【XA.DAY.4】网络安全体系与模型
网络安全体系主要特征:
1.整体性。
2.协同性。
3.过程性。
4.全面性。
5.适应性。
网络安全体系安全模型:
BLP机密性模型:
BLP模型用于防止非授权信息的扩散,从而保证系统的安全。
BLP机密性模型可用于实现军事安全策略。为了实现军事安全策略,计算机系统中的信息和用户都分配了一个访问类,它由两部分组成:
安全级:对应,公开<秘密<机密<绝密
范畴集:指安全级的有效领域或信息所归属领域,如部门人事处、财务部等。
特点:简单安全特性、*特性。
1.简单安全特性(主体安全级不小于客体的安全级别,主范畴包含客体全部范畴,即主体只能向下读,不能向上读)
2.*特性(客体的保密级别不小于主体的保密级别,客体范畴集包含主体全部范畴,即主体只能向上写,不能向下写)
BIBA完整性模型:
BIBA完整性模型主要用于防止非授权修改系统信息,以保护系统的信息完整性。
特点:简单安全性、*特性、调用特性
信息流模型:
信息流模型是访问控制模型的一种变形,简称FM。
信息流模型可用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露。
信息保障模型:
1.PDRR模型(protection保护、detection检测、recovery恢复、response响应)
保护:加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术。
检测:入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测。
恢复:数据备份、数据修复、系统恢复。
响应:应急策略、应急机制、应急手段、入侵过程分析、安全状态评估。
2.P2DR模型
P2DR模型由策略(policy)、防护(protection)、检测(detection)、响应(response)构成。
3.WPDRRC模型
WPDRRC由预警、保护、检测、响应、恢复和反击构成。
能力成熟度模型:
能力成熟度模型简称CMM,是对一个组织机构的能力进行成熟度评估的模型。一般分为五级:
1级-非正式执行
2级-计划跟踪
3级-充分定义
4级-量化控制
5级-持续优化
目前,网络安全成熟度模型主要有SSE-CMM、数据安全能力成熟度模型、软件安全成熟度模型。
1.SSW-CMM是系统安全工程能力成熟度模型。包括 工程过程类、组织过程类、项目过程类。
2.数据安全能力成熟度模型,数据安全能力从 组织建设、制度流程、技术工具、人员能力等四个维度评估。
3.软件安全能力成熟度模型,分为五级:
CMM1级----补丁修补
CMM2级----渗透测试、安全代码评审
CMM3级----漏洞评估、代码分析、安全编码标准
CMM4级----软件安全风险识别、SDLC实施不同安全检查点
CMM5级----改进软件安全风险覆盖率、评估安全差距
纵深防御模型:
纵深防御模型将网络安全防护措施有机组合起来,形成多道保护线,各措施相互支持补救,阻断攻击者的威胁。
网络四道防线:
1.安全保护;组织对网络的入侵和危害。
2.安全监测;及时发现入侵和破坏。
3.实时响应;当攻击发生时维持网络“打不垮”。
4.恢复;使网络在遭受攻击后能以最快速度恢复,最大限度降低损失。
分层防护模型:
以OSI7层模型为参考,对保护对象进行层次化保护,分为:
物理层
网络层
系统层
应用层
用户层
管理层
等级保护模型:
等级保护模型根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临风险、系统特定的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级。
网络生存模型:
网络生存性是指在网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续的提供必要的服务能力。
网络安全体系组成框架:
由:网络安全法律法规、网络安全策略、网络安全组织、网络安全管理、网络安全基础设施、网络安全服务、网络安全技术、网络信息科技产业生态、网络安全教育与培训、网络安全标准与规范、网络安全运营与应急响应、网络安全投入与建设 组成。
一般企事业单位的网络系统中,网络安全策略主要包含:网络资产分级策略、密码管理策略、互联网使用安全策略、网络通信安全策略、远程访问策略、桌面安全策略、服务器安全策略、应用程序安全策略 等八类。
网络安全组织体系构建
网络安全组织组成:网络安全组织的领导层、管理层、执行层、外部协作层。
网络安全管理体系涉及五个方面内容:管理目标、管理手段、管理主体、管理依据、管理资源。
具体包含:
网络安全管理策略
第三方安全管理
网络系统资产分类与控制
人员安全
网络物理与环境安全
网络通信与运行
网路访问控制
网络应用系统开发与维护
网络系统可持续运营
网络安全合规性管理
在企业网络中把资产分为四个级别:公开、内部、机密、限制。
网络安全基础设施主要包含:玩过安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心。
网络安全技术类型可分为:保护类技术、监测类、恢复类、响应类。
一般企事业单位的网络安全标准与规范的工作目标是确保本机构的网络安全工作符合网络安全标准规范要求,避免网络安全合规风险,其主要工作内容为:
网络安全标准规范;信息获知、制定参与、推广应用、合规检查。
企事业单位常用的网络安全标准与规范主要如下:
网络安全等级保护标准和规范
网络设备安全配置基准规范
操作系统安全配置基准规范
WEB网站安全配置基准规范
数据库安全配置基准规范
代码编写安全规范
网络安全运营与应急响应的目标是监测和维护网络信息系统的网络安全状况,其主要内容如下:
网络信息安全策略修订和执行
网络信息安全态势监测和预警
网络信息系统配置检查和维护
网络信息安全设备部署和维护
网络信息安全服务设立和实施
网络信息安全应急预案制定和演练
网络信息安全事件响应和处置
网络安全运营与应急响应支撑平台维护和使用
网络安全建设主要工作内容:
网络安全策略及标准规范制定和实施
网络安全组织管理机构的设置和岗位人员配备
网络安全你项目规划、设计、实施
网络安全方案设计和部署
网络安全工程项目验收测评和交付使用
网络安全等级保护工作主要包括:
定级
备案
建设整改
等级测评
监督检查
定级对象的安全保护等级分为五级
第一级 用户自主保护级
第二级 系统审计保护级
第三级 安全标记保护级
第四级 结构化保护级
第五级 访问验证保护级