作者简介:许琛超  CISSP,(ISC)²上海分会会员,国家高级信息安全师,信息安全工程师,诸子云网络安全专家联盟特聘专家,现就职于中国电信天翼电子商务有限公司(翼支付),专注于企业信息安全体系建设及管理,在ISO27001信息安全体系建设、安全应急响应、合规审计、漏洞管理、密钥管理等方面具有丰富经验。

前言

随着互联网已成为全球战略性公共基础设施,其在我国社会的经济发展、社会管理、公共服务、文化传播和对外开放的过程中发挥了不可替代的作用。互联网技术业务呈现融合化、社交化、多媒体化、平台化、移动化、云端化等多特点爆炸式发展创新态势,迸发出前所未有的创新活力。

与此同时,互联网新技术新业务也带了全新的安全挑战,网络与信息安全问题不仅是影响互联网发展的主要因素,更是事关国家安全、政权安全和国家发展,事关广大人民群众工作生活的重大战略问题。面对新的形势,传统的“救火队员”式安全应急处置管理模式已经难以适应互联网新技术新业务新应用创新发展的步伐。为了实现“信息安全风险提前预判,安全防护措施提前部署”的保障目标,建立新技术新业务信息安全评估机制就显得至关重要。

根据工业与信息化部、电信集团公司对互联网新技术新业务信息安全评估的要求,翼支付的评估内容主要包括业务安全风险评估、企业安全保障能力评估、业务系统安全评估及数据安全评估。

与传统的安全评估内容进行对比,可以看出传统的安全评估主要集中在网络、系统和应用软件层,且每层的评估比较孤立,难以全面反映业务的主要风险。相反新技术新业务的安全评估方法论,则是以业务为中心,风险为导向,把业务系统的安全评估与业务本身紧密相连,最终做到促进和保障业务安全的实现。

图1:业务安全风险评估模型

翼支付在践行新技术新业务信息安全评估的尝试中,通过建立公司新技术新业务信息安全评估的管理机制和制度、明确评估的职责和权限、设定评估的启动条件、评估要求、评估标准和方法、整改监测等方面,规范评估体系。根据“谁主管谁负责、谁运营谁负责、谁接入谁负责”的原则,评估工作实行分层分级管理。

在评估实践中,秉承“以业务为中心,风险为导向”的评估思路,去了解实现业务的一系列业务流程,并评价和分析管控措施对风险的控制程度和能力,以及是否满足相关的标准规范要求;从IT系统角度去了解系统提供的业务功能,了解数据处理活动,全面、系统的分析业务应用与平台面临的风险。对新技术新业务信息安全评估来说,主要流程可以分为三大步骤:

第一,深入业务,分析流程;

第二,业务威胁分析、业务脆弱性识别和人工渗透分析;

第三,风险分析和处置。

深入业务,分析流程,目的是为了了解业务信息系统承载的业务使命、业务功能、业务流程等,客观准确的把握业务信息系统的体系特征。最后出具评估报告,落实整改责任并跟踪风险整改。

图2:评估整体框架

第一阶段的工具技术主要采用访谈调研。调研的内容有业务主管调研、维护主管调研、开发管理调研和系统相关文档调研。通过调研对所评估的业务有个初步的了解和认识,并在此基础上,制定访谈计划,在初步调研后深入了解业务现状所面临的风险情况。从业务应用安全、业务平台安全两方面切入,了解业务的用户情况、信息主题、信息载体、信息生成、信息传播、信息接收、信息留存、设备位置分布、资源调度方式、业务合作、开放接口等,全方位评估业务所面临的安全风险。

图3:业务应用安全-用户情况评估

安全保障能力评估,就是要保障业务应用安全保障基线、业务平台安全保障基线的实施情况,检验企业是否满足保障基线的设置,审核基线的有效性。在识别出风险并检验保障能力后,我们就可以通过匹配性分析,综合业务风险和保障能力做出评估结论。

图4:企业保障能力基线要求

图5:基于《评估指南》中业务安全风险评估模型的评估

第二阶段,业务威胁包含了WEB应用安全、客户端安全、业务逻辑安全。因为业务的特性是“个性化”,那么就很难用一个或多个工具发现所有的问题。且业务的个性化,在业务使用、业务逻辑、接口等安全测评中,必须要有人工参与验证。利用业务流程分析、威胁分析和脆弱性分析的相关数据,可以实现保障能力验证和渗透测试。

第三阶段,通过威胁得分和脆弱性得分的与运算,得出业务系统安全和数据安全的总体风险值,结合匹配性分析的评估结果,制定出风险清单,列出风险等级,出具评估报告。针对高/中级别的风险,新业务要全部得到整改后才能通过评估上线,存量业务要在开展风险整改的同时,采取限制发展用户、限制功能升级等措施控制风险影响范围,对于遗留风险较多的业务,要制定更有针对性的应急预案。

图6:评估业务系统安全总体风险值

新技术新业务信息安全评估工作在每年的年初进行《产品业务清单》的梳理,并制定评估计划。当产品/业务满足下述情形的,即需启动评估工作:

(一)拟将互联网新技术新业务面向社会公众上线的(含合作推广、试点、商用试验),包括支撑我司业务发展的APP、网站等业务媒介;

(二)已上线产品/业务的用户规模发生较大变化的(如下表中用户数量范围的影响级别有上升的)、功能发生较大变化或平台大规模升级的(如自产品/业务初次上线后截止当前所有变更所用工时与开发阶段所用工时占比超过40%的)、发生重大安全事件的(如业务中断达6个小时以上的、用户信息泄露达1000条以上的);

(三)工业与信息化部、电信集团或其他监管单位、上级单位要求公司进行安全评估的,国家部委出台新的政策要求的。

为确保了解产品/业务变化的最新情况,每月28日前由各产品业务负责人对互联网新业务是否存在上述情形进行定期核查,由网络与信息安全管理部收集定期核查的反馈,并决定启动评估计划。

风险台账的维护需要保持实时性、一致性。实时性就是对照各风险排期的整改完成时间,在整改期间内保持对风险的监控跟踪,了解整改的进度及遇到的困难,根据新技术新业务安全评估的要求对整改负责人进行整改支持,并在整改完成后实施更新整改状态,收集整改完成证明。一致性是需保持整改负责人、评估管理部门与上级主管部门记录上的一致,已避免因状态变更导致更新上的疏漏,造成各相关方记录信息上产生的差异。

为了确保保障措施的长期有效性,在评估完成后,依然需要进行定期的动态核验,以验证在评估结束后,所有对风险的保障措施依然有效。这里可能会有一个误区,即核验的对象是针对风险问题整改的核验。其实不然,我们要清楚动态核验的目的,是检验所有风险项的保障措施的有效性。知道了这一点,就不难发现,动态核验的目标自然是所有的保障措施,此过程相当于对企业保障措施的一次再评估。

随着互联网应用功能不断的集成,单一功能的应用不断向多功能融合的集成应用演变,互联网产业边界不断扩张,产业主体跨界耦合,互联网应用深度也不断深化。在电信集团的总体培训和指导下,翼支付结合了业内关于新技术新业务信息安全评估中存在的各种问题,加上工业与信息化部要求层面的评估内容、反信息诈骗评估要求,逐步创新完善出一套符合翼支付自身业务特点的信息安全评估模式,该模式同时包含了运营商业务及互联网业务的特征特点,完善了评估内容表。

图7:评估内容表检查项个数及来源

图8:评估检查项分布

随着互联网新技术新业务信息安全评估实践的不断深入,翼支付已通过评估实践总结,将评估要点总结成了业务安全审核表的部分内容,并编制了新技术新业务安全开发指南,以指导开发进行安全需求的执行,降低后期整改的成本。在后续的工作中,我们将不断探索评估内容及风险控制,结合业务创新出一套源于运营商信息安全评估特征,适应互联网金融业务的新型评估法则,以适应公司的业务特点。

图9:评估实践总结——业务安全审核表

图10:新技术新业务安全开发指南

在互联网演变和创新的过程中,引发的信息安全风险正在不断升级,其复杂程度和影响也愈发空前。互联网新技术新业务安全评估是为了应对信息安全新形势新需求的一次创新式探索,其评估模式也是一个全新的事物。通过体系化的信息安全评估审查,新上线的新技术、新业务能够有效规避可能的安全风险和合规风险,为公司的业务和技术平台的信息化与互联网化提供有力保障,促进业务的高速发展。

声明:本文来自安在,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。