软考信息安全工程师-第四章《网络安全体系与网络安全模型》
一、网络安全体系概述
网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。
网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、 安全投入等多种要素。网络安全体系构建已成为一种解决网络安全问题的有效方法,是提升网络安全整体保障能力的高级解决方案。
- 整体性:网络安全单元按照一定的规则,相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式。
- 协同性:各种安全机制的相互协作,构建系统性的网络安全保护方案。
- 过程性:覆盖保护对象的全生命周期。
- 全面性:基于多个维度、多个层面对安全威胁进行管控,构建防护、检测、响应、恢复等网络安全功能。
- 适应性:具有动态演变机制,能够适应网络安全威胁的变化和需求。
- 有利于系统性化解网络安全风险,确保业务待续开展并将损失降到最低限度;
- 有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为;
- 有利于对组织的网络资产进行全面系统的保护,维持竞争优势;
- 有利于组织的商业合作;
- 有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,能提高组织的 知名度与信任度。
二、网络安全体系相关模型
Bell-LaPadula 模型是符合军事安全策略的计算机安全模型,简称 BLP 模型。该模型用于防止非授权信息的扩散,从而保证系统的安全。
- 简单安全特性:主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
- *特性:主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级, 即客体的保密级别不小于主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写,不能向下写。
BLP 机密性模型可用于实现军事安全策略。其策略规定,用户要合法读取某信息, 当且仅当用户的安全级大于或等于该信息的安全级,并且用户的访问范畴包含该信息范畴时。
为了实现军事安全策略,计算机系统中的信息和用户都分配了一个访问类,由两部分组成:
安全级的顺序般规定为:公开<秘密<机密<绝密。
两个范畴集之间的关系是包含、被包含或无关。
按照军事安全策略规定,用户B可以阅读文件F,但用户A不能读文件F。
BiBa 模型主要用于防止非授权修改系统信息,以保护系统的信息完整性。
- 简单安全特性:主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴集合包含客体的全部范畴,即主体不能向下读。
- *特性:主体的完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上写。
- 调用特性:主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体。
信息流模型是访问控制模型的一种变形,简称 FM 。该模型不检查主体对客体的存取,而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。一个安全的 FM 当且仅当执行系列操作后, 不会导致流与流关系产生冲突。
信息流模型可以用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露。隐蔽通道通常表现为低安全等级主体对千高安全等级主体所产生信息的间接读取 。
PDRR 模型改进了传统的只有保护的单一安全防御思想,强调信息安全保障的四个重要环节。
- 保护(Protection)的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
- 检测(Detection)的内容主要有入侵检测、系统脆弱性检测、 数据完整性检测、攻击性检测等。
- 恢复(Recovery)的内容主要有数据备份、数据修复、系统 恢复等。
- 响应(Response)的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安 全状态评估等。
P2DR 模型是在整体的安全策略(Policy)的控制和指导下,在综合运用防护工具(Protection)的同时,利用检测工具(Detection)了解和评估系统的安全状态,通过适当的响应(Response)将系统调整到“最安全”和“风险最低”的状态。
WPDRRC 模型的要素由预警、保护、检测、响应、恢复和反击构成。模型蕴涵的网络安全能力主要是预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。
能力成熟度模型是对一个组织机构的能力进行成熟度评估的模型。
- 一级非正式执行:具备随机、无序、被动的过程;
- 二级计划跟踪:具备主动、非体系化的过程;
- 三级充分定义:具备正式的、规范的过程;
- 四级晕化控制:具备可量化的过程;
- 五级持续优化:具备可待续优化的过程。
目前,网络安全方面的成熟度模型主要有 SSE-CMM 、数据安全能力成熟度模型、软件安全能力成熟度模型等。
SSE-CMM:系统安全工程能力成熟度模型。 SSE-CMM 包括工程过程类、组织过程类、项目过程类。
数据安全能力成熟度模型:数据安全能力从组织建设、制度流程、技术工具及人员能力四个维度评估。
软件安全能力成熟度模型:软件安全能力成熟度模型分为五级:
- CMM1级-补丁修补;
- CMM2级-渗透测试、安全代码评审;
- CMM3级-漏洞评估、代码分析、安全编码标准;
- CMM4级-软件安全风险识别、SDLC实施不同安全检查点;
- CMM5级- 改进软件安全风险覆盖率、评估安全差距。
纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够互相支持和补救,尽可能地阻断攻击者的威胁。
- 安全保护,能够阻止对网络的入侵和危害。
- 安全监测,可以及时发现入侵和破坏。
- 实时响应,当攻击发生时维持网络“打不垮" 。
- 恢复, 使网络在遭受攻击后能以最快的速度”起死回生”,最大限度地降低安全事件带来的损失。
分层防护模型针对单独保护节点,以 OSI 7 层模型为参考,对保护对象进行层次化保护, 典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层,然后针对每层的安全威胁,部署合适的安全措施,进行分层防护 。
等级保护模型是根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
网络生存性是指在网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续提供必要服务的能力。
目前,国际上的网络信息生存模型遵循 “3R" 的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式,给出相应的 3R 策略,即抵抗 (Resistance) 、识别 (Recognition) 和恢复 (Recovery) 。最后,定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式,给出系统需要重点保护的基本功能服务和关键信息等。
三、网络安全体系建设原则与安全策略
- 系统性和动态性原则:在建立网络安全防范体系时,应特别强调系统的整体安全性,也就是人们常说的“木桶原则”。 网络系统的安全防范应当是动态的,要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
- 纵深防护与协作性原则:各种网络安全技术之间应当互相补充,互相配合,在统一的安全策略与配置下,发挥各自的优点。 网络安全体系应该包括安全评估机制、安全防护机制、安全监测机制、安全应急响应机制。
- 网络安全风险和分级保护原则:网络安全体系要正确处理需求、风险与代价的关系,做到安全性与可用性相容做到组织上可执行。 分级保护原则是指根据网络资产的安全级别,采用合适的网络防范措施来保护网络资产, 做到适度防护。
- 标准化与一致性原则:安全体系的设计必须遵循一系列的标准。
- 技术与管理相结合原则:将各种安全技术与运行管理机制、人员思想教育和技术培训、安全规章制度的建设相结合。
- 安全第一,预防为主原则:网络安全应以预防为主。
- 安全与发展同步,业务与安全等同:网络安全的建设要实现和信息化统谋划、统一部署、统一推进、统一实施,确保三同步一一同步规划、同步建设、同步运行,做到安全与发展协调致、齐头并进,以安全保发展、以发展促安全,安全与发展同步,业务与安全等同。
- 人机物融合和产业发展原则:网络安全体系的建设要分析人在网络信息系统中的安全保障需求,避免单纯的网络安全产品导向。
网络安全策略是有关保护对象的网络安全规则及要求,其主要依据网络安全法律法规和网络安全风险。
通常,一个网络安全策略文件应具备以下内容:涉及范围、有效期、所有者、责任、参考文件、策略主体内容、复查、违规处理。
四、网络安全体系框架主要组成和建设内容
- 调查网络安全策略需求,明确其作用范围;
- 网络安全策略实施影响分析;
- 获准上级领导支持网络安全策略工作;
- 制订网络安全策略草案;
- 征求网络安全策略有关意见;
- 网络安全策略风险承担者评估;
- 上级领导审批网络安全策略;
- 网络安全策略发布;
- 网络安全策略效果评估和修订。
一般企事业单位的网络信息系统中,网络安全策略主要有网络资产分级策略、密码管理策略、互联网使用安全策略、网络通信安全策略、远程访问策略、桌面安全策略、服务器安全策略、应用程序安全策略等八类。
网络安全组织建设内容主要包括网络安全机构设置、网络安全岗位编制、网络安全人才队伍建设、网络安全岗位培训、网络安全资源协同。
- 管理目标:管理目标大的方面包括政治、经济、文化、国防安全等,小的方面则是网络系统的保密、可用、可控等;
- 管理手段:管理手段包括安全评估、安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访问控制等;
- 管理主体:管理主体大的方面包括国家网络安全职能部门,小的方面主要是网络管理员、单位负责人等;
- 管理依据:管理依据有行政法规、法律、部门规章制度、 技术规范等;
- 管理资源:管理资源包括安全设备、管理人员、安全经费、时间等。
- 网络安全管理策略:由管理者根据业务要求和相关法律法规制定、评审、批准、发布、修订,并将其传达给所有员工和外部相关方,同时根据网络安全情况,定期或不定期评审网络安全策略,以确保其持续的适宜性、充分性和有效性。常见的网络安全管理策略有服务器安全策略、终端安全策略、网络通信安全策略、远程访问安全策略、电子邮件安全策略、互联网络使用策略、恶意代码防护策略等。
- 第三方安全管理:维护第三方访问的组织的信息处理设施和网络资产的安全性,要严格控制第三方对组织的信息及网络处理设备的使用,同时又能支持组织开展网络业务需要。主要工作有:
- 网络系统资产分类与控制:网络系统资产的清单列表和分类是管理的最基本工作,它有助于明确安全管理对象,组织可以根据资产的重要性和价值提供相应级别的保护。资产示例有:硬件资产、软件资产、存储介质、 信息资产、 网络服务及业务系统、支持保障系统等。企业网络中,一般可以把资产分成四个级别:公开、内部、机密、限制。
- 人员安全:降低误操作、偷窃、诈骗或滥用等人为造成的网络安全风险。 在人员安全的工作安排方面,应遵守以下原则多人负责原则、任期有限原则、职责分离原则。
- 网络物理与环境安全:防止对组织工作场所和网络资产的非法物理临近访问、破坏和干扰。
- 网络通信与运行:保证网络信息处理设施的操作安全无误,满足组织业务开展的安全需求。
- 网络访问控制:保护网络化服务,应该控制对内外网络服务的访问,确保访问网络和网络服务的用户不会破坏这些网络服务的安全,要求做到:
- 网络应用系统开发与维护:防止应用系统中用户数据的丢失、修改或滥用。网络应用系统设计必须包含适当的安全控制措施、审计追踪或活动日志记录。
- 网络系统可持续性运营:防止网络业务活动中断,保证重要业务流程不受重大故障和灾难的影响
- 网络安全合规性管理:网络系统的设计、操作、使用和管理要依据成文法、法规或合同安全的要求;不违反刑法、民法、成文法、法规或合约义务以及任何安全要求。
网络安全基础设施主要包括网络安全数字认证服务中心、网络安全运营中心、网络安全测 评认证中心。
网络安全服务的目标是通过网络安全服务以保障业务运营和数据安全。
网络安全服务输出的网络安全保障能力主要有:预警、评估、防护、监测、应急、恢复、测试、追溯等。
网络安全服务类型主要包括网络安全监测预警、网络安全风险评估、网络安全数字认证、网络安全保护、网络安全检查、网络安全审计、网络安全应急响应、网络安全容灾备份、网络安全测评认证、网络安全电子取证等。
网络安全技术的目标是通过多种网络安全技术的使用,实现网络用户认证、网络访问授权、网络安全审计、网络安全容灾恢复等网络安全机制,以满足网络信息系统的业务安全、数据安全的保护需求。
网络安全核心技术的目标则是要做到自主可控、安全可信,确保网络信息科技的技术安全风险可控,避免技术安全隐患危及国家安全。
网络安全技术类型可分为保护类技术、监测类技术、恢复类技术、响应类技术。
网络信息科技与产业生态构建的主要目标是确保网络安全体系能够做到安全自主可控,相关的技术和产品安全可信。
其主要内容包括网络信息科技基础性研究、 IT 产品研发和供应链安全确保、网络信息科技产品及系统安全测评、有关网络信息科技的法律法规政策、网络信息科技人才队伍建设等。
网络安全教育与培训是构建网络安全体系的基础性工作,是网络安全科技创新的源泉。
网络信息安全标准规范有利于提升网络安全保障能力,促进网络信息安全科学化管理。
一般企事业单位的网络安全标准与规范的工作目标是确保本机构的网络安全工作符合网络安全标准规范要求,避免网络安全合规风险。
网络安全运营与应急响应的目标是监测和维护网络信息系统的网络安全状况,使其处于可接受的风险级别。
- 网络信息安全策略修订和执行;
- 网络信息安全态势监测和预警;
- 网络信息系统配置检查和维护;
- 网络信息安全设备部署和维护;
- 网络信息安全服务设立和实施;
- 网络信息安全应急预案制定和演练;
- 网络信息安全事件响应和处置;
- 网络安全运营与应急响应支撑平台维护和使用。
五、网络安全体系建设参考案例
国家网络安全等级保护制度 2.0 体系框架包括:风险管理体系、安全管理体系、安全技术体系、网络信任体系、法律法规体系、政策标准体系等。
网络安全等级保护工作主要包括定级、备案、建设整改、等级测评、监督检查五个阶段。
- 扩大了对象范围,将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络安全通用要求+新型应用的网络安全扩展要求"的要求内容。
- 提出了在“安全通信网络”“安全区域边界”“安全计算环境”和“安 全管理中心”支持下的三重防护体系架构。
- 等级保护 2.0 新标准强化了可信计算技术使用的要求,各级增加了”可信验证”控制点。
- 一级要求设备的系统引导程序、系统程序等 进行可信验证;
- 二级增加重要配置参数和应用程序进行可信验证,并将验证结果形成审计记录 送至安全管理中心;
- 三级增加应用程序的关键执行环节进行动态可信验证;
- 四级增加应用程序 的所有执行环节进行动态可信验证。
智慧城市安全体系的各要素包括智慧城市安全战略保障、智慧城市安全技术保障、智慧城市安全管理保障、智慧城市安全建设与运营保障、智慧城市安全基础支撑五个方面 。
- 智能交通网络安全管理体系架构由智能交通网络安全职能整体架构、智能交通产业内网络安全管理框架两个方面组成。
- 智能交通网络安全职能整体架构负责处理产业链中各层级的管理职能分配以及各层级的管理、汇报和协作关系。
- 智能交通产业内网络安全管理框架则负责处理在产业内具体组织和机构的安全管理,具体包括安全治理、安全管理等。
- 智能交通网络安全技术体系参考我国 WPDRRC 信息安全模型和国内外最佳实践,明确以 “数据层、服务支撑层、平台层、物联网通信层、物联网智能终端”为保护对象的框架,构建智能清报、身份认证、访问控制、加密、防泄漏、防恶意代码、安全加固、安全监控、安全审计和可用性设计等安全技术框架。
- 智能交通网络安全运营体系由三个要素组成:运营管理、网络安全事件周期性管理、工具。其中,运营管理的作用是有效衔接安全管理体系和安全技术体系,通过其有 效运转实现安全管理体系、安全技术体系的不断优化提升;网络安全事件周期性管理覆盖预防 (事前)、监控(事中)、响应(事后),形成自主有效的闭环;工具主要包括事件管理、工单系统、审计日志、取证工具、安全扫描和合规平台等。
- 智能交通网络安全评价体系的目标是建立有效的评价体系,推动整体体 系的待续优化和改进,使整个智能交通网络安全体系形成有效的闭环。
信息安全管理系统 (ISMS) 按照 PDCA 不断循环改进
- 计划 (Plan) :建立 ISMS, 识别信息资产及其相关的安全需求;评估信息安全风险; 选择合适的安全控制措施,管理不可接受的风险。
- 执行 (Do) :实现和运行 ISMS, 实施控制和运维管理。
- 检查 (Check) :监测和评估 ISMS
- 处理 (Act) :维持和改进 ISMS
该框架首先定义了五个核心功能:识别、保护、检测、响应和恢复。然后,按照功能进行分类,每个功能的分数对应具体的子类,最后给出参考性文献。
- 识别(Identify) :对系统、资产、数据和网络所面临的安全风险的认识以及确认。
- 保护(Protect) :制定和实施合适的安全措施,确保能够提供关键基础设施服务。
- 检侧(Detect) :制定和实施恰当的行动以发现网络安全事件。
- 响应(Respond) :对已经发现的网络安全事件采取合适的行动。
- 恢复(Recover) :制定和实施适当的行动,以弹性容忍安全事件出现并修复受损的功能或服务。
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
7
0- 0
已为社区贡献1条内容
所有评论(0)