新技术新业务安全评估报告-集团模板选读.docxVIP

彩云业务安全评估结果表业务名称彩云业务业务主管部门中国移动集团广东公司互联网基地业务简介彩云是便捷、高效的个人云端数字生活中心，它帮助用户存储个人信息资产，通过云端进行手机、PC等多终端内容的同步和管理，并在此基础上提供丰富的云端应用。彩云主要实现用户文件的存储、分享、备份、同步等功能。评估结论通过开展安全风险评估和整改复核工作，评估组认为：彩云业务在日常网络安全运维、内容安全管控、用户信息保护、日常安全拨测、安全事件应急等方面已建立较为全面的安全管理流程和风险防范机制，对评估发现的安全风险已采取有效的整改措施，业务运营总体安全风险在可控范围之内。建议广东公司业务部门进一步在业务运营中对彩云信息安全管控措施进行持续完善和优化，信息安全部门对安全保障措施的执行进行常态化监督，保障彩云业务的安全运营和可管、可控。附件：彩云业务安全评估报告业务基本情况介绍业务功能彩云是便捷、高效的个人云端数字生活中心，它帮助用户存储个人信息资产，通过云端进行手机、PC等多终端内容的同步和管理，并在此基础上提供丰富的云端应用。彩云实现的主要功能有： 存储：支持文件同步、秒传和增量上传；多类型数据的存储与恢复，手机端的图片自动备份与信息同步，PC侧虚拟盘的windows体验与云端融合；分享：支持灵活方便的文件外链分享和文件点对点分享；备份：短信、彩信、日历自动备份,支持全量或增量上传；同步：PC侧灵活便利的多目录同步；第三方插件调用：第三方应用调用系统接口可从彩云选择文件进行存取。实现方式彩云客户端包括PC客户端和手机客户端，提供彩云业务的人机界面，与彩云业务平台交互完成彩云的各项业务功能。彩云业务平台是实现彩云业务的核心网元，为用户提供云存储、云应用等个人云服务，并对中国移动自有业务平台以及第三方业务平台开放云存储能力。彩云业务平台由用户接入认证系统、彩云应用系统、彩云基础能力系统、彩云内容增值系统、彩云能力开放系统、彩云业务运营支撑系统组成。用户及市场情况彩云业务试点用户目前已超过600万，依托于中国移动庞大的移动用户群，发展空间宽广，2013年用户规模预计可达到千万级。全球个人云用户将保持快速增长，2012年全球用户数约4.9亿，预计未来5年内将保持约20%的年增长率，到2017年达到12.3亿。国内用户数目前大约1亿，因为数据存取便捷和安全考虑，绝大部分国际品牌很难进驻国内市场，本土个人云产品存在较大发展空间。安全评估情况评估人员组成彩云业务安全评估组由来自工信部电信研究院、中国移动集团信息安全中心、中国移动研究院、中国移动设计院、中国移动广东公司的专家组成。评估流程彩云信息安全评估实施包括如下四个步骤：评估：2012年7月23日至7月27日，评估组对彩云业务进行了远程及现场安全评估。整改：2012年8月至2013年4月，广东公司互联网基地彩云团队根据安全评估发现的安全风险进行整改，并提交整改报告。复核：2013年5月9日至5月10日，评估组对安全风险的整改情况进行了现场复核。总结：2013年5月13日，评估组依据风险复核情况，完成彩云业务信息安全评估报告。安全风险及整改情况编号安全风险风险描述整改建议整改落实情况1数据文件上传、存储、分享、发布功能存在内容安全风险高危风险针对文件的上传、存储、共享、发布操作未建立违规内容的实时监控和审核机制，存在较大的内容安全风险1）对于彩云文件外链操作，建立先审后发机制2）对文件共享操作，进行实时监控，对于达到一定阀值的共享，进行先审后发3）对文件上传操作和已存储的文件建立实时监控手段，并建立用户分级机制，对存储敏感内容的用户进行重点监控和审核。4）建立定期拨测机制，防范出现违规内容；5）建立敏感事件期间应急处理机制。1）外链安全风险整改2013年1月，完成彩云新版本升级，实现文件外链先审后发机制，对于下载次数超过一定阀值（目前为10）的外链文件送内容审核平台进行人工审核，审核通过后方可继续下载外链文件。同时，外链设有举报机制，用户可以在外链的下载页面对含不良信息的外链文件进行举报，进一步降低不良信息传播风险。2）文件共享安全风险整改2013年3月份完成新版本升级，对于共享人数超过一定阀值（目前为20）的共享文件送内容审核平台进行人工审核，审核通过后方可继续共享文件。3）用户行为监控风险整改2012年9月建立监控机制：在文件上传时，对文件名进行关键字过滤，含有敏感内容的文件不允许上传。同时，基于内容审核、用户投诉及拨测结果，设立灰/黑名单机制：若一个月内同一用户出现3次内容违规，将该用户放入灰名单中进行重点监控，加强对其外链文件发布的拨测，若再次发布违规信息，则加入黑名单，关闭彩云业务。4）拨测机制2012年9月建立拨测机制：设立相关流程、责任主体，对于彩云内容安全进行定期拨测，并输出拨测报告。5）应急处理