4-网络安全体系与网络安全模型
4.1 网络安全体系概述
1)概念
一般而言,网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。
网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素。
2)特征
整体性、协同性、过程性、全面性、适应性
3)用途
(1) 有利于系统性化解网络安全风险,确保业务持续开展并将损失降到最低限度
(2) 有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为;
(3) 有利于对组织的网络资产进行全面系统的保护,维持竞争优势;
(4) 有利于组织的商业合作;
(5) 有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,能提高组织的知名度与信任度。
4.2 网络安全体系相关安全模型
1)BLP 机密性模型
Bell-LaPadula 模型是由 David Bell 和 Leonard LaPadula 提出的符合军事安全策略的计算机安全模型,简称 BLP模型。
该模型用于防止非授权信息的扩散,从而保证系统的安全。BLP模型有两个特性:简单安全特性、*特性。
(1) 简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
(2) *特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写,不能向下写。
信息流只向高级版的客体方向流动,而高级别的主体可以读取低级别的主体信息
BLP 机密性模型可用于实现军事安全策略 (Miliary Security Policy)。该策略最早是美国国防部为了保护计算机系统中的机密信息而提出的一种限制策略。其策略规定,用户要合法读取某信息,当且仅当用户的安全级大于或等于该信息的安全级,并且用户的访问范畴包含该信息范畴时。为了实现军事安全策略,计算机系统中的信息和用户都分配了一个访问类,它由两部分组成:
- 安全级:安全级别对应诸如公开、秘密、机密和绝密等名称
- 范畴集:指安全级的有效领域或信息所归属的领域,如人事处、财务处等
安全级的顺序一般规定为:公开<秘密<机密<绝密。两个范畴集之间的关系是包含、被包含或无关。在一个访问类中,仅有单一的安全级,而范畴可以包含多个。下面给出系统访问类例子:
- 文件F访问类:
- 用户A访问类:
- 用户B访问类:
2)BiBa 完整性模型
BiBa模型主要用于防止非授权修改系统信息,以保护系统的信息完整性。该模型同BLP模型类似,采用主体、客体、完整性级别描述安全策略要求。
BiBa具有三个安全特性:简单安全特性、*特性、调用特性。模型的特性阐述如下。
(1) 简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴集合包含客体的全部范畴,即主体不能向下读
(2) *特性。主体的完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上写
(3) 调用特性。主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体
3)信息流模型
信息流模型是访问控制模型的一种变形,简称FM。该模型不检查主体对客体的存取,而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。
信息流模型可以用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露。隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取,通过信息流分析以发现隐蔽通道,阻止信息泄露途径。
4)信息保障模型
1.PDRR 模型
保护 (Protection) 的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
检测 (Detection) 的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。
恢复 (Recovery) 的内容主要有数据备份、数据修复、系统恢复等。
响应 (Response) 的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。
2.P2DR 模型
P2DR模型是一种动态信息安全理论,主要用于网络安全的策略和机制。这个模型由四个主要部分组成:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
- 安全策略(Policy):这是模型的核心,定义了系统的监控周期、系统恢复机制、网络访问控制策略以及系统的总体安全规划和原则。
- 防护(Protection):这部分通常通过采用一些传统的静态安全技术及方法来实现,如防火墙、加密、认证等。
- 检测(Detection):这个组件通过不断地检测和监控网络和系统,来发现新的威胁和弱点,并通过循环反馈来及时作出有效的响应。
- 响应(Response):在检测到安全漏洞和安全事件之后,必须及时做出正确的响应,以调整系统到安全状态。
P2DR模型强调根据安全策略进行防御和响应,以减少安全风险。它通过感知网络中安全状态的变化,动态调整防御和响应措施,从而提高系统的安全性。
3. WPDRRC 模型
WPDRRC模型是一种综合性的信息安全保障体系模型,它由中国“八六三”信息安全专家组提出,旨在适应中国国情的信息系统安全保障需求。这个模型在传统的PDRR(保护、检测、响应、恢复)模型的基础上,增加了“预警(Warning)”和“反击(Counterattack)”两个环节,从而形成了六个主要组成部分。
具体来说,WPDRRC模型的六个环节包括:
- 预警(Warning):在潜在威胁出现之前进行预测和警告,以便及时采取预防措施。
- 保护(Protection):通过采用各种安全措施和技术来防御潜在的攻击和威胁。
- 检测(Detection):持续监控网络和系统,以发现任何异常或潜在的威胁。
- 响应(Response):在检测到安全事件时,迅速采取行动以减轻损害并恢复系统安全。
- 恢复(Recovery):在遭受攻击后,采取措施恢复正常运作。
- 反击(Counterattack):对攻击者采取主动反击措施,以削弱其攻击能力。
此外,WPDRRC模型还强调了三个关键要素:人员、策略和技术。其中,人员被视为核心,策略是连接各个环节的桥梁,技术则是实现安全目标的保障。这三个要素在WPDRRC模型的六个环节中都有所体现,共同构成了一个全面的信息安全防护体系。
WPDRRC模型的特点在于其全面性和动态性,能够较好地反映信息系统安全保障体系的预警、保护、检测、响应、恢复和反击能力,适合应对复杂多变的信息安全威胁。
5)能力成熟度模型
能力成熟度模型(CMM)是对一个组织机构的能力进行成熟度评估的模型。
CMM(Capability Maturity Model,能力成熟度模型)和CMMI(Capability Maturity Model Integration,能力成熟度模型集成)是两种用于评估和提升组织过程能力的框架。它们之间的主要区别如下:
CMM(能力成熟度模型):
- 起源:CMM最初是由美国卡内基梅隆大学的软件工程研究所(SEI)在1987年开发的,主要针对软件开发过程的管理和成熟度评估。
- 范围:CMM主要关注软件开发领域的过程改进。
- 级别:CMM包含五个成熟度级别,从初始级(Level 1)到优化级(Level 5)。
- 模型:CMM是一个单一的模型,主要针对软件开发。
CMMI(能力成熟度模型集成):
- 起源:CMMI是在CMM的基础上发展起来的,它整合了多个单一模型,并扩展到了更广泛的领域。
- 范围:CMMI不仅涵盖了软件开发,还包括系统工程、项目管理、产品和服务开发等其他领域。
- 模型:CMMI提供了多个模型,包括CMMI for Development(CMMI-DEV),CMMI for Services(CMMI-SVC),和CMMI for Acquisition(CMMI-ACQ)。
- 级别:CMMI同样包含五个成熟度级别,但每个模型的具体实践可能会有所不同。
- 集成:CMMI强调不同过程领域的集成,鼓励组织在多个方面进行过程改进,而不仅仅是软件开发。
- 灵活性:CMMI提供了更多的灵活性和定制选项,允许组织根据自己的特定需求和目标来选择和应用适当的实践。
总结:
- CMM是针对软件工程的,而CMMI是一个更全面的框架,适用于多个领域。
- CMMI在CMM的基础上进行了扩展和集成,提供了更广泛的视角和更灵活的应用方式。
- CMMI的目的是帮助组织通过过程改进来提高其产品和服务的质量、效率和性能。
因此,如果组织需要在软件开发以外的领域进行过程改进,或者希望采用一个更全面的框架来提升其业务能力,CMMI可能是更合适的选择。
一般分层五级:
1 级-非正式执行、2 级-计划跟踪、3 级-充分定义、4 级-量化控制、5 级-持续优化
- 1级-非正式执行:具备随机、无序、被动的过程
- 2 级-计划跟踪:具备主动、非体系化的过程
- 3 级-充分定义:具备正式的、规范的过程
- 4 级-量化控制:备可量化的过程
- 5 级-持续优化:具备可持续优化的过程
1. SSE-CMM
SSE-CMM (Systems Security Engineering Capability Maturity Model) 是系统安全工程能力成熟度模型。SSE-CMM 包括工程过程类 (Engineering)、组织过程类 (Organization) 、项目过程类 (Project)。
2. 数据安全能力成熟度模型
3. 软件安全能力成熟度模型
软件安全能力成熟度模型分成五级,各级别的主要过程如下:
- CMM1级--补丁修补
- CMM2 级--渗透测试、安全代码评审
- CMM3 级--漏洞评估、代码分析、安全编码标准
- CMM4 级--软件安全风险识别、SDLC实施不同安全检查点
- CMM5 级--改进软件安全风险覆盖率、评估安全差距
6)纵深防御模型
目前,安全业界认为网络需要建立四道防线:
安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;
安全监测是网络的第二道防线,可以及时发现入侵和破坏;
实时响应是网络的第三道防线,当攻击发生时维持网络“打不垮”;
恢复是网络的第四道防线,使网络在遭受攻击后能以最快的速度“起死回生”,最大限度地降低安全事件带来的损失,
7)分层防护模型
分层防护模型针对单独保护节点,以 OSI7层模型为参考,对保护对象进行层次化保护,典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层,然后针对每层的安全部署合适的安全措施,进行分层防护
8)等级保护模型
等级保护模型是根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
以电子政务等级保护为实例,具体过程为:
首先,依据电子政务安全等级的定级规则,确定电子政务系统的安全等级。
其次,按照电子政务等级保护要求,确定与系统安全等级相对应的基本安全要求。
最后,依据系统基本安全要求,并综合平衡系统的安全保护要求、系统所面临的风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定电子政务系统的安全保护措施,并依照本指南相关要求完成规划、设计、实施和验收。
9)网络生存模型
目前,国际上的网络信息生存模型遵循 “3R” 的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式,给出相应的3R策略,即抵抗 (Resistance) 、识别 (Recognition) 和恢复 (Recovery) 。最后,定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式,给出系统需要重点保护的基本功能服务和关键信息等。
4.3 网络安全体系建设原则与安全策略
1)网络安全原则
1.系统性和动态性原则
2.纵深防护与协作性原则
3.网络安全风险和分级保护原则
4.标准化与一致性原则
5.技术与管理相结合原则
6.安全第一,预防为主原则
7.安全与发展同步,业务与安全等同
8.人机物融合和产业发展原则
2)网络安全策略
但通常情况下,一个网络安全策略文件应具备以下内容:
- 涉及范围:该文件内容涉及的主题、组织区域、技术系统
- 有效期:策略文件适用期限
- 所有者:规定本策略文件的所有者,由其负责维护策略文件,以及保证文件的完整性,策略文件由所有者签署而正式生效
- 责任:在本策略文件覆盖的范围内,确定每个安全单元的责任人
- 参考文件:引用的参考文件,比如安全计划
- 策略主体内容:这是策略文件中最重要的部分,规定具体的策略内容
- 复查:规定对本策略文件的复查事宜,包括是否进行复查、具体复查时间、复查方式等
- 违规处理:对于不遵守本策略文件条款内容的处理办法
4.4 网络安全体系框架主要组成和建设内容
1)网络安全体系组成框架
2)网络安全策略建设内容
- 调查网络安全策略需求,明确其作用范围
- 网络安全策略实施影响分析
- 获准上级领导支持网络安全策略工作
- 制订网络安全策略草案
- 征求网络安全策略有关意见
- 网络安全策略风险承担者评估
- 上级领导审批网络安全策略
- 网络安全策略发布
- 网络安全策略效果评估和修订
3)网络安全组织体系构建内容
网络安全组织建设内容主要包括网络安全机构设置、网络安全岗位编制、网络安全人才队伍建设、网络安全岗位培训、网络安全资源协同。
4)网络安全管理体系构建内容
网络安全管理体系涉及五个方面的内容:管理目标、管理主体、管理依据、管管理手段理资源。
5)网络安全基础设施及网络安全服务构建内容
网络安全基础设施主要包括网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心。
6)网络安全技术体系构建内容
可分为保护类技术、监测类技术、恢复类技术、响应类技术
7)网络信息科技与产业生态构建内容
其主要内容包括网络信息科技基础性研究、IT产品研发和供应链安全确保、网络信息科技产品及系统安全测评、有关网络信息科技的法律法规政策、网络信息科技人才队伍建设等。
8)网络安全教育与培训构建内容
9)网络安全标准与规范构建内容
10)网络安全运营与应急响应构建内容
11)网络安全投入与建设构建内容
4.5 网络安全体系建设参考案例
1)网络安全等级保护体系应用参考
2)智慧城市安全体系应用参考
3)智能交通网络安全体系应用参考
