评估案例——翼信易信
聊天
可发送多媒体信息 宽松的群聊人数限制：上限200人 显示信息状态：消息“已读”状态 显示 语音连续播放：类VOIP
免费短信 电话留言
易信可以跨网给电信、移动、联通 用户发送免费短信。
易信可以跨网给电信、移动、联通 的手机用户和固话用户发送电话留 言。
上报机制
4.探索开展重点业务领域 信息安全评估实践
2012年 构建体系
2013年 重点实践
2014年 全面落地
主要内容
3 1 2 3 4
一、安全评估工作重要性及历程 二、安全评估实施要求 三、安全评估方法 四、典型评估案例
（一）评估对象
问题一：安全评估的对象是谁？
信息安全评估对象应当包括业务本身及业务运营企业。
由只要知道一个人的手机号，就 可以随时用易信向对方的手机或
开放性设计难保用户隐私且易 成为不良信息传播温床。

易信1.0设计非常开放，主要体现 在“好友推荐”、“评论可见” 和“群组无上限”这几个方面。 而这些开放式的设计存在损害用 户个人隐私的风险。
座机打电话、发短信、语音留言，
并且可以匿名留言。 可能被利用来散布谣言、黄色、 暴力、反动言论等不良违法信息，
问题二：评估前准备什么信息？
• 获取业务发展情况、业务实现原理和方式等基本信息，总结业务主要功能、
业务
业务属性及特征、信息流动（传播）方式。 • 获取企业现有信息安全管理制度及落实情况、信息安全技术保障措施建设
企业
及使用情况。同时依照业务功能，梳理业务策略或者业务功能限制条件。
（二）评估启动条件
建立覆盖业务全生命周期的信息安全评估体系，在业务规划、建设、运维 等阶段按需实施安全评估，实现业务流程与安全流程的有机统一。 业务规划安 全评估
企业信息安全保障能力 评估方法
根据业务信息安全风险分析 的结论，对照企业信息安全保障 要求
对 标 过 程
企业信息安全保障要求
业务应用 信息安全 保障要求 业务平台 信息安全 保障要求 Diagram Diagram 33
评价企业现有信息安全管理 措施和技术保障措施是否满足基 本要求，是否能够有效控制业务 信息安全风险。
庞大的用户群体将导致影响范围
更广，后果更严重。
评估案例——翼信易信
措施建议
建议一
建立文本消息消息监测和过滤机制
企业应当对易信文本消息建立消息监测和过滤机制，及 时发现、拦截文本消息中违规违法信息，并做好相关记 录，形成监测日志。
建议二
对群组实行分级分类管理
企业需根据群组人数、日发送消息数、是否曾发现不良 信息等参数，对微信群组进行等级划分，并根据等级制定 群组消息监测策略。对于高危群组，必要时需采取人工审 核方式。
Diagram Diagram 2 2 数据安全 保障要求
用户
用户注册管理 用户分级管理 用户投诉管理
业 务 应 用 信 息 安 全 保 障 要 求
信息内容管理 信息传播方式管理
信息搜索查询 信息发布递送
信息内容管理 技术手段建设 搜索引擎 公众账号 应用分发平台 信息社区平台 信息即时交互 群组
互联网新技术新业务安全评估 政策解读及评估方法
信息通信安全研究所 2015年3月18日
主要内容
3 1 2 3 4
一、安全评估工作重要性及历程 二、安全评估实施要求 三、安全评估方法 四、典型评估案例
互联网新技术新业务安全评估工作的重要性
安全评估工作是对互联网新业态、新技术以及传统 业务领域中重大事件所引发的信息安全新风险进行 研判、预警和事前防范的安全监管制度举措。
周期性安全 评估
业务运营阶段 政府部门要求
（三）评估实施流程
评估实施流程包括三个阶段：评估准备、组织实施、评估总结。
评估 准备
• 深入剖析业务， 成立评估组 从多个维度分析 业务可能存在的 信息安全风险。 制定评估 计划 准备评估 文档
开展 评估
评估 总结
形成评估 • 根据现有信息安 结论 全监管要求，评 判企业信息安全 管理工作是否落 整改方案 实到位。 • 对照业务的信息 安全风险，评判 完成评估 企业安全保障措 报告 施是否能有效控 制风险。
业务规划阶段
业务规划、开发阶段，开展业务信息安全 预评估
新业务上线 安全评估
业务上线前
业务上线（含合作推广）/试运营之前完成 业务信息安全评估 关键指标（用户规模、业务范围、业务功 能/属性、业务承载网络）发生较大变化，即 时启动评估 定期开展自评估（半年/一年） 积极配合跨部门评估、行业内评估 提供客观、详实的安全评估报告
（三）业务信息安全风险评估
信息安全评估模型的使用方法： 业务分析 风险分析 结论
业务技术原理 业务主要功能 业务主要特征 业务的市场发 展情况
逐一比照15个评 估模块，分析业 务潜在信息安全 风险 挖掘其他潜在风 险
总结上一步发现 的风险
（四）企业信息安全保障能力评估
评估案例——翼信易信
业务特征及属性
打通了移动互联网业务与传统电信业务的边界。 基于兴趣、娱乐的社交功能易于快速建立交际圈。 文本、语音、图片、视频等信息心态多媒体化。 通过大力度免费策略吸引用户。 高质量的语音通话，支持VOIP业务。 易信作为一款移动互联网即时通信软件，同时具备通信属性、社交属性和媒体
主要内容
3 1 2 3 4
一、安全评估工作重要性及历程 二、安全评估实施要求 三、安全评估方法 四、典型评估案例
评估案例——翼信易信
中国电信与网易于2013年8月19日宣布合资成立浙江翼信科技有限公司 并发布一款新的移动即时通讯社交产品“易信”。网易科技发布数据显示， “易信”发布24小时之内,总用户量突破100万。2014年7月16日，易信发布 《易信一亿用户白皮书》，正式对外宣布用户总数破亿。 易信是全球首次电信运营商与互联网公司成立合资公司并合作打造移动 即时通讯社交产品，浙江翼信科技有限公司注册资金两亿，中国电信占股 73%，网易占27%。
e）评估结论及整改建议。
主要内容
3 1 2 3 4
一、安全评估工作重要性及历程 二、安全评估实施要求 三、安全评估方法 四、典型评估案例
（一）信息安全概念界定
从学术研究的角度来讲，信息安全包括信息自身安全、信息 系统安全和信息内容安全等 从支撑新技术新业务安全评估的角度来讲，信息安全指信息 内容安全及数据安全
（三）业务信息安全风险评估
信息安全风险评估模型
三个层次 平台
应用
数据
十五个模块
总结实战经验 归纳总结各类业 务的风险点
（三）业务信息安全风险评估
信息安全风险评估模型
信息载体 包括信息呈现方式、 语言类型。 ①信息呈现的方式包括文本、 图片、音频、视频、二维码 等，考虑到对图片、音频、 视频等多媒体信息识别技术 尚不能满足信息安全监管的 需求，此类信息载体存在含 有、传播不良及违法信息的 潜在风险。 ②语言类型主要包括中文、 英文、及其他小语种等，考 虑到小语种语言的识别技术 尚不能满足监管需求，且容 易被极端组织和民族分裂分 子利用进行违法不良信息传 播，存在潜在风险。
信息安全评估实施流程
企业信息安 全保障能力 评估
业务信息 安全风险 评估
（四）安全评估报告的规范要求
信息安全评估报告应当包括以下组成部分（格式规范）： a）安全评估工作组织情况，包括评估人员组成、评估 流程； b）业务基本情况，包括业务定义、功能及属性、市场 发展情况、用户规模及技术实现原理等； c）业务信息安全风险分析； d）企业配套安全管理措施、技术手段和保障机制；
监管需求
监测处置
业务信息安全风险 评估
及时、客观、全面 的评价新技术新业务的 业务功能、 业务属性、 业务特点、技术原理等 关键要素对信息安全监 管工作的威胁和挑战。
溯源管理 企业信息安全保障 能力评估
全面评估互联网企 业信息安全管理措施能 否有效应对信息安全威 胁，可从信息安全管理 机构、制度、手段建设、 等多个方面进行核验。
建议三
对关键业务策略开展深入评估
企业需重点对跨网免费短信和电话留言功能、群组不设 上限人数限制、好友添加无需验证策略等方面进行信息安 全风险评估，依据评估结果完善相应的业务信息安全措施。
感 谢 聆 听！
匿名、转发
阅后即焚
配合监管责任落实
信息安全规则张贴与主动提示制度 定位溯源管理 用户实名制管理
日志留存管理
信息联动管理 应急配合管理 应急处置制度 敏感用户监测制度
应急处置技术能力
（四）企业信息安全保障能力评估
业务平台信息安全保障要求及数据安全保障要求
业务平台部署 资源调度 业务平台信息安 全保障要求 信息备案 设施境内外分布 资源实时监控 违法信息监测处置 日志留存 用户接入 资质审核 信息备案 用户分级管理 开放接口 个人数据安全 数据安全 保障要求 用户信息收集保护 用户信息存储保护 用户信息使用保护 用户信息转移保护
属性，并创新性地引入电信属性。
评估案例——翼信易信
通过梳理易信业务的主要功能、业务特征及属性、业务定位，可以推断易信业务 可能存在的信息安全问题集中在跨网的免费短信和电话留言、打电话功能，以及开 放式的社交关系网。 电信属性下的信息安全风险 社交属性下的信息安全风险

易信容易成为发送垃圾短信和 骚扰电话的工具和不良信息散 播的新途径。
安全评估工作是顺应国家简政放权、弱化许可、突 出属地化职能等政府行政管理思路的必然选择。
安全评估工作是一个更加适应互联网业务快速创新、 融合发展等特征的有利监管抓手。
互联网新技术新业务信息安全评估工作推进历程
安全评估 预备年