信息安全软考——第四章 网络安全体系与网络安全模型 知识点记录

    信息安全工程师教程笔记汇总（点我跳转呀(´▽`ʃ♡ƪ)）

1. 网络安全体系概述
2. 网络安全体系相关安全模型 ※※※
3. 网络安全体系建设原则与安全策略
4. 网络安全体系框架主要组成和建设内容
5. 网络安全体系建设参考案例
    
     本章是教材总体概况的最后一章，本章的学习主要帮助我们建立一个安全模型的思维，对于我们的思路上很大的帮助的
     
     命题规律：上午选择4分左右，下午案例小概率3-4分

一、网络安全体系概述

• 网络安全保障是一项复杂的系统工程，是安全策略、多种技术、管理方法和人员安全素质的综合。
• 一般而言，网络安全体系是网络安全保障系统的最高层概念抽象，是由各种网络安全单元按照一定的规则组成的，共同实现网络安全的目标。
• 网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素
• 网络安全体系五大特征：整体性、协同性、过程性、全面性、适应性（全面性指的是网络安全体系基于多个维度、多个层面对安全威胁进行管控，构建防护、检测、响应、恢复等网络安全功能）
• 网络安全体系的作用和意义主要体现在：

有利于系统化解决网络安全风险，确保业务持续开展并将损失降到最低限度
有利于强化工作人员的网络安全意识，规范组织、个人的网络安全行为；
有利于对组织的网络资产进行全面系统的保护，维持竞争优势
有利于组织的商业合作
有利于组织的网络安全管理体系认证，证明组织有能力保障重要信息，能提高组织的知名度与信任度

---

二、 网络安全体系相关安全模型

  本节涉及到的安全模型有BLP机密性模型、BiBa完整性模型、信息流模型、信息保障模型、能力成熟度模型、纵深反骨模型、分层防护模型、等级保护模型、网络生存模型。

   浅析BLP和BiBa模型

​  BLP和BiBa模型都属于强制访问控制（MAC）模型。其中BLP用于保护数据机密性，而BiBa针对系统信息的完整性

2.1 BLP机密性模型（重点）

  Bell-LaPadula模型(BLP)是一种状态机模型，多用于政府和军事应用中实施访问控制。采用BLP模型的系统之所以被称为多级安全系统，是因为这个系统的用户具有不同的许可，而且系统处理的数据也具有不同的分类。该模型用于防止非授权信息的扩散（机密性），从而保证系统的安全。BLP模型有两个特性：简单安全特性、*特性（下读上写特性）

  主体一般表现为操作的实施者，通常可能是人、进程或者是应用。客体一般表现为被操作的对象

• 简单安全特性： 主读客，主安全级别>=客安全级别；主的范畴集合包含客的范畴集合，主只能向下读
• *特性： 主写客，主保密等级=<客密；客的范畴集合包含主的全部范畴，主只向上写。

  为了实现军事安全策略，计算机系统中信息和用户都分配了一个访问类，在一个访问类中，仅有单一的安全级，而范畴可以包含多个。它由两部分组成：

• 安全级：对应诸如公开、秘密、机密和绝密等名称；安全级的顺序一般规定为：公开<秘密<机密<绝密
• 范畴集：指安全级的有效领域或信息所归宿的领域，如人事处、财务处等。两个范畴之间的关系是包含、被包含或无关。例如：
  

2.2 BiBa完整性模型（重点）

  BiBa模型主要用于防止非授权修改系统信息，以保护系统的信息完整性。该模型同BLP模型类似，采用主体、客体、完整性级别描述安全策略要求。

  BiBa模型具有三个安全特性

• 简单安全特性：主修改客，主完整性级别>=客完整性级别；主的范畴集合包含客的全部范畴，即主不能向下读
   

• * 特性：主完整性级别<客完整性级别，主不能修改客体，即主不能向上写 

• 调用特性。主体的完整性级别小于另一个主体的完整性级别，不能够调用另一个主体
  

---

2.3 信息流模型

了解即可，只需要记住，信息安全流模型是为了防止敏感信息通过隐蔽通道泄露

  信息流动模型是访问控制模型的一种变种，简称FM。该模型不检查主体对客体的存取，而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。

 一般情况下信息流模型可表示为 FM=(N,P,SC,⊗,→)。一个安全的FM当且仅当执行系列操作后，不会导致流与流关系 → 产生冲突

N 		表示客体集
SC 		表示安全类型集
⊗	 表示支持结合、交换的二进制运算符
→ 		表示流关系

信息流安全模型用于分析系统的隐蔽通道，防止敏感信息通过隐蔽通道泄露。隐蔽通道通常表现为底安全等级主体对于高安全等级主体所产生信息的间接读取，通过信息流分析以发现隐蔽通道，阻止信息泄露途径。

2.4 信息保障模型

PDRR模型相对重要

• PDRR模型：PDRR改进了传统的只有单一安全防御思想，强调信息安全保障的四个重要环节

P（保护Protection）的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等
D（检测Detection）的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等
R（恢复Recovery）的内容主要有数据备份、数据修复、系统恢复等
R（响应Response）的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等

• P2DR模型：由策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)构成。其中安全策略描述系统的安全需求，以及如何组织各种安全机制实现系统的安全需求。它与PDRR的区别是，P2DR是一个动态模型。
• WPDRRC模型：模型的要素由预警、保护、检测、响应、恢复和反击构成。模型蕴含的网络安全能力主要是预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。

2.5 能力成熟度模型

一般需要记住第4级、5级

  能力成熟模型（简称CMM）是对一个组织机构的能力进行成熟评估的模型。成熟度级别一般分为五级。其中，级别越大，表示能力成熟度越高，各级别定义如下：

• 1级-非正式执行：具备随机、无序、被动的过程；
• 2级-计划跟踪：具备主动、非体系化的过程
• 3级-充分定义：具备正式的、规范的过程
• 4级-量化控制：具备可量化的过程
• 5级-持续优化：具备可持续优化的过程

  目前，网络安全方面的成熟度模型主要有SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型等。

  其中SSE-CMM（Systems Security Enginering Capability Maturity Model)是系统安全工程能力成熟度模型。SSE-CMM包括工程过程类（Enginering）、组织过程类（Ongamizanion）、项目过程类（Project）

  而软件安全能力成熟度模型也分为五级，具体如下

CMM1级————补丁修补
CMM2级————渗透测试、安全代码审评
CMM3级————漏洞评估、代码分析、安全编码标准
CMM4级————软件安全风险识别、SDLC实施不同安全检查点
CMM5级————改进软件安全风险覆盖率、评估安全差距

2.6 纵深防御模型

  纵深防御模型的基本思路就是讲信息网络安全防护措施有机组合起来，针对保护对象，部署合适的安全措施，形成躲到保护线，各安全防护措施能够相互支持和补救，尽可能地阻断攻击者的威胁。

  目前，安全界认为网络需要建立四道防线：

• 安全保护是网络的第一道防线，能够阻止对网络的入侵和危害
• 安全监测是网络的第二道防线，可以及时发现入侵和破坏
• 实施响应是网络的第三道防线，当攻击发生时维持网络“打不垮”
• 恢复是网络的第四道防线，是网络在遭受攻击后能以最快的速度“起死回生”，最大限度的降低安全事件带来的损失。

这四道防线和PDRR模型有点类似网络安全的基本功能。什么？忘记那四个基本功能是啥？第一章笔记有答案！

2.7 分层防护模型

  分层防护模型针对单独保护节点，以OSI 7层模型为参考，将保护对象进行层次化，针对每层的安全威胁，部署合适的安全措施，分层防护，具体分层如下。

2.8 等级保护模型

  等级保护模型是根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度，结合系统面临的风险、系统特定的安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全

2.9 网络生存模型

  网络生存模型是指咋网络信息系统中遭受入侵的情况下，网络信息系统任然能够持续提供必要服务的能力。网络信息生存模型遵循“3R”的建立方法。首先将系统划分为不可攻破的安全核和可恢复部分。然后对一定的攻击模式，给出响应的3R策略，即抵抗（Resistance）、识别（Recognition）和恢复（Re等covery）。最后，定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式，给出系统需要重点保护的基本功能服务和关键信息

三、网络安全体系建设原则与安全策略

3.1 网络安全原则

网络体系建立过程中主要遵循以下原则

• 系统性和动态性原则 （关键词，整体性安全、木桶原则、动态防范、不断调整）
• 纵深防护与协作性原则
• 网络安全风险和分级保护原则
• 标准化与一致性原则
• 技术管理结合原则/
• 安全第一，预防为主原则
• 安全与发展同步，业务与安全等同
• 人机物融合和产业发展原则
• 分权制衡原则※（额外的，书本上没有，但以前考过。它的意思是权力不能集中在少数人手上，比如说一个系统最好是由多个人管理）

3.2 网络安全策略

网络安全策略是有关保护对象的网络安全规则及要求，其主要依据网络安全法律法规和网络安全风险。制定网络安全策略是一件细致而复杂的工作，针对具体保护对象的网络安全需求，网络安全策略包含不同的内容，但通常情况下，一个网络安全策略文件应具备以下内容：

四、网络安全体系框架主要组成和建设内容

留个印象

• 网络安全体系框架包括网络安全法律法规、网络安全策略、网络安全组织、网络安全管理、网络安全基础设施及网络安全服务、网络安全技术、网络信息科技与产业生态、网络安全教育与培训、网络安全标准与规范、网络安全运营与响应、网络安全投入与建设等多种要素。

• 网络安全组织结构主要包括领导层、管理层、执行层以及外部协作层等

  （1）领导层主要职责有：

      a.协调各部门的工作

      b.审查语批准网络系统安全策略

      c.审查与批准网络安全项目实施计划与预算

      d.网络安全工作人员考察和录用

  （2）管理层的主要职责有：

      a.制订网络系统安全策略

      b.制订安全项目实施计划与预算

      c.制订安全龚总的工作流程

      d.监督安全项目的实施

      e.监督日常维护中的安全

      f.监督安全事件的紧急处理

  （3）执行层职责主要有

      a.实现网络系统安全策略

      b.执行网络系统安全规章制度

      c.遵循安全工作的工作流程

      d.负责各个系统或网络设备的安全运行

      e.负责系统的日常安全维护

  （4）外部协作职责主要有：

      a定期介绍计算机系统和信息安全的最新发展趋势

      b.计算机系统和信息安全管理培训

      c.新的信息技术安全风险分析

      d.网络系统建设和改造安全建议

      e.网络安全事件协调

• 网络安全管理体系的构建涉及多个方面，具体来说包括网络安全管理策略、第三方安全管理、网络系统资产分类与控制、人员安全、网络物理与环境安全、网络通信与运行、网络访问控制、网络应用系统开发与维护、网络系统可持续性运营】网络安全合规性管理十个方面
• 在企业网络中，一般可把资产分成四个级别：公开、内部、机密、限制。

• 人员安全三原则：a.多人负责原则 b.任期有限原则 c.职责分离原则
• 网络安全基础设施主要包括网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心
• 网络安全服务输出的网络安全保障能力主要有：预警、评估、防护监测、应急、恢复、测试、追溯等。
• 网络安全服务类型主要包括网络安全监测预警、网络安全风险评估、网络安全测评认证、网络安全保护、网络安全检查、网络安全审计、网络安全应急响应、网络安全容灾备份、网络安全测评认证网络安全电子取证等等。
• ISO的开放系统互连安全体系结构包含：安全机制、安全服务、OSI参考模型

五、网络安全建设参考案例

网络安全等级保护体系应用参考

  已颁布实施的《中华人名共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。等级保护制度是中国网络安全保障的特色和基石。目前，相关部门正在积极推进国家等级保护制度2.0标准的制定、发布和宣贯。国家安全等级保护制度2.0框架如图所示

等保更为细致的图解，如下。

• 网络安全等级保护工作主要包括定级、备案、建设整改、等级测评、监督检查五个阶段
• 定级对象的安全保护等级分为五个，即第一级（用户自主保护级）、第二级（系统保护审计级）、第三级（安全标记保护级）、第四级（结构化保护级）、第五级（访问验证保护级）

• 网络安全等级保护2.0的主要变化包括：

  （1）扩大了对象封你为，将云计算、移动互联网、物联网、工业控制系统等列入标准范围，构成了“网络安全通用要求+新型应用的网络安全扩展要求”的要求内容

  （2）提出了在“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”支持下的三重防护体系结构

  （3）等级保护2.0新标准强化了可信计算技术使用的要求，各级增加了“可信验证”控制点。其中一级要求设备的系统引导程序、系统程序等进行可信验证；二级增加重要配置参数和应用程序进行可信验证，并将验证结果形成审计记录送值安全管理中心；三级增加应用程序的关键执行环节进行动态可信验证；四级增加应用程序的所有执行环节进行动态可信验证

本章小结：本章要记要背的内容还是哪些网络安全模型，如BLP机密性模型、BiBa完整性模型以及PDRR、P2DR、WPDRRC