2020软考 信息安全工程师(第二版)学习总结【二】

第四章 网络安全体系与网络安全模型

网络安全体系概述
  • 网络安全体系概念

网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素

  • 网络安全体系特征
    • 整体性
    • 协同性
    • 过程性
    • 全面性
    • 适应性
  • 网络安全体系用途
    • 有利于系统性化解网路安全风险,确保业务持续开展并将损失降到最低限度
    • 有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为
    • 有利于组织的商业合作
    • 有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,能提高组织的知名度与信任度
网络安全体系相关安全模型
  • **BLP机密性模型:**简称BLP模型,用于防止非授权信息的扩散,保证系统的安全

    • 简单安全特性:主体只能向下读,不能向上读
    • *特性:主体只能向上写,不能向下写

    即信息流只向高级别的客体方向流动,而高级别的主体可以读取低级别的主体信息,示意图

    2020软考 信息安全工程师(第二版)学习总结【二】_第1张图片

    • 可用于军事安全策略,其策略规定,用户要合法读取某信息,当且仅当用户的安全级大于或等于该信息的安全及,并且用户的访问范畴包含该信息范畴

      示例:2020软考 信息安全工程师(第二版)学习总结【二】_第2张图片

  • BiBa完整性模型:用于防止非授权修改系统信息,保护系统的信息完整性

    • 简单安全特性:主体不能向下读

      2020软考 信息安全工程师(第二版)学习总结【二】_第3张图片

    • *特性:主体不能向下写

      2020软考 信息安全工程师(第二版)学习总结【二】_第4张图片

    • 调用特性:主体完整性级别小于另一个主体的完整性级别,不能调用另一个主体

      2020软考 信息安全工程师(第二版)学习总结【二】_第5张图片

  • 信息流模型

    • 描述:访问控制模型的一种变形,简称FM
    • 作用:用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露
  • 信息保障模型

    • PDRR模型
      • 美国国防部提出,Protection、Detection、Recovery、Response
    • P2DR模型
      • 要素由策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)构成
    • WPDRRC模型
      • 要素由预警、保护、检测、响应、恢复和反击构成
  • 能力成熟度模型

    • 简称CMM,是对一个组织机构的能力进行成熟度评估的模型。成熟度分5级,级别越大,表示能力成熟度越高。

    • 网络安全方面的成熟度模型:

      • SSE-CMM:系统安全工程能力成熟度模型

        • 包括工程过程类、组织过程类、项目过程类
      • 数据安全能力成熟度模型

        2020软考 信息安全工程师(第二版)学习总结【二】_第6张图片

      • 软件安全能力成熟度模型

        2020软考 信息安全工程师(第二版)学习总结【二】_第7张图片

  • 纵深防御模型

    • 基本思路:将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线

      2020软考 信息安全工程师(第二版)学习总结【二】_第8张图片

  • 分层防护模型

    • 以OSI7层模型为参考,进行层次化保护:物理层、网络层、系统层、应用层、用户层、管理层
  • 等级保护模型

    • 具体过程:确定系统安全等级、确定与系统安全等级相对应的基本安全要求、进行安全保护措施的定制、按照指南相关要求完成规划、设计、实施和验收

      2020软考 信息安全工程师(第二版)学习总结【二】_第9张图片

  • 网络生存模型

    • “3R”建立方法:
      1. 将系统划分成不可攻破的安全核和可恢复部分,给出3R策略(抵抗Resistance、识别Recognition和恢复Recovery)
      2. 定义应具备的正常服务模式和可能被利用的入侵模式,给出需重点保护的基本功能服务和关键信息等
网络安全体系建设原则与安全策略
  • 网络安全原则
    • 系统性和动态性原则
    • 纵深防护与协作性原则
    • 网络安全风险和分级保护原则
    • 标准化与一致性原则
    • 技术与管理相结合原则
    • 安全第一,预防为主原则
    • 安全与发展同步,业务与安全等同
    • 人机物融合和产业发展原则
  • 网络安全策略,应具备以下内容
    • 涉及范围:主题、组织区域、技术系统
    • 有效期:策略文件适用期限
    • 所有者:负责维护策略文件,保证文件完整性
    • 责任:确定每个安全单元的责任人
    • 参考文件:引用的参考文件,比如安全计划
    • 策略主体内容
    • 复查:是否进行复查、具体复查时间、复查方式等
    • 违规处理:对不遵守本策略文件条款内容对处理办法
网络安全体系框架组成和建设内容
  • 网络安全体系组成框架

    2020软考 信息安全工程师(第二版)学习总结【二】_第10张图片

  • 网络安全策略建设内容,相关工作如下

    • 调查网络安全策略需求,明确其作用范围

    • 网络安全策略实施影响分析

    • 获准上级领导支持网络安全策略工作

    • 制订网络安全策略有关意见

    • 网络安全策略风险承担者评估

    • 上级领导审批网络安全策略

    • 网络安全策略发布

    • 网络安全策略效果评估和修订

      网络安全策略:

      • 网络资产分级策略、密码管理策略、互联网使用安全策略、网络通信安全策略、远程访问策略、桌面安全策略、服务器安全策略、应用程序安全策略。
  • 网络安全组织体系构建内容

    • 主要包括:网络安全机构设置、网络安全岗位编制、网络安全人才队伍建设、网络安全岗位培训、网络安全资源协同
    • 组织结构主要包括领导层、管理层、执行层以及外部协作层
  • 网络安全管理体系构建内容

    • 涉及五方面的内容:管理目标、管理手段、管理主体、管理依据、管理资源

    • 管理体系包括以下十个方面:

      • 网络安全管理策略

      • 第三方安全策略

      • 网络系统资产分类与控制

        2020软考 信息安全工程师(第二版)学习总结【二】_第11张图片

      • 人员安全

      • 网络物理与环境安全

      • 网络通信与运行

      • 网络访问控制

      • 网络应用系统开发与维护

      • 网络系统可持续运营

      • 网络安全合规性管理

  • 网络安全技术体系构建内容

    • 可分为保护类技术、检测类技术、恢复类技术、响应类技术
  • 网络安全基础设施及网络安全服务构建内容

    • 基础设施包括:网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心
    • 网络安全服务的目标:通过网络安全服务保障业务运营和数据安全
  • 网络信息科技与产业生态构建内容

    • 目标:确保网络安全体系能够做到安全可控,相关的技术和产品安全可信
  • 网络安全教育与培训构建内容

    • 工作内容:师资力量建设、教材开发/选购、环境建立、意识培训、技能培训
  • 网络安全标准与规范构建内容

    2020软考 信息安全工程师(第二版)学习总结【二】_第12张图片

  • 网络安全运营与应急响应构建内容

    • 工作内容:
      • 网络信息安全策略修订和执行
      • 网络信息安全态势监测和预警
      • 网络信息系统配置检查和维护
      • 网络信息安全设备部署和维护
      • 网络信息安全服务设立和实施
      • 网络信息安全应急预案制定和演练
      • 网络信息安全事件响应和处置
      • 网络信安全运营与应急响应支撑平台维护和使用
  • 网络安全投入与建设构建内容

    • 网络安全策略及标准规范制定和实施
    • 网络安全组织管理机构的设置和岗位人员配备
    • 网络安全项目规划、设计、实施
    • 网络安全方案设计和部署
    • 网络安全工程项目验收测评和交付使用
网络安全体系建设参考案例

网络安全等级保护体系应用、智慧城市安全体系应用、智能交通网络安全体系应用、ISO 27000信息安全管理体系应用、NIST网络安全框架体系应用等,详细看书P85-P94

你可能感兴趣的:(2020软考,信息安全)