写在前面
本文全部内容摘自《信息安全工程师》教材,通过博客方式记录每天学习内容和进度。同时也让感兴趣的人能够一同学习。本文只作学习交流使用,如要商用,请联系该书出版社和作者,PS:博客内容偏理论,请知悉。如果侵权,请告知,立删博文!
网络安全体系概述
网络安全保障是一项复杂的系统工程,是安全策略、多种技术、管理方法和人员安全素质的综合。本节从网络安全体系的角度探讨网络安全保障建设,其主要内容包括网络安全体系的概念、特征和用途。
网络安全体系概念
现代的网络安全问题变化莫测,要保障网络系统的安全,应当把相应的安全策略、各种安全技术和安全管理融合在一起,建立网络安全防御体系,使之成为一个有机的整体安全屏障。一般而言,网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。网络安全体系包括法律法规政策文件、安
全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素。网络安全体系构建已成为一种解决网络安全问题的有效方法,是提升网络安全整体保障能力的高级解决方案。
网络安全体系特征
一般来说,网络安全体系的主要特征如下:
(1) 整体性。网络安全体系从全局、长远的角度实现安全保障,网络安全单元按照一定的规则,相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式。
(2) 协同性。网络安全体系依赖于多种安全机制,通过各种安全机制的相互协作,构建系统性的网络安全保护方案。
(3) 过程性。针对保护对象,网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期。
(4) 全面性。网络安全体系基千多个维度、多个层面对安全威胁进行管控,构建防护、检测、响应、恢复等网络安全功能。
(5) 适应性。网络安全体系具有动态演变机制,能够适应网络安全威胁的变化和需求。
网络安全体系用途
网络安全体系的建立是一个复杂待续建设和迭代演进的过程,但是网络安全体系对千一个组织有重大意义,主要体现为:
(1) 有利于系统性化解网络安全风险,确保业务待续开展并将损失降到最低限度;
(2) 有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为;
(3) 有利于对组织的网络资产进行全面系统的保护,维持竞争优势;
(4) 有利于组织的商业合作;
(5) 有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,能提高组织的知名度与信任度。
网络安全体系相关安全模型
本节主要讲述 BLP 机密性模型、BiBa 完整性模型、信息流模型、信息保障模型、能力成熟度模型、纵深防御模型、分层防护模型、等级保护模型、网络生存模型。
BLP 机密性模型
Bell-LaPadula 模型是巾 David Bell 和 Leonard LaPadula 提出的符合军事安全策略的计算机安全模型,简称 BLP 模型。该模型用于防止非授权信息的扩散,从而保证系统的安全。BLP 模型有两个特性:简单安全特性、*特性。
(1) 简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小千客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
(2) *特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小千主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写,不能向下写。
如图 4-1 所示,信息流只向高级别的客体方向流动,而高级别的主体可以读取低级别的主体信息。
BLP 机密性模型可用千实现军事安全策略 (Mili 叩, Security Policy) 。该策略最早是美国国防部为了保护计算机系统中的机密信息而提出的一种限制策略。其策略规定,用户要合法读取某信息,当且仅当用户的安全级大于或等千该信息的安全级,并且用户的访问范畴包含该信息范畴时。为了
实现军事安全策略,计算机系统中的信息和用户都分配了一个访问类,它由两部分组成:
安全级:安全级别对应诸如公开、秘密、机密和绝密等名称;
・范畴集:指安全级的有效领域或信息所归属的领域,如人事处、财务处等。安全级的顺序一般规定为:公开<秘密<机密<绝密。两个范畴集之间的关系是包含、被包含或无关。在一个访问类中,仅有单一的安全级,而范畴可以包含多个。下面给出系统访问类例子:
・文件 F 访问类: {机密:人事处,财务处};
・用户 A 访问类: {绝密:人事处};
・用户 B 访问类: {绝密:人事处,财务处,科技处} 。
按照军事安全策略规定,用户 B 可以阅读文件 F, 因为用户 B 的级别高,涵盖了文件的范畴。而用户 A 的安全级虽然高,但不能读文件 F, 因为用户 A 缺少了 “财务处” 范畴。
BiBa 完整性模型
BiBa 模型主要用于防止非授权修改系统信息,以保护系统的信息完整性。该模型同 BLP 模型类似,采用主体、客体、完整性级别描述安全策略要求。BiBa 具有三个安全特性:简单安全特性、*特性、调用特性。模型的特性阐述如下。
(1) 简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴集合包含客体的全部范畴,即主体不能向下读,如图 4-2 所示。
(2) * 特性。主体的完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上写,如图 4-3 所示。
(3) 调用特性。主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体,如图 4-4 所示。
### 信息流摸型
信息流模型是访问控制模型的一种变形,简称 FM 。该模型不检查主体对客体的存取,而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。一般情况下,信息流模型可表示为
FM=(N, P, SC, @,今),其中, N 表示客体集, P 表示进程集, SC 表示安全类型集,@表示支持结合、交换的二进制运算符, ➔ 表示流关系。一个安全的 FM 当且仅当执行系列操作后,
不会导致流与流关系➔ 产生冲突。信息流模型可以用千分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露。隐蔽通道通常表现为低安全等级主体对千高安全等级主体所产生信息的间接读取,通过信息流分析以发现隐蔽通道,阻止信息泄露途径。
信息保障橾型
PDRR 模型
美国国防部提出了 PDRR 模型,其中 PDRR 是 Protection 、Detection 、Recovery 、Response 英文单词的缩写。PDRR 改进了传统的只有保护的单一安全防御思想,强调信息安全保障的四个重要环节。保护 (Protection) 的内容主要有加密机制、数据签名机制、访问控制机制、认证
机制、信息隐藏、防火墙技术等。检测 (Detection) 的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。恢复 (Recovery) 的内容主要有数据备份、数据修复、系统恢复等。响应 (Response) 的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。
P2DR 模型
P2DR 模型的要素由策略 (Policy) 、防护 (Protection) 、检测 (Detection) 、响应 (Response) 构成。其中,安全策略描述系统的安全需求,以及如何组织各种安全机制实现系统的安全需求。
WPDRRC 模型
WPDRRC 的要素由预警、保护、检测、响应、恢复和反击构成。模型蕴涵的网络安全能力主要是预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。
能力成熟度换型
能力成熟度模型(简称 CMM) 是对一个组织机构的能力进行成熟度评估的模型。成熟度级别一般分成五级: 1 级-非正式执行、2 级-计划跟踪、3 级-充分定义、4 级-量化控制、5 级-持续优化。其中,级别越大,表示能力成熟度越高,各级别定义如下:
・1 级-非正式执行:具备随机、无序、被动的过程;
・2 级-计划跟踪:具备主动、非体系化的过程;
・3 级-充分定义:具备正式的、规范的过程;
・4 级-晕化控制:具备可量化的过程;
・5 级持续优化:具备可待续优化的过程。
目前,网络安全方面的成熟度模型主要有 SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型等。
SSE-CMM
SSE-CMM (Systems Security Engineering Capability Maturity Model) 是系统安全工程能力成熟度模型。SSE-CMM 包括工程过程类 (Engineering) 、组织过程类 (Organization) 、项目过程类 (Project) 。各过程类包括的过程内容如表 4-1 所示。
SSE-CMM 的工程过程、风险过程、保证过程的相互关系如图 4-5 所示。
SSE-CMM 的工程过程关系如图 4-6 所示。
SSE-CMM 的工程质量来自保证过程,如图 4-7 所示。
数据安全能力成熟度模型
根据《信息安全技术数据安全能力成熟度模型》,数据安全能力成熟度模型架构如图 4-8 所示。
数据安全能力从组织建设、制度流程、技术工具及人员能力四个维度评估:
・组织建设数据安全组织机构的架构建立、职责分配和沟通协作;
・制度流程组织机构关键数据安全领域的制度规范和流程落地建设;
・技术工具通过技术手段和产品工具固化安全要求或自动化实现安全工作;
・人员能力一一执行数据安全工作的人员的意识及专业能力。
详细情况参考标准。
软件安全能力成熟度模型
软件安全能力成熟度模型分成五级,各级别的主要过程如下:
・CMMl 级 — 补丁修补;
・CMM2 级 —— 渗透测试、安全代码评审;
・CMM3 级漏洞评估、代码分析、安全编码标准;
・CMM4 级软件安全风险识别、SDLC 实施不同安全检查点;
・CMM5 级改进软件安全风险覆盖率、评估安全差距。
纵深防御橾型
纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够互相支持和补救,尽可能地阻断攻击者的威胁。目前,安全业界认为网络需要建立四道防线:安全保护是网络的第一道防线,能
够阻止对网络的入侵和危害;安全监测是网络的第二道防线,可以及时发现入侵和破坏;实时响应是网络的第三道防线,当攻击发生时维持网络 “打不垮" ;恢复是网络的第四道防线,使网络在遭受攻击后能以最快的速度” 起死回生”,最大限度地降低安全事件带来的损失,如图 4-9 所示。
分层防护模型
分层防护模型针对单独保护节点,以 OSI 7 层模型为参考,对保护对象进行层次化保护,典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层,然后针对每层的安全威胁,部署合适的安全措施,进行分层防护,如图 4-10 所示。
等级保护橾型
等级保护模型是根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。以电子政务等级保护为实例,具体过程为:首先,依据电子政务安全等级的定级规则,确定电子政务
系统的安全等级。其次,按照电子政务等级保护要求,确定与系统安全等级相对应的基本安全要求。最后,依据系统基本安全要求,并综合平衡系统的安全保护要求、系统所面临的风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定电子政务系统的安全保护措施,并依照本指南相关要求完成规划、设计、实施和验收。对电子政务系统实施等级保护
的过程如图 4-11 所示。
网络生存模型
网络生存性是指在网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续提供必要服务的能力。目前,国际上的网络信息生存模型遵循 “3R” 的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式,给出相应的 3R 策略,即抵抗
(Resistance) 、识别 (Recognition) 和恢复 (Recovery) 。最后,定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式,给出系统需要重点保护的基本功能服务和关键信息等。在对网络生存模型支撑技术的研究方面,马里兰大学结合入侵检测提出了生存性的屏蔽、
隔离和重放等方法,对防止攻击危害的传播和干净的数据备份等方面进行了有益的探讨。美国 CERT 、DoD 等组织都开展了有关研究项目,如 DARPA 已启动容错网络 (Fault TolerantNetwork) 研究计划。
