刘善武　于辉　李进　孟繁瑞　童奕铭

摘  要：互联网信息服务安全评估是提升互联网信息服务信息安全保障能力，防止或减少信息安全事件发生的有效手段。本文根据国家相关政策法规规定，通过对具有舆论属性或社会动员能力的互联网信息服务的信息安全评估要素梳理、分析，并结合对评估要素关联的信息安全风险点的防范或处置探讨，提出了互联网信息服务安全评估工作指南，为具有舆论属性或社会动员能力的互联网信息服务安全评估工作提供了针对性思路。

关键词：舆论属性;社会动员;信息服务;信息安全评估

中图分类号：TP309.2    文献标识码：A 文章编号：2096-4706（2021）17-0149-03

Abstract： Internet information service security evaluation is an effective means to improve the information security guarantee ability of internet information service and prevent or reduce information security incidents. According to relevant policies and regulations， through combing and analyzing the information security evaluation elements of internet information services with public opinion attribute or social mobilization ability， and combined with the discussion on the prevention or disposal of information security risk points associated with the evaluation elements， this paper puts forward the work guide for internet information service security evaluation， and provides targeted ideas for the security evaluation of internet information services with the attribute of public opinion or social mobilization ability.

Keywords： public opinion attribute; social mobilization; information service; information security evaluation

0  引  言

当前，互联网新技术新业务快速发展，并不断呈现出云端化、智能化、移动化、平台化、共享化等多方面特征。随着互联网新技术的不断发展，随之而来的各种网络信息安全风险不断凸显，互联网技术在促进经济社会发展和进步的同时，也带来了各类网络信息安全事件，互联网逐渐成为影响经济社会发展的重要變量[1]。同时，在云计算、区块链、5G等新技术的推动下，依托互联网新技术新业务进行恶意攻击、病毒传播、信息窃取的行为屡见不鲜，电信网络诈骗、个人信息泄漏等安全事件也频频发生，给各行业带来了重大的经济损失[2]。尤其新闻媒体类、通信群组社交类等具有较强舆论传播属性或社会动员能力的互联网信息服务应用，具有显著的舆论属性或社会动员能力，对经济发展和社会稳定的影响程度更大，更容易产生不可控的信息安全风险事件[3]。

对具有舆论属性或社会动员能力的互联网信息服务开展信息安全评估，梳理、发现、分析被评估互联网信息服务对象存在的信息安全风险，根据评估要素情况和关联的安全风险防范处置措施，设计并提出合理的安全评估方法[4]。通过开展互联网信息服务安全评估工作，可在源头上减少互联网信息服务中各种信息安全威胁事件的发生，在维护经济社会正常发展秩序的同时，推动互联网新技术新业务新应用健康发展[5]。

1  具有舆论属性或社会动员能力的互联网信息服务安全评估

1.1  政策依据

2018年11月15日，国家网信办颁布《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，对具有舆论属性或社会动员能力的互联网信息服务的安全评估做出具体要求[6]。具有舆论属性或社会动员能力的互联网信息服务安全评估（以下简称互联网信息服务安全评估），应当对互联网信息服务对象和新技术新业务新应用的合法性，落实法律、行政法规、部门规章和标准规定的安全措施的有效性，防控安全风险的有效性等情况进行全面评估。互联网信息服务提供者应及时开展安全评估工作，严格落实有关政策要求，切实履行安全评估主体责任。

1.2  评估方法

对于具有舆论属性或社会动员能力的互联网信息服务安全评估，通过采用人员访谈、文档资料核查、演示查看、测评验证等方法，对互联网信息服务对象提供的信息安全管理制度文件资料的规范性、合理性进行核查，对服务对象的信息安全技术保障手段的应用情况等进行验证，综合分析研判该信息服务应用可能存在的信息安全风险，并提出整改建议或措施，推动互联网信息服务健康发展。

人员访谈：即通过与服务对象信息安全主要负责人、业务产品经理、项目经理、技术负责人等业务干系人的访谈沟通，全面了解服务对象应用的基本情况（包括业务概况、服务形式、技术原理、用户规模等）、信息安全组织领导机构设置、信息安全管理制度建设及落实情况等方面的情况，分析其存在的信息安全风险因素。

文档资料核查：即通过对服务对象信息安全管理制度文件制定、落实等方面的文件资料进行核查，对照评估规范要求，梳理发现服务对象应用在信息安全管理制度建设及制度实际执行方面存在的风险因素。

演示查看：即通过下载安装服务对象应用，采用测试账号登录使用的方式，对照评估规范要求，逐一对服务对象应用的具体功能点进行验证;对于后台功能设置情况，如日志管理模块设置、新闻采编审核模块设置等，通过采用向服务对象应用索取后台访问账号进行查看的方式，确认分析服务对象应用在信息安全技术保障措施方面的风险因素。

测评验证：即通过网络安全检测工具，如渗透测试工具、基线检测工具等对服务对象应用进行安全检测，梳理发现该应用在网络安全方面的风险因素。

1.3  评估流程

互联网信息服务安全评估主要包括：收集评估材料、信息安全管理制度评估、信息安全技术保障措施评估、现场检查、出具初评报告、整改确认和形成终评报告等六个阶段。具体流程如图1所示。

2  具有舆论属性或社会动员能力的互联网信息服务安全评估要素

具有舆论属性或社会动员能力的互联网信息服务应用大多具有注册用户量大、社交属性强、信息传播速度快等特点。在平台信息内容的生成、发布、传播及违法信息处置方面容易产生不可控的信息安全事件。如图2所示，互联网信息服务应用的评估要素主要包括机构、平台、内容、用户等四类，具体来讲，可以将安全评估工作分为信息安全组织机构设置、用户信息管理、信息内容管理、信息溯源管理、违法信息处置、投诉举报及监管部门支撑等方面的具体评估。

本文结合互联网信息服务信息安全风险点梳理情况，对上述各个具体评估项的评估要素进行了分析，具体有以下几点。

2.1  信息安全组织机构设置

信息安全组织机构是企业或应用处置信息安全风险事件的管理和责任部门，负责指导企业开展信息安全风险梳理、事件处置、安全自评估等工作，在顶层机构设置方面为企业应对信息安全风险提供了保障。在信息安全组织机构设置中，应明确信息安全管理负责人、专职机构名称、信息审核人员配备情况等。

2.2  用户信息管理

用户是互联网信息服务的核心要素。做好用户信息管理工作，能够降低信息安全风险，保障企业或应用信息安全风险可控。用户信息管理分为用户注册真实身份核验和用户个人信息保护两个方面，具体包括用户信息审核管理及用户个人信息保护制度、用户隐私协议签订、用户注册审核技术及用户个人信息保护技术手段建设情况等。

2.3  信息内容管理

信息内容管理是具有舆论属性或社会动员能力的互联网信息服务加强信息安全风险保障的重要举措。通过制定符合互联网信息服务应用的信息内容安全管理制度及策略，明确信息内容安全审核过滤标准和信息发布流程，形成覆盖文字、图片、音频、视频等多种内容格式的信息内容安全管理技术手段，降低信息安全风险事件发生概率。

2.4  信息溯源管理

有效的信息溯源管理是保障应用信息安全风险可控的关键。信息溯源管理主要包含信息溯源管理制度、日志存储管理制度、信息溯源技术手段及日志管理技术手段等，通过对用户账号、操作时间、操作类型及发布信息的日志信息记录情况，结合信息溯源相关制度及技术手段，实现对应用中相关信息的高效溯源。

2.5  违法信息处置

具有舆论属性或社会动员能力的互联网信息服务应当建立违法信息处置机制，并配备有技术措施。通过明确违法信息检测、处置制度、处置标准并配置相应的技術手段实现，在发生违法信息传播时能第一时间进行处置。

2.6  投诉举报及监管部门支撑

投诉举报和监管部门支撑主要体现了具有舆论属性或社会动员能力的互联网信息服务在配合社会治理方面的相关要求。在投诉举报方面，应明确投诉举报制度、投诉流程、处理时效等相关制度规定和技术保障措施;在监管部门支撑方面，应明确为监管部门提供技术、数据支持和协助的工作机制设置及技术保障手段建设情况，有效保障信息安全。

3  具有舆论属性或社会动员能力的互联网信息服务安全评估指南

本文结合具有舆论属性或社会动员能力的互联网信息服务安全评估要素情况，形成了具有舆论属性或社会动员能力的互联网信息服务的安全评估指南，涵盖了安全评估中信息安全组织机构设置、信息安全管理制度建设、信息安全技术措施应用等方面的工作要求，具体包括信息安全管理制度评估指南、信息安全技术保障措施评估指南等2个细分评估指南表，如表1、表2所示。

4  结  论

做好具有舆论属性或社会动员能力的互联网信息服务安全评估工作，对于维护网络信息安全，推动经济社会发展具有重要意义。本文通过对具有舆论属性或社会动员能力的互联网信息服务的信息安全评估要素梳理、分析，并结合对信息安全风险点的处置，提出了安全评估方法，对于提升互联网信息服务安全保障水平具有重要意义。

参考文献：

[1] 黎艳青，张贺勋，陈远平，等.互联网新技术新业务安全评估 [J].电子技术与软件工程，2017（24）：11-12.

[2] 邱岚，谭彬，陆松.互联网大时代安全风险评估研究与实践 [J].信息安全与技术，2015，6（5）：52-55.

[3] 车力军.新技术新业务信息安全评估的创新实践探析 [J].互联网天地，2015（3）：73-75.

[4] 陈湉.互联网新技术新业务安全评估方法初探 [J].电信网技术，2016（2）：20-23.

[5] 工业和信息化部.互联网新技术新业务信息安全评估指南：YD/T 3169-2020 [S].北京：人民邮电出版社，2020.

[6] 中国网信网.具有舆论属性或社会动员能力的互联网信息服务安全评估规定 [R/OL].（2018-11-15）.http：//www.cac.gov.cn/2018-11/15/c_1123716072.htm.

作者简介：刘善武（1965.11—），男，汉族，山东平原人，高级工程师，硕士，研究方向：信息安全、安全评估;通讯作者：于辉（1986.10—），男，汉族，山东济南人，高级工程师，硕士，研究方向：信息安全、大数据。