【第4章】网络安全体系与网络安全模型(信息安全工程师)
4.1 网络安全体系概述
4.1.1 网络安全体系概念
一般而言,网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素。网络安全体系构建已成为一种解决网络安全问题的有效方法,是提升网络安全整体保障能力的高级解决方案。
4.1.2 网络安全体系特征
一般来说,网络安全体系的主要特征如下:
(1) 整体性。网络安全体系从全局、长远的角度实现安全保障,网络安全单元按照一定的规则,相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式。
(2) 协同性。网络安全体系依赖于多种安全机制,通过各种安全机制的相互协作,构建系统性的网络安全保护方案。
(3) 过程性。针对保护对象,网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期。
(4) 全面性。网络安全体系基千多个维度、多个层面对安全威胁进行管控,构建防护、检测、响应、恢复等网络安全功能。
(5) 适应性。网络安全体系具有动态演变机制,能够适应网络安全威胁的变化和需求。
4.1 .3网络安全体系用途
网络安全体系的建立是一个复杂待续建设和迭代演进的过程,但是网络安全体系对千一个组织有重大意义,主要体现为:
(1) 有利于系统性化解网络安全风险,确保业务待续开展并将损失降到最低限度;
(2) 有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为;
(3) 有利于对组织的网络资产进行全面系统的保护,维持竞争优势;
(4) 有利于组织的商业合作;
(5) 有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,能提高组织的知名度与信任度。
---------------
4.2 网络安全体系相关安全模型
4.2.1 BLP 机密性模型
Bell-LaPadula 模型是巾 David Bell 和 Leonard LaPadula 提出的符合军事安全策略的计算机安全模型,简称BLP 模型。该模型用于防止非授权信息的扩散,从而保证系统的安全。
BLP 模型有两个特性:简单安全特性、*特性。
(1) 简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小千客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
(2) *特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小千主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写,不能向下写。
安全级:公开<秘密<机密<绝密
范畴集:下面给出系统访问类例子:
文件 F 访问类:{机密:人事处,财务处};
用户 A 访问类:{绝密:人事处};
用户 B 访问类:{绝密:人事处,财务处,科技处} 。
按照军事安全策略(Miliary,Security Policy)规定,用户 B 可以阅读文件 F,因为用户 B 的级别高,涵盖了文件的范畴。而用户 A 的安全级虽然高,但不能读文件 F,因为用户 A 缺少了“财务处”范畴。
4.2.2 BiBa 完整性模型
BiBa 模型主要用于防止非授权修改系统信息,以保护系统的信息完整性。该模型同BLP模型类似,采用主体、客体、完整性级别描述安全策略要求 。BiBa 具有三个安全特性:
1.简单安全特性:主体不能向下读。
2.*特性: 主体不能向上写。
3.调用特性:主体的完整性级别小于另一个主体的完整性级别,不能调用另 一个主体。
4.2.3 信息流摸型
信息流模型是访问控制模型的 一种变形,简称 FM
该模型不检查主体对客体的存取,而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。
信息流模型可表示为FM=(N, P, SC, ⓧ,➔),其中,N 表示客体集,P 表示进程集,SC 表示安全类型集,ⓧ表示支持结合、交换的二进制运算符,➔ 表示流关系。一个安全的 FM 当且仅当执行系列操作后,不会导致流与流关系 ➔ 产生冲突。
信息流模型可以用千分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露。隐蔽通道通
常表现为低安全等级主体对千高安全等级主体所产生信息的间接读取。
4.2.4 信息保障橾型
1.PDRR 模型
PDRR 是 Protection 、Detection 、Recovery 、Response英文单词的缩写。
PDRR 改进了传统的只有保护的单一安全防御思想,强调信息安全保障的四个重要环节。
保护(Protection) 的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
检测(Detection) 的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。
恢复(Recovery) 的内容主要有数据备份、数据修复、系统恢复等。
响应(Response) 的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。
2.P2DR 模型
P2DR 模型的要素由策略(Policy)、防护(Protection)、检测(Detection)、响应(Response) 构成。
3.WPDRRC 模型
WPDRRC 的要素由预警、保护、检测、响应、恢复和反击构成。模型蕴涵的网络安全能力主要是预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。
4.2.5 能力成熟度换型
能力成熟度模型(简称 CMM) 是对一个组织机构的能力进行成熟度评估的模型。成熟度
级别一般分成五级:1 级-非正式执行、2 级-计划跟踪、3 级-充分定义、4 级-量化控制、5 级-持续优化。其中,级别越大,表示能力成熟度越高,各级别定义如下:
1 级-非正式执行:具备随机、无序、被动的过程;
2 级-计划跟踪:具备主动、非体系化的过程;
3 级-充分定义:具备正式的、规范的过程;
4 级-晕化控制:具备可量化的过程;
5 级-持续优化:具备可待续优化的过程。
目前,网络安全方面的成熟度模型主要有 SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型等。
1. SSE-CMM
SSE-CMM(Systems Security Engineering Capability Maturity Model)
是系统安全工程能力成熟度模型。SSE-CMM 包括工程过程类(Engineering) 、组织过程类(Organization) 、项目过程类(Project)
2. 数据安全能力成熟度模型
数据安全能力从组织建设、制度流程、技术工具及人员能力四个维度评估:
1.组织建设:数据安全组织机构的架构建立、职责分配和沟通协作;
2.制度流程:组织机构关键数据安全领域的制度规范和流程落地建设;
3.技术工具:通过技术手段和产品工具固化安全要求或自动化实现安全工作;
4.人员能力:执行数据安全工作的人员的意识及专业能力。
3. 软件安全能力成熟度模型
软件安全能力成熟度模型分成五级:
CMMl 级—补丁修补;
CMM2 级——渗透测试、安全代码评审;
CMM3 级漏洞评估、代码分析、安全编码标准;
CMM4 级软件安全风险识别、SDLC实施不同安全检查点;
CMM5 级改进软件安全风险覆盖率、评估安全差距 。
4.2.6 纵深防御模型
目前,安全业界认为网络需要建立四道防线:
安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;
安全监测是网络的第二道防线,可以及时发现入侵和破坏;
实时响应是网络的第三道防线,当攻击发生时维持网络“打不垮" ;
及时恢复是网络的第四道防线,使网络在遭受攻击后能以最快的速度”起死回生”,最大限度地降低安全事件带来的损失。
4.2.7 分层防护模型
分层防护模型针对单独保护节点,以 OSI 7 层模型为参考,对保护对象进行层次化保护,
典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层.
4.2.8 等级保护模型
等级保护模型是根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
4.2.9 网络生存模型
网络生存性是指在网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续提供必要服务的能力。3R 策略,即抵抗(Resistance) 、识别(Recognition) 和恢复(Recovery)
----------------------
4.3 网络安全体系建设原则与安全策略
4.3.1网络安全原则
1. 系统性和动态性原则
在建立网络安全防范体系时,应当特别强调系统的整体安全性,也就是人们常说的“木桶原则”
2. 纵深防护与协作性原则
各种网络安全技术之间应当互相补充,互相配合,在统一的安全策略与配置下,发挥各自的优点。网络安全体系应该包括安全评估机制、安全防护机制、安全监测机制、安全应急响应机制。
3. 网络安全风险和分级保护原则
网络安全不是绝对的,网络安全体系要正确处理需求、风险与代价的关系,做到安全性与可用性相容 ,做到组织上可执行。分级保护原则是指根据网络资产的安全级别,采用合适的网络防范措施来保护网络资产,做到适度防护。
4. 标准化与一致性原则
网络系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确
保各个分系统的一致性,使整个系统安全地互联、互通、互操作。
5. 技术与管理相结合原则
网络安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育和技术培训、安全规章制度的建设相结合。
6. 安全第一,预防为主原则
网络安全应以预防为主,否则亡羊补牢,为之晚矣 。
7. 安全与发展同步,业务与安全等同
同步规划、同步建设、同步运行,安全与发展协调 一致、齐头并进
8. 人机物融合和产业发展原则
4.3.2网络安全策略
网络安全策略是有关保护对象的网络安全规则及要求,其主要依据网络安全法律法规和网络安全风险。 制定网络安全策略是一件细致而又复杂的工作,针对具体保护对象的网络安全需求,网络安全策略包含不同的内容,但通常情况下,一个网络安全策略文件应具备以下内容:
•涉及范围:该文件内容涉及的主题、组织区域、技术系统;
•有效期:策略文件适用期限;
•所有者:规定本策略文件的所有者,由其负责维护策略文件,以及保证文件的完整性策略文件由所有者签署而正式生效;
•责任:在本策略文件覆盖的范围内,确定每个安全单元的责任人;
•参考文件:引用的参考文件,比如安全计划;
•策略主体内容:这是策略文件中最重要的部分,规定具体的策略内容;
•复查:规定对本策略文件的复查事宜,包括是否进行复查、具体复查时间、复查方式等;
•违规处理:对千不遵守本策略文件条款内容的处理办法 。
----------------------
4.4 网络安全体系框架主要组成和建设内容
4.4.1 网络安全休系组成框架
一般来说,网络安全体系框架包括:网络安全法律法规、网络安全策略、网络安全组织、网络安全管理、网络安全基础设施及网络安全服务、网络安全技术、网络信息科技与产业生态、网络安全教育与培训、网络安全标准与规范、网络安全运营与应急响应、网络安全投入与建设等多种要素。
4.4.2 网络安全策略建设内容
一般来说,网络安全策略的相关工作主要如下:
•调查网络安全策略需求,明确其作用范围;
•网络安全策略实施影响分析;
•获准上级领导支持网络安全策略工作;
•制订网络安全策略草案;
•征求网络安全策略有关意见;
•网络安全策略风险承担者评估;
•上级领导审批网络安全策略;
•网络安全策略发布;
•网络安全策略效果评估和修订。
4.4.3 网络安全组织休系构建内容
网络安全组织建设内容主要包括网络安全机构设置、网络安全岗位编制、网络安全人才队伍建设、网络安全岗位培训、网络安全资源协同。
网络安全组织结构主要包括:领导层、管理层、执行层以及外部协作层等
4.4.4 网络安全管理体系构建内容
网络安全管理体系涉及五个方面的内容:管理目标、管理手段、管理主体、管理依据、管理资源。
管理目标:大的方面包括政治安全、经济安全、文化安全、国防安全等,小的方面则是网络系统的保密、可用、可控等;
管理手段:包括安全评估、安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访问控制等;
管理主体:大的方面包括国家网络安全职能部门,小的方面主要是网络管理员、单位负责人等;
管理依据:有行政法规、法律、部门规章制度、技术规范等;
管理资源:包括安全设备、管理人员、安全经费、时间等。
4.4.5 网络安全基础设施及网络安全服务构建内容
网络安全服务输出的网络安全保障能力主要有:预警、评估、防护、监测、应急、恢复、测试、追溯等。
网络安全服务类型主要包括:网络安全监测预警、网络安全风险评估、网络安全数字认证、网络安全保护、网络安全检查、网络安全审计、网络安全应急响应、网络安全容灾备份、网络安全测评认证、网络安全电子取证等。
4.4.6 网络安全技术体系构建内容
对于一个国家而言,网络安全核心技术的目标则是要做到自主可控、安全可信,确保网络信息科技的技术安全风险可控,避免技术安全隐患危及国家安全。
4.4.7 网络信息科技与产业生态构建内容
网络信息科技与产业生态构建的主要目标是确保网络安全体系能够做到安全自主可控,相关的技术和产品安全可信。
4.4.8 网络安全教育与培训构建内容
4.4.9 网络安全标准与规范构建内容
4.4.10 网络安全运营与应急响应构建内容
4.4.11 网络安全投人与建设构建内容
----------------------
4.5 网络安全体系建设参考案例
4.5.1 网络安全等级保护体系应用参考
网络安全等级保护工作主要包括定级、备案、建设整改、等级测评、监督检查五个阶段。(定被建平管)
定级对象的安全保护等级分为五个,即
第一级(用户自主保护级)、
第二级(系统保护审计级)、
第三级(安全标记保护级)、
第四级(结构化保护级)、
第五级(访问验证保护级)。
4.5.2 智慧城市安全体系应用参考
智慧城市安全体系框架以安全保障措施为视角,从智慧城市安全战略保障、智慧城市安全管理保障、智慧城市安全技术保障、智慧城市安全建设与运营保障、智慧城市安全基础支撑 等五个方面给出了智慧城市的安全要素
4.5.3 智能交通网络安全体系应用参考
智能交通系统是集成先进的信息技术、数据通信技术、计算机处理技术和电子自动控制技术而形成的复杂系统,其潜在的网络安全风险可能危及车主的财产和生命安全。
4.5.4 ISO 27000 信息安全管理休系应用参考
信息安全管理系统 (ISMS) 按照 PDCA(计划、执行、检查、处理)不断循环改进。
4.5.5 NIST 网络安全框架体系应用参考
识别(Identify)、保护(Protect)、检测(Detect) 、响应(Respond) 和恢复(Recover)
识别:对系统、资产、数据和网络所面临的安全风险的认识以及确认
保护:制定和实施合适的安全措施,确保能够提供关键基础设施服务。
检测:制定和实施恰当的行动以发现网络安全事件。
响应:对已经发现的网络安全事件采取合适的行动。
恢复:是指制定和实施适当的行动,以弹性容忍安全事件出现并修复受损的功能或服务。