——网安中心网络信息安全评估部

2021年3月11日,十三届全国人大四次会议表决通过了关于国民经济和社会发展第十四个五年规划和2035年远景目标纲要(以下简称“十四五规划”)的决议。“十四五规划”第十五篇“统筹发展和安全 建设更高水平的平安中国”中指出,“坚持总体国家安全观,实施国家安全战略,维护和塑造国家安全,统筹传统安全和非传统安全,把安全发展贯穿国家发展各领域和全过程,防范和化解影响我国现代化进程的各种风险,筑牢国家安全屏障”。

2021年4月15日,是第六个全民国家安全教育日,活动主题为“践行总体国家安全观,统筹发展和安全,统筹传统安全和非传统安全,营造庆祝建党100周年良好氛围”。近年来,习近平总书记针对网络安全作出多次重要指示,提出了“没有网络安全就没有国家安全”、“网络安全为人民,网络安全靠人民”等重要观点。

中国软件评测中心网络空间安全测评工程技术中心(以下简称“中国评测网安中心”)作为网络安全领域的专业机构,致力于信息系统的网络安全防护和安全运行,支撑政府主管部门履行网络安全相关的社会管理和公共服务职能。其中风险评估作为网安中心的重点业务之一,开展有传统安全风险评估、新技术新业务评估、数据安全(含APP)评估、网络信息安全规划咨询等相关工作。

1 安全风险评估

1.1 传统信息安全风险评估

评估工作的开展主要依据GB/T 20984 2007《信息安全技术 信息安全风险评估规范》,评估范围及对象涉及国家部委、事业单位、科研院校、电信、金融、互联网等行业的信息安全系统。

主要通过资产识别、脆弱性识别、威胁识别、已有安全措施识别等识别工作后,再根据资产重要程度、脆弱性严重程度、威胁发生频率、已有安全措施有效性等为资产、脆弱性、威胁等进行赋值,而后进行风险分析、风险排序并给出整改建议,在被评估方反馈整改完成后进行复测、风险重新排序,最后出风险评估报告。

中国评测网安中心评估案例:国家卫健委、北京市药监局、光环新网、国家行政学院、中国红十字会总会、国家知识产权局、中国水利电力物资集团、上海石化。

1.2 电信和互联网行业安全风险评估

评估工作的开展在GB/T 20984 2007《信息安全技术 信息安全风险评估规范》的基础上,还依据行业标准YD/T 1730-2008《电信网和互联网安全风险评估实施指南》,此外,还需满足网络安全法、密码法以及安全监管部门的行业监管要求,主要为《通信网络安全防护管理办法》(工信部第11号令)、《电信和互联网用户个人信息保护规定》(工信部第24号令)、《公共互联网网络安全威胁监测与处置办法》(工信部网安[2017]202号)及其他专项要求。评估范围和对象为电信和互联网行业的网络单元。

电信和互联网行业安全风险评估在整体评估流程上以传统信息安全风险评估为基础,但在具体的评估方法和内容上有所区别,其评估内容包括符合性评测和风险评估两大部分。其中符合性评测主要依据每年度安全主管部门发布的各类网元的符合性评测表(按网元级别)以及符合性评测表中引用的其他标准。而风险评估又包括了漏洞扫描、基线配置检查(按网元级别及对应标准)、渗透测试等内容。

中国评测网安中心评估案例: 中国移动集团、中国电信集团、中国联通集团、中国移动政企公司、联通云数据有限公司、三大运营商各省/自治区/市分公司、腾讯云、京东云、云上贵州、华为公有云/政务云/工业云、Microsoft Azure云。

1.3 银行业安全风险评估

该评估工作的开展在GB/T 20984 2007《信息安全技术 信息安全风险评估规范》的基础上,还依据《商业银行信息科技风险管理指引》、《电子银行安全评估指引》、《银行业金融机构重要信息系统投产及变更管理办法》、《商业银行数据中心监管指引》、《网上银行系统信息安全通用规范》、《银行卡业务管理办法》等银行业的管理要求,评估范围及对象为银行业信息系统。

评估内容包含了银行信息科技风险审计、重要信息系统投产及变更安全评估、电子银行安全评估、银行卡系统安全评估符合性评估等。

中国评测网安中心典型案例:中国人民银行征信中心、华侨银行、葫芦岛银行、晋商银行、网银在线、威海市商业银行、潍坊银行、宜宾市商业银行、泸州市商业银行。

1.4 网约车安全风险评估

该评估工作的开展在GB/T 20984 2007《信息安全技术 信息安全风险评估规范》的基础上,还参考了OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)十大Web漏洞-20XX、YD/T2439-2012《移动互联网恶意程序描述格式》、GB∕T 39335-2020 《信息安全技术 个人信息安全影响评估指南》等依据。

评估内容主要包括网约车系统或平台安全评估、网约车APP安全保障能力评估两个部分。

中国评测网安中心典型案例:量子出行网约车、君云天下网约车平台、福道汽车网约车互联网平台、平安快轿网约车互联网平台、国能新能源汽车网约车平台、“优辆约车”网约车互联网平台、穿云网约车互联网平台。

2 “双新”评估

随着工业互联网、车联网、物联网、卫星互联网等网络形态的不断演化,新技术新应用场景日渐复杂,衍生出新的业务类型、生产方式,安全挑战不断加剧,新技术新业务安全评估需求突出。该评估工作主要依据工信部有关电信和互联网行业新技术新业务的相关评估工作部署及要求,标准方面主要参考《YD/T 3169-2020 互联网新技术新业务信息安全评估指南》。

评估对象包括基础电信企业及增值电信企业(含三网融合涉及的广电企业)运营的互联网业务,以及可能被不法分子利用实施通讯信息诈骗的基础电信业务。评估内容及要点如下图所示。

中国评测网安中心评估案例:联通云双新评估、西云数据互联网双新评估、乘的出行双新评估。

3 规划咨询

规划咨询方面主要基于新网络安全形势下,国家网络强国、数字强国、数字新基建等发展战略,以及网安法等法律法规,行业及企业规章制度及合规性要求,上级主管部门考核要求,本组织战略规划等,为需求企业提供咨询及顶层规划服务。

中国评测网安中心典型案例:中国移动集团网络信息安全“十四五”规划咨询、中国移动集团“世界一流”网络安全综合评价体系建设咨询规划。

4 总结

“十四五规划”中14次提到“网络安全”,网络安全是国家、社会发展面临的重要议题,作为工信部直属一类科研事业单位,中国软件评测中心将持续深耕网络安全领域,为建设更高水平的平安中国贡献专业力量。

此外,“十四五规划”中明确提出“加强网络安全风险评估和审查”,作为网络安全国家队,中国评测网安中心将发挥自身专业优势,支撑国家及行业的政策、体系、制度有效落地,敏锐发现企业或组织在组织建设、制度流程、技术工具和人员能力等方面的安全风险和能力差距,并指导、协助其持续优化。