一、網(wǎng)絡(luò)應(yīng)用服務(wù)安全相關(guān)概念

　　雖然當(dāng)前全社會(huì)關(guān)注網(wǎng)絡(luò)與信息安全，但對(duì)網(wǎng)絡(luò)與信息安全的相關(guān)概念、范圍卻缺乏共識(shí)。當(dāng)前常用的概念與說法有網(wǎng)絡(luò)安全、信息安全、網(wǎng)絡(luò)與信息安全、信息與信息安全、信息系統(tǒng)安全、網(wǎng)絡(luò)應(yīng)用服務(wù)、網(wǎng)絡(luò)業(yè)務(wù)等。不同的部門對(duì)上述概念基于各自的立場(chǎng)與利益做出了不同的解釋，導(dǎo)致當(dāng)前概念與范圍相對(duì)混亂。本文采用如下定義。

　　信息安全：狹義信息安全是指信息的機(jī)密性、完整性和不可否認(rèn)性，主要研究加密和認(rèn)證等算法。狹義信息安全還可能包括意識(shí)形態(tài)相關(guān)的內(nèi)容安全。廣義信息安全通常是指信息在采集、加工、傳遞、存儲(chǔ)和應(yīng)用等過程中的完整性、機(jī)密性、可用性、可控性和不可否認(rèn)性以及相關(guān)意識(shí)形態(tài)的內(nèi)容安全。

　　網(wǎng)絡(luò)安全：狹義的網(wǎng)絡(luò)安全通常是指網(wǎng)絡(luò)自身的安全。如果網(wǎng)絡(luò)與業(yè)務(wù)捆綁，例如電話網(wǎng)，則還包括業(yè)務(wù)的安全。狹義的網(wǎng)絡(luò)安全通常不提供高層業(yè)務(wù)，只提供點(diǎn)到點(diǎn)傳送業(yè)務(wù)的網(wǎng)絡(luò)。廣義的網(wǎng)絡(luò)安全除包括狹義網(wǎng)絡(luò)安全內(nèi)容外還包括網(wǎng)絡(luò)上的信息安全以及有害信息控制。廣義的網(wǎng)絡(luò)安全通常用在提供高層業(yè)務(wù)的網(wǎng)絡(luò)。

　　網(wǎng)絡(luò)與信息安全：對(duì)于基礎(chǔ)電信網(wǎng)，例如光纖網(wǎng)、傳輸網(wǎng)、支撐網(wǎng)、信令網(wǎng)以及同步網(wǎng)而言，網(wǎng)絡(luò)安全僅僅包括網(wǎng)絡(luò)自身安全以及網(wǎng)絡(luò)服務(wù)安全。網(wǎng)絡(luò)和信息安全主要強(qiáng)調(diào)除網(wǎng)絡(luò)自身安全以及服務(wù)提供安全外，還包括網(wǎng)絡(luò)上的信息機(jī)密性、完整性、可用性以及相關(guān)內(nèi)容安全的有害信息控制。網(wǎng)絡(luò)與信息安全范圍等同與廣義的網(wǎng)絡(luò)安全。

　　網(wǎng)絡(luò)應(yīng)用服務(wù)：在網(wǎng)絡(luò)上利用軟/硬件平臺(tái)滿足特定信息傳遞和處理需求的行為。信息在軟/硬件平臺(tái)上處理，通過網(wǎng)絡(luò)在平臺(tái)與信息接收者/發(fā)送者之間傳遞。一些商務(wù)模式完善的網(wǎng)絡(luò)應(yīng)用服務(wù)已成為電信業(yè)務(wù)。

　　網(wǎng)絡(luò)應(yīng)用服務(wù)安全：包括網(wǎng)絡(luò)與應(yīng)用平臺(tái)的安全，由網(wǎng)絡(luò)應(yīng)用平臺(tái)提供的服務(wù)能夠合法有效受控開展，還包括網(wǎng)絡(luò)應(yīng)用的信息存儲(chǔ)、傳遞加工處理能完整、機(jī)密且可用，信息內(nèi)容涉及內(nèi)容安全時(shí)能及時(shí)有效采取相應(yīng)措施。

　　二、網(wǎng)絡(luò)應(yīng)用服務(wù)安全分層

　　網(wǎng)絡(luò)應(yīng)用服務(wù)安全可以分為如下四層。

　　網(wǎng)絡(luò)與應(yīng)用平臺(tái)安全：主要包括網(wǎng)絡(luò)的可靠性與生存行與信息系統(tǒng)的可靠性和可用性。網(wǎng)絡(luò)的可靠性與生存行依靠環(huán)境安全、物理安全、節(jié)點(diǎn)安全、鏈路安全、拓?fù)浒踩�、系統(tǒng)安全等方面來保障。信息系統(tǒng)的可靠性和可用性可以參照計(jì)算機(jī)系統(tǒng)安全進(jìn)行。

　　應(yīng)用服務(wù)提供安全：主要包括應(yīng)用服務(wù)的可用性與可控性。服務(wù)可控性依靠服務(wù)接入安全以及服務(wù)防否認(rèn)、服務(wù)防攻擊、國(guó)家對(duì)應(yīng)用服務(wù)的管制等方面來保障。服務(wù)可用性與承載業(yè)務(wù)網(wǎng)絡(luò)可靠性以及維護(hù)能力等相關(guān)。

　　信息加工和傳遞安全：主要包括信息在網(wǎng)絡(luò)傳輸和信息系統(tǒng)存儲(chǔ)時(shí)完整性、機(jī)密性和不可否認(rèn)性。信息完整性可以依靠報(bào)文鑒別機(jī)制，例如哈希算法等來保障，信息機(jī)密性可以依靠加密機(jī)制以及密鑰分發(fā)等來保障，信息不可否認(rèn)性可以依靠數(shù)字簽名等技術(shù)來保障。

　　信息內(nèi)容安全：主要指通過網(wǎng)絡(luò)應(yīng)用服務(wù)所傳遞的信息內(nèi)容不涉及危害國(guó)家安全，泄露國(guó)家秘密或商業(yè)秘密，侵犯國(guó)家利益、公共利益或公民合法權(quán)益，從事違法犯罪活動(dòng)。

　　網(wǎng)絡(luò)應(yīng)用服務(wù)可以有多種分類方法。一些典型的分類方法如下文所述。

　　按照技術(shù)特征分類，點(diǎn)到點(diǎn)業(yè)務(wù)與點(diǎn)到多點(diǎn)業(yè)務(wù)；按照電信業(yè)務(wù)分類，基礎(chǔ)電信業(yè)務(wù)和增值電信業(yè)務(wù)；按照是否經(jīng)營(yíng)分類，經(jīng)營(yíng)性網(wǎng)絡(luò)應(yīng)用服務(wù)與非經(jīng)營(yíng)性網(wǎng)絡(luò)應(yīng)用服務(wù)；按照所傳遞加工的信息分類，自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強(qiáng)制保護(hù)與�？乇Ｗo(hù)五級(jí)；按照服務(wù)涉及的范圍分類，公眾類網(wǎng)絡(luò)應(yīng)用服務(wù)與非公眾類網(wǎng)絡(luò)應(yīng)用服務(wù)。

　　各個(gè)分類方式從不同角度將網(wǎng)絡(luò)應(yīng)用服務(wù)進(jìn)行了分類。本文采用公眾類網(wǎng)絡(luò)應(yīng)用服務(wù)與非公眾類網(wǎng)絡(luò)應(yīng)用服務(wù)的分類方法。

　　公眾信息類網(wǎng)絡(luò)應(yīng)用是在公眾網(wǎng)絡(luò)范圍內(nèi)信息發(fā)送者不指定信息接收者情況下的網(wǎng)絡(luò)應(yīng)用。信息發(fā)送者將信息發(fā)送到應(yīng)用平臺(tái)上，信息接收者主動(dòng)決定是否通過網(wǎng)絡(luò)接收信息的網(wǎng)絡(luò)應(yīng)用，信息發(fā)送者在一定范圍內(nèi)以廣播或組播的方式不指定信息接收者強(qiáng)行推送信息。公眾信息類網(wǎng)絡(luò)應(yīng)用通常涉及網(wǎng)絡(luò)媒體，主要包括有BBS、網(wǎng)絡(luò)聊天室、WWW服務(wù)、IPTV、具有聊天室功能的網(wǎng)絡(luò)游戲等應(yīng)用。

　　非公眾信息類網(wǎng)絡(luò)應(yīng)用是公眾網(wǎng)絡(luò)范圍內(nèi)信息發(fā)送者指定信息接收者的網(wǎng)絡(luò)應(yīng)用以及非公眾網(wǎng)絡(luò)范圍內(nèi)的網(wǎng)絡(luò)應(yīng)用。非公眾信息類網(wǎng)絡(luò)應(yīng)用類型中，公眾網(wǎng)絡(luò)上一般是點(diǎn)到點(diǎn)的信息傳播的網(wǎng)絡(luò)應(yīng)用，主要有普通QQ應(yīng)用、普通MSN應(yīng)用、普通Email、PC2PC的VoIP、電子商務(wù)等應(yīng)用。

　　四、實(shí)體劃分與典型應(yīng)用服務(wù)分析

　　網(wǎng)絡(luò)應(yīng)用服務(wù)安全分析中涉及到如下幾個(gè)實(shí)體：信息發(fā)送者，通過網(wǎng)絡(luò)發(fā)送信息的實(shí)體，可以是ICP或者發(fā)送信息的個(gè)人；平臺(tái)提供者，網(wǎng)絡(luò)應(yīng)用的提供者，通信的雙方（多方）通過應(yīng)用平臺(tái)交互信息；通道提供者，為信息發(fā)送者、信息接收著、平臺(tái)提供者提供接入網(wǎng)絡(luò)的手段以及網(wǎng)絡(luò)層面的互通；信息接收者，網(wǎng)絡(luò)接收信息的實(shí)體；設(shè)備制造商，為信息發(fā)送者、信息接收者、平臺(tái)提供者、通道提供者提供軟硬件設(shè)備；業(yè)務(wù)監(jiān)管者，監(jiān)管網(wǎng)絡(luò)應(yīng)用的安全，主要包括業(yè)務(wù)安全以及內(nèi)容安全。

　　幾個(gè)典型的網(wǎng)絡(luò)應(yīng)用服務(wù)分析如下所述。

　　普通WWW瀏覽應(yīng)用：WWW服務(wù)器構(gòu)成的服務(wù)平臺(tái)。WWW頁面的擁有人為信息發(fā)送者，WWW頁面的請(qǐng)求者為信息接收者，ISP為通道提供者。公網(wǎng)上的WWW應(yīng)用是一種典型的公眾信息類網(wǎng)絡(luò)應(yīng)用服務(wù)，是信息發(fā)送者無法指定信息接收者的媒體類網(wǎng)絡(luò)應(yīng)用。在WWW應(yīng)用中網(wǎng)絡(luò)與平臺(tái)安全由通道提供者ISP與WWW服務(wù)器擁有人負(fù)責(zé)；WWW服務(wù)提供安全主要體現(xiàn)在主管部門對(duì)服務(wù)平臺(tái)的監(jiān)管；信息傳遞安全由ISP或者信息發(fā)送者與信息接收者端到端負(fù)責(zé)，信息存儲(chǔ)處理安全由WWW服務(wù)器擁有人負(fù)責(zé)；信息內(nèi)容安全由平臺(tái)提供者與信息發(fā)送者負(fù)責(zé)，主管部門監(jiān)管，法定授權(quán)部門查處。

　　電話業(yè)務(wù)：電話網(wǎng)作為服務(wù)平臺(tái)以及通道提供者。主叫方作為信息發(fā)送者，被叫方作為信息接收者。電話業(yè)務(wù)的信息接收者（被叫方）由信息發(fā)布者（主叫方）通過電話號(hào)碼指定，這是一種典型的非公眾信息類網(wǎng)絡(luò)應(yīng)用服務(wù)。在電話業(yè)務(wù)中，網(wǎng)絡(luò)與平臺(tái)安全由電話業(yè)務(wù)提供者負(fù)責(zé)；服務(wù)提供安全通過認(rèn)證等方式提供，監(jiān)管由主管部門負(fù)責(zé)，信息傳遞安全由電話業(yè)務(wù)提供者負(fù)責(zé)；信息內(nèi)容安全由信息發(fā)送者負(fù)責(zé)，法定授權(quán)部門查處。

　　DNS服務(wù)：由DNS服務(wù)器以及客戶機(jī)構(gòu)成的服務(wù)平臺(tái)，該服務(wù)平臺(tái)分層架構(gòu)。DNS服務(wù)器的擁著者為平臺(tái)提供者，根域名服務(wù)器由ICANN擁有維護(hù)，各級(jí)域名服務(wù)器由相應(yīng)組織擁有維護(hù)。DNS域名服務(wù)器信息發(fā)布者為DNS擁有人，DNS服務(wù)信息接收者為域名解析的請(qǐng)求者。公網(wǎng)上的DNS服務(wù)通常由通道提供者ISP提供。DNS信息接收者無法指定，因此也是一種古拙類網(wǎng)絡(luò)應(yīng)用服務(wù)。DNS服務(wù)中網(wǎng)絡(luò)與服務(wù)平臺(tái)安全由ISP與DNS服務(wù)器擁有人負(fù)責(zé)；DNS服務(wù)不涉及業(yè)務(wù)提供安全；信息傳遞安全由ISP負(fù)責(zé)；信息存儲(chǔ)安全由ICANN負(fù)責(zé)；DNS服務(wù)不涉及信息內(nèi)容安全。

　　BBS應(yīng)用：由Telnet/WWW協(xié)議服務(wù)器端、BBS服務(wù)器端以及主機(jī)構(gòu)成服務(wù)平臺(tái)。BBS服務(wù)器的擁有者為平臺(tái)提供者。BBS發(fā)帖人為信息發(fā)布者，訪問BBS閱讀的人為信息接收者。BBS服務(wù)的信息發(fā)送者一般無法指定信息接收者，因此BBS應(yīng)用通常也有媒體功能，是一種公眾類網(wǎng)絡(luò)應(yīng)用服務(wù)。在BBS應(yīng)用中網(wǎng)絡(luò)與平臺(tái)安全由通道提供者ISP與BBS服務(wù)器擁有人負(fù)責(zé)；BBS服務(wù)提供安全主要體現(xiàn)在主管部門對(duì)服務(wù)平臺(tái)的監(jiān)管；信息傳遞安全由ISP或者信息發(fā)送者與信息接收者端到端負(fù)責(zé)；信息存儲(chǔ)處理安全由WWW服務(wù)器擁有人負(fù)責(zé)；信息內(nèi)容安全由平臺(tái)提供者與信息發(fā)送者負(fù)責(zé)，主管部門監(jiān)管，法定授權(quán)部門查處。

　　Mail應(yīng)用：由SMTP服務(wù)器端、POP3服務(wù)器端以及主機(jī)構(gòu)成的服務(wù)平臺(tái)。Mail服務(wù)器的擁有者為設(shè)備提供者。郵件發(fā)送者為信息發(fā)布者，郵件接收者為信息接收者。郵件服務(wù)的信息接收者通過郵件地址指定，是一種典型的非公眾信息類網(wǎng)絡(luò)應(yīng)用服務(wù)。在郵件服務(wù)中，平臺(tái)安全由郵件服務(wù)提供者負(fù)責(zé)；服務(wù)提供安全通過認(rèn)證等方式提供，監(jiān)管由主管部門負(fù)責(zé)；信息傳遞安全由ISP或者端到端保障；信息內(nèi)容安全由信息發(fā)送者負(fù)責(zé)，法定授權(quán)部門查處。

　　MSN應(yīng)用：由MSN服務(wù)器端以及主機(jī)（群）構(gòu)成的服務(wù)平臺(tái)。MSN服務(wù)器的擁有者為平臺(tái)提供者。發(fā)信息的人為信息發(fā)送者。聊天看到信息的人是信息接收者。聊天雙方既是信息發(fā)布者也是信息接收者。ISP為通道提供者。MSN應(yīng)用的信息接收者由信息發(fā)布者指定，是一種典型的非公眾信息類網(wǎng)絡(luò)應(yīng)用服務(wù)。在MSN應(yīng)用中，網(wǎng)絡(luò)與平臺(tái)安全由MSN業(yè)務(wù)提供者負(fù)責(zé)；服務(wù)提供安全通過認(rèn)證等方式提供；信息內(nèi)容安全由信息發(fā)送者負(fù)責(zé)，法定授權(quán)部門查處。

　　網(wǎng)絡(luò)本身只是一個(gè)提供互通的平臺(tái)，網(wǎng)絡(luò)應(yīng)用通過網(wǎng)絡(luò)為用戶提供豐富多彩的服務(wù)。可以說網(wǎng)絡(luò)應(yīng)用服務(wù)促進(jìn)了網(wǎng)絡(luò)的飛速發(fā)展。網(wǎng)絡(luò)應(yīng)用服務(wù)的安全是當(dāng)前網(wǎng)絡(luò)與信息安全中的重要組成部分。網(wǎng)絡(luò)應(yīng)用服務(wù)安全可以分網(wǎng)絡(luò)與應(yīng)用平臺(tái)安全、應(yīng)用服務(wù)提供安全、信息傳遞加工安全以及信息內(nèi)容安全四層研究。網(wǎng)絡(luò)應(yīng)用服務(wù)可以分成公眾類網(wǎng)絡(luò)應(yīng)用服務(wù)與非公眾類網(wǎng)絡(luò)應(yīng)用服務(wù)兩類。在這兩類應(yīng)用服務(wù)中四個(gè)層面的安全問題可以分別落實(shí)到信息發(fā)送者、信息接收者、平臺(tái)提供者、通道提供者以及業(yè)務(wù)監(jiān)管者這些實(shí)體上負(fù)責(zé)。不同類型網(wǎng)絡(luò)應(yīng)用服務(wù)中各個(gè)實(shí)體的責(zé)權(quán)利有待進(jìn)一步研究。