0%

第4章 网络安全体系与网络安全模型

网络安全体系概述

网络安全体系概念

体系包括:法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等。

网络安全体系特征

特征:整体性、协同性、过程性、全面性、适应性。

网络安全体系用途

重大意义:

  • 有利于系统性化解网络安全风险,确保业务持续开展并将损失降到最低限度;
  • 有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为;
  • 有利于组织的网络资产进行全面系统的维护,维持竞争优势;
  • 有利于组织的商业合作;
  • 有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,能提高组织的知名度与信任度。

网络安全体系相关安全模型

BLP机密性模型

两个特性:

  1. 简单安全特性:主体对客体读访问必要条件是主体安全级别和范畴必须大于客体。
  2. *特性:主体对客体写访问必要条件是客体保密级别和范畴不小于主体。

安全级:安全级别对应诸如公开、秘密、机密和绝密等名称;

范畴集:指安全级的有效领域或信息所归属的领域,如人事处、财务处等。

BiBa完整性模型

三个安全特性:

  1. 简单安全特性:主体不能读取安全性级别低于他的数据。
  2. *特性:主体完整性级别小于客体,不能修改客体。
  3. 调用特性:主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体。

信息流模型

访问控制模型的一种变形,简称FM。

信息流模型用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露。

信息保障模型

  1. PDRR模型:保护(Protection)、检测(Detection)、恢复(Recovery)、响应(Response)
  2. P2DR模型:策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)
  3. WPDRRC模型:预警、保护、检测、响应、恢复和反击

能力成熟度模型

简称CMM,分为5级:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化

网络安全方面CMM主要有:

  • SSE-CMM

系统安全工程能力成熟度模型包括工程过程类、组织过程类、项目过程类。

  • 数据安全能力成熟度模型

四个评估维度:组织建设、制度流程、技术工具及人员能力

  • 软件安全能力成熟度模型(五级)

CMM1-补丁修补

CMM2-渗透测试、安全代码评审

CMM3-漏洞评估、代码分析、安全编码标准

CMM4-软件安全风险识别、SDLC实施不同安全检查点

CMM5-改进软件安全风险覆盖率、评估安全差距

纵深防御模型

建立四道防线:安全保护、安全检测、实时响应、恢复

分层防护模型

以OSI7层模型为参考,进行层次化保护:物理层、网络层、系统层、应用层、用户层、管理层。

等级保护模型

具体过程:确定系统安全等级、确定与系统安全等级相对应的基本安全要求、进行安全保护措施的定制、按照指南相关要求完成规划、设计、实施和验收。

网络生存模型

“3R”建立方法:

  1. 将系统划分成不可攻破的安全核和可恢复部分,给出3R策略(抵抗Resistance、识别Recognition和恢复Recovery)
  2. 定义应具备的正常服务模式和可能被利用的入侵模式,给出需重点保护的基本功能服务和关键信息等。

网络安全体系建设原则与安全策略

网络安全原则

  • 系统性和动态性原则
  • 纵深防护与协作性原则
  • 网络安全风险和分级保护原则
  • 标准化与一致性原则
  • 技术与管理相结合原则
  • 安全第一,预防为主原则
  • 安全与发展同步,业务与安全等同
  • 人机物融合和产业发展原则

网络安全策略

具备内容:

  • 涉及范围:主题、组织区域、技术系统
  • 有效期:策略文件适用期限
  • 所有者:负责维护策略文件,保证文件完整性
  • 责任:确定每个安全单元的责任人
  • 参考文件:引用的参考文件,比如安全计划
  • 策略主体内容
  • 复查:是否进行复查、具体复查时间、复查方式等
  • 违规处理:对不遵守本策略文件条款内容对处理办法

网络安全体系框架主要组成和建设内容

网络安全体系组成框架

网络安全策略建设内容

相关工作:

  • 调查网络安全策略需求,明确其作用范围
  • 网络安全策略实施影响分析
  • 获准上级领导支持网络安全策略工作
  • 制订网络安全策略有关意见
  • 网络安全策略风险承担者评估
  • 上级领导审批网络安全策略
  • 网络安全策略发布
  • 网络安全策略效果评估和修订

网络安全策略:

网络资产分级策略、密码管理策略、互联网使用安全策略、网络通信安全策略、远程访问策略、桌面安全策略、服务器安全策略、应用程序安全策略。

网络安全组织体系构建内容

包括:网络安全机构设置、网络安全岗位编制、网络安全人才队伍建设、网络安全岗位培训、网络安全资源协同。

网络安全组织结构主要包括

  1. 网络安全组织的领导层,由个部门领导组成,其职责有:
    • 协调各部门工作
    • 审查与批准网络系统安全策略
    • 审查与批准网络安全项目实施计划与预算
    • 网络安全工作人员考察和录用
  2. 网络安全组织的管理层,由安全负责人和中层管理人员组成,职责有:
    • 制订网络系统安全策略
    • 制订安全项目实施计划与预算
    • 制订安全工作的工作流程
    • 监督安全项目的实施
    • 监督日常维护中的安全
    • 监督安全事件的应急处理
  3. 网络安全组织的执行层,由业务人员、技术人员、系统管理员、项目工程人员等组成,职责有:
    • 实现网络系统安全策略
    • 执行网络系统安全规章制度
    • 遵循安全工作的工作流程
    • 负责各个系统或网络设备的安全运行
    • 负责系统的日常安全维护
  4. 网络安全组织的外部协作层,由组织外的安全专家或合作伙伴组成,职责有:
    • 定期介绍计算机系统和信息安全的最新发展趋势
    • 计算机系统和信息安全的管理培训
    • 新的信息技术安全风险分析
    • 网络系统建设和改造安全建议
    • 网络安全事件协调

网络安全管理体系构建内容

  1. 网络安全管理策略

  2. 第三方安全管理

    工作有:

    • 根据第三方访问的业务需求,必须进行风险评估,明确所涉及的安全问题和安全控制措施
    • 与第三方签定安全协议或合同,明确安全控制措施,规定双方的安全责任
    • 对第三方访问人员对身份进行识别和授权
  3. 网络系统资产分类与控制

    资产:硬件资产、软件资产、存储介质、信息资产、网络服务及业务系统、支持保障系统

    资产级别:公开、内部、机密、限制

  4. 人员安全

    采用合适的人事管理制度、保密协议、教育培训、业务考核、人员审查、奖惩等多种防范措施。

    工作安排方面,遵循三个原则:多人负责原则,人气有限原则,职责分离原则。

    下面工作需职责分离

    • 计算机操作与计算机编程
    • 机密资料的接收和传送
    • 安全管理和系统管理
    • 应用程序和系统程序的编制
    • 访问证件的管理与其他工作
    • 计算机操作与信息处理系统使用媒介的保管等
  5. 网络物理与环境安全

  6. 网络通信与运行

  7. 网络访问控制

    工作:网络服务等使用策略、网络路径控制、外部连接的用户身份验证、网络节点验证、远程网络设备诊断端口的保护、网络子网划分、网络连接控制、网络路由控制、网络服务安全、网络恶意代码防范。

  8. 网络应用系统开发与维护

    目标:防止应用系统中用户数据的丢失、修改或滥用

  9. 网络系统可持续性运营

    主要工作:

    • 网络运营持续性管理程序和网络运营制度
    • 网络运营持续性和影响分析
    • 网络运营持续性应急方案
    • 网络运营持续性计划的检查、维护和重新分析
    • 网络运营状态监测
  10. 网络安全合规性管理

网络安全基础设施及网络安全服务构建内容

设施:网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心

目标:通过网络安全服务保障业务运营和数据安全。

网络安全技术体系构建内容

实现网络用户认证、网络访问授权、网络安全审计、网络安全容灾恢复等

技术类型分为:保护类技术、监测类技术、恢复类技术、响应类技术

网络信息科技与产业生态构建内容

目标:确保网络安全体系能够做到安全自主可控,相关的技术和产品安全可信。

网络安全教育与培训构建内容

工作内容:师资力量建设、教材开发/选购、环境建立、意识培训、技能培训

网络安全标准与规范构建内容

工作内容:网络安全标准规范的信息获知、制定参与、推广应用、合规检查。

网络安全运营与应急响应构建内容

工作内容:

  • 网络信息安全策略修订和执行
  • 网络信息安全态势监测和预警
  • 网络信息系统配置检查和维护
  • 网络信息安全设备部署和维护
  • 网络信息安全服务设立和实施
  • 网络信息安全应急预案制定和演练
  • 网络信息安全事件响应和处置
  • 网络信安全运营与应急响应支撑平台维护和使用

网络安全投入与建设构建内容

工作内容:

  • 网络安全策略及标准规范制定和实施
  • 网络安全组织管理机构的设置和岗位人员配备
  • 网络安全项目规划、设计、实施
  • 网络安全方案设计和部署
  • 网络安全工程项目验收测评和交付使用

网络安全体系建设参考案例

网络安全等级保护体系应用、智慧城市安全体系应用、智能交通网络安全体系应用、ISO 27000信息安全管理体系应用、NIST网络安全框架体系应用等,详细看书P85-P94

-------本文结束  感谢您的阅读-------