互联网的飞速发展带来信息内容的爆炸式增长,对互联网信息安全特别是信息内容安全治理提出了更高挑战。互联网新技术、新应用的发展深刻改变了互联网信息的传播方式,在极大推动数字信息增长和全球化一体化发展的同时,也为各种错误的、歪曲的、低俗的、与社会主流价值观相违背的有害信息提供孕育、发酵、传播和驻留的温床。目前,国内外信息技术/产品、信息系统的安全要求和评估方法,已形成了较为成熟的体系。但是,已有信息安全风险评估模型和评估指标体系很少涉及信息内容安全,专门针对互联网信息内容安全的通用要求和评估体系的研究在全球范围内尚为空白。本文在总结分析国内外已有成熟的信息安全评估标准基础上,从信息论角度对信息空间进行了分层,提出信息技术/产品安全、信息系统安全、信息服务安全三个层次的网络空间安全体系,主要借鉴信息技术安全评估通用准则(ISO/IEC 15408)、信息系统安全保障评估框架(GB/T 20274)等标准设计思路,结合我国互联网信息服务特点、安全现状及发展趋势,深入分析了信息内容安全风险要素之间的关系,提出一套以互联网信息服务为评估对象的安全评估通用要求模型及评估框架。上述模型框架具有良好的可扩展性,可面向不同形式的信息服务编制保护轮廓和安全目标并实施安全评估,为互联网新兴技术应用的安全发展需要和监督管理需求提供了良好的技术基础支撑。相关成果编制为国家推荐性标准,具有一定的先进性和可操作性。

• 单位
  中国科学院信息工程研究所; 中国科学院大学