文章目录
互联网新技术新业务是近几年国家规定的一项安全评估, 类似于等级保护测评、信息安全风险评估,但目前来说管理力度没有前两项那么强,暂时也没有提出不做企业会受到什么惩罚。
接下来,就《YD/T 3169-2016 互联网新技术新业务信息安全评估指南》做一个简单的解读介绍。
本标准只是互联网新技术新业务标准系列的其中一部,具体还有以下几部,本部主要在解说安全评估项。
开篇规定范围,仅限于公众互联网的新技术新业务,也是为第三方评估单位指定了方向,目前的第三方评估单位还未有相关的资质出现,但中国互联网协会联合21家公司签署了《互联网新技术新业务安全评估第三方服务自律公约》。
新技术新业务着重点在于业务,主打为类似三大运营商这些互联网新型业务,所以标准中也详细标明了目的以及用途,同时明确评估对象为是基础电信企业及增值电信企业(含三网融合涉及的广电企业)运营的互联网技术、业务或应用。
安全评估启动条件主要有三条,一是符合上述要求的企业每一年都需要做一次新技术新业务评估,其二为有大型功能变化时,比如某公司新上线一个直播功能或者一个业务办理功能,也需要重新做新技术新业务评估,三是主管部门要求规定你这家公司现在就得做。
大致的实施流程跟等保、风评差不多,也是三个阶段,准备实施还有总结,但是具体的实施(相关评估项不同,下面具体会说到)可能略有不同。评估方法多出了一个会议质询。
报告的报备要求规定了时间和备案部门,具体的报告格式在附录中也有体现。
安全评估思路:提出了本标准的重点——互联网新技术新业务评估主要分为两大重点,业务安全风险评估和企业安全保障能力。这也可以令我们所知道,在双新的安全评估中,更加侧重于业务安全,当评完业务安全风险评估后,再由企业安全保障能力去减低风险度,去得到该业务的最终业务风险。
业务安全风险评估的实施需要使用业务安全风险评估模型,而业务安全风险评估又分为两部分:业务应用安全、业务平台安全。这两个层面共提出11个模块,更加直观地体现双新评估主要体现于业务安全,技术方面稍弱。
评估人员使用业务安全风险评估模型时,可以根据被评估业务的具体情况,识别业务对应于每个评估模块是否存在相应的信息安全风险。此外,还应视具体情况,识别业务是否存在特殊的信息安全风险。
以下为主要11个评估项,首先是业务应用安全的7个评估模块。
业务应用安全七大模块主要围绕违法信息传播(传播的公共信息)这一核心去评判风险高低,基数大、传播速度快、内容多元监测困难化这些都是因为违法信息传播难以掌控导致风险系数大。
用户主要关注用户规模、用户类型、用户相关性、用户身份信息真实性等.
①用户规模对应用户数量。数量越大,风险越高,在实施要求中规定是用户数量>100w的话,属于高风险。
②用户类型对应用户属性特点,用户是否有相同点。比如说用户属于同一块地域范围或者是儿童、青少年,该业务用户类型比较有针对性的话那便是属于高风险。
③用户相关性对应用户之间的紧密联系程序,取决于用户线下是否经常联系,是不是熟人。如果线下也相识的话,那么风险也是比较高的。
④用户身份信息真实性对应用户在使用业务时是否已完成实名制,或者提交相关****资料,如果没有的话,那风险也是属于高风险。
信息内容主要关注公共信息内容的可审核性、多样性和相关性。
①信息内容的可审核性对应违法信息的识别处置能力。企业是否有对公共信息进行监测处理。
②信息内容多样性主要是指信息内容主题类别数量,如果涉及的主题多元化,那么违法信息的鉴别便困难度增大,风险就高。
③信息内容相关性是指信息内容是否联系紧密,如果只是围绕几个主题,如果主题中存在违法信息的话,传播速度快,风险就高。[M1]
这两者是不相关的,涉及的也不一样。多样性高风险而相关性不一定高风险,主要取决于业务自身的功能模板。
信息载体包括信息呈现方式、语言类型。
①信息呈现方式对应用户可以看到该业务的信息为文本、图片、视频、音频或者二维码等,如果涉及到图片以上比较复杂的话,系统对违法信息的识别就比较困难,则为高风险。
②语言类型简单理解就是中、英或者小语种。如果包含小语种的话,就识别起来困难,风险就高。
信息生成对应信息的产生方式,主要包括用户生成,第三方提供或者业务运营企业自主控制,如果存在多种产生方式,信息来源不唯一,违法信息的处置能力更大。
信息传播主要关注信息流动方向、信息传播方式、通信媒介、信息传递实时性等。
①信息传播方式包括了点对点、点对多点(如公众平台)、多点对多点(如群组聊天)、以及病毒裂变式传播(如微博客)等。除了点对点的传播方式之外,其他传播方式都会加大违法信息传播扩散度,风险也就增加。
②通信媒介考虑企业是否跨平台、跨网络传输,比如IPTV业务涉及双网传输,就是网络电视,计算机、智能手机或者机顶盒+电视机都可以进行网络电视观看,实时性强,增加违法信息快速识别和处置的工作难度。
③信息传递实时性在于用户是否能够实时获取信息,比如视频直播,或者电台实时广播,信息的传播速度快,风险就高。
信息接收对应的是信息的收取方式,是由业务主动推送[M2]还是由用户自动获取,主动推送会增加违法信息传播的速度,导致风险增高。
信息留存关注的是业务系统中传输的公共信息内容和用户使用业务行为的日志记录,日志留存要达到国家法律要求为180天,公共信息内容则保留即可。
其次为业务平台安全有四大模块,包括设备地理位置、资源调度方式、业务合作、开放接口
设备地理位置主要是对应业务的服务器、机房或者节点的地理位置,如果有存放在境外,存在境内外数据传输的话,容易引起数据泄露,那么风险将会增大。
资源调度方式是指业务系统的计算资源、存储资源、带宽资源、IP地址及域名资源的调度方式,主要是指云服务或者虚拟化,或者IP存储是否采用CDN技术等,这点也会增加违法信息的传播。
这一项是指企业是否跟其他企业存在该业务合作关系,合作方式是否合规合理,合作企业的信息安全管理工作是否落实,有所保障。如果都没有的话,那么这一项也为高风险项。标准中提到的IPTV业务如果没有强有力的电信企业保障的话,便会影响信息的安全传输。
开放接口是指业务系统为第三方提供的标准API接口。一般来说如果涉及到开放API接口的话,会涉及到信息内容交互,会增加违法信息传播风险,如果未能做好权限管理或者安全审计的话,会影响到业务安全。
总的来说,便是这十一项都是为公司的业务安全做保障,如果存在的风险系数高,则很有可能造成业务瘫痪,新技术新业务的评估则是在事故发生前做好预防的准备,将该修补的漏洞整改,促进业务链的顺利运行实施,保障企业业务高效运转。
企业安全保障能力是企业通过自身风险建立的一套防线。比如该业务用户基数大,但是企业设置了多种身份鉴别模式,有效降低了违法信息传播风险。
这一点也有明确规范是否有安全责任人,专职安全部门(促进了安全行业的发展),是否落实完善信息安全管理制度,要有匹配的专职人员以及7*24小时应急联系人(这一点在应急措施是必备的),要建立新技术新业务评估制度,推动企业响应自评估,同时提出自评估报告上交部门为行业主管部门。
然后根据上面的业务应用安全和业务平台安全进行采取措施进行安全保障。
首先是业务应用安全保障基线要求。
1. 用户
普通账号身份验证中主要采用短信验证码验证、邮箱验证等措施进行用户****鉴别,公众账号的话涉及到该业务是否有公众账号这一方面,有的话还需要组织机构信息。
注册信息审核包含账号名称、头像和简介等注册信息不得含有违法信息。主要查看企业是否进行注册信息审核,上传头像是否有相关审核。
2. 信息内容管理
该项指出是否有后台监测公共违法信息内容,留存日志是否有180天(这是《国家,是否有定期更新违法信息样本库。
3. 信息搜索功能管理
对于此项为业务有相关搜索功能时,进行违法信息检索,是否有非法信息关键字。比如在某搜索引擎上搜索“垃圾、色情”或者等其他带有政治性色彩的文字皆为不允许显示,同时后台保存信息。
4. 信息发布递送功能管理
这一点对应的是此业务是否有包含公众账号,有的话也需要进行公共信息内容进行违法信息监控,如果没有公众账号那么这一项可忽略。
5. 信息社区平台功能管理
取决于是否业务平台是否可以进行转发、评论、跟帖、跨平台分享等功能。
6. 应用分发平台功能管理
对于这一点,主要是针对此业务为应用商城、应用助手这一类业务的管理,包括应用开发者与应用程序两个方面的管理。
7. 信息即时交互功能管理
这一点是指是否有包含群组聊天、匿名发送信息、信息销毁、信息转发等功能,有的话则涉及这一项,需要企业建立相关的管理制度。
8. 安全规则张贴与主动提示
主要是体现是否在用户注册、业务办理等关键环节有主动提示相关隐私政策或者用户个人信息保护协议,还要有用户主动勾选同意隐私政策这一方面的要求。这一点在现在很多法律法规、行业标准都有体现,包括用户个人信息保护这些。
9. 溯源管理
也就是用户信息变更以及日志留存的一些行为,像今年国内某公司的游戏未能及时进行用户信息留存,在遭遇到网络攻击之后只得重回昨天的记录,损失惨重。
用户日志也包括用户行为日志、系统安全事件日志等,只要是日志就都得备份留存。
10. 信息联动管理
主要是指企业是否能进行信息联动、跨平台分享等功能,比如我转发了一条链接到微信或者QQ,然后这条链接涉及违法信息,该业务是否能够及时切断在这条链接的来源,在各大平台就不可见了,那么就是该企业能够进行信息联动管理。
11. 应急处置
企业需要制定应急预案,其中包含应急工作机制、实时流程、应急领导责任人以及其他联系人,必须要有7*24联系方式,这一部分也被细节化、规范化。
对应业务平台安全,企业所采取的保障措施。
1. 业务平台部署
业务平台部署分信息备案和设施分布,企业需要将机房、节点、IP地址等均进行信息备案,结合以上设备地理位置项,企业需要明确机房、节点等得具体位置,以及业务的设施是否涉及境外分布。
2. 资源调度
同样,这一部分要求企业对业务的资源进行实时监控,包括CPU、存储、IP地址等实时监控并留存日志,如果有涉及API接口的话还要提供相关的接口。对于违法信息的监测处置是需要明确相关的管理制度和技术手段,也要留存日志,对于上述的其他类型日志皆需留存180天,而且日志是不允许被增删覆盖的。
从网络安全法中也可以理解到日志的重要性,对于企业事后溯源等方面有着举足轻重的地位。
3. 用户接入要求
企业需要明确业务是否有用户接入网功能。
如有,才会涉及此项。
这一部分已经是2016年就已经开始在实施了,不过这两年来更加重视,行业主管部门正引领着信息安全企业一步一步去落实,去实施。所以对于安全从业者来说也是个机遇,猜测2020年或许会有动作。
*本文原创作者:咸味奶黄豆沙包,本文属于FreeBuf原创奖励计划,未经许可禁止转载