网络安全体系特征:
- 整体性:从全局长远的角度实现安全保障,形成人机物一体化的网络安全保护方式
- 协同性:网络安全体系依赖于多种安全机制,通过多种安全机制相互协作,构建系统性的网络安全保护方案;
- 过程性:针对保护对象,网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期;
- 全面性:基于多个维度、多个层面对安全威胁进行管控,构建防护、检测、响应、恢复等网络安全功能;
- 适应性:具有动态演变机制,能够适应安全威胁的变化和需求。
网络安全体系的用途
- 有利于系统化了解网络安全风险,确保业务持续开展,并将损失降到最低限度;
- 有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为
- 有利于对组织的网络资产进行全面系统保护,维持竞争优势;
- 有利于组织的商业合作;
- 有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,能提高组织的知名度和信任度。
网络安全体系相关模型?
- BLP机密性模型:用于防止非授权信息的扩散,从而保证系统的安全,(可用于实现军事安全策略)
- 简单安全特性:主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级,主机的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读;
- *特性:一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集包含主体的全部范畴,即主体只能向上写,不能向下写。
- BiBa完整性模型:主要用于防止非授权修改系统信息,以保护系统的信息完整性
- 简单安全特性:主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴及包含客体的全部范畴,即主体不能向下读;
- *特性:主机完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上写;
- 调用特性:主体完整性级别小于另一个主体的完整性级别,不能调用另一个主体。
-
信息流模型:访问控制模型的一种变形,简称FM,该模型不检查主体对客体的存取,而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。信息流模型可以用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露,隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取,通过信息流分析以发现隐蔽通道,阻止信息泄露途径。 - 信息保障模型
- PDRR模型:
-
保护:加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等; 检测:入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等; 恢复:数据备份、数据修复、系统恢复等; 响应:应急策略、应急机制、应急手段、入侵过程分析、安全状态评估等。
- P2DR模型:策略、防护、检测、响应
- WPDRRC:预警、保护、检测、响应、恢复、反击
- 能力成熟度模型:网络安全方面的成熟度模型主要有SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型
- 1级-非正式执行:具备随机性、无序、被动的过程;
- 2级-计划跟踪:具备主动、非系统化的过程;
- 3级-充分定义:具备正式的、规范的过程‘
- 4级-量化控制:具备可量化的过程;
- 5级-持续优化:具备可持续优化的过程。
???数据安全能力成熟度模型:数据安全能力从组织检测、制度流程、技术工具及人员能力四个维度评估。
-
软件安全能力成熟度模型: ??????CMM1级 — 补丁修补 ? ? ? CMM2级 — 渗透测试、安全代码评审; ? ? ? CMM3级 — 漏洞评估、代码分析、安全编码标准; ? ? ? CMM4级 — 软件安全风险识别、SDLC实施不同安全检查点; ? ? ? CMM5级 — 改进软件安全风险覆盖率、评估安全差距。
- 纵深防御模型:形成多道防线,目前安全业界认为需建立四道:安全保护线;安全监测;实时响应;恢复。
- 分层防护模型:针对单独的保护节点,以OSI7层模型为参考,对保护对象进行层次化保护,典型保护层次分为:物理层、网络层、系统层、应用层、用户层、管理层。
- 等级保护模型:依据定级规则确定安全等级、按照等级保护要求确定与系统安全等级相对应的基本安全要求、依据系统基本安全要求,并综合平和系统的安全保护要求、所面临的风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用的安全保护措施,并按照其相关要求完成规划,,设计,实施和验收。
- 网络生存模型:指在网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续提供必要服务的能力。3R策略:抵抗、识别、恢复。
网络安全原则
- 系统性和动态性原则;
- 纵深防护和协作性原则;
- 网络安全风险和分级保护原则;
- 标准化和一致性原则;
- 技术和管理相结合原则;
- 安全第一,预防为主原则;
- 安全与发展同步,业务园区等同;
- 人机物融合和产业发展原则
网络安全体系组成框架:包括网络安全法律法规、网络安全策略、网络安全组织、网络安全管理、网络安全基础设施及网络安全服务、网络安全技术、网络信息科技与产业生态、网络安全教育与培训、网络安全标准与规范、网络安全运营与应急响应、网络安全投入与建设等多种要素。
网络安全策略建设内容
网络安全组织体系构建内容
- 网络安全组织领导层
- 网络安全组织管理层
- 网络安全组织执行层
- 网络安全外部协作层
网络安全管理体系构建内容
- 网络安全管理策略
- 第三方安全管理网络系统资产分类和控制
- 人员安全
- 网络物理与环境安全
- 网络访问控制
- 网络应用系统开发与维护
- 网络系统可持续性运营
- 网络安全合规性管理
????????
|