还剩2页未读,继续阅读
文本内容:
分类()云计算类是指利用架设在数据中心之上的设备和资源,通过互联网或其他网络以随时获取、1按需使用、随时扩展、协作共享等方式,为用户提供的包括数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务向第三方客户提供的服务项目包括数据存储服务(涉及虚拟存储空间出租的服务)和面向开发者提供的互联网应用开发环境、互联网应用部署和运行IAAS(管理等服务服务)如云空间业务、云存储业务、企业云、云桌面业务等;PAAS()大数据类大数据是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,2正快速发展为对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,从中发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态如分析、人工分析、信用分APP析、精准营销类、热图类等;(()物联网类物联网是通过射频识别)、红外感应器、全球定位系统、激光扫描器、气3RFID体感应器等信息传感设备,按约定的协议,把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络如物联网卡类业务,包括物联网平台管理;安全需求详见下表
(一)业务内容安全需求内容安全需求应对用户进行实名认证用户业务系统应具备用户投诉管理功能应对信息内容审核机制信息内容应对违法信息进行监测应对违法信息进行拦截及过滤信息生成应对生成信息的用户身份进行认证应明确告知用户禁止发布、复制、传播违法信息应明确要求用户承诺遵守七条底线信息传播具备第三方/用户发布信息功能的业务针对个人账号、公众账号、聊天群组后台数据中应具备安全等级划分及配置相应的处置策略具备第三方/用户发布信息功能的业务,应配备专门人员管理公众帐号应对群组违法信息的发布、传播进行监测和处置针对业务平台内可跨越网络类型传播或跨平台转发分享的信息内容应建立违法信息监测和处置技术手段在具有信息联动发布功能的业务平台上发布违法信息,企业应具备迅速切断同步或关联关系,并联动删除各关联平台上的违法信息的能力应明确告知用户业务推送信息的种类,用户可自主选择是否接收信息,或在业务系统设置是否包含信息推送功能管理的选项应对用户信息发布操作记录相关日志信息留存对记录的日志应具备查询和检索功能日志记录时间应保存6个月业务应根据目的明确原则、用户知情同意原则及最小化原则采集用户信息,不得过度采集;对于用户信息用户个人信息,应制定保密性、完整性校验、备份与恢复等机制及措施,防止因用户个人信息泄保护露而引发诈骗事件
(二)业务流程安全需求内容安全需求对于
400、语音专线等重点电信业务,应严格审核申请主体的资质,加强业务外呼管理,业务合通讯信息同中必须明示允许的外呼号码或号段、外呼用途、时段、频次等信息,界定安全责任安全应对可疑电话号码进行分析识别,及时对可能引发诈骗事件的安全行为管控对于WAP和WWW订购方式,应采用动态码验证、短信验证码等技术手段对计费点进行防护计费安全对于短信订购方式,应采用短信端口号码长度有效性校验等技术手段进行计费点防护应采取技术手段实现对业务信息费异常的有效监控,及时发现问题能力开放接口应可对输入来源进行白/黑名单判断接口安全接口应对设计范围以外的非正常参数进行过滤,并提供统一的不泄露内部敏感信息的提示客户信息应米用技术手段对客户基本信息进行加密存储、传输安全应米用技术手段对客户数据信息进行加密存储、传输业务开通、变更、退订与计费功能应采取安全管控措施,保证计费安全业务订购应采用“认证码”,在下发环节说明认证码的用途并提醒用户不能泄露给他人业务订购应进行“二次认证”应限定同一手机号码每口业务订购次数用户业务认证口令强度应满足复杂度要求应设置用户业务认证登录策略,如限定失败登录次数、锁定时间、解锁方式、同时在线限制等业务逻辑用户业务认证过程数据传输应加密安全采用的认证数据加密算法等技术手段应能够保证用户业务认证过程数据安全,保证不被非授权利用或篡改应限制用户使用业务各个功能模块的每日使用次数和频率各业务模块使用过程数据应加密传输数据加密算法等技术手段是应够防止各业务模块使用过程数据安全,不能被非授权利用或篡改对上传非常规数据应进行过滤应采用技术手段对各类业务信息传播实时监控,并具备即时下线的能力应严格限定内容传播范围应具备限制群发的技术手段,限制发送范围、发送频率等传播安全应建立并实施技术手段,防止非信任互联网渠道恶意盗链对于通过WAP、WWW渠道推广的业务,应设置来源网址黑白名单、动态码验证等方式防盗链对于客户端业务,应在业务初次使用时应进行客户端下载渠道验证;若从非授信渠道下载的,应禁止其使用应对应用程序正式发布的版本做混淆及数字签字田中工口击应对应用程序禁用危险的API女全应避免应用程序认证账号在配置文件中明文存放实施评估流程新技术新业务信息安全评估流程共分为组织实施、整改加固、评估总结、评估复审四个阶段,各阶段实施单位及工作内容如下表序号评估阶段实施单位工作内容评估工作重点责任单位评主要调研技术文档中,业务流程及各个环节的参与者调研技术文档估小组角色、业务功能和技术实现方式责任单位评主要调研管理文档中,业务系统信息安全的日常管理调研管理文档估小组措施和应急管理措施主要调研业务系统的(潜在)用户数量、用户的地域责任单位评调研其他信息分布和年龄分布、采取何种手段来识别用户真实身份、估小组以及业务系统的市场发展情况使用业务安全风险评估模型,根据被评估业务的具体责任单位评业务安全风险情况,采用文档分析、人员访谈或会议质询的方式评组织实施估小组评估1估业务安全风险阶段根据《中国移动业务安全通用评估规范》,对业务流责任单位评网络安全风险程安全、平台及软件安全、设备安全、网路拓扑安全、估小组测评终端安全及安全管控等方面进行评测根据业务安全风险评估的结果,通过对照企业安全保责任单位评企业保障能力障基线要求,评价企业现有安全管理措施和技术保障估小组评估手段是否满足基线要求,是否能够有效控制业务安全风险责任单位评录入合规平台开展评估时,将业务信息录入合规平台估小组责任单位评对安全评估中发现的风险问题进行整改加固,并对风风险问题跟踪整改加固估小组险问题整改结果进行持续跟踪2阶段责任单位评完成整改建议整改后进行二次评估,同时完成整改报告估小组报告评估总结责任单位评3评估结果确认对评估结果进行判定、评审和确认阶段估小组序号评估阶段实施单位工作内容评估工作重点责任单位评由部门安全员审核后生成评估报告,并报部门负责人生成评估报告估小组审批网络与信息网络与信息安全管理中心对评估进行审核,审核未通评估复审评估复审及结4安全管理中过驳回评估单位整改,审核通过业务部门进行存档,阶段果通知心并可划上业务正常上线运营。