互聯網信息服務安全評估方法研究

劉善武　于輝　李進　孟繁瑞　童奕銘

摘? 要：互聯網信息服務安全評估是提升互聯網信息服務信息安全保障能力，防止或減少信息安全事件發(fā)生的有效手段。本文根據國家相關政策法規(guī)規(guī)定，通過對具有輿論屬性或社會動員能力的互聯網信息服務的信息安全評估要素梳理、分析，并結合對評估要素關聯的信息安全風險點的防范或處置探討，提出了互聯網信息服務安全評估工作指南，為具有輿論屬性或社會動員能力的互聯網信息服務安全評估工作提供了針對性思路。

關鍵詞：輿論屬性;社會動員;信息服務;信息安全評估

中圖分類號：TP309.2? ? 文獻標識碼：A 文章編號：2096-4706（2021）17-0149-03

Abstract： Internet information service security evaluation is an effective means to improve the information security guarantee ability of internet information service and prevent or reduce information security incidents. According to relevant policies and regulations， through combing and analyzing the information security evaluation elements of internet information services with public opinion attribute or social mobilization ability， and combined with the discussion on the prevention or disposal of information security risk points associated with the evaluation elements， this paper puts forward the work guide for internet information service security evaluation， and provides targeted ideas for the security evaluation of internet information services with the attribute of public opinion or social mobilization ability.

Keywords： public opinion attribute; social mobilization; information service; information security evaluation

0? 引? 言

當前，互聯網新技術新業(yè)務快速發(fā)展，并不斷呈現出云端化、智能化、移動化、平臺化、共享化等多方面特征。隨著互聯網新技術的不斷發(fā)展，隨之而來的各種網絡信息安全風險不斷凸顯，互聯網技術在促進經濟社會發(fā)展和進步的同時，也帶來了各類網絡信息安全事件，互聯網逐漸成為影響經濟社會發(fā)展的重要變量[1]。同時，在云計算、區(qū)塊鏈、5G等新技術的推動下，依托互聯網新技術新業(yè)務進行惡意攻擊、病毒傳播、信息竊取的行為屢見不鮮，電信網絡詐騙、個人信息泄漏等安全事件也頻頻發(fā)生，給各行業(yè)帶來了重大的經濟損失[2]。尤其新聞媒體類、通信群組社交類等具有較強輿論傳播屬性或社會動員能力的互聯網信息服務應用，具有顯著的輿論屬性或社會動員能力，對經濟發(fā)展和社會穩(wěn)定的影響程度更大，更容易產生不可控的信息安全風險事件[3]。

對具有輿論屬性或社會動員能力的互聯網信息服務開展信息安全評估，梳理、發(fā)現、分析被評估互聯網信息服務對象存在的信息安全風險，根據評估要素情況和關聯的安全風險防范處置措施，設計并提出合理的安全評估方法[4]。通過開展互聯網信息服務安全評估工作，可在源頭上減少互聯網信息服務中各種信息安全威脅事件的發(fā)生，在維護經濟社會正常發(fā)展秩序的同時，推動互聯網新技術新業(yè)務新應用健康發(fā)展[5]。

1? 具有輿論屬性或社會動員能力的互聯網信息服務安全評估

1.1? 政策依據

2018年11月15日，國家網信辦頒布《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規(guī)定》，對具有輿論屬性或社會動員能力的互聯網信息服務的安全評估做出具體要求[6]。具有輿論屬性或社會動員能力的互聯網信息服務安全評估（以下簡稱互聯網信息服務安全評估），應當對互聯網信息服務對象和新技術新業(yè)務新應用的合法性，落實法律、行政法規(guī)、部門規(guī)章和標準規(guī)定的安全措施的有效性，防控安全風險的有效性等情況進行全面評估。互聯網信息服務提供者應及時開展安全評估工作，嚴格落實有關政策要求，切實履行安全評估主體責任。

1.2? 評估方法

對于具有輿論屬性或社會動員能力的互聯網信息服務安全評估，通過采用人員訪談、文檔資料核查、演示查看、測評驗證等方法，對互聯網信息服務對象提供的信息安全管理制度文件資料的規(guī)范性、合理性進行核查，對服務對象的信息安全技術保障手段的應用情況等進行驗證，綜合分析研判該信息服務應用可能存在的信息安全風險，并提出整改建議或措施，推動互聯網信息服務健康發(fā)展。

人員訪談：即通過與服務對象信息安全主要負責人、業(yè)務產品經理、項目經理、技術負責人等業(yè)務干系人的訪談溝通，全面了解服務對象應用的基本情況（包括業(yè)務概況、服務形式、技術原理、用戶規(guī)模等）、信息安全組織領導機構設置、信息安全管理制度建設及落實情況等方面的情況，分析其存在的信息安全風險因素。

文檔資料核查：即通過對服務對象信息安全管理制度文件制定、落實等方面的文件資料進行核查，對照評估規(guī)范要求，梳理發(fā)現服務對象應用在信息安全管理制度建設及制度實際執(zhí)行方面存在的風險因素。

演示查看：即通過下載安裝服務對象應用，采用測試賬號登錄使用的方式，對照評估規(guī)范要求，逐一對服務對象應用的具體功能點進行驗證;對于后臺功能設置情況，如日志管理模塊設置、新聞采編審核模塊設置等，通過采用向服務對象應用索取后臺訪問賬號進行查看的方式，確認分析服務對象應用在信息安全技術保障措施方面的風險因素。

測評驗證：即通過網絡安全檢測工具，如滲透測試工具、基線檢測工具等對服務對象應用進行安全檢測，梳理發(fā)現該應用在網絡安全方面的風險因素。

1.3? 評估流程

互聯網信息服務安全評估主要包括：收集評估材料、信息安全管理制度評估、信息安全技術保障措施評估、現場檢查、出具初評報告、整改確認和形成終評報告等六個階段。具體流程如圖1所示。

2? 具有輿論屬性或社會動員能力的互聯網信息服務安全評估要素

具有輿論屬性或社會動員能力的互聯網信息服務應用大多具有注冊用戶量大、社交屬性強、信息傳播速度快等特點。在平臺信息內容的生成、發(fā)布、傳播及違法信息處置方面容易產生不可控的信息安全事件。如圖2所示，互聯網信息服務應用的評估要素主要包括機構、平臺、內容、用戶等四類，具體來講，可以將安全評估工作分為信息安全組織機構設置、用戶信息管理、信息內容管理、信息溯源管理、違法信息處置、投訴舉報及監(jiān)管部門支撐等方面的具體評估。

本文結合互聯網信息服務信息安全風險點梳理情況，對上述各個具體評估項的評估要素進行了分析，具體有以下幾點。

2.1? 信息安全組織機構設置

信息安全組織機構是企業(yè)或應用處置信息安全風險事件的管理和責任部門，負責指導企業(yè)開展信息安全風險梳理、事件處置、安全自評估等工作，在頂層機構設置方面為企業(yè)應對信息安全風險提供了保障。在信息安全組織機構設置中，應明確信息安全管理負責人、專職機構名稱、信息審核人員配備情況等。

2.2? 用戶信息管理

用戶是互聯網信息服務的核心要素。做好用戶信息管理工作，能夠降低信息安全風險，保障企業(yè)或應用信息安全風險可控。用戶信息管理分為用戶注冊真實身份核驗和用戶個人信息保護兩個方面，具體包括用戶信息審核管理及用戶個人信息保護制度、用戶隱私協議簽訂、用戶注冊審核技術及用戶個人信息保護技術手段建設情況等。

2.3? 信息內容管理

信息內容管理是具有輿論屬性或社會動員能力的互聯網信息服務加強信息安全風險保障的重要舉措。通過制定符合互聯網信息服務應用的信息內容安全管理制度及策略，明確信息內容安全審核過濾標準和信息發(fā)布流程，形成覆蓋文字、圖片、音頻、視頻等多種內容格式的信息內容安全管理技術手段，降低信息安全風險事件發(fā)生概率。

2.4? 信息溯源管理

有效的信息溯源管理是保障應用信息安全風險可控的關鍵。信息溯源管理主要包含信息溯源管理制度、日志存儲管理制度、信息溯源技術手段及日志管理技術手段等，通過對用戶賬號、操作時間、操作類型及發(fā)布信息的日志信息記錄情況，結合信息溯源相關制度及技術手段，實現對應用中相關信息的高效溯源。

2.5? 違法信息處置

具有輿論屬性或社會動員能力的互聯網信息服務應當建立違法信息處置機制，并配備有技術措施。通過明確違法信息檢測、處置制度、處置標準并配置相應的技術手段實現，在發(fā)生違法信息傳播時能第一時間進行處置。

2.6? 投訴舉報及監(jiān)管部門支撐

投訴舉報和監(jiān)管部門支撐主要體現了具有輿論屬性或社會動員能力的互聯網信息服務在配合社會治理方面的相關要求。在投訴舉報方面，應明確投訴舉報制度、投訴流程、處理時效等相關制度規(guī)定和技術保障措施;在監(jiān)管部門支撐方面，應明確為監(jiān)管部門提供技術、數據支持和協助的工作機制設置及技術保障手段建設情況，有效保障信息安全。

3? 具有輿論屬性或社會動員能力的互聯網信息服務安全評估指南

本文結合具有輿論屬性或社會動員能力的互聯網信息服務安全評估要素情況，形成了具有輿論屬性或社會動員能力的互聯網信息服務的安全評估指南，涵蓋了安全評估中信息安全組織機構設置、信息安全管理制度建設、信息安全技術措施應用等方面的工作要求，具體包括信息安全管理制度評估指南、信息安全技術保障措施評估指南等2個細分評估指南表，如表1、表2所示。

4? 結? 論

做好具有輿論屬性或社會動員能力的互聯網信息服務安全評估工作，對于維護網絡信息安全，推動經濟社會發(fā)展具有重要意義。本文通過對具有輿論屬性或社會動員能力的互聯網信息服務的信息安全評估要素梳理、分析，并結合對信息安全風險點的處置，提出了安全評估方法，對于提升互聯網信息服務安全保障水平具有重要意義。

參考文獻：

[1] 黎艷青，張賀勛，陳遠平，等.互聯網新技術新業(yè)務安全評估 [J].電子技術與軟件工程，2017（24）：11-12.

[2] 邱嵐，譚彬，陸松.互聯網大時代安全風險評估研究與實踐 [J].信息安全與技術，2015，6（5）：52-55.

[3] 車力軍.新技術新業(yè)務信息安全評估的創(chuàng)新實踐探析 [J].互聯網天地，2015（3）：73-75.

[4] 陳湉.互聯網新技術新業(yè)務安全評估方法初探 [J].電信網技術，2016（2）：20-23.

[5] 工業(yè)和信息化部.互聯網新技術新業(yè)務信息安全評估指南：YD/T 3169-2020 [S].北京：人民郵電出版社，2020.

[6] 中國網信網.具有輿論屬性或社會動員能力的互聯網信息服務安全評估規(guī)定 [R/OL].（2018-11-15）.http：//www.cac.gov.cn/2018-11/15/c_1123716072.htm.

作者簡介：劉善武（1965.11—），男，漢族，山東平原人，高級工程師，碩士，研究方向：信息安全、安全評估;通訊作者：于輝（1986.10—），男，漢族，山東濟南人，高級工程師，碩士，研究方向：信息安全、大數據。