新技术新业务安全评估报告-集团模板.docx

彩云业务安全评估结果表 业务名称 彩云业务 业务主管部门 中国移动集团广东公司互联网基地 业务简介 彩云是便捷、高效的个人云端数字生活中心，它帮助用户存储个人信息资产，通过云端进行手机、PC等多终端内容的同步和管理,并在此基础上提供丰富的云端应用。彩云主要实现用户文件的存储、分享、备份、同步等功能。 评估结论 通过开展安全风险评估和整改复核工作，评估组认为： 彩云业务在日常网络安全运维、内容安全管控、用户信息保护、日常安全拨测、安全事件应急等方面已建立较为全面的安全管理流程和风险防范机制，对评估发现的安全风险已采取有效的整改措施，业务运营总体安全风险在可控范围之内。 建议广东公司业务部门进一步在业务运营中对彩云信息安全管控措施进行持续完善和优化，信息安全部门对安全保障措施的执行进行常态化监督,保障彩云业务的安全运营和可管、可控。 附件：彩云业务安全评估报告 1 业务基本情况介绍 1) 业务功能 彩云是便捷、高效的个人云端数字生活中心，它帮助用户存储个人信息资产，通过云端进行手机、PC等多终端内容的同步和管理，并在此基础上提供丰富的云端应用。彩云实现的主要功能有： l 存储：支持文件同步、秒传和增量上传；多类型数据的存储与恢复，手机端的图片自动备份与信息同步，PC侧虚拟盘的windows体验与云端融合； l 分享:支持灵活方便的文件外链分享和文件点对点分享; l 备份:短信、彩信、日历自动备份,支持全量或增量上传； l 同步：PC侧灵活便利的多目录同步; l 第三方插件调用：第三方应用调用系统接口可从彩云选择文件进行存取。 2) 实现方式 彩云客户端包括PC客户端和手机客户端，提供彩云业务的人机界面，与彩云业务平台交互完成彩云的各项业务功能. 彩云业务平台是实现彩云业务的核心网元,为用户提供云存储、云应用等个人云服务，并对中国移动自有业务平台以及第三方业务平台开放云存储能力。彩云业务平台由用户接入认证系统、彩云应用系统、彩云基础能力系统、彩云内容增值系统、彩云能力开放系统、彩云业务运营支撑系统组成。 3) 用户及市场情况 彩云业务试点用户目前已超过600万,依托于中国移动庞大的移动用户群，发展空间宽广,2013年用户规模预计可达到千万级。 全球个人云用户将保持快速增长，2012年全球用户数约4.9亿，预计未来5年内将保持约20％的年增长率，到2017年达到12。3亿.国内用户数目前大约1亿，因为数据存取便捷和安全考虑，绝大部分国际品牌很难进驻国内市场，本土个人云产品存在较大发展空间。 2 安全评估情况 1) 评估人员组成 彩云业务安全评估组由来自工信部电信研究院、中国移动集团信息安全中心、中国移动研究院、中国移动设计院、中国移动广东公司的专家组成。 2) 评估流程 彩云信息安全评估实施包括如下四个步骤: 1) 评估：2012年7月23日至7月27日，评估组对彩云业务进行了远程及现场安全评估. 2) 整改：2012年8月至2013年4月，广东公司互联网基地彩云团队根据安全评估发现的安全风险进行整改,并提交整改报告。 3) 复核：2013年5月9日至5月10日,评估组对安全风险的整改情况进行了现场复核. 4) 总结：2013年5月13日，评估组依据风险复核情况，完成彩云业务信息安全评估报告。 3) 安全风险及整改情况 编号 安全风险 风险描述 整改建议 整改落实情况 1 数据文件上传、存储、分享、发布功能存在内容安全风险 高危风险 针对文件的上传、存储、共享、发布操作未建立违规内容的实时监控和审核机制,存在较大的内容安全风险 1）对于彩云文件外链操作，建立先审后发机制 2）对文件共享操作,进行实时监控，对于达到一定阀值的共享,进行先审后发 3）对文件上传操作和已存储的文件建立实时监控手段,并建立用户分级机制，对存储敏感内容的用户进行重点监控和审核. 4）建立定期拨测机制，防范出现违规内容； 5）建立敏感事件期间应急处理机制. 1）外链安全风险整改 2013年1月，完成彩云新版本升级，实现文件外链先审后发机制,对于下载次数超过一定阀值（目前为10)的外链文件送内容审核平台进行人工审核，审核通过后方可继续下载外链文件。同时，外链设有举报机制，用户可以在外链的下载页面对含不良信息的外链文件进行举报，进一步降低不良信息传播风险。 2）文件共享安全风险整改 2013年3月份完成新版本升级,对于共享人数超过一定阀值（目前为20）的共享文件送内容审核平台进行人工审核，审核通过后方可继续共享文件。 3）用户行为监控风险整改 2012年9月建立监控机制：在文件上传时，对文件名进行关键字过滤，含有敏感内容的文件不允许上传.同时，基于内容审核、用户投诉及拨测结果，设立灰/黑名单机制：若一个月内同一用户出现3次内容违规，将该用户放入灰名单中进行重点监控，加强对其外链文件发布的拨测，若再次发布违规信息，则加入黑名单，关闭彩云业务。 4）拨测机制 2012年9月建立拨测机制：设立相关流程、责任主体，对于彩云内容安全进行定期拨测，并输出拨测报告. 5）应急处理机制 2012年9月建立应急处理机制：设立相关流程、责任主体，建立团队对敏感内容安全事件进行应急处理，每半年进行一次应急演练。 2 用户敏感信息泄露风险 高危风险 聊天漫游记录功能存在业务缺陷,可非法获取其它用户的聊天漫游记录信息 1）对存在互通关系的业务提出明确安全要求，防止出现类似问题； 2)对已有混乱的隐私数据进行清理，防止进一步泄露。 1）互通业务风险整改 对与彩云存在互通的飞信系统提出安全操作规范： a) 当用户访问受限资源或请求需要鉴权的操作时,必须先对提出该操作请求的用户进行认证 b) 对用户的最终认证处理过程必须在服务器进行，不允许以客户端验证结果作为用户认证结果 c) 终端用户不能有任何途径改变服务端保存的用户ID信息，调用彩云平台的接口所使用的ID必须是服务端保存的用户ID信息,而不是客户端上报的ID信息 上述安全操作规范已于2012年9月1日执行. 2）隐私数据清理 保存在彩云的飞信漫游聊天记录数据的混乱，是由于前期飞信侧调用了错误的彩云接口保存聊天记录造成的。错误的接口调用在飞信侧已经修正，保存在彩云侧用户的错误记录及飞信侧错误数据已于2012年8月20日完成清除.（目前飞信已经关闭将飞信漫游聊天记录保存到彩云的功能，飞信的漫游聊天记录不再保存到彩云平台) 3 恶意订购风险 高危风险 业务订购机制不能有效防止恶意订购行为 在订购功能中增加图形验证码验证等措施 在移动微博的彩云增值包订购页面，增加了短信动态口令验证功能. 4 系统敏感信息泄露 低危风险 部分网络设备存在SNMP、ftp弱口令，可获取系统敏感信息 加强相应设备账号密码复杂度要求。 已对密码强度提出明确要求，并完成整改。 5 系统主机远程可控 低危风险 部分主机口令可被猜解，导致系统主机远程可控 1) 加强账号密码复杂度要求； 2) 增加防暴力破解措施。 对密码强度提出明确要求，并限制错误登录次数，已完成整改。 6 磁盘阵列管理后台账户破解风险 低危风险 磁盘阵列管理后台登录账户可被破解 7 部分Windows服务器、Oracle、apache、PHP存在高危漏洞 低危风险 windows12-020漏洞，可导致系统蓝屏；oracle、apache、php漏洞可导致业务中断 进行系统补丁更新 已完成所有漏洞的补丁升级工作,并建立定期补丁升级机制。 8 文件邮系统存在跨站漏洞 低危风险 可非法嵌入页面、挂马，传播信息或者获取敏感信息 加强对输入参数的过滤,防止跨站攻击。 修改代码，对输入参数编码进行严格限制，防止直接运行。已完成整改。 9 彩云客户端存在安全隐患 低危风险 1）不能有效抵抗键盘记录攻击；2)内存管理存在逻辑缺陷,泄露用户敏感数据信息；3）保险箱密码设置策略可设置弱口令。 考虑引入抵抗键盘记录的安全控件 已完成相关技术方案的开发,需要时可及时上线. 及时释放内存中敏感数据信息 在PC侧和手机侧进行梳理，对用户密码信息进行及时释放，已完成整改. 加强账号密码复杂度要求 对保险箱业务中用户密码明确提出密码复杂度要求，并完成整改. 3 配套安全管理措施 1) 日常安全管理 l 网络安全维护 通过对网络设备进行安全加固、网络平面隔离、安全区域划分及严格的网络访问控制实现网络层面的安全。通过日常网络监控、定期安全扫描以及漏洞补丁升级机制，确保网络、操作系统、数据库、应用平台的安全。通过将业务系统及设备的维护操作纳入4A集中安全管控系统,对敏感维护操作进行严格监控和审计. l 内容安全管控 1) 文件上传：在文件上传时，对文件名进行关键字过滤,含有敏感内容的文件不允许上传。 2) 文件外链：对文件外链建立先审后发机制，对于下载次数超过一定阀值（目前为10)的外链文件送内容审核平台进行人工审核，审核通过后方可继续下载外链文件。 3) 文件共享:对于共享人数超过一定阀值（目前为20）的共享文件送内容审核平台进行人工审核，审核通过后方可继续共享文件。 4) 内容拨测:建立常态化安全拨测机制，针对用户文件上传、文件外链以及文件共享等存在潜在传播风险的关键环节及重点监控用户外链文件进行定期安全拨测。 5) 用户分级：基于内容审核、用户投诉及拨测结果，设立灰/黑名单机制。若一个月内同一用户出现3次内容违规，将该用户放入灰名单中进行重点监控，加强对其外链文件发布的拨测，若再次发布违规信息，则加入黑名单，关闭彩云业务。 l 日常安全拨测 从彩云客户端、彩云业务平台的业务使用视角整理出全量彩云业务拨测用例,按照用例重要性分成三级：每天拨测一次，每周拨测两次，每周拨测一次。从业务可用性角度进行拨测，确保业务安全可用. 2) 应急管理措施 成立互联网基地领导担任组长的彩云信息安全事件应急小组，发现疑似安全事件后第一时间联系相关负责人，启动应急机制。针对典型的安全事件类别,包括用户外链文件包含违规内容、用户共享敏感信息文件、上传文件含有敏感信息、彩云页面内容篡改等，分别制定应急处理方案。建立详细的应急处理流程，并针对应急方案，每半年开展一次演练，确保应急机制能够有效启动和运行. 3) 同类业务监管建议 彩云是云存储类业务,用户能通过彩云进行数据存储、发布和分享.彩云平台不仅有信息存储能力，还具备信息传播能力。同时,用户存储的部分信息属于私密信息，需要得到足够的安全保障。因此对此类业务的监管，建议重点放在不良信息传播防范和用户隐私保护等方面.