信息安全工程师学习笔记《第四章》
第四章 网络安全体系与网络安全模型
本章内容主要包括:
- 第一,讲述了网络安全体系的基本概念以及相关安全模型,主要包括机密性模型、完整性模型、信息流模型、信息保障模型、能力成熟度模型、纵深防御模型、分层防护模型、等级保护模型和网络生存模型;
- 第二,归纳了网络安全体系的建立应该遵循的原则和网络安全策略;
- 第三,详细分析了网络安全体系建设框架及相关组成要素的构建内容;
- 第四,给出了网络安全等级保护、智慧城市和智能交通等网络安全体系建设参考案例。
4.1网络安全体系概述
网络安全保障是项复杂的系统工程,是安全策略、多种技术、管理方法和人员安全素质的综合。
本节从网络安全体系的角度探讨网络安全保障建设,其主要内容包括网络安全体系的概念、特征和用途。
4.1.1网络安全体系概念
现代的网络安全问题变化莫测,要保障网络系统的安全,应当把相应的安全策略、各种安全技术和安全管理融合在一起,建立网络安全防御体系,使之成为一个有机的整体安全屏障。
一般而言,网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的且标。
网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素。
网络安全体系构建已成为一种解决网络安全问题的有效方法,是提升网络安全整体保障能力的高级解决方案。
4.1.2网络安全体系特征
一般来说,网络安全体系的主要特征如下:
- (1) 整体性。网络安全体系从全局、长远的角度实现安全保障,网络安全单元按照一 定的规则,相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式。
- (2) 协同性。网络安全体系依赖于多种安全机制,通过各种安全机制的相互协作,构建系统性的网络安全保护方案。
- (3) 过程性。针对保护对象,网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期。
- (4) 全面性。网络安全体系基于多个维度、多个层面对安全威胁进行管控,构建防护、检测、响应、恢复等网络安全功能。
- (5) 适应性。网络安全体系具有动态演变机制,能够适应网络安全威胁的变化和需求。
4.1.3网络安全体系用途
网络安全体系的建立是一个复杂持续建设和迭代演进的过程,但是网络安全体系对于一个组织有重大意义,主要体现为:
- (1)有利于系统性化解网络安全风险,确保业务持续开展并将损失降到最低限度;
- (2)有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为;
- (3)有利于对组织的网络资产进行全面系统的保护,维持竞争优势;
- (4)有利于组织的商业合作;
- (5)有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,能提高组织的知名度与信任度。
4.2网络安全体系相关安全模型
本节主要讲述BLP机密性模型、BiBa 完整性模型、信息流模型、信息保障模型、能力成熟度模型、纵深防御模型、分层防护模型、等级保护模型、网络生存模型。
4.2.1BLP机密性模型
Bell-LaPadula模型是由David Bell和Leonard LaPadula提出的符合军事安全策略的计算机安全模型,简称BLP模型。
该模型用于防止非授权信息的扩散,从而保证系统的安全。
BLP模型有两个特性:简单安全特性、*特性。
- (1)简单安全特性。主体对客体进行 读访问 的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
- (2)*特性。 一个主体对客体进行 写访问 的 必要条件 是 客体的安全级支配主体的安全级 ,即 客体的保密级不小于主体的保密级别, 客体的范畴集合包含主体的全部范畴 ,即 主体只能向上写,不能向下写 。
如下图(BLP模型安全示意图)所示:
信息流只向高级别的客体方向流动,而高级别的主体可以读取低级别的主体信息。
BLP机密性模型可用于实现军事安全策略(Miliary Security Policy)。
该策略最早是美国国防部为了保护计算机系统中的机密信息而提出的一种限制策略。
策略规定,用户要合法读取某信息,当且仅当用户的安全级大于或等于该信息的安全级,并且用户的访问范畴包含该信息范畴时。
为了实现军事安全策略,计算机系统中的信息和用户都分配了一个访问类,它由两部分组成:
-
安全级:安全级别对应诸如公开、秘密、机密和绝密等名称;
-
范畴集:指安全级的有效领域或信息所归属的领域,如人事处、财务处等。
安全级的顺序一般规定为: 公开<秘密<机密<绝密。两个范畴集之间的关系是包含、被包含或无关。在一个访问类中,仅有单一的安全级, 而范畴可以包含多个。
下面给出系统访问类例子:
- 文件F访问类: {机密:人事处,财务处};
- 用户A访问类: {绝密: 人事处};
- 用户B访问类: {绝密:人事处,财务处,科技处}。
按照军事安全策略规定,用户B可以阅读文件F,因为用户B的级别高,涵盖了文件的范畴。而用户A的安全级虽然高,但不能读文件F,因为用户A缺少了“财务处”范畴。
4.2.2BiBa完整性模型
BiBa模型主要用于防止非授权修改系统信息,以保护系统的信息完整性。
该模型同BLP模型类似,采用主体、客体、完整性级别描述安全策略要求。
BiBa 具有三个安全特性:简单安全特性、*特性、调用特性。
模型的特性阐述如下。
(1)简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴集合包含客体的全部范畴,即主体不能向下读。
如图(BiBa模型简单安全特性示意图)所示。
(2) *特性。主体的完整性级别小于客体的完整性级别,不能修改客体,即 主体不能向上写 ,
如图(BiBa模型*特性示意图)所示。
(3)调用特性。主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体。
如图(BiBa模型调用特性示意图)所示。
4.2.3信息流模型
信息流模型是访问控制模型的一种变形,简称FM。
该模型不检查主体对客体的存取,而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。
一般情况下,信息流模型可表示为FM=(N, P, SC,Ⓧ,→),
其中,N表示客体集,
P表示进程集,
SC 表示安全类型集,
Ⓧ表示支持结合、交换的二进制运算符,
→表示流关系。
一个安全的FM当且仅当执行系列操作后,不会导致流与流关系→产生冲突。
信息流模型可以用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露。
隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取,通过信息流分析以发现隐蔽通道,阻止信息泄露途径。
4.2.4信息保障模型
1. PDRR模型
美国国防部提出了PDRR模型,其中PDRR是Protection、Detection、 Recovery、 Response英文单词的缩写。
PDRR改进了传统的只有保护的单一安全防御思想,强调信息安全保障的四个重要环节。
保护(Protection) 的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
检测(Detection) 的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。
恢复(Recovery)的内容主要有数据备份、数据修复,系统恢复等。
响应(Response)的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。
2. P2DR模型
P2DR模型的要素由 策略(Policy) 、防护( Protection)、检测(Detection) 、响应(Response) 构成。
其中,安全策略描述系统的安全需求,以及如何组织各种安全机制实现系统的安全需求。
3. WPDRRC模型
WPDRRC的要素由预警、保护、检测、响应、恢复和反击构成。模型蕴涵的网络安全能力主要是预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。
4.2.5能力成熟度模型
能力成熟度模型(简称CMM)是对一个组织机构的能力进行成熟度评估的模型。
成熟度级别一般分成五级: 1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。其中,级别越大,表示能力成熟度越高,各级别定义如下:
- 1级-非正式执行:具备随机、无序、被动的过程;
- 2级-计划跟踪:具备主动、非体系化的过程;
- 3级-充分定义:具备正式的、规范的过程;
- 4级-量化控制:具备可量化的过程;
- 5级-持续优化:具备可持续优化的过程。
目前,网络安全方面的成熟度模型主要有SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型等。
1. SSE-CMM
SSE-CMM (Systems Security Engineering Capability Maturity Model)是系统安全工程能力成熟度模型。
SSE-CMM包括工程过程类( Engineering)、组织过程类 (Organization) 、项目过程类(Project)。
各过程类包括的过程内容如下表(SSE-CMM系统安全工程能力成熟度模型过程清单)所示。
| 过程类型 | 过程列表 | 备注 |
|---|---|---|
| 工程过程类( Engineering) | ||
| PA01-管理安全控制 | 工程过程 | |
| PA02-评估影响 | 风险过程 | |
| PA03-评估安全风险 | ||
| PA04-评估威胁 | ||
| PA05-评估脆弱性 | ||
| PA06-建立保证论据 | 保证过程 | |
| PA07-协调安全 | 工程过程 | |
| PA08-监控安全态势 | ||
| PA09-提供安全输入 | ||
| PA10-明确安全需求 | ||
| PA11-核实和确认安全 | 保证过程 | |
| 项目过程类(Project) | ||
| PA12-保证质量 | ||
| PA13-管理配置 | ||
| PA14-管理项目风险 | ||
| PA15-监视和控制技术活动 | ||
| PA16-计划技术活动 | ||
| 组织过程类 (Organization) | ||
| PA17-定义组织的系统工程过程 | ||
| PA18-改进组织的系统工程过程 | ||
| PA19-管理产品系列进化 | ||
| PA20-管理系统工程支持环境 | ||
| PA21-提供持续发展的技能和知识 | ||
| PA22-与供应商协商 |
SSE-CMM的工程过程、风险过程、保证过程的相互关系如下图(SSE-CMM的工程过程、风险过程、保证过程关联图)所示:
SSE-CMM的工程过程关系如下图(SSE-CMM的工程过程关联图)所示:
SSE-CMM的工程质量来自保证过程,如下图(SSE-CMM的保证过程图)所示:
2.数据安全能力成熟度模型
根据《信息安全技术 数据安全能力成熟度模型》,数据安全能力成熟度模型架构如下图(数据安全能力成熟度模型架构)所示:
数据安全能力从组织建设、制度流程、技术工具及人员能力四个维度评估:
- 组织建设——数据 安全组织机构的架构建立、职责分配和沟通协作;
- 制度流程——组织机构关键数据安全领域的制度规范和流程落地建设;
- 技术工具——通过技术手段和产品工具固化安全要求或自动化实现安全工作;
- 人员能力——执行数据安全 工作的人员的意识及专业能力。
详情参考标准。
3.软件安全能力成熟度模型
软件安全能力成熟度模型分成五级,各级别的主要过程如下:
CMM1级——补丁修补;
CMM2级——渗透测试、安全代码评审;
CMM3级——漏洞评估、 代码分析、安全编码标准;
CMM4级——软件安全风险识别、SDLC实施不同安全检查点;
CMM5级——改进软件安全风险覆盖率、评估安全差距。
4.2.6纵深防御模型
纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够互相支持和补救,尽可能地阻断攻击者的威胁。
目前,安全业界认为网络需要建立四道防线:安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;安全监测是网络的第二道防线,可以及时发现入侵和破坏;实时响应是网络的第三道防线,当攻击发生时维持网络“打不垮”;恢复是网络的第四道防线,使网络在遭受攻击后能以最快的速度“起死回生”,最大限度地降低安全事件带来的损失,如下图(纵深防御模型示意图)所示:
4.2.7分层防护模型
分层防护模型针对单独保护节点,以OSI 7层模型为参考,对保护对象进行层次化保护,典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层,然后针对每层的安全威胁,部署合适的安全措施,进行分层防护,如下图(分层防护模型示意图)所示:
4.2.8等级保护模型
等级保护模型是根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
以电子政务等级保护为实例,具体过程为:首先, 依据电子政务安全等级的定级规则,确定电子政务系统的安全等级。其次,按照电子政务等级保护要求,确定与系统安全等级相对应的基本安全要求。最后,依据系统基本安全要求,并综合平衡系统的安全保护要求、系统所面临的风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定电子政务系统的安全保护措施,并依照本指南相关要求完成规划、设计、实施和验收。对电子政务系统实施等级保护的过程如下图(电子政务等级保护示意图)所示:
4.2.9网络生存模型
网络生存性是指在网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续提供必要/服务的能力。目前,国际上的网络信息生存模型遵循“3R"的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式,给出相应的3R策略,即抵抗( Resistance)、识别(Recognition) 和恢复(Recovery) 。最后,定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式,给出系统需要重点保护的基本功能服务和关键信息等。在对网络生存模型支撑技术的研究方面,马里兰大学结合入侵检测提出了生存性的屏蔽、隔离和重放等方法,对防止攻击危害的传播和干净的数据备份等方面进行了有益的探讨。
美国CERT、DoD 等组织都开展了有关研究项目,如DARPA已启动容错网络(FaultNetwork)研究计划。
4.3网络安全体系建设原则与安全策略
本节给出网络安全体系建设过程般要遵循的安全原则以及所采用的网络安全策略。
4.3.1网络安全原则
网络安全体系在建立过程中主要应遵循以下原则。
1. 系统性和动态性原则
网络系统是个复杂的计算机系统, 攻击者往往从系统最薄弱点切入,Bruce Schneier说:“Seurity is a chain, and a single weak link can break the entire system.(安全如同一根链条,任何有漏洞的连接都会破坏整个系统。)”
因此,在建立网络安全防范体系时,应当特别强调系统的整体安全性,也就是人们常说的“木桶原则”,即木桶的最大容积取决于最短的块木板。网络安全策略根据网络系统的安全环境和攻击适时而变。研究表明,操作系统几乎都存在弱点,而且每个月均有新的弱点发现。网络攻击的方法并不是一成不变的, 攻击者会根据搜集到的目标信息,不断地探索新的攻击入口点。因此,网络系统的安全防范应当是动态的,要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
2.纵深防护与协作性原则
俗话说,尺有所短,寸有所长。网络安全防范技术都有各自的优点和局限性,各种网络安全技术之间应当互相补充,互相配合,在统的安全策略 与配置下,发挥各自的优点。因此,网络安全体系应该包括安全评估机制、安全防护机制、安全监测机制、安全应急响应机制。
- 安全评估机制包括识别网络系统风险,分析网络风险,制定风险控制措施。
- 安全防护机制是根据具体系统存在的各种安全威胁采取相应的防护措施,避免非法攻击的进行。
- 安全监测机制是获取系统的运行情况,及时发现和制止对系统进行的各种攻击。
- 安全应急响应机制是在安全防护机制失效的情况下,进行应急处理和及时地恢复信息,降低攻击的破坏程度。
3.网络安全风险和分级保护原则
网络安全不是绝对的,网络安全体系要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。
分级保护原则是指根据网络资产的安全级别,采用合适的网络防范措施来保护网络资产,做到适度防护。
4.标准化与一致性原则
网络系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联、互通、互操作。
5.技术与管理相结合原则
网络安全体系是一个复杂的系统工程, 涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育和技术培训、安全规章制度的建设相结合。
6.安全第一,预防为主原则
网络安全应以预防为主,否则亡羊补牢,为之晚矣。特别是大型的网络,一旦攻击者进入系统后,就难以控制网络安全局面。因此,我们应当遵循“安全第一,预防为主”的原则。
7.安全与发展同步,业务与安全等同
网络安全的建设要实现和信息化统一谋划、统一部署、统一推进、统一实施,确保三同步同步规划、同步建设、同步运行,做到安全与发展协调一致、齐头并进,以安全保发展、以发展促安全,安全与发展同步,业务与安全等同。
8.人机物融合和产业发展原则
人是网络信息系统最为活跃的要素,网络安全体系的建设要分析人在网络信息系统中的安全保障需求,避免单纯的网络安全产品导向,要构建“网络安全人力防火墙”,发挥人的主动性,实现“网络安全为人民,网络安全靠人民”。
网络安全体系建设要依托网络信息产业的发展,做到自主可控,安全可信,建立持续稳定发展的网络安全生态,支撑网络安全体系的关键要素可控。
4.3.2网络安全策略
网络安全策略是有关保护对象的网络安全规则及要求,其主要依据网络安全法律法规和网络安全风险。
制定网络安全策略是一件细致而又复杂的工作, 针对具体保护对象的网络安全需求,网络安全策略包含不同的内容,但通常情况下,一个网络安全策略文件应具备以下内容:
- 涉及范围:该文件内容涉及的主题、组织区域、技术系统;
- 有效期:策略文件适用期限;
- 所有者:规定本策略文件的所有者,由其负责维护策略文件,以及保证文件的完整性,策略文件由所有者签署而正式生效;
- 责任:在本策略文件覆盖的范围内,确定每个安全单元的责任人;
- 参考文件:引用的参考文件,比如安全计划;
- 策略主体内容:这是策略文件中最重要的部分,规定具体的策略内容;
- 复查:规定对本策略文件的复查事宜,包括是否进行复查、具体复查时间、复查方式等;
- 违规处理:对于不遵守本策略文件条款内容的处理办法。
4.4网络安全体系框架主要组成和建设内容
本节主要讲述网络安全体系框架的组成部件以及建设内容。
4.4.1网络安全体系组成框架
一般来说, 网络安全体系框架包括网络安全达律法规、网络安全策略、网络安全组织、四络安全管理、网络安全基础设施及网络安全服务网络安全技术、 网络信息科技与产业生态、网络安全教育与培训、网络安全标准与规范、网络安全运营与应急响应、网络安全投入与建设等多种要素,如下图(网络安全体系框架示意图)所示:
网络安全体系的各要素分析阐述如下。
1.网络安全法律法规
网络安全法律法规用于指导网络安全体系的建设,使相关机构的网络安全行为符合当地的法规要求。
2.网络安全策略
网络安全策略是指为了更好地保护网络信息系统,而给出保护对象所采用的网络安全原则、网络安全方法、网络安全过程、网络安全措施。
3.网络安全组织
网络安全组织是为实现网络安全目标而组建的单位机构、岗位人员编制以及所规定的网络安全工作职能及工作办法。
国家级网络安全组织通常涉及多个网络安全职能部门,这些部门负责网络安全技术和管理资源的整合和使用,按照规定要求完成网络安全职能。在大型的网络信息系统中,网络安全组织体系由各种不同的职能部门组成,而在小型的网络信息系统中,则由若干个人或工作组构成。
4.网络安全管理
网络安全管理是指为满足网络信息系统的网络安全要求,而采取的管理方法、管理制度、管理流程、管理措施以及所开展的管理活动。
5.网络安全基础设施及网络安全服务
网络安全基础设施是指提供基础性的网络安全服务设施,支撑网络信息系统的安全建设。网络安全服务是指为网络信息系统的安全保障所提供的服务,如网络用户实名认证服务、安全域名解析服务、网络安全通信加密服务、网络攻击溯源服务等。
.网络安全技术
网络安全技术是为实现网络安全策略,构建网络安全机制,满足网络安全要求而采取的非人工的网络安全措施。
7.网络信息科技与产业生态
网络信息科技与产业生态是为支撑网络安全体系的建设而采取的相关措施,主要包括网络安全基础研究、网络安全核心技术创新研究、网络安全核心产品研发、网络信息产品生态圈建设等。
8.网络安全教育与培训
网络安全教育与培训是指为提升网络安全相关责任主体的网络安全意识及能力,而开展的网络安全相关教学活动。
9.网络安全标准与规范
网络安全标准与规范是指为实现网络安全项目建设、网络安全系统运营、网络安全服务、网络安全应急响应、网络安全产品研发、系统安全互联等工作,而提出的相关具体要求,如网络安全功能指标要求、网络安全技术指标要求、网络安全性能要求、安全开发过程要求、网络安全系统接口要求、网络安全协议格式要求、软件代码编写要求、网络安全测试保障要求、密码算法要求、网络安全产品认证要求等。
10.网络安全运营与应急响应
网络安全运营与应急响应是指为维护和实施网络信息系统的各种安全措施,而采取相关的网络安全工作机制。
11.网络安全投入与建设
网络安全投入与建设是指为落地实现网络信息系统的各种网络安全措施,而进行的相关投入及开展的建设活动。
4.4.2网络安全策略建设内容
一般来说,网络安全策略的相关工作主要如下:
- 调查网络安全策略需求,明确其作用范围;
- 网络安全策略实施影响分析;
- 获准上级领导支持网络安全策略工作;
- 制订网络安全策略草案;
- 征求网络安全策略有关意见;
- 网络安全策略风险承担者评估;
- 上级领导审批网络安全策略;
- 网络安全策略发布;
- 网络安全策略效果评估和修订。
一般企事业单位的网络信息系统中,网络安全策略主要有网络资产分级策略、密码管理策略、互联网使用安全策略、网络通信安全策略、远程访问策略、桌面安全策略、服务器安全策略、应用程序安全策略等八类。
网络安全策略表现形式通常通过规章制度、操作流程及技术规范体现。
4.4.3网络安全组织体系构建内容
网络安全组织建设内容主要包括网络安全机构设置、网络安全岗位编制、网络安全人才队伍建设、网络安全岗位培训、网络安全资源协同。
网络安全组织的建立是网络安全管理工作开展的前提条件,通过建立合适的安全组织机构和组织形式,明确各组织单元在安全方面的工作职责以及组织之间的工作流程,才能确保网络系统安全保障工作健康有序地进行。网络安全组织结构主要包括领导层、管理层、执行层以及外部协作层等。
网络安全组织各组成单元的工作分别说明如下:
1.网络安全组织的领导层
网络安全组织的领导层由各部门的领导组成,其职责主要有:
- 协调各部门的工作;
- 审查与批准网络系统安全策略;
- 审查与批准网络安全项目实施计划与预算;
- 网络安全工作人员考察和录用。
2.网络安全组织的管理层
网络安全组织的管理层由组织中的安全负责人和中层管理人员组成,其职责主要有:
- 制订网络系统安全策略;
- 制订安全项目实施计划与预算;
- 制订安全工作的工作流程:监督安全项目的实施;
- 监督日常维护中的安全;监督安全事件的应急处理。
3.网络安全组织的执行层
网络安全组织的执行层由业务人员、技术人员、系统管理员、项目工程人员等组成,其职责主要有:
- 实现网络系统安全策略;
- 执行网络系统安全规章制度;
- 遵循安全工作的工作流程;
- 负责各个系统或网络设备的安全运行;
- 负责系统的日常安全维护。
4.网络安全组织的外部协作层
网络安全组织的外部协作层由组织外的安全专家或合作伙伴组成,其职责主要有:
- 定期介绍计算机系统和信息安全的最新发展趋势;
- 计算机系统和信息安全的管理培训;
- 新的信息技术安全风险分析;
- 网络系统建设和改造安全建议;
- 网络安全事件协调。
4.4.4网络安全管理体系构建内容
网络安全管理体系涉及五个方面的内容:管理目标、管理手段、管理主体、管理依据、管理资源。
- 管理目标大的方面包括政治安全、经济安全、文化安全、国防安全等,小的方面则是网络系统的保密、可用、可控等;
- 管理手段包括安全评估、安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访问控制等;
- 管理主体大的方面包括国家网络安全职能部门,小的方面主要是网络管理员、单位负责人等;
- 管理依据有行政法规、法律、部门规章制度、技术规范等;管理资源包括安全设备、管理人员、安全经费、时间等。
网络安全管理体系的构建涉及多个方面,具体来说包括网络安全管理策略、第三方安全管理、网络系统资产分类与控制、人员安全、网络物理与环境安全、网络通信与运行、网络访问控制、网络应用系统开发与维护、网络系统可持续性运营、网络安全合规性管理十个方面。
下面分别给出这些方面的具体内容。
1.网络安全管理策略
网络安全管理策略通常由管理者根据业务要求和相关法律法规制定、评审、批准、发布、修订,并将其传达给所有员工和外部相关方,同时根据网络安全情况,定期或不定期评审网络安全策略,以确保其持续的适宜性、充分性和有效性。
网络安全管理策略给网络信息系统的保护目标提供了具体安全措施要求和保护方法。
常见的网络安全管理策略有服务器安全策略、终瑞安全策略、 网络通信安全策略、远程访问安全策略、电子邮件安全策略、互联网络使用策略、恶意代码防护策略等。
2.第三方安全管理
第三方安全管理的目标是维护第三方访问的组织的信息处理设施和网络资产的安全性,要严格控制第三方对组织的信息及网络处理设备的使用,同时又能支持组织开展网络业务需要。
第三方安全管理的主要工作有:
- 根据第三方访问的业务需求,必须进行风险评估,明确所涉及的安全问题和安全控制措施;
- 与第三方签定安全协议或合同,明确安全控制措施,规定双方的安全责任;
- 对第三方访问人员的身份进行识别和授权。
3.网络系统资产分类与控制
网络系统资产的清单列表和分类是管理的最基本工作,它有助于明确安全管理对象,组织可以根据资产的重要性和价值提供相应级别的保护。
与网络系统相关联的资产示例有:
- 硬件资产:包括计算机、 网络设备、传输介质及转换器、输入输出设备、监控设 备和安全辅助设备;
- 软件资产:包括操作系统、网络通信软件、数据库软件、通用应用软件、委托开发和自主开发的应用系统及网络管理软件;
- 存储介质:包括光盘、硬盘、软盘、磁带、移动存储器;
- 信息资产:包括文字信息、数字信息、声音信息、图像信息、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、退守计划、归档信息;
- 网络服务及业务系统:包括电子邮件、Web 服务、文件服务等;
- 支持保障系统:包括消防、保安系统、动力、空调、后勤支持系统、电话通信系统、厂商服务系统等。
网络系统的安全管理部门给出资产清单列表后,另外一项工作就是划分资产的安全级别。安全管理部门根据组织的安全策略和资产的重要程度,给定资产的级别。例如,在企业网络中,一般可以把资产分成四个级别:公开、 内部、机密、限制。
各级别的划分依据如下表(企业网络中的资产分级定义)所示。
| 资产级别 | 级别描述 |
|---|---|
| 公开 | 允许企业外界人员访问 |
| 内部 | 局限于企业内部人员访问 |
| 机密 | 资产的受损会给企业带来不利影响 |
| 限制 | 资产的受损会给企业带来严重影响 |
4.人员安全
人是网络系统中最薄弱的环节,人员安全的管理目标是降低误操作、偷窃、诈骗或滥用等人为造成的网络安全风险。人员安全通过采取合适的人事管理制度、保密协议、教育培训、业务考核、人员审查、奖惩等多种防范措施,来消除人员方面的安全隐患。
下面举例说明人员安全措施,如在人员录用方面应该做到:
- 是否有令人满意的个人介绍信,由某个组织或个人出具;
- 对申请人简历的完整性和准确性进行检查;
- 对申请人声明的学术和专业资格进行证实;
- 进行独立的身份检查(护照或类似文件)。
在人员安全的工作安排方面,应遵守以下三个原则。
1 )多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。要求相关人员忠诚可靠,能胜任此项工作,并签署工作情况记录以证明安全工作已得到保障。
一般以下各项安全工作应由多人负责处理:
- 访问控制使用证件的发放与回收;
- 信息处理系统使用的媒介发放与回收;
- 处理保密信息;
- 硬件和软件的维护;
- 系统软件的设计、实现和修改;
- 重要程序和数据的删除和销毁等。
2 )任期有限原则
一般来讲,任何人不能长期担任与安全有关的职务,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限原则切实可行。
3 )职责分离原则
工作人员各司其职,不要打听、了 解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
出于对安全的考虑,下面各项工作应当职责分开:
- 计算机操作与计算机编程;
- 机密资料的接收和传送;
- 安全管理和系统管理;
- 应用程序和系统程序的编制;
- 访问证件的管理与其他工作;
- 计算机操作与信息处理系统使用媒介的保管等。
5.网络物理与环境安全
网络物理与环境安全的管理目标是防止对组织工作场所和网络资产的非法物理临近访问、破坏和干扰。
例如针对网络机房,限制工作人员出入与已无关的区域。出入管理可采用证件识别或安装自动识别登记系统,对人员的出入进行登记管理。
6.网络通信与运行
网络通信与运行的管理目标是保证网络信息处理设施的操作安全无误,满足组织业务开展的安全需求。
7.网络访问控制
网络访问控制的管理目标是保护网络化服务,应该控制对内外网络服务的访问,确保访问网络和网络服务的用户不会破坏这些网络服务的安全,要求做到:
- 组织网络与其他组织网络或公用网之间正确连接;
- 用户和设备都具有适当的身份验证机制;
- 在用户访问信息服务时进行控制。
与网络访问控制相关的工作主要有: 网络服务的使用策略、网络路径控制、外部连接的用户身份验证、网络节点验证、远程网络设备诊断端口的保护、网络子网划分、网络连接控制、网络路由控制、网络服务安全、网络恶意代码防范。
8.网络应用系统开发与维护
网络应用系统开发与维护的管理目标是防止应用系统中用户数据的丢失、修改或滥用。
网络应用系统设计必须包含适当的安全控制措施、审计追踪或活动日志记录。
与网络应用系统开发与维护相关的工作主要有:
- 网络应用系统风险评估;
- 网络应用输入输出数据验证;
- 网络应用内部处理授权;
- 网络消息验证;
- 操作系统的安全增强;
- 网络应用软件包变更的限制;
- 隐蔽通道和特洛伊代码的分析;
- 外包的软件开发安全控制;
- 网络应用数据加密;
- 网络应用系统密钥管理。
9.网络系统可持续性运营
网络系统可持续性运营的管理目标是防止网络业务活动中断,保证重要业务流程不受重大故障和灾难的影响,要求达到:
- 实施业务连续性管理程序,预防和恢复控制相结合,要将由于自然灾害、事故、设备故障和蓄意破坏等引起的灾难和安全故障造成的影响降低到可以接受的水平;
- 分析灾难、安全故障和服务损失的后果,制订和实施应急计划,确保能够在要求的时间内恢复业务流程;
- 采用安全控制措施,确定和降低风险,限制破坏性事件造成的后果,确保重要操作及时恢复。
与网络系统可持续性运营相关的工作主要有:
- 网络运营持续性管理程序和网络运营制度;
- 网络运营持续性和影响分析;
- 网络运营持续性应急方案;
- 网络运营持续性计划的检查、维护和重新分析;
- 网络运营状态监测。
10.网络安全合规性管理
网络安全合规性管理的目标是:
- 网络系统的设计、操作、使用和管理要依据成文法、法规或合同安全的要求;
- 不违反刑法、民法、成文法、法规或合约义务以及任何安全要求。
与网络安全合规性管理相关的工作主要有:
- 确定适用于网络管理的法律;
- 网络管理知识产权(IPR) 保护;
- 组织记录的安全保障;
- 网络系统中个人信息的数据安全保护;
- 防止网络系统的滥用;
- 评审网络安全策略和技术符合性;
- 网络系统审计。
4.4.5网络安全基础设施及网络安全服务构建内容
网络安全基础设施主要包括网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心。
网络安全服务的目标是通过网络安全服务以保障业务运营和数据安全。
其中,网络安全服务输出的网络安全保障能力主要有:预警、评估、防护、监测、应急、恢复、测试、追溯等。
网络安全服务类型主要包括网络安全监测预警、网络安全风险评估、网络安全数字认证、网络安全保护、网络安全检查、网络安全审计、网络安全应急响应、网络安全容灾备份、网络安全测评认证、网络安全电子取证等。
4.4.6网络安全技术体系构建内容
一般来说, 网络安全技术的目标是通过多种网络安全技术的使用,实现网络用户认证、网络访问授权、网络安全审计、网络安全容灾恢复等网络安全机制,以满足网络信息系统的业务安全、数据安全的保护需求。
对于一个国家而言,网络安全核心技术的目标则是要做到自主可控、安全可信,确保网络信息科技的技术安全风险可控,避免技术安全隐患危及国家安全。
网络安全技术类型可分为保护类技术、监测类技术、恢复类技术、响应类技术。
4.4.7网络信息科技与产业生态构建内容
网络信息科技与产业生态构建的主要目标是确保网络安全体系能够做到安全自主可控,相关的技术和产品安全可信。
其主要内容包括网络信息科技基础性研究、IT产品研发和供应链安全确保、网络信息科技产品及系统安全测评、有关网络信息科技的法律法规政策、网络信息科技人才队伍建设等。
4.4.8网络安全教育与培训构建内容
网络安全教育与培训是构建网络安全体系的基础性工作,是网络安全科技创新的源泉。
国际上网络信息科技发达的国家都十分注重网络安全教育和培训。美国、加拿大等国家都积极推进和实施“国家网络安全意识月”(NCSAM),以提升全民的网络安全意识和网络安全资源普惠化,并开展Stop.Think.Connect 网络安全技能提升活动。
《中华人民共和国网络安全法》第三十四条规定,关键信息基础设施的运营者有义务定期对从业人员进行网络安全教育、技术培训和技能考核。此外,第二十条要求,国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。第十九条要求,各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。
一般企事业单位的网络安全教育与培训的工作目标是宣教本机构的网络安全管理规章制度,形成本机构的网络安全文化,提升本机构工作人员的网络安全意识水平及网络安全技能,满足岗位的网络安全能力要求。
其主要的工作内容如下:
- 网络安全信息安全培训师资力量建设;
- 网络安全信息安全培训教材开发/选购;
- 网络安全信息安全培训环境建立;
- 网络安全信息安全意识培训;
- 网络安全信息安全技能培训。
4.4.9网络安全标准与规范构建内容
网络信息安全标准规范有利于提升网络安全保障能力,促进网络信息安全科学化管理。
目前,国际上各个国家和相关组织都很重视网络信息安全标准规范的研制和推广。国际上的相关组织机构主要有ISO、美国NIST、OWASP、PCI ( Payment Card Industry)、MITRE等。比较知名的网络安全标准规范主要有RFC、DES、MD5、 AES、 OWASP TOP10、PCI DSS、 CVE、CVSS等。
一般企事业单位的网络安全标准与规范的工作目标是确保本机构的网络安全工作符合网络安全标准规范要求, 避免网络安全合规风险。
其主要的工作内容如下:
- 网络安全标准规范信息获知;
- 网络安全标准规范制定参与;
- 网络安全标准规范推广应用;
- 网络安全标准规范合规检查。
企事业单位常用的网络安全标准与规范主要如下:
- 网络安全等级保护标准和规范;
- 网络设备安全配置基准规范;
- 操作系统安全配置基准规范;
- Web网站安全配置基准规范;
- 数据库安全配置基准规范;
- 代码编写安全规范。
4.4.10网络安全运营与应急响应构建内容
网络安全运营与应急响应的目标是监测和维护网络信息系统的网络安全状况,使其处于可接受的风险级别。
其主要的工作内容如下:
- 网络信息安全策略修订和执行;
- 网络信息安全态势监测和预警;
- 网络信息系统配置检查和维护;
- 网络信息安全设备部署和维护;
- 网络信息安全服务设立和实施;
- 网络信息安全应急预案制定和演练;
- 网络信息安全事件响应和处置;
- 网络安全运营与应急响应支撑平台维护和使用。
网络安全运营与应急响应平台如下图(网络安全运营与应急响应平台示意图) 所示。
一般企事业单位要建立网络安全集中运维管理服务平台,构建网络安全运维服务流程和操作规范,确保安全操作工作按照规范执行。同时,建立网络安全应急响应预案库和网络安全应急响应协同机制,实现网络安全事件的积极预防、及时发现、快速响应、有效处置。
4.4.11网络安全投入与建设构建内容
一般企事业单位的网络安全批入主要包括网络安全专家咨询、网络安全测评、网络安全系统研发、网络安全产品购买、网络安全服务外包、网络安全相关人员培训、网络安全资料购买、网络安全应急响应、网络安全岗位人员的人力成本等。
网络安全建设主要的工作内容如下:
- 网络安全策略及标准规范制定和实施;
- 网络安全组织管理机构的设置和岗位人员配备;
- 网络安全项目规划、设计、实施;
- 网络安全方案设计和部署;
- 网络安全工程项目验收测评和交付使用。
4.5网络安全体系建设参考案例
本节给出网络安全体系建设的参考案例,主要包括网络安全等级保护体系、智慧城市安全体系框架、智能交通网络安全体系、ISO 27000信息安全管理体系、美国NIST发布的《提升关键基础设施网络安全的框架》 等。
4.5.1网络安全等级保护体系应用参考
已颁布实施的《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。等级保护制度是中国网络安全保障的特色和基石。目前,相关部正在积极推进国家等级保护制度2.0标准的制定、发布和宣贯。
国家网络安全等级保护制度2.0框架如下图(网络安全等级保护制度2.0框架)所示:
体系框架包括风险管理体系、安全管理体系、安全技术体系、网络信任体系、法律法规体系、政策标准体系等。
网络安全等级保护工作主要包括定级、备案、 建设整改,等级测评、监督检查五个阶段。
定级对象建设完成后,运营、使用单位或者其主管部门选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护测评要求》等技术标准,定期对定级对象的安全等级状况开展等级测评。
定级对象的安全保护等级分为五个,即第一级(用户自主保护级)、第二级(系统审计保护级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级)。定级方法如下图(定级方法流程示意图)所示:
网络安全等级保护2.0的主要变化包括:
- 一是扩大了对象范围,将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络安全通用要求+新型应用的网络安全扩展要求”的要求内容。
- 二是提出了在“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。
- 三是等级保护2.0新标准强化了可信计算技术使用的要求,各级增加了“可信验证”控制点。
其中,一级要求设备的系统引导程序、系统程序等进行可信验证;
二级增加重要配置参数和应用程序进行可信验证,并将验证结果形成审计记录送至安全管理中心;
三级增加应用程序的关键执行环节进行动态可信验证;
四级增加应用程序的所有执行环节进行动态可信验证。
4.5.2智慧城市安全体系应用参考
本应用参考案例来自《信息安全技术 智慧城市安全体系框架》。智慧城市安全体系框架以安全保障措施为视角,从智慧城市安全战略保障、智慧城市安全技术保障、智慧城市安全管理保障、智慧城市安全建设与运营保障、智慧城市安全基础支撑五个方面给出了智慧城市的安全要素,如下图(智慧城市安全体系框架)所示:
智慧城市安全体系的各要素阐述如下。
1.智慧城市安全战略保障
明确国家智慧城市安全建设总体方针,按要求约束智慧城市安全管理、技术以及建设与运营活动。智慧城市安全战略保障要素包括法律法规、政策文件及标准规范。
2.智慧城市安全管理保障
智慧城市安全管理保障要素包括决策规划、组织管理、协调监督、评价改进。
3.智慧城市安全技术保障
以建立城市纵深防御体系为目标,从物联感知层、网络通信层、计算与存储层、数据及服务融合层以及智慧应用层五个层次分别采用多种安全防御手段,动态应对智慧城市安全技术风险。智慧城市安全技术保障的功能要素包括防护、检测、响应和恢复。
4.智慧城市安全建设与运营保障
智慧城市信息安全工程的实施包括对智慧城市整体信息安全系统的开发、采购、集成、组装、配置及测试。智慧城市安全运行维护包括对智慧城市信息系统运行状态的监测、维护、应急处置与恢复,确保并维持智慧城市信息系统和智慧城市中的各项业务安全有序地运行。智慧城市安全建设与运营保障要素包含工程实施、监测预警、应急处置和灾难恢复。
5.智慧城市安全基础支撑
智慧城市安全基础支撑设施包括密钥与证书管理基础设施、身份管理基础设施、监测预警与通报基础设施、容灾备份基础设施和时间同步等基础设施。基础服务支撑包括产品和服务的资质认证、安全评估、安全检测、安全审查以及咨询服务等。
4.5.3智能交通网络安全体系应用参考
本应用参考案例来自《智能交通网络安全实践指南》。智能交通系统是集成先进的信息技术、数据通信技术、计算机处理技术和电子自动控制技术而形成的复杂系统,其潜在的网络安全风险可能危及车主的财产和生命安全。按照“识别风险、设计规划、指导落实、持续改进”的体系架构设计方法论,北航梆梆车联网安全研究院、交通运输部公路科学研究院、普华永道等联合发布了智能交通网络安全体系建议,如下图(智能交通网络安全体系架构)所示:
智能交通网络安全体系主要包括智能交通网络安全管理体系、智能交通网络安全技术体系、智能交通网络安全运营体系、智能交通网络安全评价体系。
智能交通网络安全管理体系架构由智能交通网络安全职能整体架构、智能交通产业内网络安全管理框架两个方面组成,如下图(智能交通网络安全管理体系)所示:
智能交通网络安全职能整体架构负责处理产业链中各层级的管理职能分配以及各层级的管理、汇报和协作关系;智能交通产业内网络安全管理框架则负责处理在产业内具体组织和机构的安全管理,具体包括安全治理、安全管理等。
智能交通网络安全技术体系参考我国WPDRRC信息安全模型和国内外最佳实践,明确以“数据层、服务支撑层、平台层、物联网通信层、物联网智能终端”为保护对象的框架,构建智能情报、身份认证、访问控制、加密、防泄漏、防恶意代码、安全加固、安全监控、安全审计和可用性设计等安全技术框架,如下图(智能交通网络安全体系)所示:
智能交通网络安全运营体系如下图(智能交通网络安全运营体系)所示:
由三个要素组成:运营管理、网络安全事件周期性管理、工具。
运营管理的作用是有效衔接安全管理体系和安全技术体系,通过其有效运转实现安全管理体系、安全技术体系的不断优化提升;
网络安全事件周期性管理覆盖预防(事前)、监控(事中)、响应(事后),形成自主有效的闭环;
工具主要包括事件管理、工单系统、审计日志、取证工具、安全扫描和合规平台等。
智能交通网络安全评价体系如下图(智能交通网络安全评价体系)所示:
其目标是建立有效的评价体系,推动整体体系的持续优化和改进,使整个智能交通网络安全体系形成有效的闭环。
4.5.4 ISO 27000信息安全管理体系应用参考
ISO 27000信息安全管理标准最初起源于英国的BS7799,其发展演变过程如下图(ISO 27000标准发展演变过程图)所示:
信息安全管理系统(ISMS)按照PDCA不断循环改进,如下图(ISO 27000中的PDCA示意图)所示:
其主要步骤阐述如下:
- (1)计划(Plan)。建立IsSMS, 识别信息资产及其相关的安全需求;评估信息安全风险;选择合适的安全控制措施,管理不可接受的风险。
- (2)执行(Do)。实现和运行ISMS,实施控制和运维管理。
- (3)检查(Check) 。监测和评估ISMS。
- (4)处理(Act)。维持和改进ISMS。
ISO 27001给出的信息安全管理目标领域共计十一项,即安全策略、安全组织、资产管理、人力资源安全、物理与环境安全、通信与运行管理、访问控制、信息系统获取开发与维护、信息安全事件管理、业务持续运行、符合性。
ISO 27002则根据ISO 27001的三十九个控制目标,给出了实施安全控制的要求。
详细内容请参见标准文档。
4.5.5NIST网络安全框架体系应用
美国国家标准与技术研究院(NIST)发布了《提升关键基础设施网络安全的框架》,框架的核心结构如下图(NIST网络安全框架核心结构图)所示。
该框架首先定义了五个核心功能:识别、保护、检测、响应和恢复。然后,按照功能进行分类,每个功能的分数对应具体的子类,最后给出参考性文献。NIST网络安全框架的五个核心功能分别阐述如下。
- (1) 识别(Identify) 是指对系统、资产、数据和网络所面临的安全风险的认识以及确认。
NIST网络安全框架识别功能对应分类如下表所示:
| 功能唯一识别标志(Function Unique Identifier) | 功能(Function) | 类型唯一识别标志(Category Unique Identifier) | 类型(Category) |
|---|---|---|---|
| ID | Identify | ||
| ID.AM | Asset Management 资产管理 | ||
| ID.BE | Business Environment 商业环境 | ||
| ID.GV | Governance 治理 | ||
| ID.RA | Risk Assessment 风险评估 | ||
| ID.RM | Risk Management Strategy 风险管理策略 |
- (2)保护(Protect)是指制定和实施合适的安全措施,确保能够提供关键基础设施服务。
NIST网络安全框架保护功能对应分类如下表所示:
| 功能唯一识别标志(Function Unique Identifier) | 功能(Function) | 类型唯一识别标志(Category Unique Identifier) | 类型(Category) |
|---|---|---|---|
| PR | Protect | ||
| PR.AC | Access Control 访问控制 | ||
| PR.AT | Awareness and Training 意识和培训 | ||
| PR.DS | Data Security 数据安全 | ||
| PR.IP | Information Protection Process and Procedures 信息保护流程和规程 | ||
| PR.MA | Maintenance 维护 | ||
| PR.PT | Protection Technology 保护技术 |
- (3)检测(Detet)是指制定和实施恰当的行动以发现网络安全事件。
NIST网络安全框架检测功能对应分类如下表所示:
| 功能唯一识别标志(Function Unique Identifier) | 功能(Function) | 类型唯一识别标志(Category Unique Identifier) | 类型(Category) |
|---|---|---|---|
| DE | Detect | ||
| DE.AE | Anomalies and Events 异常和事件 | ||
| DE.CM | Security Continuous Monitoring 安全持续监测 | ||
| DE.DP | Detection Processes 检测处理 |
- (4)响应(Respond)是指对已经发现的网络安全事件采取合适的行动。
NIST网络安全框架响应功能对应分类如下表所示:
| 功能唯一识别标志(Function Unique Identifier) | 功能(Function) | 类型唯一识别标志(Category Unique Identifier) | 类型(Category) |
|---|---|---|---|
| RS | Respond | ||
| RS.RP | Response Planning 响应计划 | ||
| RS.CO | Communications 通信 | ||
| RS.AN | Analysis 分析 | ||
| RS.MI | Mitigation 缓解 | ||
| RS.IM | Improvements 改进 |
- (5)恢复(Recover) 是指制定和实施适当的行动,以弹性 容忍安全事件出现并修复受损的功能或服务。
NIST 网络安全框架恢复功能对应分类如下表所示。
| 功能唯一识别标志(Function Unique Identifier) | 功能(Function) | 类型唯一识别标志(Category Unique Identifier) | 类型(Category) |
|---|---|---|---|
| RC | Recover | ||
| RC.RP | Recovery Planning 恢复计划 | ||
| RC.IM | Improvements 改进 | ||
| RC.CO | Communications 通信 |