新技术新业务安全评估报告-集团模板

彩云业务安全评估结果表
附件：彩云业务安全评估报告
1业务基本情况介绍
1)业务功能
彩云是便捷、高效的个人云端数字生活中心，它帮助用户存储个人信息资产，通过云端进行手机、PC等多终端内容的同步和管理，并在此基础上提供丰富的云端应用。

彩云实现的主要功能有：
●存储：支持文件同步、秒传和增量上传；多类型数据的存储与
恢复，手机端的图片自动备份与信息同步，PC侧虚拟盘的windows体验与云端融合；
●分享：支持灵活方便的文件外链分享和文件点对点分享；
●备份：短信、彩信、日历自动备份,支持全量或增量上传；
●同步：PC侧灵活便利的多目录同步；
●第三方插件调用：第三方应用调用系统接口可从彩云选择文件
进行存取。

2)实现方式
彩云客户端包括PC客户端和手机客户端，提供彩云业务的人机界面，与彩云业务平台交互完成彩云的各项业务功能。

彩云业务平台是实现彩云业务的核心网元，为用户提供云存储、云应用等个人云服务，并对中国移动自有业务平台以及第三方业务平台开放云存储能力。

彩云业务平台由用户接入认证系统、彩云应用系
统、彩云基础能力系统、彩云内容增值系统、彩云能力开放系统、彩云业务运营支撑系统组成。

3)用户及市场情况
彩云业务试点用户目前已超过600万，依托于中国移动庞大的移动用户群，发展空间宽广，2013年用户规模预计可达到千万级。

全球个人云用户将保持快速增长，2012年全球用户数约4.9亿，预计未来5年内将保持约20%的年增长率，到2017年达到12.3亿。

国内用户数目前大约1亿，因为数据存取便捷和安全考虑，绝大部分国际品牌很难进驻国内市场，本土个人云产品存在较大发展空间。

2安全评估情况
1)评估人员组成
彩云业务安全评估组由来自工信部电信研究院、中国移动集团信息安全中心、中国移动研究院、中国移动设计院、中国移动广东公司的专家组成。

2)评估流程
彩云信息安全评估实施包括如下四个步骤：
1)评估：2012年7月23日至7月27日，评估组对彩云业务进
行了远程及现场安全评估。

2)整改：2012年8月至2013年4月，广东公司互联网基地彩
云团队根据安全评估发现的安全风险进行整改，并提交整改报
告。

3)复核：2013年5月9日至5月10日，评估组对安全风险的
整改情况进行了现场复核。

4)总结：2013年5月13日，评估组依据风险复核情况，完成
分及严格的网络访问控制实现网络层面的安全。

通过日常网络监控、定期安全扫描以及漏洞补丁升级机制，确保网络、操作系统、
数据库、应用平台的安全。

通过将业务系统及设备的维护操作纳入4A集中安全管控系统，对敏感维护操作进行严格监控和审计。

内容安全管控
1)文件上传：在文件上传时，对文件名进行关键字过滤，含有敏
感内容的文件不允许上传。

2)文件外链：对文件外链建立先审后发机制，对于下载次数超过
一定阀值（目前为10）的外链文件送内容审核平台进行人工
审核，审核通过后方可继续下载外链文件。

3)文件共享：对于共享人数超过一定阀值（目前为20）的共享
文件送内容审核平台进行人工审核，审核通过后方可继续共享
文件。

4)内容拨测：建立常态化安全拨测机制，针对用户文件上传、文
件外链以及文件共享等存在潜在传播风险的关键环节及重点
监控用户外链文件进行定期安全拨测。

5)用户分级：基于内容审核、用户投诉及拨测结果，设立灰/黑
名单机制。

若一个月内同一用户出现3次内容违规，将该用
户放入灰名单中进行重点监控，加强对其外链文件发布的拨测，若再次发布违规信息，则加入黑名单，关闭彩云业务。