Detalles completos de la política de seguridad
Política de seguridad: Conjunto de reglas para todas las actividades relacionadas con la seguridad dentro de un área de seguridad (un área de seguridad suele ser un conjunto de recursos de procesamiento y comunicación que pertenecen a una organización). Estas reglas son establecidas por una autoridad de seguridad establecida en esta área de seguridad y son descritas, implementadas o implementadas por la autoridad de control de seguridad. Introducción básica Nombre chino: Aspecto 1 de la política de seguridad: Aspecto 2 de la política de seguridad basada en identidad: Aspecto 3 de la política de seguridad basada en reglas: Definición, clasificación, principios de implementación de la política de seguridad basada en roles, principio de privilegio mínimo, principio de fuga mínima, seguridad multinivel política, seguridad del servicio, descripción general, seguridad de la información, seguridad de la red, seguridad de la información de la red, servicios de aplicaciones de red, seguridad del servicio de aplicaciones, estratificación, clasificación, análisis de segmentación de entidades, dispositivos móviles empresariales, definición de administradores de red o CIO según la estructura organizacional La estrategia de acción formulada La estrategia de seguridad se basa en los riesgos y los objetivos de seguridad. Las políticas de seguridad generalmente se basan en la autorización. La información no se puede proporcionar, acceder ni hacer referencia a ella, y las entidades no pueden utilizar ningún recurso sin la autorización adecuada. Clasificación Según la naturaleza de la autorización, las políticas de seguridad se dividen en los siguientes aspectos: (1) Política de seguridad basada en identidad (2) Política de seguridad basada en reglas (3) Principio de implementación de la política de seguridad basada en roles El principio de privilegio mínimo se refiere a el sujeto Al realizar una operación, los derechos se asignan al sujeto de acuerdo con el principio de minimizar los derechos requeridos por el sujeto. El principio de fuga mínima significa que cuando el sujeto realiza una tarea, los derechos se asignan al sujeto de acuerdo con el. Principio de minimizar la información que el sujeto necesita saber Políticas de seguridad de niveles múltiples La política de seguridad de nivel se refiere al flujo de datos y el control de permisos entre sujetos y objetos que se dividen en cinco niveles de seguridad: Máximo secreto (TS), Confidencial (C). Secreto (S), Restringido (RS) y Sin nivel (U). Descripción general de la seguridad del servicio La informatización actual ha planteado mayores requisitos para la seguridad de la red y la información. La seguridad de las redes y la información se ha convertido en el foco del mantenimiento de la seguridad nacional y la estabilidad social. La aplicación de red es una plataforma que utiliza Internet y sistemas de información para proporcionar servicios y negocios directamente a los usuarios. Los servicios de aplicaciones de Internet tratan directamente con miles de usuarios: los usuarios navegan por sitios web, compran en línea, descargan archivos, miran televisión, envían mensajes de texto, etc. a través de los servicios de aplicaciones de Internet. La seguridad de los servicios de aplicaciones de Internet está directamente relacionada con la seguridad de los usuarios. beneficio para la mayoría de los usuarios de Internet. Por lo tanto, la seguridad de los servicios de aplicaciones de red es una parte importante de la seguridad de la red y de la información. Aunque actualmente toda la sociedad presta atención a la seguridad de las redes y la información, existe una falta de conocimiento completo de los conceptos relacionados y el alcance de la seguridad de las redes y la información. Los conceptos y expresiones de uso común actualmente incluyen seguridad de red, seguridad de la información, seguridad de la información y la red, seguridad de la información y la información, seguridad del sistema de información, servicios de aplicaciones de red, negocios de redes, etc. Los diferentes departamentos tienen diferentes interpretaciones de los conceptos anteriores en función de sus respectivas posiciones e intereses, lo que genera una relativa confusión en los conceptos y el alcance actuales. Este artículo adopta la siguiente definición. Seguridad de la información. La seguridad de la información en sentido estricto se refiere a la confidencialidad, integridad y no repudio de la información. Estudia principalmente algoritmos como el cifrado y la autenticación. La seguridad de la información en sentido estricto también puede incluir la seguridad de contenidos ideológicamente relacionados. La seguridad de la información generalizada generalmente se refiere a la integridad, confidencialidad, disponibilidad, controlabilidad y no repudio de la información en el proceso de recopilación, procesamiento, transmisión, almacenamiento y aplicación, así como la seguridad del contenido de ideologías relacionadas. Seguridad de la red La seguridad de la red en un sentido estricto generalmente se refiere a la seguridad de la red misma. Si la red está incluida con un servicio, como una red telefónica, también se incluye la seguridad del servicio. La seguridad de la red en un sentido estricto generalmente no proporciona servicios de alto nivel, solo proporciona servicios de transmisión punto a punto. Además del contenido de la seguridad de la red en sentido estricto, la seguridad de la red en sentido amplio también incluye la seguridad de la información y el control de la información dañina en Internet. La seguridad de red ampliamente definida se utiliza generalmente en redes que brindan servicios de alto nivel. Seguridad de la información de la red Para redes de telecomunicaciones básicas, como redes de fibra óptica, redes de transmisión, redes de soporte, redes de señalización y redes de sincronización, la seguridad de la red solo incluye la seguridad de la red misma y la seguridad de los servicios de red. La seguridad de la red y la información enfatiza principalmente que, además de la seguridad de la red en sí y la seguridad de la prestación del servicio, también incluye la confidencialidad, integridad, disponibilidad de la información en la red y el control de la información dañina relacionada con la seguridad de los servicios relacionados. contenido. El alcance de la seguridad de la red y de la información es equivalente al de la seguridad de la red en un sentido amplio. Servicios de aplicaciones de red El acto de utilizar plataformas de software/hardware en Internet para satisfacer necesidades específicas de transmisión y procesamiento de información.
La información se procesa en la plataforma de software/hardware y se transfiere entre la plataforma y el receptor/transmisor de información a través de la red. Algunos servicios de aplicaciones de Internet con modelos de negocio completos se han convertido en negocios de telecomunicaciones. La seguridad del servicio de la aplicación incluye la seguridad de la red y la plataforma de la aplicación. Los servicios proporcionados por la plataforma de la aplicación de la red pueden llevarse a cabo de manera legal y efectiva bajo control. También incluye que el almacenamiento, la transmisión y el procesamiento de la información de la aplicación de la red. , confidencial y disponible, y el contenido de la información involucra el contenido, se pueden tomar las medidas correspondientes de manera rápida y efectiva cuando sea seguro. La seguridad del servicio de aplicaciones de red en capas se puede dividir en las siguientes cuatro capas. Seguridad de la red y de la plataforma de aplicaciones: incluye principalmente la confiabilidad y supervivencia de la red y la confiabilidad y disponibilidad del sistema de información. La confiabilidad y supervivencia de la red dependen de la seguridad ambiental, la seguridad física, la seguridad de los nodos, la seguridad de los enlaces, la seguridad de la topología, la seguridad del sistema y otros aspectos que deben garantizarse. La confiabilidad y disponibilidad de los sistemas de información se puede realizar con referencia a la seguridad del sistema informático. Los servicios de aplicaciones brindan seguridad: incluye principalmente la disponibilidad y controlabilidad de los servicios de aplicaciones. La controlabilidad del servicio está garantizada por la seguridad del acceso al servicio, la prevención de denegación de servicio, la prevención de ataques al servicio y el control nacional sobre los servicios de aplicaciones. La disponibilidad del servicio está relacionada con la confiabilidad y las capacidades de mantenimiento de la red empresarial. Seguridad del procesamiento y transmisión de información: incluye principalmente la integridad, confidencialidad y no repudio de la información durante la transmisión en la red y el almacenamiento del sistema de información. La integridad de la información puede garantizarse mediante mecanismos de autenticación de mensajes, como algoritmos hash, la confidencialidad de la información puede garantizarse mediante mecanismos de cifrado y distribución de claves, y el no repudio de la información puede garantizarse mediante firmas digitales y otras tecnologías. Seguridad del contenido de la información: significa principalmente que el contenido de la información transmitido a través de los servicios de aplicaciones de red no implica poner en peligro la seguridad nacional, filtrar secretos de estado o secretos comerciales, infringir los intereses nacionales, los intereses públicos o los derechos e intereses legítimos de los ciudadanos, o participar en actividades ilegales. y actividades criminales. Clasificación Los servicios de aplicaciones de red se pueden clasificar de varias maneras. Algunos métodos de clasificación típicos se describen a continuación. Clasificados según características técnicas: servicios punto a punto y servicios punto a multipunto; clasificados según servicios de telecomunicaciones: servicios de telecomunicaciones básicos y servicios de telecomunicaciones de valor agregado clasificados según sean operados: servicios de aplicación de red y no operativos; -servicios de aplicación de red comercial según La información transmitida y procesada se clasifica en cinco niveles: protección independiente, protección de orientación, protección de supervisión, protección obligatoria y protección de control exclusivo clasificados según el alcance de los servicios involucrados: servicios de aplicación de red pública y no; -servicios de aplicaciones de red pública. Cada método de clasificación clasifica los servicios de aplicaciones de red desde diferentes perspectivas. Este artículo adopta el método de clasificación de servicios de aplicaciones de redes públicas y servicios de aplicaciones de redes no públicas. Las aplicaciones de red de información pública son aplicaciones de red en las que el remitente de información no especifica el destinatario de la información dentro del alcance de la red pública. El transmisor de información transmite la información a la plataforma de aplicación y el receptor de información decide activamente si desea recibir la información a través de la red. El transmisor de información empuja la información a la fuerza dentro de un cierto rango a través de transmisión o multidifusión sin especificar el receptor de información. Las aplicaciones de redes de información pública suelen implicar medios en línea, que incluyen principalmente BBS, salas de chat en línea, servicios, IPTV, juegos en línea con funciones de sala de chat, etc. Las aplicaciones de red de información no pública son aplicaciones de red en las que el remitente de información designa receptores de información dentro del alcance de la red pública y aplicaciones de red dentro del alcance de la red no pública. Entre los tipos de aplicaciones de redes de información no públicas, las redes públicas son generalmente aplicaciones de red para la difusión de información punto a punto, que incluyen principalmente aplicaciones QQ ordinarias, aplicaciones MSN ordinarias, correo electrónico ordinario, VoIP PC2PC, comercio electrónico y otras aplicaciones. Análisis de división de entidades El análisis de seguridad del servicio de aplicaciones de red involucra las siguientes entidades: transmisor de información, la entidad que transmite información a través de la red, que puede ser un ICP o un individuo que transmite información. Proveedor de plataforma, proveedor de aplicaciones de red, las dos partes (múltiples partes) que se comunican interactúan información a través de la plataforma de aplicación. Los proveedores de canales brindan a los transmisores de información, receptores de información y proveedores de plataformas acceso a la red e interoperabilidad a nivel de red. Receptor de información, entidad que recibe información en la red. Los fabricantes de equipos proporcionan equipos de software y hardware para transmisores y receptores de información, proveedores de plataformas y proveedores de canales. Los reguladores empresariales supervisan la seguridad de las aplicaciones de red, incluida principalmente la seguridad empresarial y la seguridad del contenido. A continuación se describen varios análisis típicos de servicios de aplicaciones de red. Aplicación de navegación ordinaria de 3W: una plataforma de servicios compuesta por servidores de 3W. El propietario de la página 3W es el transmisor de información, el solicitante de la página 3W es el receptor de información y el ISP es el proveedor del canal. La aplicación 3W en la Internet pública es un servicio de aplicación de red de información pública típico. Es una aplicación de red de tipo medio en la que el remitente de la información no puede especificar el receptor de la información.
En la aplicación 3W, la seguridad de la red y la plataforma es responsabilidad del ISP proveedor del canal y del propietario del servidor 3W. La seguridad de la prestación de servicios de 3W se refleja principalmente en la supervisión de las plataformas de servicios por parte de las autoridades competentes. La seguridad de la transmisión de información es responsabilidad de extremo a extremo del ISP o del transmisor y receptor de información, y la seguridad del almacenamiento y procesamiento de la información es responsabilidad del propietario del servidor 3W. Negocio telefónico: La red telefónica sirve como plataforma de servicios y proveedor de canales. La parte que llama actúa como transmisor de información y la parte llamada actúa como receptor de información. El receptor de información (parte llamada) del servicio telefónico es designado por el publicador de información (parte llamante) a través del número de teléfono. Este es un servicio de aplicación de red de información no pública típico. En el negocio telefónico, la seguridad de la red y la plataforma es responsabilidad del proveedor del servicio telefónico. La seguridad de la prestación del servicio se proporciona mediante autenticación y otros medios. La supervisión es responsabilidad de las autoridades competentes. La seguridad de la transmisión de información es responsabilidad del proveedor del servicio telefónico. La seguridad del contenido de la información es responsabilidad del transmisor de la información y será investigada y tratada por departamentos legalmente autorizados. Servicio DNS: una plataforma de servicio compuesta por un servidor DNS y un cliente. La plataforma de servicio tiene una arquitectura en capas. El propietario del servidor DNS es el proveedor de la plataforma, el servidor de nombres de dominio raíz es propiedad de la ICANN y está mantenido por ella, y los servidores de nombres de dominio en todos los niveles son propiedad de las organizaciones correspondientes y están mantenidos por ellas. El editor de la información del servidor de nombres de dominio DNS es el propietario del DNS y el destinatario de la información del servicio DNS es el solicitante de la resolución del nombre de dominio. Los servicios DNS en la Internet pública suelen ser proporcionados por los ISP proveedores de canales. No se puede especificar el destinatario de la información DNS, por lo que también es un servicio de aplicación de red torpe. La seguridad de la red y de la plataforma de servicios en los servicios DNS es responsabilidad de los ISP y de los propietarios de servidores DNS: Los servicios DNS no involucran la seguridad de la provisión comercial: La seguridad de la transmisión de información es responsabilidad de los ISP: La seguridad del almacenamiento de información es responsabilidad de la ICANN: Los servicios DNS no involucran Seguridad del contenido de la información. Aplicación BBS: la plataforma de servicio consta de un servidor de protocolo Tel/3W, un servidor BBS y un host. El propietario del servidor BBS es el proveedor de la plataforma. Los carteles de BBS son editores de información y las personas que visitan BBS para leer son receptores de información. El remitente de información del servicio BBS generalmente no puede especificar el receptor de información, por lo que las aplicaciones BBS generalmente también tienen funciones multimedia y son un servicio de aplicación de red pública. En las aplicaciones BBS, la seguridad de la red y la plataforma es responsabilidad del ISP proveedor del canal y del propietario del servidor BBS: la seguridad de la prestación del servicio BBS se refleja principalmente en la supervisión de la plataforma de servicio por parte de las autoridades competentes: la seguridad de la transmisión de información es responsabilidad del ISP o del transmisor y receptor de información Responsabilidad de extremo a extremo: la seguridad del almacenamiento y procesamiento de la información es responsabilidad del propietario del servidor: la seguridad del contenido de la información es responsabilidad del proveedor de la plataforma y del transmisor de información, supervisados por el departamento competente , e investigado por el departamento legalmente autorizado. Aplicación de correo: una plataforma de servicios compuesta por un servidor SMTP, un servidor POP3 y un host. El propietario del servidor de correo es el proveedor del dispositivo. El remitente del correo electrónico es el publicador de la información y el receptor del correo electrónico es el receptor de la información. El destinatario de la información del servicio de correo electrónico se designa por dirección de correo electrónico, que es un servicio típico de aplicación de red de información no pública. En los servicios de correo electrónico, la seguridad de la plataforma es responsabilidad del proveedor del servicio de correo electrónico: la seguridad de la prestación del servicio se proporciona mediante certificación y otros métodos, y la supervisión es responsabilidad de la autoridad competente: la seguridad de la transmisión de información está garantizada por el ISP o de extremo a extremo. : la seguridad del contenido de la información es responsabilidad del transmisor de la información, los departamentos autorizados por ley para investigar y manejar. Aplicación MSN: una plataforma de servicios compuesta por un servidor MSN y un host (grupo). El propietario del servidor MSN es el proveedor de la plataforma. La persona que envía el mensaje es el transmisor del mismo. La persona que ve el mensaje en el chat es el destinatario del mensaje. Ambas partes en el chat son tanto publicadores como receptores de información. El ISP es el proveedor del canal. El destinatario de la información de la aplicación MSN es designado por el editor de la información. Es un servicio típico de aplicación de red de información no pública. En la aplicación MSN, la seguridad de la red y la plataforma es responsabilidad del proveedor comercial de MSN: la seguridad de la prestación del servicio se proporciona mediante certificación y otros métodos: la seguridad del contenido de la información es responsabilidad del transmisor de la información, y los departamentos legalmente autorizados la investigan y se ocupan de ello . Internet en sí es solo una plataforma para la interoperabilidad. Las aplicaciones de Internet brindan a los usuarios una variedad de servicios a través de Internet. Se puede decir que los servicios de aplicaciones de Internet han promovido el rápido desarrollo de Internet. La seguridad de los servicios de aplicaciones de red es una parte importante de la seguridad actual de la red y la información. La seguridad de los servicios de aplicaciones de red se puede dividir en cuatro capas: seguridad de la plataforma de aplicaciones y redes, seguridad de provisión de servicios de aplicaciones, seguridad de transmisión y procesamiento de información y seguridad del contenido de la información. Los servicios de aplicaciones de red se pueden dividir en dos categorías: servicios de aplicaciones de red pública y servicios de aplicaciones de red no pública.
En estos dos tipos de servicios de aplicaciones, los cuatro niveles de problemas de seguridad pueden implementarse y ser responsables respectivamente de entidades como transmisores de información, receptores de información, proveedores de plataformas, proveedores de canales y reguladores comerciales. Es necesario seguir estudiando las responsabilidades y derechos de cada entidad en los diferentes tipos de servicios de aplicaciones de red. Dispositivos móviles empresariales Las empresas necesitan presupuestar la seguridad de los dispositivos móviles, porque en caso de pérdida de hardware, los departamentos de TI necesitan herramientas de autenticación y software especializado similar para rastrear el dispositivo y eliminar los datos que contiene. Los administradores de TI deben prestar atención a la certificación de dispositivos internos y externos. Muchas de las plataformas de dispositivos móviles de nivel empresarial disponibles incluyen una autenticación más sólida que la que normalmente se instala dentro del propio dispositivo. La misma política de autenticación se puede utilizar para todos los diferentes tipos de dispositivos y se puede extender a toda la red. Esta autenticación significa que los empleados deben ingresar una contraseña cada vez que acceden al dispositivo. Los administradores de TI deben asegurarse de que las contraseñas sean difíciles de adivinar y de que los empleados no las peguen en un lugar obvio (como en la bolsa de una computadora portátil, etc.). Puede resultar un poco engorroso exigir a los empleados que introduzcan una contraseña cada vez que comprueban si hay un nuevo correo electrónico, pero hacerlo puede recordarles que está trabajando en un dispositivo que contiene información confidencial. Por supuesto, la política de seguridad de dispositivos móviles de una empresa debe tener las reglas más aplicables y proporcionar información de asistencia adecuada. Los responsables de TI deberían advertir a los empleados que no dejen dispositivos móviles tirados en las mesas de restaurantes o bares, sino que los lleven consigo. Cuando se hospede en un hotel, mantenga su dispositivo bajo llave en una caja fuerte u otro dispositivo seguro cuando no esté en uso. Se debe advertir a los empleados que no permitan que otros utilicen sus computadoras portátiles o teléfonos inteligentes en el trabajo.