Red de Respuestas Legales - Consulta de marcas - ¿Cuáles son los peligros ocultos de la seguridad de la información?

¿Cuáles son los peligros ocultos de la seguridad de la información?

En términos generales, la seguridad de la información incluye principalmente: seguridad operativa (principalmente la plataforma compuesta por redes y computadoras), seguridad de las transacciones (seguridad de los datos durante la transmisión), seguridad del contenido y protección de la privacidad personal o unitaria. Hace unos años, el debate sobre la seguridad de la información se limitaba a los departamentos gubernamentales y se refería principalmente a la seguridad del contenido y la prevención de fugas. Sin embargo, en los últimos años, bajo el nuevo entorno económico, la vida de todos ha formado una relación muy estrecha con Internet. Con la creciente atención de los gobiernos y las empresas, han surgido diversas tecnologías y productos de seguridad. Pero vale la pena pensar en por qué bajo la protección de poderosas tecnologías de defensa, hay cada vez más problemas de seguridad de la información, y la tecnología de intrusión y antiintrusión siempre representa un drama en vivo de "el diablo está tan alto como el camino". ¿Cuáles son los mayores peligros ocultos en las aplicaciones de seguridad de la información en China? ¿Cuál es el quid de la cuestión?

Gestión: La mayor vulnerabilidad en las aplicaciones de seguridad de la información

Según las estadísticas, entre los sitios web atacados por hackers chinos en Estados Unidos, los sitios web gubernamentales representaron el 3%, mientras que en China, Los sitios web gubernamentales representaron el 37% más. Esta cifra ilustra plenamente la gestión inadecuada de los sitios web gubernamentales de nuestro país. De hecho, los métodos de ataque utilizados por los estadounidenses no son inteligentes. Muchas vulnerabilidades técnicas fueron descubiertas y anunciadas por primera vez por los chinos. Pero es precisamente debido a una atención insuficiente a la gestión que otros aprovechan tecnologías simples para aprovechar las lagunas.

Es urgente mejorar la concienciación en la gestión de la seguridad. El Sr. Bai Shuo, director del Laboratorio Nacional de Redes Informáticas y Seguridad de la Información de China, dijo en una entrevista: "Actualmente, el mayor riesgo técnico en la seguridad de la información de mi país es que las tecnologías centrales, como los sistemas operativos, los chips microelectrónicos y los enrutadores, están en el manos de otros. Este es un problema extremadamente serio. Un país grande como China no tiene su propia tecnología central. Es como si todos los sistemas de información estuvieran construidos en la playa. Si hay una ligera perturbación, perderemos el equilibrio. Aunque la Universidad Nacional de Tecnología de Defensa de China lanzó recientemente enrutadores centrales de desarrollo propio, el Instituto de Software de la Academia de Ciencias de China también lanzó el software de sistema operativo seguro correspondiente, pero estas tecnologías incipientes aún están lejos de estar disponibles. Con un mercado de aplicaciones tan grande, este avance es todavía una gota en el océano. "

Entonces, ¿cómo resolver el problema actual? ¿Cómo garantizar la seguridad de la información cuando sólo se pueden utilizar productos extranjeros? ¿Cómo solucionar algunos puntos dudosos en las condiciones actuales? El Sr. Bai Shuo cree que uno de los métodos más directos y eficaces es endurecer la línea de gestión y utilizar sistemas estrictos para compensar las deficiencias técnicas. En los últimos años, para fortalecer la protección de la seguridad de la información, las agencias gubernamentales chinas han implementado una estrategia de aislar la red interna de la red externa. Sin embargo, estrictamente hablando, este aislamiento sólo puede proteger contra el mundo exterior, pero no el interior. . De hecho, por muy avanzada que sea la tecnología de seguridad, no puede proteger contra ataques internos. La tecnología avanzada no puede resolver los problemas humanos. Es una verdad bien conocida que "es difícil protegerse de los ladrones domésticos". El Sr. Yang Yi, del Centro de Seguridad de la Información de la Universidad de Correos y Telecomunicaciones de Beijing, dijo una vez que todavía existen varios problemas en la gestión de la seguridad de la información: Primero, la construcción del CA (Centro de Autenticación de Certificados Digitales). Actualmente hay no menos de 20 agencias de certificación de CA nacionales, pero una es suficiente y la segunda son los problemas de seguridad actuales, incluidos virus, seguridad de red, cifrado, etc. , también lo gestionan muchos departamentos, cada uno con sus propios estándares. Se recomienda establecer un departamento unificado para gestionar la certificación y todas las cuestiones de seguridad para garantizar un método de control estándar.

Desequilibrio en la inversión: uno de los peligros ocultos en las aplicaciones de seguridad de la información

El desequilibrio entre la tecnología y la gestión de la seguridad de la información también se refleja claramente en la inversión. En la actualidad, cuando la mayoría de las empresas e instituciones de mi país establecen sistemas de información, su inversión en construcción de seguridad es menos del 5% de todo el sistema, mientras que la inversión extranjera en esta área es generalmente del 10% al 15%. Si analizamos específicamente esta inversión del 5%, la inversión en equipos hardware se acerca básicamente al nivel de los países desarrollados, mientras que la inversión en servicio y gestión es casi nula, lo que ha traído grandes peligros ocultos al cinturón de seguridad desde principios de siglo. construcción del sistema de información.

Entonces, cuando las empresas e instituciones invierten en TI y gestión de seguridad, ¿dónde deberían invertir sus fondos? En un sistema de información existen muchas cuestiones de gestión. En algunos casos, los mecanismos de gestión que hacen coincidir la información no pueden surgir de forma espontánea. En este momento se debe comprar gestión de seguridad, es decir, gastar dinero en gestión. Las empresas o instituciones deben cooperar con algunas empresas especializadas en gestión de seguridad para establecer un sistema de gestión, incluido un sistema de gestión de calidad, un sistema de gestión de documentos, un sistema organizativo, un mecanismo de supervisión e inspección, etc. y configurar el nivel de seguridad según los requisitos de seguridad específicos de cada unidad. Hay muchas cosas que gestionar en la unidad. La seguridad es imposible sin un buen uso de los mecanismos de gobernanza.

Otra inversión debería ser en servicios de seguridad. Con el desarrollo continuo de la tecnología de la información, los problemas de seguridad se convertirán en más contenido nuevo a medida que se profundicen las aplicaciones de red, y será difícil evitar las lagunas de seguridad. Sin embargo, para muchas empresas e instituciones nacionales, lo más difícil en la actualidad es la falta de talentos que puedan asumir plenamente las tareas de gestión de diversos sistemas de seguridad. En este caso, la única opción es pagar el servicio. Sin embargo, actualmente en nuestro país la inversión de diversas unidades en servicios de seguridad es básicamente nula.

Distribución desigual de la tecnología: el segundo peligro oculto en las aplicaciones de seguridad de la información

El Sr. Bai Shuo cree que el mercado interno actual no tiene muy pocos productos para garantizar la seguridad de la red, sino demasiados. Sin embargo, desde la perspectiva de la distribución, algunos tipos de productos están demasiado concentrados. Tomemos como ejemplo los cortafuegos. Muchos fabricantes están fabricando cortafuegos, lo que da como resultado una duplicación de bajo nivel. Desde una perspectiva macro, esta no es una forma técnica ideal. Hay muchos aspectos de la seguridad de la red, incluida la prevención (análisis de vulnerabilidades, evaluación de riesgos, etc.).

), detección en tiempo real, auditoría, análisis forense de registros, recuperación ante desastres y respuesta a ataques, etc. Sin embargo, en la actualidad, estos vínculos de seguridad no se han asignado razonablemente en el desarrollo de productos, como los vínculos necesarios como seguridad, auditoría, análisis forense, respaldo y recuperación ante desastres, y hay pocos productos y ninguna tecnología sólida.

Como departamento de gestión de seguridad de la información del gobierno, el Centro de Seguridad de la Información y Redes Informáticas del Ministerio de Industria de la Información actualmente presta gran atención a los estándares y la legislación para productos y servicios de seguridad (es decir, certificación de productos y servicios de seguridad). servicios). Pronto celebrarán una reunión de selección de pilotos de servicios de seguridad de red e introducirán una serie de regulaciones y políticas de seguridad de planificación a largo plazo en un intento de que la gente vea el desarrollo de la seguridad de la información nacional. En cuanto a las normas, quieren cambiar los modelos de trabajo existentes. En el pasado, cuando el Estado asignaba tareas de investigación sobre normalización, algunas instituciones especializadas en investigación de normas comenzaban a realizar el trabajo. Ahora parece que este método ya no se adapta al desarrollo de los tiempos, porque las instituciones de investigación a tiempo completo todavía están lejos de la primera línea en el desarrollo de productos de seguridad, por lo que todavía existe una gran brecha en la comprensión de algunas estrategias. El Ministerio de la Industria de la Información espera transformar este método de investigación en un método de investigación estándar basado en empresas y unir a algunas grandes empresas verdaderamente poderosas para emprender la formulación de estándares.

La búsqueda de la seguridad no debe limitar el desarrollo.

La seguridad es el mayor obstáculo para el desarrollo económico moderno, pero ¿no es debido a que el problema de seguridad no puede resolverse bien que el país y las empresas deben desacelerar el ritmo de desarrollo? Antes de discutir la relación entre seguridad y desarrollo, necesitamos saber qué tipo de sistema es seguro. Los sistemas comerciales nunca serán tan seguros como los sistemas gubernamentales y militares. Zhou Zhou, del Departamento de Computación de la oficina central del China Merchants Bank, dijo: "En los sistemas comerciales, la seguridad es un concepto relativo, porque no podemos buscar una seguridad absoluta. ¿Qué es la seguridad relativa? En primer lugar, las pérdidas causadas por problemas de seguridad son algo que Las empresas comerciales pueden soportar, por ejemplo, las tarjetas de crédito. El negocio es muy riesgoso, pero los bancos todavía lo llevan a cabo a gran escala. Esto se debe a que las tarjetas de crédito tienen riesgos y beneficios. En segundo lugar, debemos asegurarnos de que no se causen pérdidas a los clientes. Cualquier sistema bancario debe seguir indicadores estrictos. Una vez que ocurre un problema, el banco debe asumir la pérdida siempre que haya evidencia de que la responsabilidad no recae en el cliente. Sólo con estos dos principios el banco puede buscar el desarrollo. Un tema integral, desde la perspectiva de los departamentos gubernamentales, la seguridad y el desarrollo también tienen una relación dialéctica. Las necesidades de seguridad de las agencias gubernamentales también son jerárquicas. Mientras no se infrinja el objetivo fundamental de la seguridad, debería mejorarse mientras se desarrolla. Actualmente existen multitud de tecnologías para garantizar la seguridad, entre las que es muy importante la identificación de los usuarios, así como la gestión del lado del servidor, como la instalación de software de monitorización, cortafuegos, etc. Pero la atención se centra en cómo utilizar estas tecnologías para que el sistema sea seguro y fácil de usar. En términos generales, si un sistema es seguro o no no es en absoluto una cuestión puramente técnica. La gestión empresarial ha afectado todos los aspectos de las aplicaciones de seguridad de la información, como la supervisión post-evento, el seguimiento en tiempo real, etc. Si puede ser infalible tanto en gestión como en tecnología, puede lograr un entorno relativamente seguro.