互联网信息服务内容安全要求及评估框架研究

王宇航, 郭 涛, 张潇丹, 孟 丹, 韩冀中, 周 熙

1中国科学院信息工程研究所 北京 中国 100093

2中国科学院大学网络空间安全学院 北京 中国 100049

1 引言

近年来, 人工智能、区块链、5G、个性化推荐算法等前沿技术飞速发展, 互联网用户不断增加, 网络结构日趋庞大复杂, 网上数字信息呈爆发式增长, 即时通讯、网络直播、短视频等新型信息服务不断涌现[1]。互联网新技术、新应用的发展深刻改变了互联网信息的传播方式[2], 在极大推动数字信息增长和全球化一体化发展的同时, 也为各种错误的、歪曲的、低俗的、与社会主流价值观相违背的有害信息提供孕育、发酵、传播和驻留的温床[3]。由于互联网新技术、新应用发展异常迅速, 互联网信息服务往往采用“小步快跑, 多次迭代”的开发模式, 很多信息服务在功能设计或实现上都存在大量缺陷, 导致信息内容安全问题日益严峻。

传统网络安全主要关注信息技术/产品、信息系统的安全防护[4-6], 在互联网信息服务海量增长, 有害信息扩散和蔓延趋势日益严重的情况下, 传统的信息技术安全评估体系已无法满足互联网信息安全防护的迫切需要[7]。目前, 国内外互联网信息安全研究主要集中于数据采集[8]、存储[9]和跨境流动[10]等方面, 对于信息内容本身的合理合规生产和使用研究较少。国内互联网信息内容安全实践处于起步阶段, 相关立法情况薄弱, 仅在《中华人民共和国网络安全法》(以下简称《网络安全法》)《互联网信息服务管理办法》《网络信息内容生态治理规定》等法律法规和少量部门规章的部分条款中做出较为宽泛模糊的规定[11]; 相关国家标准和行业标准不足, 截至2020年4月, 仅有《互联网信息服务安全通用要求》[12]一项国标在研。互联网信息内容层面安全评估手段的缺失, 成为了一项亟待解决的问题。风险评估是保障信息安全的一项成熟关键技术[13], 对互联网信息服务开展安全风险评估是一种从源头遏制有害信息产生和扩散的有效做法。

本文首先从信息论角度对信息空间进行了分层, 将网络空间安全划分为信息技术/产品安全、信息系统安全、信息服务安全三个层次, 总结分析了国内外成熟的信息安全评估标准。借鉴信息技术安全评估通用准则(ISO/IEC 15408)、信息系统安全保障评估框架(GB/T 20274)等标准设计思路, 结合我国互联网信息服务特点和安全风险现状及趋势, 在充分调研基础上, 提出一套以信息服务为具体评估对象的互联网信息服务安全评估要求模型及评估框架。相关成果正在编制国家推荐性标准, 具有一定的先进性和可操作性。

2 信息安全评估概述

2.1 网络空间安全与信息安全

在经历了机械化、电气化之后, 人类社会进入了信息化时代, 信息和信息技术极大改变了人们的工作和生活, 信息已经成为基础资源之一, 有的国家已将其当作一种战略资源[14]。从本质上来说, 信息是事物的一种属性[15], 信息表达需要借助约定的符号, 如文字、图形、音频、视频等, 信息的存储传播需要借助特定的载体介质, 如纸张、磁盘、光盘、电信网络线路等。人们创造Cyberspace一词以刻画人类生存的信息空间环境, 但对其尚无统一定义。该词在我国的译名也不统一, 张焕国等[16]认为, Cyberspace是“信息时代人们赖以生存的信息环境, 是所有信息系统的集合”, 可翻译为“信息空间”或“网络空间”, 前者突出信息这一核心内涵, 后者突出网络互联这一重要特征。2015年12月, 习近平总书记在第二届世界互联网大会开幕式上发表主旨演讲, 就共同构建网络空间命运共同体提出5点主张。至此, “网络空间”的说法成为主流。

安全与信息相伴相生, 就像信息的影子, 哪里有信息哪里就存在安全问题。自20世纪90年代互联网蓬勃发展开始, 信息的安全问题日益获得世界各国广泛关注, 在不同历史阶段出现过不同的概念和分类: 通信安全(COMSEC: Communication Security)、计算机安全(COMPUSEC: Computer Security)、信息技术安全(INFOSEC: Information Technology Security)、信息系统安全保障(IA: Information Assurance)等[17]。国际信息系统安全认证协会(ISC)认为信息安全包括物理安全、通信和网络安全、密码学等10个领域[18]。上海社会科学院编撰的《信息安全词典》[19]对信息安全的定义为: “保障国家、机构、个人的信息空间、信息载体和信息资源不受来自内外各种形式的危险、威胁、侵害和误导的外在状态和方式及内在主体感受”。《网络安全法》[20]将网络安全分为网络运行安全、网络信息安全。张焕国等在《网络空间安全综述》[16]中指出, “信息系统安全划分为4个层次: 设备安全、数据安全、内容安全、行为安全, 其中数据安全即是传统的信息安全”。

从信息论角度来看, 网络空间中的信息技术/产品、信息系统、信息服务是信息的载体, 信息数据和信息内容是信息的本质内涵[16]。网络空间通常可根据不同的信息载体划分为以下三个层次。最上层是信息服务, 重点面向信息内容提供服务。对互联网用户而言, 创作或访问信息内容的信息服务主要由Office、WPS等文字处理软件, 酷狗音乐、暴风影音等多媒体播放器, IE、Firefox、Chrome等网页浏览器, 微信、新浪微博、今日头条、抖音等应用程序提供; 信息内容的表现形式主要包括: 文字、图片、音频、视频、关联关系等; 对平台运营者而言, 可提供信息服务的方式包括互联网站、应用程序、轻应用等。中间层是信息系统, 指的是用于采集、处理、存储、传输、分发和部署信息数据的整个基础设施、组织结构、人员和组件的总和[21]。最底层是构建信息系统的信息技术/产品, 即路由器、防火墙、服务器、操作系统、数据库等“砖块瓦片”。因此, 网络空间安全主要包括: 信息技术/产品安全、信息系统安全、信息服务内容安全, 网络空间安全的重中之重是信息服务内容安全。

2.2 信息技术/产品安全评估

信息安全是信息化持续发展的根本保障, 信息安全评估是信息安全保障工作的基础性工作和重要环节[14]。信息安全评估是指依据有关安全技术与管理标准规范, 对信息载体及由其处理、传输和存储的信息, 进行保密性、完整性、可用性等安全属性的科学评价过程[22]。

国际上信息技术/产品安全评估标准化工作起源于20世纪70年代中期, 80年代有了较快发展, 90年代引起了世界各国的普遍关注, 至今已经形成了较为完备的信息技术安全标准体系[23]。主要包括三个里程碑式的标准: TCSEC、ITSEC和CC。

1985年, 美国国防部发布《可信计算机系统评估准则》(TCSEC, 桔皮书)[24], 主要针对计算机操作系统开展安全评估, 重点关注保密性。1991年, 西欧四国(英、法、德、荷)联合提出了《信息技术安全评估准则》(ITSEC)[25], 在关注保密性基础上, 增加了对完整性、可用性要求, 并将安全要求划分为“功能”和“保障”两部分, 功能指的是为满足安全要求而采取的一系列技术安全措施, 保障指的是确保功能正确实现及有效性的安全措施。

为满足全球经济信息化发展的需要, 减少各国信息安全测评认证的重复开支, 国际上希望建立一套统一的信息技术安全评估标准。1996年, 美国、加拿大等六国七方签署了《信息技术安全评估通用准则》(CC v1.0), 后续经不断完善, 最新版本为CC v3.1。1999年, CC v2.0被采纳为国际标准, 最新版是ISO/IEC 15408-2009[26]。自从CC及其相关标准问世以来, 很多国家相继采用或借鉴其准则条例, 以实施本国的信息技术/产品安全评估与认证。目前全球已经有17个国家签署了《通用准则国际互认协定》(CCRA), 并另有14个国家认可CC认证结果。

我国信息安全管理与国际基本同步。1994年中国首次接入国际互联网后, 相继出台《中华人民共和国计算机信息系统安全保护条例》等一系列面向信息技术安全保护方面的法律法规和国家标准。1999年, 我国将TCSEC转化为国家标准《计算机信息系统安全防护等级划分准则》(GB 17859-1999)[27]。2001年, 我国将国际标准ISO/IEC 15408-1999等同采用为国家推荐性标准《信息技术安全评估准则》(GB/ T 18336-2001)[28-29], 最新升级为GB/T18336-2015[30]。2007年, 国家发布《信息安全风险评估规范》(GB/T 20984)[22], 提出风险评估的概念、要素关系、评估原理、实施流程和工作方法等, 用于规范化风险评估过程。2017年6月《网络安全法》正式施行, 作为我国网络安全领域的基础性法律, 全面规范了网络空间主权、关键信息基础设施安全保护、重要数据本地化储存、个人信息保护等网络空间治理关键领域的基本框架。

2.3 信息系统安全评估

信息技术/产品安全是信息安全的基础, 随着互联网飞速发展和信息技术/产品功能复杂化, 由大量多类型、多品种的信息技术/产品及其运行环境构成的信息系统所面临的信息安全风险远远超出了信息技术/产品本身[31], 不再仅局限于计算机设备和网络等信息载体, 对于信息载体所处的物理环境、人员管理、使用过程等同样提出了安全要求, 国内外也相继从管理角度提出了信息系统安全管理标准。

1995～1998年, 英国标准协会(BSI)发布《信息安全管理实施规则》(BS 7799-1)[32]和《信息安全管理体系规范》(BS 7799-2)[33], 后被采纳为国际标准《信息安全管理实施规则》(ISO/IEC 17799-1)[34]和《信息安全管理系统要求》(ISO/IEC 27001)[35], 最新版本分别为ISO/IEC 27002-2013[36]和ISO/IEC 27001-2013。其中, 《信息安全管理实施规则》是组织建立并实施信息安全管理体系的指导性准则, 为组织制定自身信息安全策略、进行有效信息安全控制提供依据; 《信息安全管理体系规范》提供一套有效的信息安全管理体系模型以及信息安全控制要求。

1996年, 美国国家安全局(NSA)开发一套专门用于系统安全工程的信息安全工程能力成熟度模型(SSE-CMM), 基于众多软件专家的实践经验, 侧重于软件开发过程的管理和工程能力的提高与评估[17]。2002年, SSE-CMM被国际标准化组织采纳为国际标准《信息技术系统安全工程-成熟度模型》(ISO/IEC 21827-2002), 最新版本为ISO/IEC 21827-2008[37]。

1996年, 国际标准化组织(ISO)发布《信息安全管理指南》(ISO/IEC TR 13335)[38], 提供了一套以风险为核心的信息安全管理模型, 以给出具体信息安全管理建议和指南为目标, 从多种角度阐述信息安全管理模型并给出操作性较强的步骤。

2006年, 我国发布国家标准《信息系统安全保障评估框架》(GB/T 20274)[21], 将评估对象从GB/T 18336的信息技术/产品, 扩展到包括基础设施、组织结构、人员和组件等总和的信息系统, 提出信息系统安全保障策略体系, 从安全技术、安全工程和安全管理等方面提出安全保障要求。

3 信息内容安全评估

3.1 信息内容安全

西方国家对网络信息安全的重视始于20世纪90年代, 侧重于信息载体安全和信息数据安全, 对信息内容安全管理基本奉行“言论自由”。自2001年“9·11”事件中恐怖分子利用互联网传递信息策划恐怖活动, 并对国际安全造成严重损害后, 以美国为首的西方国家开始将信息安全的范围和重心逐步扩大到信息内容安全[39]。

国际上有诸多面向特定领域的信息内容安全法律准则, 在国际公约方面如1910年管制色情的《反对传播淫秽出版物协定》, 1948年查禁民族仇杀内容的《防止和惩罚民族屠杀公约》, 1966年禁止宣传战争的《联合国人权宣言》; 在各国法律法规中, 如美国在1996年颁布针对网络色情内容的《传播净化法案》, 1998年和2000年颁布针对儿童网络内容安全的《儿童在线保护法》和《儿童网上隐私保护法》, 2001年颁布针对通信内容安全的《通信规范法案》, 日本在2008年颁布针对未成年人网络内容安全的《约会类网站规制法》和《青少年网络环境整备法》等等。此外, 在制度上, 美国要求学校必须安装过滤系统以保证校园网内不能访问违法信息, 对互联网信息内容进行分级, 对互联网信息内容受众进行分类; 意大利采用了微软互联网儿童色情屏蔽系统; 日本施行电子娱乐信息内容分级制度; 韩国对手机邮件采取集中控制, 通过技术手段拦截有害邮件; 新加坡施行互联网分级许可证制度, 建立信息关防封堵色情信息等。

2000年, 我国颁布《互联网信息服务管理办法》(国务院第292号令)[40], 对从事互联网信息服务的主体明确规定了取得许可和备案义务, 信息内容安全逐步获得国家和行业层面的关注。2017年, 我国颁布《网络安全法》, 明确信息内容安全属于信息安全范畴。信息内容安全已然成为了国家信息安全保障体系的重要组成部分[41]。

由于国内外在信息内容安全管理领域仍处于起步探索阶段, 目前针对信息内容安全要求的刻画, 缺乏标准化、规范化的公共描述语言、结构和方法, 仅在个别法律法规和标准中有“枚举式”表述。

例如, 在法律法规方面, 我国《互联网信息服务管理办法》第十五条指出, 互联网信息服务提供者不得制作、复制、发布、传播含有“九不准”内容的信息; 国家广播电影电视总局、中华人民共和国信息产业部颁布的《互联网视听节目服务管理规定》[42](第56号令)第十六条指出视听节目不得含有的10项内容; 国家广播电影电视总局颁布的《广电总局关于加强互联网视听节目内容管理的通知》[43]第二节指出视听节目应及时剪节、删除的21项内容, 《电视剧内容管理规定》(第63号令)[44]第五条指出电视剧不得载有的11项内容; 中国网络视听节目服务协会颁布的《网络视听节目内容审核通则》[45]第四章“节目内容审核标准”中, 列举了互联网视听节目不得出现的4条47款共计109项内容, 《网络短视频内容审核标准细则》[46]中列举了网络短视频不得出现的21条共计100项内容, 《网络综艺节目内容审核标准细则》[47]中列举了网络综艺节目不得出现的2部分9类共计94条内容; 在2013年国家互联网信息办公室举办的“网络名人社会责任论坛”上, 由网络名人达成共识, 提出的网友应遵守的“七条底线”原则等。

在国家和行业标准方面, 国家标准《信息安全事件分类分级指南》(GBZ 20986-2007)[48]将信息内容安全事件定义为: “利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件”。工业互联网安全[49]方面的规划主要集中在设备安全、控制系统安全、网络安全等; 在新技术新形态领域如5G通信[50,51]、区块链[52]等方面的国家和行业标准尚处于起步规划阶段, 安全要求方面目前聚焦于网络安全、技术安全和设备安全, 涉及信息内容安全较少。

根据上述国内外法律法规和国家标准中对互联网信息内容安全的相关规定, 本文将信息内容安全定义为对信息的内容真实有效, 符合法律法规、社会公德、商业道德的保护。

3.2 信息内容安全评估

信息安全评估的基本思路是通过对信息技术、产品、系统等的风险分析挖掘, 提出对应的安全保障要求, 识别并改进信息产品脆弱性, 使其在期望的安全环境中运行, 减少信息安全风险, 保障资产安全[31]。在众多信息安全模型[21,26,35,38]中, “风险”始终是占据关键位置的核心要素, 风险评估和管理具有重要性、基础性作用。图1说明了信息安全各要素的关系。资产是赋予了价值的实体, 对于所有者和威胁主体都具有价值, 所有者有责任保护资产利益不降低, 威胁主体希望以危害资产所有者利益的方式非法获取或破坏资产, 威胁引发了资产的安全风险, 威胁主体可利用已有威胁实现其目的, 所有者希望通过实施对策降低风险, 保护信息资产安全。

在信息技术/产品安全中, 信息一般认为应具有CIA三个安全属性: 机密性(Confidentiality)确保信息不被泄露, 完整性(Integrity)确保信息不被篡改, 可用性(Availability)确保信息可被合法使用[53]。在信息系统安全中, 通常还会补充考虑以下安全责任属性: 如可控性确保信息传播可被控制, 可确认性确保信息不可抵赖, 可审计性确保信息可被溯源等[31]。在信息内容安全层面, 信息还应具有真实性、优良性, 以确保信息内容符合事实, 符合法律法规、社会公德、商业道德等。

在传统信息安全范畴中, 信息技术/产品安全和信息系统安全风险关系模型已十分成熟。对于信息技术/产品安全来说, 资产是信息及信息技术/产品, 其实现形式可以是硬件、固件或软件, 威胁可以是信息技术/产品漏洞[30], 已有对策包括实施CC、GB/T 18336等, 以确保信息的CIA安全属性。对于信息系统安全来说, 资产是信息及整个基础设施、组织结构、人员和组件等总和的信息系统[21], 威胁可以是信息系统在技术、人员管理等方面的漏洞, 已有对策包括实施GB/T 20274等, 除确保信息的CIA安全属性外, 还应确保信息的安全责任属性[31]。图2描述了上述风险要素层次关系。

图2 分层次的信息安全风险要素举例 Figure 2 Examples of elements of hierarchical information security risks

对于信息服务安全来说, 所有者是信息服务提供者, 资产是信息及提供信息内容的信息服务。随着互联网新技术的深入发展和网民对信息交流方式多样化的迫切需要, 互联网信息服务形式和功能日趋丰富繁杂, 个性化新闻资讯推荐、网络直播互动、群组视频通信、匿名社交、换脸变声、虚拟现实影像等新功能推陈出新, 不断对互联网信息内容安全带来新的威胁。对于互联网信息服务, 威胁可以是内容审核机制缺失漏洞、采编人员管理漏洞等, 威胁主体可以是发布虚假信息的恶意用户、采编有害稿源的编辑、推送低质庸俗信息的个性化推荐算法等。资 产对所有者和威胁主体都具有价值, 信息服务提供者通过信息服务提供信息内容, 创造商业利益, 威胁主体利用信息服务内容审核管理漏洞等实现散布有害信息等恶意目的, 危害信息服务安全。

与信息技术/产品安全评估、信息系统安全评估相同, 对信息服务实施安全评估管理, 需要先定义安全行为准则[54], 并制定安全防护措施、安全评测评估和安全审查认定方法, 管理部门依据安全行为准则和评估方法实施安全评估和有效监督管理。由于目前信息服务安全评估方面顶层设计不足, 尚无可具体指导实施安全防护措施的国家标准和操作指南等, 许多互联网信息服务在经过传统信息安全评估或检查手段之后, 在已满足特定级别等级保护要求的情况下, 仍然频繁发生严重信息内容安全事故。

信息技术/产品安全评估的评估对象(Target of Evaluation, TOE)为软件、固件、硬件和指南文件的集合[30], 信息系统安全评估的TOE为提供信息采集、处理、存储、传输、分发和部署等技术或功能的信息系统[21], 信息服务安全评估的TOE为提供信息生成、处理、使用、传播、存储和销毁等技术或功能的信息服务。本文借鉴信息技术安全评估通用准则(ISO/IEC 15408)、信息系统安全保障评估框架(GB/T 20274)等已有信息安全风险评估实践的设计理念, 将TOE扩展为提供信息内容的互联网信息服务, 提出互联网信息服务内容安全要求, 并以结构化方式对信息服务内容安全要求和安全评估要求进行描述, 为互联网信息服务相关方提供安全保障工作参考。

4 互联网信息服务内容安全要求

《互联网信息服务管理办法》第2条将互联网信息服务定义为“通过互联网向上网用户提供信息的服务活动”, 其服务形式多样, 如根据2017年国家互联网信息办公室令第1号《互联网新闻信息服务管理规定》[54]第5条的列举, 服务形式包括互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等。本文认为互联网信息服务是一种基于信息生成、处理、使用、传播、存储和销毁等技术或功能, 通过互联网提供信息的服务活动。

CC的目标是建立一套完备的对信息系统和应用安全性进行评估所需的标准化基础准则, 针对在安全评估过程中信息系统和应用的功能安全性和相应的保障措施, 提出一组通用要求, 以使各独立的安全评估结果具有可比性[55]。对于信息内容安全管理, 互联网信息服务的相关方(所有者、使用者或评估者), 同样需要一种标准化、规范化的公共描述语言、结构和方法, 以描述该信息服务在信息内容安全方面应该达到的通用要求, 并使用这种公共语言与信息服务的其他相关方进行沟通。

信息服务的所有者可参照此要求, 根据其在信息服务全生命周期中的角色完成相应工作, 即设计、实现或运维相应的安全措施, 降低信息服务可能产生的信息内容安全风险。信息服务评估者可参照此要求, 使用科学规范的评估方法对信息服务已采取的安全措施进行评估, 研判相关措施是否满足相应安全要求; 评估者通过评估所得到的客观证据, 增强信息服务使用者和其他相关方对信息服务在其运行过程中对抗威胁、保护资产和实现使命的信心。同时, 信息服务相关方应在信息服务全生命周期中持续改进和完善保障措施, 形成可持续改进的信息服务安全保障能力, 维护信任。

4.1 模型概述

本文调研了国内主要互联网信息服务, 包括苹果APP Store、华为、小米和豌豆荚等国内主流应用商城的下载量总和排名前600名的信息服务; 同时, 为重点关注新闻信息服务, 增加调研国家互联网信息办公室2016年底发布的293家互联网新闻信息服务网站, 服务形式涵盖了即时通讯、论坛博客、搜索引擎、网络直播等。在深入分析各功能含义和差异的基础上, 基于信息生命周期, 将信息服务的主要功能归纳为信息发布、信息分享、评论评价等16类, 其中“非提供信息的功能”包括输入法、网络资源管理、设备管理等。图3显示了上述893个信息服务面向用户提供功能的情况。

图3 893款互联网信息服务功能分布情况 Figure 3 Distribution of 893 Internet information services

信息服务安全性有两个重要度量维度: 一是所能提供的安全功能, 二是安全功能的可信度。因此, 信息内容安全要求也分为安全功能要求和安全保障要求两类, 前者用于描述产品应该提供的安全功能, 后者用于描述安全可信度以及为获取一定可信度应该采取的安全措施。二者应尽可能相互独立。

本文提出互联网信息服务内容安全评估模型(图4), 以安全工程思想为指导, 按照信息服务生命周期线索, 将各类互联网信息服务的功能模块归类分析, 提出安全功能要求和安全保障要求两类信息内容安全要求, 以定义期望的安全行为和保证安全措施正确有效实施的信任基础。在安全要求的表达上, 以组件化描述方式通过类、族和组件3级层次结构对信息服务安全要求进行描述。

图4 互联网信息服务内容安全评估模型 Figure 4 Model of evaluation for Internet information service content security

在类层面, 根据信息在不同生命阶段的安全问题, 将安全要求全集划分为若干类; 在族层面, 将每个安全要求类根据不同安全目标, 划分为若干族; 在组件层面, 将每个安全目标族进一步划分为具有原子性的组件, 以供进行安全运营或风险评估等活动时选用。类和族体现的是一种分类方法, 具体的安全要求由组件体现, 即每一个信息服务的安全目标都可以通过最小可选组件描述。通过选取安全功能组件描述信息服务提供功能应满足的安全行为, 选取安全保障组件描述上述安全行为正确有效实施的保障要求。通过安全功能组件和安全保障组件构造用于描述某种服务功能安全目标的组件包、某一类信息服务安全目标的保护轮廓(Protection Profiles, PP)文档, 由此构造描述特定信息服务的安全目标(Security Target, ST)文档。本文通过对893款互联网信息服务各项功能的逐一分析, 验证了上述模型可 满足对互联网信息服务应提供的安全功能描述。

4.2 安全组件

互联网上信息内容安全风险来自多个方面, 如信息服务提供者从不合规稿源采集虚假信息、提供信息服务时未对用户上传的违法不良信息有效拦截、信息内容发布流程多级审核机制不健全、已发布信息巡查不及时、用户信息存储未配备有效防篡改技术措施、信息销毁不彻底等。本文参考国际标准化组织ISO/TC171相关决议[56]、美国学者Horton[57]对信息生命阶段在两个层面上的定义和我国学者索传军[58]对信息生命阶段的界定等研究, 将互联网信息服务提供的信息活动分为6个阶段: 信息生成、信息处理、信息使用、信息传播、信息存储和信息销毁。

在互联网信息服务内容安全评估模型中, 安全功能要求按照信息生命周期设置为信息生成等6类, 根据不同的安全目标下设安全功能要求族, 进而再设计更为具体的安全功能要求组件, 具体结构见表 1。安全保障要求设置管理制度、组织人员、业务服务和运行维护4类, 并依据不同保障目标下设安全保障要求族和安全保障要求组件, 具体结构见表 2。

表1 安全功能组件 Table 1 Security functional components

表2 安全保障组件 Table 2 Security assurance components

4.3 安全等级分级

由于互联网信息服务的功能类型、信息形式、服务用户规模不同, 信息服务的社会动员能力也不同。在互联网信息服务内容安全评估模型中, 对于具有不同社会动员能力的信息服务采取了安全等级分级策略。模型将互联网信息服务安全初步划分为基本级和增强级, 从所属企业规模、服务用户规模、提供信息形式3个要素, 判断该互联网信息服务的社会动员能力和发生安全事件后的危害程度, 从而确定其应满足的安全级别, 为评估者提供分级的安全要求依据。具体分级规则见表3。

表3 互联网信息服务安全等级分级规则 Table 3 Grading rules of security level of Internet information service

互联网信息服务内容安全评估模型在部分安全功能组件和安全保障组件中分别设置了基本要求和增强要求。例如, 在安全功能组件“A.1.2.1: 信息服务用户注册”中, 基本要求定义了互联网信息服务的用户注册功能应满足与用户签订使用协议、用户填报信息先审后发、对问题账号及时处置3项要求, 增强要求增加定义了具备真实身份信息核验能力等。安全等级为基本级的互联网信息服务应满足所选组件中所有的基本要求, 安全等级为增强级的应同时满足所选组件中的基本要求和增强要求。

4.4 一致性分析

信息安全评估是在TOE的整个生命周期中, 通过风险分析, 依据评估要素制定相应安全评估策略, 从而确保信息安全。表 4列出了信息技术/产品安全评估、信息系统安全评估和信息服务安全评估的三个关键要素: 从信息的安全属性上看, 三者对于保障的信息安全属性逐步增加, 这与三者保障信息安全的层次递进关系一致; 从TOE生命周期来看, 3者关注的TOE不同, 其生命周期也有所不同, 但保障TOE全生命周期安全这一目标是一致的; 从评估要素上看, 三者对于保障资产安全的技术、管理、人员3个主要方面是一致的。

表4 信息技术/产品安全评估、信息系统安全评估、信息服务安全评估的比较 Table 4 Comparison of evaluation for IT security, information systems security and information service security

信息服务安全评估与信息技术/产品安全评估、信息系统安全评估关注的TOE不同, 构造的PP也不同。例如, 信息技术/产品、信息系统安全要求构造的PP有防火墙、智能卡、数据库、VPN等, 而信息服务内容安全要求可构造的PP诸如即时通信工具、网络直播工具、博客、论坛等。

4.5 安全评估流程

对互联网信息服务实施安全评估主要包括以下步骤:

步骤1:制定安全目标(ST)

(1) 根据评估对象(TOE)的产品形态、服务形式和具体功能等, 确定ST应包含的安全功能组件和安全保障组件;

(2) 根据互联网信息服务安全等级分级规则, 确定TOE所属安全等级, 明确选取的组件中应包含的安全要求;

(3) 制定ST。

步骤2:实施安全评估

(1) 组建评估队伍, 根据ST设计测评表, 拟定评估方案, 制订评估实施总体计划;

(2) 启动安全评估, 验证TOE是否满足ST所列安全要求; 若满足, 则该项安全评估结果为“通过”; 否则, 为“不通过”;

(3) 编制评估报告。

步骤3:形成评估结论

(1) 如果TOE评估的每一项评估结果均为“通过”, 则评估结论为“通过该安全等级的安全评估”;

(2) 如果TOE评估中包含评估结论为“未通过”的评估项, 且评估使用的安全等级不是最低级, 则降低1个安全等级, 重复步骤1;

(3) 否则, 评估结论为“不通过”。

4.6 安全评估案例分析

本文选取国内知名度较高的某互联网新闻资讯聚合网站作为评估对象, 通过对其实施安全评估, 进一步说明互联网信息服务内容安全评估模型的使用方法。该TOE于2013年上线提供服务, 目前营业收入≤1000万元, 用户数量≤100万人, 提供的信息内容形式包括文本、图片、音频、视频, 因此安全等级定为增强级。该TOE提供网络新闻、站内新闻搜索(大家都在搜)、外部网站搜索、第三方平台分享和个人中心5项功能。通过逐项分析上述功能, 依据互联网信息服务内容安全要求制定ST, 共包含244个安全组件。在第一轮安全评估(增强级)中, 评估结果为“通过”的安全组件有210个, “不通过”的有34个, 因此该TOE未能通过增强级的安全评估; 在第二轮安全评估(基本级)中, 全部244个安全评估组件的评估结果为“通过”; 因此, 该TOE的最终安全评估结论为“通过基本级安全评估”。评估结果示例见表5, 其中括号中的分数表示“符合要求项目数/项目总数”。

表5 一款TOE在安全等级为“增强级”时的评估结果示例 Table 5 Evaluation result of a TOE with reinforced security level

5 总结

随着互联网技术飞速发展以及我国互联网与世界的进一步深度融合, 互联网有害信息问题日益尖锐, 对互联网信息内容安全评估与防范措施的研究工作将会更加重要和急迫。互联网信息服务内容安全要求和评估体系建设研究是一项长期性、持续性的工作。

本文通过借鉴信息技术安全评估通用准则(ISO/IEC 15408)、信息系统安全保障评估框架(GB/T 20274)等标准的设计思路, 针对互联网信息服务内容安全提出通用要求, 并设计了具体的安全功能要求和安全保障要求框架。互联网信息服务内容安全要求具有良好的可扩展性, 可面向不同形式的信息服务编制保护轮廓和安全目标并实施安全评估, 为互联网新兴技术应用的安全发展需要和监督管理需求提供了良好的技术基础支撑。相关研究成果已成功立项国家推荐性标准《互联网信息服务安全通用要求》, 目前已完成公开征求意见。

下一步研究工作包括: 对互联网信息服务内容安全功能要求进行细化, 从建立不同级别安全信心的角度对安全要求进一步分级, 面向实际需要建立更为严谨的分级评估模型; 进一步跟踪归纳互联网新兴技术和信息服务的发展, 针对性地提出安全要求组件包和保护轮廓; 研究制订互联网信息服务安全评估指南, 研究自动化安全评估技术手段等。

致 谢在此向本文成文中给予指导的老师、提供帮助的同学和给本文提出建议的评审专家表示感谢。