第4章网络安全体系与网络安全模型

1. 网络安全体系概述

1.1 概念

网络安全体系是网络安全保障系统的最高层概念抽象，由各种网络安全单元（安全策略、安全技术、安全管理等）按照一定规则组成，共同实现网络安全目标

1.2 特征

整体性
- 全局、长远角度实现安全保障，各单元相互作用、约束、依赖，形成人机物一体化
全面性
- 基于多维度、多层面对安全威胁进行管控，构建防护、检测、响应、恢复等网络安全功能
协同性
- 各种安全机制相互作用，构建系统性的网络安保方案
过程性
- 针对保护对象，提供一种过程式网络安保机制，覆盖保护对象全生命周期
适应性
- 动态演变，适应网络安全威胁的变化和需求

1.3 用途

有利于系统性化解网络安全风险，确保业务持续开展并将损失降到最低限度
有利于强化工作人员的网络安全意识，规范组织、个人的网络安全行为
有利于对组织的网络资产进行全面系统的保护，维持竞争优势
有利于组织的商业合作
有利于组织的网络安全管理体系认证，证明组织有能力保障重要信息，提高组织的知名度与信任度

2. 网络安全体系相关模型

2.1 BLP机密性模型

强制访问控制MAC模型
下读、上写；信息自下而上流动；侧重于保护数据的机密性和对客体的受控访问
两个特性
- 简单安全特性
  - 下读：主体对客体进行读访问的必要条件是主体的安全级别不低于客体的安全级别，主体的范畴集合包含客体的全部范畴集合
- *特性
  - 上写：一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级，即客体的保密级别不低于主体的保密级别，客体的范畴集合包含主体的全部范畴
为实现军事安全策略，计算机系统的用户和信息都分配一个访问类，由两部分组成
- 安全级：公开<秘密<机密<绝密
- Security Rating：Unclassified<Confidential<Secret<Top Secret
- 范畴集
- 文件F访问类：{机密：人事处、财务处}

2.2BiBa完整性模型

强制访问控制MAC模型；侧重于保护数据完整性
上读、下写；信息自上而下流动
三个安全特性
- 简单安全特性
  - 上读：主体不能从较低完整性级别读取数据
- *特性
  - 下写：主体不能修改较高完整性级别的数据
- 调用特性
  - 主体不能调用较高完整性级别的主体

2.3 信息流模型

访问控制模型的一种变形，不检查主体对客体的读取，而是根据两个客体的安全属性控制从一个客体向另一个客体的信息传输
用于分析系统的隐蔽通道，防止敏感信息通过隐蔽通道泄露

2.4 信息保障模型

PDRR模型
- 保护Protection
  - 加密、签名、访问控制、认证、信息隐藏、防火墙
- 检测Detection
  - 入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测
- 恢复Recovery
  - 数据备份、恢复、系统恢复
- 响应Response
  - 应急策略、应急机制、应急手段、入侵过程分析、安全状态评估
- [单选] 我国提出了信息系统安全保障体系PDRR模型，该模型中的响应是指（A）。
  A . 对危及安全的事件做出处理，杜绝危害的进一步扩大 Response
  B . 保障信息的保密性、完整性、可用性 Protection
  C . 系统遭到破坏后，可尽快恢复系统功能Recovery
  D . 检测系统存在的安全漏洞，阻止网络攻击Detection
P2DR模型
- 安全策略Policy
  - 安全策略描述系统的安全需求，以及如何组织各种安全机制实现系统的安全需求
- 防护Protection
- 检测Detection
- 响应Response
- 进一步演变 P2DR2 增加了“恢复Recovery”
WPDRRC模型
- 预警warning、防护Protection、检测Detection、响应Response、恢复Recovery、反击Crack

2.5 能力成熟度模型

SSE-CMM
- 系统安全能力成熟度模型SSE-CMM Systems Security Engineering-Capability Maturity Model
- 五个级别
  - 1级-非正式执行
    - 具备随机、无序、被动的过程；混乱
  - 2级-计划跟踪
    - 具备主动、非体系化过程；项目层面
  - 3级-充分定义
    - 具备正式的、规范的过程；组织机构层面、标准规范、定性
  - 4级-量化控制
    - 具备可量化的过程；定量
  - 5级-持续优化
    - 具备可持续优化的过程
- 包括三个过程类型
  - 工程过程类Engineering
    - 工程过程Engineering：产品或服务
    - 风险过程Risk：风险信息
    - 保证过程Assurance：保证论据
  - 项目过程类Project
  - 组织过程类Organization
- SSE-CMM的工程质量来自于保证过程
数据安全能力成熟度模型
- 数据生命周期
  - 采集
  - 存储
  - 传输
  - 处理
  - 交换
  - 销毁
- 安全能力维度
  - 组织建设
    - 数据安全组织机构的架构建立、职责分配和沟通合作
  - 制度流程
    - 组织机构关键数据安全领域的制度规范和流程落地建设
  - 技术工具
    - 通过技术手段和产品工具固化安全要求或自动化实现安全工作
  - 人员能力
    - 执行数据安全工作的人员的意识及专业能力
- 能力成熟度
  - 1级-非正式执行
  - 2级-计划跟踪
  - 3级-充分定义
  - 4级-量化控制
  - 5级-持续优化
软件安全能力成熟度模型
- CMM1级-补丁修补
- CMM2级-渗透测试、安全代码评审
- CMM3级-漏洞评估、代码分析、安全编码标准
- CMM4级-软件安全风险识别、SDLD实施不同安全检查点
- CMM5-改进软件安全风险覆盖率、评估安全差距

2.6 纵深防护模型

4道防护线
- 安全保护
  - 阻止对网络的入侵和危害
- 安全监测
  - 及时发现入侵和破坏
- 实时响应
  - 当攻击发生时维持网络“打不垮”
- 安全恢复
  - 网络在遭受攻击后以最快速度“恢复”，最大限度降低损失

2.7 分层防护模型

针对单独保护节点，以OSI 7层模型为参考，对保护对象进行层次化保护
典型分层
- 物理层、网络层、系统层、应用层、用户层

2.8 等级保护模型

2.9 网络生存模型

网络生存性是指网络信息系统遭受入侵情形下，仍能提供持续必要服务的能力
3R建立方法
- 抵抗Resistance
- 识别Recognition
- 恢复Recovery

3. 网络安全体系建设原则与安全策略

建设原则

系统性和动态性原则
- 木桶原理；系统整体安全性；安全防范动态性，不断调整安全措施
纵深防护和协作性原则
- 安全评估机制
  - 识别网络系统风险，分析网络风险，制定风险控制策略
- 安全防护机制
- 安全监测机制
- 安全应急响应机制
网络安全风险和分级保护原则
- 正确处理需求、风险与代价关系，做到安全性与可用性相容
- 根据网络资产安全级别采取合适等级保护做到适度防护
标准化和一致性原则
技术和管理相结合原则
安全第一，预防为主原则
安全与发展同步，业务与安全等同
- 三同：同步规划、同步建设、同步运行
- 四统一：统一谋划、统一部署、统一推进、统一实施
人机物融合和产业发展融合
- 网络安全体系建设要依托网络信息产业发展，做到自主可控、安全可信，建立持续稳定发展的网络安全生态，支撑网络安全体系的关键要素可控

安全策略

安全策略文件具备以下内容
- 涉及范围、有效期、所有者、责任、参考文件、策略主体内容、复查、违规处理

4. 网络安全体系框架主要组成和建设内容

网络安全组织的建立是网络安全管理工作开展的前提

网络安全组织机构

领导层
管理层
执行层
外部协作层

网络安全管理体系涉及5个方面内容

管理目标
管理手段
管理主体
管理依据
管理资源

在人员安全的工作安排方面，应该遵守以下三个原则

多人负责原则
- 每一项与安全有关的活动，至少两人在场
任期有限原则
职责分离原则

5. 网络安全体系建设参考案例

网络安全等级保护体系应用

网络安全等保工作
- 定级
  - 定级工作
    - 业务信息安全等级
      - 确定遭受破坏时侵犯的客体
      - 综合评定对客体侵害程度
      - 业务信息安全等级
    - 系统服务安全定级
    - 取二者最高的级别为最终定级
- 备案
  - 二级及其以上到公安机关备案
- 建设整改
- 等级测评
- 监督检查
网络安全等保5个等级
- 1级用户自助保护级
- 2级系统保护审计级
- 3级安全标记保护级
- 4级结构化保护级
- 5级访问验证保护级
等保2.0体系框架
- 风险管理体系
- 安全管理体系
- 安全技术体系
- 网络信任体系
- 法律法规体系
- 政策标准体系
等级保护对象
- 网络基础设施
- 信息系统
- 大数据
- 互联网
- 云计算平台
- 移动互联网和智能设备
网络安全等保2.0的三个变化
- 扩大保护对象
- 提出在安全通信网络、安全计算环境、安全区域边界、安全管理中心支持下的三重防护体系
- 强化可信计算技术使用的要求，各级增加科信验证控制点
  - 一级：设备的引导程序、系统程序进行可信验证
  - 二级：重要参数和应用程序进行可信验证，并将验证结果形成审计记录送至安全管理中心
  - 三级：应用程序关键执行环节进行动态可信验证
  - 四级：应用程序所有环节进行动态可信验证

智慧城市安全体系应用

智慧城市安全体系框架5要素
- 安全战略保障
  - 法律法规、政策文件、标准规范
- 安全技术保障
  - 技术功能要素
    - 防护、检测、响应、恢复
  - 分层安全
    - 应用层安全
    - 数据与服务融合层安全
    - 计算与存储安全
    - 网络通信层安全
    - 物联感知层安全
- 安全管理保障
  - 决策规划
  - 组织管理
  - 协调监督
  - 评价改进
- 安全建设与运营保障
  - 工程实施
  - 监测预警
  - 应急处理
  - 灾难恢复
- 安全基础支撑
  - 密钥与整数、身份管理等基础性支撑
  - 认证、评估、检测、审查、设计等基础支撑服务

智能交通网络安全体系应用

智能交通网络安全技术体系参考WPDRRC信息安全模型
智能交通网络安全运营体系由三要素组成
- 运营管理
- 网络安全事件周期管理
  - 预防（事前）
  - 监控（事中）
  - 响应（事后）
  - 自主有效闭环
- 工具

ISO 27000信息安全管理体系应用

PDCA循环、戴明环
- Plan计划
- Do 执行
- Check 检查
- Act处理修正

NIST网络安全框架体系应用

美国国家标准与技术研究研发布《提升关键基础设施网络安全的框架》
5个核心功能
- 识别 Identify
  - 对数据、系统、资产和网络所面临的安全风险的认识和确认
  - ID.AM 资产管理；ID.RA风险评估；ID.RM风险管理策略
- 保护Protect
  - 制定和实施合适安全措施保护关键基础设施
  - PR.AC访问控制；PR.AT意识和培训；PR.DS数据安全
- 检测Detect
  - 制定和实施恰当行动以发现网络安全时间
  - DE.AE异常事件；DE.CM安全持续监测；DE.DP检测处理
- 响应Response
  - 对已发现的网络安全时间采取合适行动
  - RS.RP响应计划；RS.CO通信；RS.MI缓解；RS.IM改进Improvements Mitigation Analysis
- 恢复Recover
  - 以弹性容忍安全事件出现并修复受损功能或服务
  - RC.RP恢复计划；RC.IM改进；RC.CO通信