安全策略

網絡管理員或者CIO根據組織機構的風險及安全目標制定的行動策略即為安全策略。安全策略通常建立在授權的基礎之上，未經適當授權的實體，信息不可以給予、不被訪問、不允許引用、任何資源也不得使用。

按照授權的性質，安全策略分為如下幾個方面：

（1）基於身份的安全策略

（2）基於規則的安全策略

（3）基於角色的安全策略

最小特權原則是指主體執行操作時，按照主體所需權利的最小化原則分配給主體權利

最小泄露原則是指主體執行任務時，按照主體所需要知道的信息最小化的原則分配給主體權利

多級安全策略是指主體和客體間的數據流向和權限控制按照安全級別的絕密（TS）、機密（C）、秘密（S）、限制（RS）和無級別（U）5級來劃分。

當前的信息化對網絡與信息安全提出了更高的要求。網絡與信息的安全性已成為維護國家安全、社會穩定的焦點。網絡應用是利用網絡以及信息系統直接為用户提供服務以及業務的平台。網絡應用服務直接與成千上萬的用户打交道：用户通過網絡應用服務瀏覽網站、網上購物、下載文件、看電視、發短信等，網絡應用服務的安全直接關係到廣大網絡用户的利益。因此網絡應用服務的安全是網絡與信息安全中重要組成部分。

雖然當前全社會關注網絡與信息安全，但對網絡與信息安全的相關概念、範圍卻缺乏共識。當前常用的概念與説法有網絡安全、信息安全、網絡與信息安全、信息與信息安全、信息系統安全、網絡應用服務、網絡業務等。不同的部門對上述概念基於各自的立場與利益做出了不同的解釋，導致當前概念與範圍相對混亂。本文采用如下定義。

狹義信息安全是指信息的機密性、完整性和不可否認性，主要研究加密和認證等算法。狹義信息安全還可能包括意識形態相關的內容安全。廣義信息安全通常是指信息在採集、加工、傳遞、存儲和應用等過程中的完整性、機密性、可用性、可控性和不可否認性以及相關意識形態的內容安全。

狹義的網絡安全通常是指網絡自身的安全。如果網絡與業務捆綁，例如電話網，則還包括業務的安全。狹義的網絡安全通常不提供高層業務，只提供點到點傳送業務的網絡。廣義的網絡安全除包括狹義網絡安全內容外還包括網絡上的信息安全以及有害信息控制。廣義的網絡安全通常用在提供高層業務的網絡。

對於基礎電信網，例如光纖網、傳輸網、支撐網、信令網以及同步網而言，網絡安全僅僅包括網絡自身安全以及網絡服務安全。網絡和信息安全主要強調除網絡自身安全以及服務提供安全外，還包括網絡上的信息機密性、完整性、可用性以及相關內容安全的有害信息控制。網絡與信息安全範圍等同與廣義的網絡安全。

在網絡上利用軟/硬件平台滿足特定信息傳遞和處理需求的行為。信息在軟/硬件平台上處理，通過網絡在平台與信息接收者/發送者之間傳遞。一些商務模式完善的網絡應用服務已成為電信業務。

包括網絡與應用平台的安全，由網絡應用平台提供的服務能夠合法有效受控開展，還包括網絡應用的信息存儲、傳遞加工處理能完整、機密且可用，信息內容涉及內容安全時能及時有效採取相應措施。

網絡應用服務安全可以分為如下四層。

網絡與應用平台安全：主要包括網絡的可靠性與生存行與信息系統的可靠性和可用性。網絡的可靠性與生存行依靠環境安全、物理安全、節點安全、鏈路安全、拓撲安全、系統安全等方面來保障。信息系統的可靠性和可用性可以參照計算機系統安全進行。

應用服務提供安全：主要包括應用服務的可用性與可控性。服務可控性依靠服務接入安全以及服務防否認、服務防攻擊、國家對應用服務的管制等方面來保障。服務可用性與承載業務網絡可靠性以及維護能力等相關。

信息加工和傳遞安全：主要包括信息在網絡傳輸和信息系統存儲時完整性、機密性和不可否認性。信息完整性可以依靠報文鑑別機制，例如哈希算法等來保障，信息機密性可以依靠加密機制以及密鑰分發等來保障，信息不可否認性可以依靠數字簽名等技術來保障。

信息內容安全：主要指通過網絡應用服務所傳遞的信息內容不涉及危害國家安全，泄露國家秘密或商業秘密，侵犯國家利益、公共利益或公民合法權益，從事違法犯罪活動

網絡應用服務可以有多種分類方法。一些典型的分類方法如下文所述。

按照技術特徵分類：點到點業務與點到多點業務；按照電信業務分類：基礎電信業務和增值電信業務；按照是否經營分類：經營性網絡應用服務與非經營性網絡應用服務；按照所傳遞加工的信息分類：自主保護、指導保護、監督保護、強制保護與專控保護五級；按照服務涉及的範圍分類：公眾類網絡應用服務與非公眾類網絡應用服務。

各個分類方式從不同角度將網絡應用服務進行了分類。本文采用公眾類網絡應用服務與非公眾類網絡應用服務的分類方法。

公眾信息類網絡應用是在公眾網絡範圍內信息發送者不指定信息接收者情況下的網絡應用。信息發送者將信息發送到應用平台上，信息接收者主動決定是否通過網絡接收信息的網絡應用，信息發送者在一定範圍內以廣播或組播的方式不指定信息接收者強行推送信息。公眾信息類網絡應用通常涉及網絡媒體，主要包括有BBS、網絡聊天室、WWW服務、IPTV、具有聊天室功能的網絡遊戲等應用。

非公眾信息類網絡應用是公眾網絡範圍內信息發送者指定信息接收者的網絡應用以及非公眾網絡範圍內的網絡應用。非公眾信息類網絡應用類型中，公眾網絡上一般是點到點的信息傳播的網絡應用，主要有普通QQ應用、普通MSN應用、普通Email、PC2PC的VoIP、電子商務等應用。

網絡應用服務安全分析中涉及到如下幾個實體：信息發送者，通過網絡發送信息的實體，可以是ICP或者發送信息的個人。平台提供者，網絡應用的提供者，通信的雙方（多方）通過應用平台交互信息。通道提供者，為信息發送者、信息接收者和平台提供者提供接入網絡的手段以及網絡層面的互通。信息接收者，網絡接收信息的實體。設備製造商，為信息發送者、信息接收者、平台提供者、通道提供者提供軟硬件設備。業務監管者，監管網絡應用的安全，主要包括業務安全以及內容安全。

幾個典型的網絡應用服務分析如下所述。

普通3W瀏覽應用：3W服務器構成的服務平台。3W頁面的擁有人為信息發送者，3W頁面的請求者為信息接收者，ISP為通道提供者。公網上的3W應用是一種典型的公眾信息類網絡應用服務，是信息發送者無法指定信息接收者的媒體類網絡應用。在3W應用中網絡與平台安全由通道提供者ISP與3W服務器擁有人負責。3W服務提供安全主要體主管部門對服務平台的監管。信息傳遞安全由ISP或者信息發送者與信息接收者端到端負責，信息存儲處理安全由3W服務器擁有人負責。

電話業務：電話網作為服務平台以及通道提供者。主叫方作為信息發送者，被叫方作為信息接收者。電話業務的信息接收者（被叫方）由信息發佈者（主叫方）通過電話號碼指定，這是一種典型的非公眾信息類網絡應用服務。在電話業務中，網絡與平台安全由電話業務提供者負責。服務提供安全通過認證等方式提供。監管由主管部門負責。信息傳遞安全由電話業務提供者負責。信息內容安全由信息發送者負責，法定授權部門查處。

DNS服務：由DNS服務器以及客户機構成的服務平台，該服務平台分層架構。DNS服務器的擁着者為平台提供者，根域名服務器由ICANN擁有維護，各級域名服務器由相應組織擁有維護。DNS域名服務器信息發佈者為DNS擁有人，DNS服務信息接收者為域名解析的請求者。公網上的DNS服務通常由通道提供者ISP提供。DNS信息接收者無法指定，因此也是一種古拙類網絡應用服務。DNS服務中網絡與服務平台安全由ISP與DNS服務器擁有人負責：DNS服務不涉及業務提供安全：信息傳遞安全由ISP負責：信息存儲安全由ICANN負責：DNS服務不涉及信息內容安全。

BBS應用：由Telnet/3W協議服務器端、BBS服務器端以及主機構成服務平台。BBS服務器的擁有者為平台提供者。BBS發帖人為信息發佈者，訪問BBS閲讀的人為信息接收者。BBS服務的信息發送者一般無法指定信息接收者，因此BBS應用通常也有媒體功能，是一種公眾類網絡應用服務。在BBS應用中網絡與平台安全由通道提供者ISP與BBS服務器擁有人負責：BBS服務提供安全主要體主管部門對服務平台的監管：信息傳遞安全由ISP或者信息發送者與信息接收者端到端負責：信息存儲處理安全由WWW服務器擁有人負責：信息內容安全由平台提供者與信息發送者負責，主管部門監管，法定授權部門查處。

Mail應用：由SMTP服務器端、POP3服務器端以及主機構成的服務平台。Mail服務器的擁有者為設備提供者。郵件發送者為信息發佈者，郵件接收者為信息接收者。郵件服務的信息接收者通過郵件地址指定，是一種典型的非公眾信息類網絡應用服務。在郵件服務中，平台安全由郵件服務提供者負責：服務提供安全通過認證等方式提供，監管由主管部門負責：信息傳遞安全由ISP或者端到端保障：信息內容安全由信息發送者負責，法定授權部門查處。

MSN應用：由MSN服務器端以及主機（羣）構成的服務平台。MSN服務器的擁有者為平台提供者。發信息的人為信息發送者。聊天看到信息的人是信息接收者。聊天雙方既是信息發佈者也是信息接收者。ISP為通道提供者。MSN應用的信息接收者由信息發佈者指定，是一種典型的非公眾信息類網絡應用服務。在MSN應用中，網絡與平台安全由MSN業務提供者負責：服務提供安全通過認證等方式提供：信息內容安全由信息發送者負責，法定授權部門查處。

網絡本身只是一個提供互通的平台，網絡應用通過網絡為用户提供豐富多彩的服務，可以説網絡應用服務促進了網絡的飛速發展。網絡應用服務的安全是當前網絡與信息安全中的重要組成部分。網絡應用服務安全可以分網絡與應用平台安全、應用服務提供安全、信息傳遞加工安全以及信息內容安全四層研究。網絡應用服務可以分成公眾類網絡應用服務與非公眾類網絡應用服務兩類。在這兩類應用服務中四個層面的安全問題可以分別落實到信息發送者、信息接收者、平台提供者、通道提供者以及業務監管者這些實體上負責。不同類型網絡應用服務中各個實體的責權利有待進一步研究。

企業需要為移動設備的安全進行預算，因為在發生硬件丟失時，IT部門需要認證工具及類似的專業軟件來跟蹤設備並刪除其中的數據。

IT管理者應當重視設備內部和外部的認證。許多可用的企業級移動設備平台包括了比普通設備自身內部所安裝的認證更為強健的認證。相同的認證策略可用於所有不同類型的設備，並可推廣到整個網絡。

這種認證意味着在僱員每次訪問設備時都必須輸入口令。IT管理者必須確保口令難以猜測，並且僱員不會將口令粘貼在某個明顯的位置（如筆記本的電腦包上等）。

也許要求僱員在每次檢查新郵件時都需要輸入口令有點兒麻煩，但是這樣做可以提醒僱員：你正在使用包含着機密信息的設備進行工作。

當然，企業的移動設備安全策略需要最適用的規則，要提供充分的幫助信息。IT管理者要警告僱員不能將移動設備隨意放置在飯店或酒吧的桌子上，而應當隨身攜帶。在旅館住宿時，如果不使用設備，要將其鎖在保險箱或其它安全設備中。要警告僱員，無論是工作用的筆記本電腦還是智能手機，都不要輕易允許他人使用。 ^[1]