互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估方法初探

陳　湉　中國信息通信研究院安全研究所工程師

互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估方法初探

陳湉中國信息通信研究院安全研究所工程師

當(dāng)前，互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用呈現(xiàn)出紛繁多樣的發(fā)展態(tài)勢，迸發(fā)出亙古未有的創(chuàng)新活力，引領(lǐng)著新一代信息技術(shù)產(chǎn)業(yè)變革，創(chuàng)造出絢麗多彩的互聯(lián)網(wǎng)生態(tài)文明。我國互聯(lián)網(wǎng)得以把握創(chuàng)新浪潮，實現(xiàn)了高速發(fā)展，并向著更廣應(yīng)用、更深融合的方向快速邁進(jìn)。與此同時，互聯(lián)網(wǎng)的快速發(fā)展創(chuàng)新及持續(xù)增強(qiáng)的輿論影響能力和社會動員能力也對我國信息安全管理、社會管理和國家安全帶來巨大挑戰(zhàn)。互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估就是為了應(yīng)對上述調(diào)整的一次創(chuàng)新嘗試。本文首先分析了開展安全評估的積極意義，與現(xiàn)有信息安全風(fēng)險評估體系的區(qū)別和聯(lián)系，然后重點從評估要素、流程、風(fēng)險模型方面闡述了安全評估方法，以期對安全評估實踐的開展提供初步的理論支撐。

互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)；安全評估；評估方法

1　引言

互聯(lián)網(wǎng)已成為全球戰(zhàn)略性公共基礎(chǔ)設(shè)施，在我國經(jīng)濟(jì)發(fā)展、社會管理、公共服務(wù)、文化傳播和對外開放中發(fā)揮著不可替代的作用。當(dāng)前，互聯(lián)網(wǎng)技術(shù)業(yè)務(wù)呈現(xiàn)融合化、移動化、社交化、平臺化、多媒體化、云端化等爆炸式發(fā)展創(chuàng)新態(tài)勢，向更深交融、更廣交互、更寬滲透、更高智能的方向發(fā)展，不斷開辟著互聯(lián)網(wǎng)發(fā)展的新應(yīng)用、新模式、新市場和新空間。

機(jī)遇與挑戰(zhàn)并存。互聯(lián)網(wǎng)在迸發(fā)出創(chuàng)新活力，不斷向經(jīng)濟(jì)社會方方面面深度滲透的同時，也帶來了前所未有的安全挑戰(zhàn)。當(dāng)前，網(wǎng)絡(luò)與信息安全問題不僅是影響互聯(lián)網(wǎng)發(fā)展的主要因素，更是事關(guān)國家安全、政權(quán)安全和國家發(fā)展，事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題。“斯諾登”事件后，各國紛紛意識到網(wǎng)絡(luò)安全對本國利益的重要性，網(wǎng)絡(luò)空間制網(wǎng)權(quán)的爭奪愈發(fā)激烈。以5G、工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)為代表的新一代互聯(lián)網(wǎng)技術(shù)，微博、微信等為代表的新技術(shù)新應(yīng)用改變了傳統(tǒng)的信息流動模式，進(jìn)一步加劇了信息傳播的多屬性，對我國信息安全管理、社會管理和國家安全帶來了全新的挑戰(zhàn)。

面對新的形勢，傳統(tǒng)的“救火隊員”式的安全應(yīng)急處置管理模式已經(jīng)難以適應(yīng)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)新應(yīng)用創(chuàng)新發(fā)展的步伐。為了實現(xiàn)“信息安全風(fēng)險提前預(yù)判，安全防護(hù)措施提前部署”的保障目標(biāo)，建立互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估機(jī)制至關(guān)重要，開展互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)發(fā)展趨勢的動態(tài)跟蹤，及時評估信息安全風(fēng)險，提前預(yù)警，提前防范，對凈化網(wǎng)絡(luò)環(huán)境、促進(jìn)互聯(lián)網(wǎng)持續(xù)健康發(fā)展、維護(hù)國家安全具有重要意義。

此外，實踐互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估也是順應(yīng)國家與黨中央關(guān)于互聯(lián)網(wǎng)行業(yè)“簡政放權(quán)”、“寬進(jìn)嚴(yán)管”的深化改革大背景。

2　安全評估與信息安全風(fēng)險評估的關(guān)系

實際上，信息安全風(fēng)險評估的概念提出由來已久，已經(jīng)發(fā)展出完整的理論體系和技術(shù)標(biāo)準(zhǔn)體系。國際上，ISO27000系列標(biāo)準(zhǔn)是國際公認(rèn)的構(gòu)建信息安全管理體系的基礎(chǔ)標(biāo)準(zhǔn)。我國也在2007年發(fā)布國家標(biāo)準(zhǔn)《GB/T 20984-2007信息安全風(fēng)險評估規(guī)范》。在這些成熟的信息安全風(fēng)險評估理論體系中，信息安全風(fēng)險評估被定義為是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。

可以認(rèn)為已有的信息安全風(fēng)險評估是以信息系統(tǒng)為核心開展評估的。但是新一代信息通信技術(shù)的應(yīng)用普及、各類互聯(lián)網(wǎng)創(chuàng)新應(yīng)用和服務(wù)引發(fā)的非傳統(tǒng)信息安全問題層出不窮，已經(jīng)不能依靠傳統(tǒng)的信息安全風(fēng)險評估解決，需要針對這些互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)的功能、屬性、應(yīng)用場景進(jìn)行分析評估，挖掘潛在的危害用戶合法權(quán)益、國家安全和社會穩(wěn)定的非傳統(tǒng)安全威脅，這才是互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估承擔(dān)的使命。

因此，有別于已有的信息安全風(fēng)險評估體系，互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估的核心是圍繞互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)的功能實現(xiàn)，向業(yè)務(wù)系統(tǒng)和數(shù)據(jù)擴(kuò)展，開展評估，與基于信息系統(tǒng)的信息安全風(fēng)險評估互為補(bǔ)充，共同實現(xiàn)對傳統(tǒng)和非傳統(tǒng)信息安全威脅的積極防范。

3　安全評估的方法

互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估本身也是一項創(chuàng)新性的工作，為了能夠科學(xué)、規(guī)范地的開展安全評估實踐，也需要相關(guān)的評估理論進(jìn)行支撐，首當(dāng)其沖的就是評估方法。在研究評估方法之前，還需再一次明確安全評估的目標(biāo)：進(jìn)一步加強(qiáng)互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用的信息安全管理，提早防范潛在信息安全風(fēng)險，提早部署安全保障措施，促進(jìn)互聯(lián)網(wǎng)創(chuàng)新健康發(fā)展。在目標(biāo)明確的基礎(chǔ)上，本文給出了互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估的定義：系統(tǒng)地識別和分析互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用可能引發(fā)的信息安全風(fēng)險，評估信息安全事件一旦發(fā)生可能造成的危害程度，評估企業(yè)配套的信息安全保障能力是否能夠?qū)L(fēng)險控制在可接受的水平，提出有針對性的預(yù)防信息安全事件發(fā)生的管理對策和安全措施，為最大限度地保障互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用的信息安全提供科學(xué)依據(jù)。本文將從評估要素、評估流程、風(fēng)險評估模型3個方面闡述如何開展互聯(lián)網(wǎng)新技術(shù)、新業(yè)務(wù)的安全評估。

（1）安全評估要素

安全評估要素是開展互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估時的主要考量。通過識別安全評估要素，可以明確安全評估的方向和內(nèi)容。一般情況下，安全評估要素應(yīng)當(dāng)包括業(yè)務(wù)市場發(fā)展情況、業(yè)務(wù)功能、業(yè)務(wù)屬性、信息流動鏈條、企業(yè)信息安全管理制度以及企業(yè)信息安全技術(shù)保障措施。細(xì)化如下：

●業(yè)務(wù)市場發(fā)展情況

包括（潛在）用戶規(guī)模、用戶構(gòu)成情況、業(yè)務(wù)發(fā)展階段、市場占有率、市場發(fā)展前景等。

●業(yè)務(wù)屬性

業(yè)務(wù)屬性是指互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)新應(yīng)用所具備的特征模塊，包括通信屬性、社交屬性、媒體屬性等。

——通信屬性是指具備限于用戶之間進(jìn)行點對點信息交流與傳遞的特征。一般情況下，通信屬性的信息傳播范圍小，基本限制在兩個用戶之間。

——社交屬性指具備限于有社交關(guān)系的用戶之間進(jìn)行點對多點或群組信息交流與傳遞的特征，對應(yīng)的典型功能包括群組聊天、“朋友圈”等。一般情況下，社交屬性的信息傳播范圍大于通信屬性，信息由社交關(guān)系的用戶間擴(kuò)散傳播。

——媒體屬性是指具備面向開放范圍內(nèi)大量用戶進(jìn)行廣播式信息發(fā)布的特征，對應(yīng)的典型業(yè)務(wù)或功能包括微博客、“公眾平臺”等。媒體屬性的信息傳播范圍是3種屬性中最大的，具備大眾廣播功能。

●信息流動鏈條

信息流動鏈條關(guān)注在信息生成、信息發(fā)布、信息傳播、信息接收等環(huán)節(jié)互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用是如何傳播信息的。

●信息安全管理

信息安全管理是指企業(yè)為了運營互聯(lián)網(wǎng)業(yè)務(wù)、應(yīng)用所配套的各類信息安全保障措施，包括機(jī)構(gòu)人員、安全制度、培訓(xùn)演練、日常監(jiān)測、應(yīng)急處置、用戶投訴舉報、用戶信息保護(hù)等。

●信息安全技術(shù)手段

信息安全技術(shù)手段是指企業(yè)為落實各類信息安全保障措施配套的技術(shù)系統(tǒng)，包括IP地址和域名等基礎(chǔ)資源管理、違法信息處置、日志留存等技術(shù)手段。

（2）安全評估流程

從評估要素中可以看出，互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估的對象其實包括兩個：一個是互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用本身；一個是使用或者運營互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用的企業(yè)。因此，安全評估實際上是由兩部分組成：業(yè)務(wù)安全風(fēng)險評估和企業(yè)安全保障能力評估。兩部分相對獨立，又彼此關(guān)聯(lián)。安全評估實施過程中，需首先完成業(yè)務(wù)安全風(fēng)險評估，識別業(yè)務(wù)潛在信息安全風(fēng)險，再基于風(fēng)險識別的結(jié)果完成企業(yè)安全保障能力評估。對于兩個流程的具體實施方法正在制定相關(guān)標(biāo)準(zhǔn)。

業(yè)務(wù)安全風(fēng)險評估是評估互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用（簡稱“業(yè)務(wù)”）的功能、屬性、特點、技術(shù)實現(xiàn)方式、市場發(fā)展情況、（潛在）用戶規(guī)模等關(guān)鍵要素對信息安全管理、社會管理和國家安全的威脅和挑戰(zhàn)，分析、識別信息安全風(fēng)險。

企業(yè)安全保障能力評估是評估企業(yè)信息安全管理措施和技術(shù)保障手段能否將信息安全風(fēng)險控制在可接受范圍內(nèi)，可從安全管理機(jī)構(gòu)、安全管理制度、技術(shù)保障手段建設(shè)情況等多個方面，評估企業(yè)的信息安全保障工作水平。

（3）業(yè)務(wù)安全風(fēng)險評估模型

從上述分析中不難發(fā)現(xiàn)，互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估的一個核心工作和首要任務(wù)就是識別互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用的信息安全風(fēng)險。這些風(fēng)險都是非傳統(tǒng)安全威脅引發(fā)的，不能依靠現(xiàn)有的信息安全風(fēng)險評估理論得出。因此，解決如何識別互聯(lián)網(wǎng)技術(shù)、業(yè)務(wù)、應(yīng)用的信息安全風(fēng)險是研究安全評估方法的最重要的一項工作。為了解決這一難題，本文提出了業(yè)務(wù)安全風(fēng)險評估模型，具體參見圖1。通過總結(jié)多年開展安全評估的實戰(zhàn)經(jīng)驗，歸納各類評估要素中可能產(chǎn)生的對安全管理工作的威脅和挑戰(zhàn)，形成多個評估模塊。評估人員使用業(yè)務(wù)安全風(fēng)險評估模型時，通過遍歷各個評估模塊，根據(jù)被評估對象的具體情況，識別對應(yīng)于每個評估模塊是否存在相應(yīng)的信息安全風(fēng)險。對于評估模型涉及的具體安全風(fēng)險點、評估模型具體使用方法正在制定相關(guān)標(biāo)準(zhǔn)。

業(yè)務(wù)安全風(fēng)險評估模型從信息內(nèi)容安全、數(shù)據(jù)安全兩個層面提出了17個評估模塊，其中信息內(nèi)容安全又分為業(yè)務(wù)應(yīng)用安全、業(yè)務(wù)平臺安全兩個子層。

業(yè)務(wù)應(yīng)用安全子層以業(yè)務(wù)實現(xiàn)功能、使用情況為基本出發(fā)點，以業(yè)務(wù)系統(tǒng)中傳輸?shù)墓残畔?nèi)容為核心評估點，分析可能對信息內(nèi)容安全管理造成影響的各類威脅和隱患，評估模塊包括用戶、信息內(nèi)容、信息載體、信息生成、信息傳播、信息接收、信息留存。

圖1　業(yè)務(wù)安全風(fēng)險評估模型

業(yè)務(wù)平臺安全子層以承載業(yè)務(wù)的系統(tǒng)平臺為核心評估點，分析可能對信息內(nèi)容安全管理造成影響的各類威脅和隱患，評估模塊包括設(shè)備地理位置、資源調(diào)度方式、業(yè)務(wù)合作、開放接口。

數(shù)據(jù)安全層以業(yè)務(wù)系統(tǒng)中傳輸、存儲的各類數(shù)據(jù)為核心評估點，從維護(hù)企業(yè)、個人、國家利益角度出發(fā)，分析可能對數(shù)據(jù)安全造成影響的各類威脅和隱患，評估模塊包括數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)加工、數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)刪除。

4　結(jié)束語

當(dāng)前，互聯(lián)網(wǎng)應(yīng)用功能不斷集成，單一功能的應(yīng)用不斷向融合新聞、搜索、即時通信、社交、電子商務(wù)等功能的集成應(yīng)用演變。互聯(lián)網(wǎng)產(chǎn)業(yè)邊界不斷擴(kuò)張，產(chǎn)業(yè)主體跨界耦合，互聯(lián)網(wǎng)應(yīng)用深度不斷深化。在互聯(lián)網(wǎng)演變和創(chuàng)新的過程中，引發(fā)的信息安全風(fēng)險也在不斷升級，復(fù)雜程度、影響范圍空前。互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估是為了應(yīng)對信息安全新形勢新需求的一次創(chuàng)新式探索，其本身也是一個全新的事物。本文只是對互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估方法研究的一次“拋磚引玉”，希望通過本文的闡述帶動、啟發(fā)安全評估相關(guān)的理論研究工作，逐步形成一套符合當(dāng)今互聯(lián)網(wǎng)發(fā)展趨勢、滿足我國信息安全管理目標(biāo)的互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估理論體系。

華為為德國電信帶來73GHz毫米波多用戶MIMO現(xiàn)場演示

近日，華為與德國最大的移動網(wǎng)絡(luò)服務(wù)提供者德國電信在巴塞羅那移動世界大會中現(xiàn)場演示毫米波多用戶M IMO技術(shù)。該展示在73GHz毫米波段上達(dá)到了70Gbit/s的傳輸速率，并實現(xiàn)了極高的頻譜效率。

德國電信在2015年3月啟動了5G：haus項目，目的在于同全球領(lǐng)先的行業(yè)伙伴一起探討潛在的5G關(guān)鍵使能技術(shù)。作為華為與德國電信在5G：haus項目合作框架下的一部分，最新的聯(lián)合演示基于毫米波MIMO技術(shù)在多用戶的復(fù)雜場景下，達(dá)到了70Gbit/s的超高速率，并大幅提升了頻譜效率。超材料聚焦陣列（MMFA）技術(shù)被應(yīng)用于創(chuàng)造可調(diào)點波束，動態(tài)波束追蹤特性也在移動場景中完成了測試。不同用戶可以通過不同的波束在同一時間同一頻率上進(jìn)行數(shù)據(jù)傳輸。

“華為正在5G的關(guān)鍵使能技術(shù)方面投入巨大的創(chuàng)新力量”，華為無線的首席技術(shù)官，5G首席科學(xué)家童文博士講到：“毫米波多用戶MIMO技術(shù)可以實現(xiàn)與光纖接入速度類似的移動寬帶接入，秉承著以客戶為中心的創(chuàng)新理念，華為將會與客戶一同持續(xù)推動世界領(lǐng)先的5G技術(shù)。”

The General Research of Security Evaluation of Internet Novel Technologies and Services

ChenTian

At present，Internet technologies，services，applications present diverse development trends，burst out unprecedented innovation and vitality，leadar evolution of the Information Technology Industry，create a colorful Internet ecological civilization.Internet in China grabs this opportunity to achieve a rapid development，and is running forward to the direction of wider application and deeper integration.At the same time，the rapid development of the Internet innovation and the continuous enhancement of the capacities of public influence and social mobilization have brought great challenges to the information security management，the social governance and national security defense.Security Evaluation of Internet Novel Technologies and Services is an innovative attempt to cope with the above situation.This paper analyzed the positive significance of security evaluation，discussed the difference and relevance between the existing information security risk assessment theory and security evaluation.Then described the security evaluation method through evaluation factors，process，risk model.The goal of the paper is to general support further security evaluation practice.

internet novel technologies and services；security evaluation；evaluation method

2015-12-10）