Principios para implementar políticas de seguridad
La informatización actual ha planteado mayores requisitos para la seguridad de las redes y de la información. La seguridad de las redes y la información se ha convertido en el foco del mantenimiento de la seguridad nacional y la estabilidad social. Las aplicaciones de red son plataformas que utilizan redes y sistemas de información para proporcionar servicios y negocios directamente a los usuarios. Los servicios de aplicaciones de red tratan directamente con miles de usuarios: los usuarios navegan por sitios web, compran en línea, descargan archivos, miran televisión, envían mensajes de texto, etc. a través de los servicios de aplicaciones de red. La seguridad de los servicios de aplicaciones de red está directamente relacionada con los intereses de la mayoría de los usuarios. usuarios de la red. Por lo tanto, la seguridad de los servicios de aplicaciones de red es un componente importante de la seguridad de la red y de la información.
Aunque toda la sociedad actualmente presta atención a la seguridad de las redes y la información, existe una falta de conocimiento completo de los conceptos relacionados y el alcance de la seguridad de las redes y la información. Los conceptos y expresiones de uso común actualmente incluyen seguridad de red, seguridad de la información, seguridad de la información y la red, seguridad de la información y la información, seguridad del sistema de información, servicios de aplicaciones de red, negocios de redes, etc. Los diferentes departamentos tienen diferentes interpretaciones de los conceptos anteriores en función de sus respectivas posiciones e intereses, lo que genera una relativa confusión en los conceptos y el alcance actuales. Este artículo adopta la siguiente definición. La seguridad del servicio de aplicaciones de red se puede dividir en las siguientes cuatro capas.
Seguridad de redes y plataformas de aplicaciones: incluye principalmente la confiabilidad y supervivencia de la red y la confiabilidad y disponibilidad del sistema de información. La confiabilidad y supervivencia de la red dependen de la seguridad ambiental, la seguridad física, la seguridad de los nodos, la seguridad de los enlaces, la seguridad de la topología, la seguridad del sistema y otros aspectos que deben garantizarse. La confiabilidad y disponibilidad de los sistemas de información se puede realizar con referencia a la seguridad del sistema informático.
Los servicios de aplicaciones proporcionan seguridad: incluye principalmente la disponibilidad y controlabilidad de los servicios de aplicaciones. La controlabilidad del servicio está garantizada por aspectos como la seguridad del acceso al servicio, la antidenegación del servicio, el antiataque del servicio y el control nacional de los servicios de aplicaciones. La disponibilidad del servicio está relacionada con la confiabilidad y las capacidades de mantenimiento de la red empresarial.
Seguridad del procesamiento y transmisión de la información: incluye principalmente la integridad, confidencialidad y no repudio de la información durante la transmisión en la red y el almacenamiento del sistema de información. La integridad de la información puede garantizarse mediante mecanismos de autenticación de mensajes, como algoritmos hash, la confidencialidad de la información puede garantizarse mediante mecanismos de cifrado y distribución de claves, y el no repudio de la información puede garantizarse mediante firmas digitales y otras tecnologías.
Seguridad del contenido de la información: se refiere principalmente a que el contenido de la información transmitido a través de los servicios de aplicaciones de la red no implique poner en peligro la seguridad nacional, filtrar secretos de estado o secretos comerciales, infringir intereses nacionales, intereses públicos o los derechos e intereses legítimos. de los ciudadanos y participar en actividades ilegales y delictivas. Los servicios de aplicaciones web se pueden clasificar de muchas formas. Algunos métodos de clasificación típicos se describen a continuación.
Según características técnicas, servicios punto a punto y servicios punto a multipunto: Según clasificación de negocios de telecomunicaciones, servicios de telecomunicaciones básicos y servicios de telecomunicaciones de valor agregado: Según estén operando, operando servicios de aplicaciones de red y no operativos Servicios de aplicaciones de red: clasificados según la información transmitida y procesada, cinco niveles: protección independiente, protección de orientación, protección de supervisión, protección obligatoria y protección de control exclusivo: clasificados según el alcance de los servicios involucrados, red pública servicios de aplicaciones y servicios de aplicaciones de redes no públicas.
Cada método de clasificación clasifica los servicios de aplicaciones de red desde diferentes perspectivas. Este artículo adopta el método de clasificación de servicios de aplicaciones de redes públicas y servicios de aplicaciones de redes no públicas.
Las aplicaciones de red de información pública son aplicaciones de red donde el remitente de la información no especifica el receptor de la información dentro del alcance de la red pública. El remitente de la información envía la información a la plataforma de la aplicación y el receptor de la información decide activamente si desea recibir la información a través de la aplicación de red. El remitente de la información empuja la información a la fuerza dentro de un cierto rango a través de transmisión o multidifusión sin especificar el receptor de la información. Las aplicaciones de redes de información pública suelen implicar medios en línea, que incluyen principalmente BBS, salas de chat en línea, servicios WWW, IPTV, juegos en línea con funciones de sala de chat y otras aplicaciones.
Las aplicaciones de red de información no pública son aplicaciones de red en las que el remitente de la información designa receptores de información dentro del alcance de la red pública y aplicaciones de red dentro del alcance de la red no pública. Entre los tipos de aplicaciones de redes de información no públicas, las redes públicas son generalmente aplicaciones de redes de difusión de información punto a punto, que incluyen principalmente aplicaciones QQ ordinarias, aplicaciones MSN ordinarias, correo electrónico ordinario, VoIP PC2PC, comercio electrónico y otras aplicaciones. En el análisis de seguridad del servicio de aplicaciones de red intervienen las siguientes entidades: remitente de información, entidad que envía información a través de la red, que puede ser un ICP o un individuo que envía información. El proveedor de la plataforma, el proveedor de aplicaciones de red y las dos partes (múltiples partes) en la comunicación intercambian información a través de la plataforma de aplicaciones.
El proveedor del canal proporciona a los remitentes y receptores de información y a los proveedores de plataformas los medios para acceder a la red y la interoperabilidad a nivel de red. Receptor de información, la entidad en la red que recibe la información. Los fabricantes de equipos proporcionan equipos de software y hardware para remitentes y receptores de información, proveedores de plataformas y proveedores de canales. Los supervisores comerciales supervisan la seguridad de las aplicaciones de red, incluida principalmente la seguridad comercial y la seguridad del contenido.
A continuación se analizan algunos servicios típicos de aplicaciones de red.
Aplicación de navegación ordinaria de 3W: una plataforma de servicios compuesta por servidores de 3W. El propietario de la página 3W es el remitente de la información, el solicitante de la página 3W es el receptor de la información y el ISP es el proveedor del canal. La aplicación 3W en la Internet pública es un servicio de aplicación de red de información pública típico. Es una aplicación de red de medios en la que el remitente de la información no puede especificar el receptor de la información. En las aplicaciones de 3W, la seguridad de la red y la plataforma es responsabilidad del ISP proveedor del canal y del propietario del servidor de 3W. La seguridad de la prestación de servicios de 3W se refleja principalmente en la supervisión de las plataformas de servicios por parte de las autoridades competentes. La seguridad de la transmisión de información es responsabilidad de extremo a extremo del ISP o del remitente y del receptor de la información, y la seguridad del almacenamiento y procesamiento de la información es responsabilidad del propietario del servidor 3W.
Servicio telefónico: La red telefónica sirve como plataforma de servicio y proveedor de canal. La parte que llama actúa como remitente de información y la parte llamada actúa como receptor de información. El receptor de información (parte llamada) del servicio telefónico es designado por el publicador de información (parte llamante) a través del número de teléfono. Este es un servicio de aplicación de red de información no pública típico. En el negocio de la telefonía, la seguridad de la red y de la plataforma es responsabilidad del proveedor del servicio de telefonía. La seguridad de la prestación del servicio se proporciona mediante autenticación y otros medios. La supervisión es responsabilidad de las autoridades competentes. La seguridad de la transmisión de información es responsabilidad del proveedor del servicio telefónico. La seguridad del contenido de la información es responsabilidad del remitente de la información y será investigada y tratada por departamentos legalmente autorizados.
Servicio DNS: una plataforma de servicio compuesta por un servidor DNS y un cliente. La plataforma de servicio tiene una arquitectura en capas. El propietario del servidor DNS es el proveedor de la plataforma, el servidor de nombres de dominio raíz es propiedad de la ICANN y está mantenido por ella, y los servidores de nombres de dominio en todos los niveles son propiedad de las organizaciones correspondientes y están mantenidos por ellas. El editor de la información del servidor de nombres de dominio DNS es el propietario del DNS y el destinatario de la información del servicio DNS es el solicitante de la resolución del nombre de dominio. Los servicios DNS en la Internet pública suelen ser proporcionados por los ISP proveedores de canales. No se puede especificar el destinatario de la información DNS, por lo que también es un servicio de aplicación de red antiguo. La seguridad de la red y de la plataforma de servicios en los servicios DNS es responsabilidad de los ISP y de los propietarios de servidores DNS: Los servicios DNS no involucran la seguridad de la provisión comercial: La seguridad de la transmisión de información es responsabilidad de los ISP: La seguridad del almacenamiento de información es responsabilidad de la ICANN: Los servicios DNS no involucran Seguridad del contenido de la información.
Aplicación BBS: La plataforma de servicio consta de un servidor de protocolo Telnet/3W, un servidor BBS y un host. El propietario del servidor BBS es el proveedor de la plataforma. Los carteles de BBS son editores de información y las personas que visitan BBS para leer son receptores de información. El remitente de información del servicio BBS generalmente no puede especificar el receptor de información, por lo que las aplicaciones BBS generalmente también tienen funciones multimedia y son un servicio de aplicación de red pública. En las aplicaciones BBS, la seguridad de la red y la plataforma es responsabilidad del ISP proveedor del canal y del propietario del servidor BBS: la seguridad de la prestación del servicio BBS se refleja principalmente en la supervisión de la plataforma de servicio por parte de las autoridades competentes: la seguridad de la transmisión de información la determina el ISP o el remitente y el receptor de la información son responsables: la seguridad del almacenamiento y procesamiento de la información es responsabilidad del propietario del servidor WWW: la seguridad del contenido de la información es responsabilidad del proveedor de la plataforma y del remitente de la información, supervisados por el departamento competente, e investigados y tratados por el departamento legalmente autorizado.
Aplicación de correo: plataforma de servicios compuesta por servidor SMTP, servidor POP3 y host. El propietario del servidor de correo es el proveedor del dispositivo. El remitente del correo electrónico es el publicador de la información y el receptor del correo electrónico es el receptor de la información. El destinatario de la información del servicio de correo se designa mediante la dirección de correo, que es un servicio típico de aplicación de red de información no pública. En el servicio de correo electrónico, la seguridad de la plataforma es responsabilidad del proveedor del servicio de correo electrónico: la seguridad de la prestación del servicio se proporciona mediante certificación y otros métodos, y la supervisión es responsabilidad de la autoridad competente: la seguridad de la transmisión de información está garantizada por el ISP o por el proveedor de servicio de extremo a extremo. Final: la seguridad del contenido de la información es responsabilidad del remitente de la información, los departamentos autorizados por ley para investigar y manejar.
Aplicación MSN: plataforma de servicios compuesta por un servidor MSN y un host (grupo). El propietario del servidor MSN es el proveedor de la plataforma. La persona que envía el mensaje es el remitente del mensaje. La persona que ve el mensaje en el chat es el destinatario del mensaje. Ambas partes en el chat son tanto publicadores como receptores de información. El ISP es el proveedor del canal.
El receptor de información de la aplicación MSN es designado por el editor de información, que es un servicio típico de aplicación de red de información no pública. En las aplicaciones de MSN, la seguridad de la red y la plataforma es responsabilidad de los proveedores comerciales de MSN: la seguridad de la prestación del servicio se proporciona mediante autenticación y otros métodos: la seguridad del contenido de la información es responsabilidad del remitente de la información, y los departamentos legalmente autorizados la investigan y se ocupan de ella.
La red en sí es solo una plataforma para la interoperabilidad. Las aplicaciones de red brindan a los usuarios una variedad de servicios a través de la red. Se puede decir que los servicios de aplicaciones de red han promovido el rápido desarrollo de la red. La seguridad de los servicios de aplicaciones de red es una parte importante de la seguridad actual de la red y la información. La seguridad de los servicios de aplicaciones de red se puede dividir en cuatro capas: seguridad de la plataforma de aplicaciones y redes, seguridad de provisión de servicios de aplicaciones, seguridad de transmisión y procesamiento de información y seguridad del contenido de la información. Los servicios de aplicaciones de red se pueden dividir en dos categorías: servicios de aplicaciones de red pública y servicios de aplicaciones de red no pública. En estos dos tipos de servicios de aplicaciones, los cuatro niveles de problemas de seguridad pueden implementarse y ser responsables respectivamente de entidades como remitentes de información, receptores de información, proveedores de plataformas, proveedores de canales y reguladores comerciales. Es necesario seguir estudiando las responsabilidades y derechos de cada entidad en los diferentes tipos de servicios de aplicaciones de red.