估），應(yīng)當(dāng)對互聯(lián)網(wǎng)信息服務(wù)對象和新技術(shù)新業(yè)務(wù)新應(yīng)用的合法性，落實(shí)法律、行政法規(guī)、部門規(guī)章和標(biāo)準(zhǔn)規(guī)定的安全措施的有效性，防控安全風(fēng)險的有效性等情況進(jìn)行全面評估?；ヂ?lián)網(wǎng)信息服務(wù)提供者應(yīng)及時開展安全評估工作，嚴(yán)格落實(shí)有關(guān)政策要求，切實(shí)履行安全評估主體責(zé)任。

1.2? 評估方法

對于具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估，通過采用人員訪談、文檔資料核查、演示查看、測評驗(yàn)證等方法，對互聯(lián)網(wǎng)信息服務(wù)對象提供的信息安全管理制度文件資料的規(guī)范性、合理性進(jìn)行核查，對服務(wù)對象的信息安全技術(shù)保障手段的應(yīng)用情況等進(jìn)行驗(yàn)證，綜合分析研判該信息服務(wù)應(yīng)用可能存在的信息安全風(fēng)險，并提出整改建議或措施，推動互聯(lián)網(wǎng)信息服務(wù)健康發(fā)展。

人員訪談：即通過與服務(wù)對象信息安全主要負(fù)責(zé)人、業(yè)務(wù)產(chǎn)品經(jīng)理、項(xiàng)目經(jīng)理、技術(shù)負(fù)責(zé)人等業(yè)務(wù)干系人的訪談溝通，全面了解服務(wù)對象應(yīng)用的基本情況（包括業(yè)務(wù)概況、服務(wù)形式、技術(shù)原理、用戶規(guī)模等）、信息安全組織領(lǐng)導(dǎo)機(jī)構(gòu)設(shè)置、信息安全管理制度建設(shè)及落實(shí)情況等方面的情況，分析其存在的信息安全風(fēng)險因素。

文檔資料核查：即通過對服務(wù)對象信息安全管理制度文件制定、落實(shí)等方面的文件資料進(jìn)行核查，對照評估規(guī)范要求，梳理發(fā)現(xiàn)服務(wù)對象應(yīng)用在信息安全管理制度建設(shè)及制度實(shí)際執(zhí)行方面存在的風(fēng)險因素。

演示查看：即通過下載安裝服務(wù)對象應(yīng)用，采用測試賬號登錄使用的方式，對照評估規(guī)范要求，逐一對服務(wù)對象應(yīng)用的具體功能點(diǎn)進(jìn)行驗(yàn)證;對于后臺功能設(shè)置情況，如日志管理模塊設(shè)置、新聞采編審核模塊設(shè)置等，通過采用向服務(wù)對象應(yīng)用索取后臺訪問賬號進(jìn)行查看的方式，確認(rèn)分析服務(wù)對象應(yīng)用在信息安全技術(shù)保障措施方面的風(fēng)險因素。

測評驗(yàn)證：即通過網(wǎng)絡(luò)安全檢測工具，如滲透測試工具、基線檢測工具等對服務(wù)對象應(yīng)用進(jìn)行安全檢測，梳理發(fā)現(xiàn)該應(yīng)用在網(wǎng)絡(luò)安全方面的風(fēng)險因素。

1.3? 評估流程

互聯(lián)網(wǎng)信息服務(wù)安全評估主要包括：收集評估材料、信息安全管理制度評估、信息安全技術(shù)保障措施評估、現(xiàn)場檢查、出具初評報(bào)告、整改確認(rèn)和形成終評報(bào)告等六個階段。具體流程如圖1所示。

2? 具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估要素

具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)應(yīng)用大多具有注冊用戶量大、社交屬性強(qiáng)、信息傳播速度快等特點(diǎn)。在平臺信息內(nèi)容的生成、發(fā)布、傳播及違法信息處置方面容易產(chǎn)生不可控的信息安全事件。如圖2所示，互聯(lián)網(wǎng)信息服務(wù)應(yīng)用的評估要素主要包括機(jī)構(gòu)、平臺、內(nèi)容、用戶等四類，具體來講，可以將安全評估工作分為信息安全組織機(jī)構(gòu)設(shè)置、用戶信息管理、信息內(nèi)容管理、信息溯源管理、違法信息處置、投訴舉報(bào)及監(jiān)管部門支撐等方面的具體評估。

本文結(jié)合互聯(lián)網(wǎng)信息服務(wù)信息安全風(fēng)險點(diǎn)梳理情況，對上述各個具體評估項(xiàng)的評估要素進(jìn)行了分析，具體有以下幾點(diǎn)。

2.1? 信息安全組織機(jī)構(gòu)設(shè)置

信息安全組織機(jī)構(gòu)是企業(yè)或應(yīng)用處置信息安全風(fēng)險事件的管理和責(zé)任部門，負(fù)責(zé)指導(dǎo)企業(yè)開展信息安全風(fēng)險梳理、事件處置、安全自評估等工作，在頂層機(jī)構(gòu)設(shè)置方面為企業(yè)應(yīng)對信息安全風(fēng)險提供了保障。在信息安全組織機(jī)構(gòu)設(shè)置中，應(yīng)明確信息安全管理負(fù)責(zé)人、專職機(jī)構(gòu)名稱、信息審核人員配備情況等。

2.2? 用戶信息管理

用戶是互聯(lián)網(wǎng)信息服務(wù)的核心要素。做好用戶信息管理工作，能夠降低信息安全風(fēng)險，保障企業(yè)或應(yīng)用信息安全風(fēng)險可控。用戶信息管理分為用戶注冊真實(shí)身份核驗(yàn)和用戶個人信息保護(hù)兩個方面，具體包括用戶信息審核管理及用戶個人信息保護(hù)制度、用戶隱私協(xié)議簽訂、用戶注冊審核技術(shù)及用戶個人信息保護(hù)技術(shù)手段建設(shè)情況等。

2.3? 信息內(nèi)容管理

信息內(nèi)容管理是具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)加強(qiáng)信息安全風(fēng)險保障的重要舉措。通過制定符合互聯(lián)網(wǎng)信息服務(wù)應(yīng)用的信息內(nèi)容安全管理制度及策略，明確信息內(nèi)容安全審核過濾標(biāo)準(zhǔn)和信息發(fā)布流程，形成覆蓋文字、圖片、音頻、視頻等多種內(nèi)容格式的信息內(nèi)容安全管理技術(shù)手段，降低信息安全風(fēng)險事件發(fā)生概率。

2.4? 信息溯源管理

有效的信息溯源管理是保障應(yīng)用信息安全風(fēng)險可控的關(guān)鍵。信息溯源管理主要包含信息溯源管理制度、日志存儲管理制度、信息溯源技術(shù)手段及日志管理技術(shù)手段等，通過對用戶賬號、操作時間、操作類型及發(fā)布信息的日志信息記錄情況，結(jié)合信息溯源相關(guān)制度及技術(shù)手段，實(shí)現(xiàn)對應(yīng)用中相關(guān)信息的高效溯源。

2.5? 違法信息處置

具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)建立違法信息處置機(jī)制，并配備有技術(shù)措施。通過明確違法信息檢測、處置制度、處置標(biāo)準(zhǔn)并配置相應(yīng)的技術(shù)手段實(shí)現(xiàn)，在發(fā)生違法信息傳播時能第一時間進(jìn)行處置。

2.6? 投訴舉報(bào)及監(jiān)管部門支撐

投訴舉報(bào)和監(jiān)管部門支撐主要體現(xiàn)了具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)在配合社會治理方面的相關(guān)要求。在投訴舉報(bào)方面，應(yīng)明確投訴舉報(bào)制度、投訴流程、處理時效等相關(guān)制度規(guī)定和技術(shù)保障措施;在監(jiān)管部門支撐方面，應(yīng)明確為監(jiān)管部門提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機(jī)制設(shè)置及技術(shù)保障手段建設(shè)情況，有效保障信息安全。

3? 具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估指南

本文結(jié)合具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估要素情況，形成了具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)的安全評估指南，涵蓋了安全評估中信息安全組織機(jī)構(gòu)設(shè)置、信息安全管理制度建設(shè)、信息安全技術(shù)措施應(yīng)用等方面的工作要求，具體包括信息安全管理制度評估指南、信息安全技術(shù)保障措施評估指南等2個細(xì)分評估指南表，如表1、表2所示。

4? 結(jié)? 論

做好具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估工作，對于維護(hù)網(wǎng)絡(luò)信息安全，推動經(jīng)濟(jì)社會發(fā)展具有重要意義。本文通過對具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)的信息安全評估要素梳理、分析，并結(jié)合對信息安全風(fēng)險點(diǎn)的處置，提出了安全評估方法，對于提升互聯(lián)網(wǎng)信息服務(wù)安全保障水平具有重要意義。

參考文獻(xiàn)：

[1] 黎艷青，張賀勛，陳遠(yuǎn)平，等.互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估 [J].電子技術(shù)與軟件工程，2017（24）：11-12.

[2] 邱嵐，譚彬，陸松.互聯(lián)網(wǎng)大時代安全風(fēng)險評估研究與實(shí)踐 [J].信息安全與技術(shù)，2015，6（5）：52-55.

[3] 車力軍.新技術(shù)新業(yè)務(wù)信息安全評估的創(chuàng)新實(shí)踐探析 [J].互聯(lián)網(wǎng)天地，2015（3）：73-75.

[4] 陳湉.互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估方法初探 [J].電信網(wǎng)技術(shù)，2016（2）：20-23.

[5] 工業(yè)和信息化部.互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估指南：YD/T 3169-2020 [S].北京：人民郵電出版社，2020.

[6] 中國網(wǎng)信網(wǎng).具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估規(guī)定 [R/OL].（2018-11-15）.http：//www.cac.gov.cn/2018-11/15/c_1123716072.htm.

作者簡介：劉善武（1965.11—），男，漢族，山東平原人，高級工程師，碩士，研究方向：信息安全、安全評估;通訊作者：于輝（1986.10—），男，漢族，山東濟(jì)南人，高級工程師，碩士，研究方向：信息安全、大數(shù)據(jù)。