广西网站建设制作,江西app网站建设,无锡开发公司,做调查的网站信息安全#xff1a;网络安全体系 与 网络安全模型.
网络安全保障是一项复杂的系统工程#xff0c;是安全策略、多种技术、管理方法和人员安全素质的综合。一般而言#xff0c;网络安全体系是网络安全保障系统的最高层概念抽象#xff0c;是由各种网络安全单元按照一定的规…信息安全网络安全体系 与 网络安全模型.
网络安全保障是一项复杂的系统工程是安全策略、多种技术、管理方法和人员安全素质的综合。一般而言网络安全体系是网络安全保障系统的最高层概念抽象是由各种网络安全单元按照一定的规则组成的共同实现网络安全的目标。网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素。网络安全体系构建已成为一种解决网络安全问题的有效方法是提升网络安全整体保障能力的高级解决方案。
目录
网络安全 体系
1网络安全体系 特征
2网络安全体系 用途
网络安全体系相关 安全模型
1BLP 机密性模型
2BiBa 完整性模型
3信息流 摸型
4信息 保障摸型
5能力成熟度 摸型
6纵深防御橾型
7分层防护模型
8等级保护橾型
9 网络生存模型
网络安全体系建设原则与安全策略
1网络安全原则
2网络安全策略
网络安全体系框架主要组成和建设内容
1网络安全休系组成框架
2网络安全策略建设内容
3网络安全组织休系构建内容
4网络安全管理体系构建内容
5网络安全基础设施及网络安全服务构建内容
6网络安全技术体系构建内容
7网络信息科技与产业生态构建内容
8网络安全教育与培训构建内容
9网络安全标准与规范构建内容
10网络安全运营与应急响应构建内容
11网络安全投人与建设构建内容
网络安全体系建设参考案例
1网络安全等级保护体系应用参考
2智慧城市安全体系应用参考
3智能交通网络安全体系应用参考
4ISO 27000 信息安全管理休系应用参考
5NIST 网络安全框架休系应用参考 网络安全 体系
1网络安全体系 特征 ◆ 整体性网络安全体系从 全局、长远的角度 实现安全保障网络安全单元按照一定的规则相互依赖、相互约束、相互作用而形成 人机物一体化 的网络安全保护方式。 ◆ 协同性网络安全体系依赖于 多种安全机制 通过各种安全机制的 相互协作构建系统性的网络安全保护方案。 ◆ 过程性针对保护对象网络安全体系提供一种过程式的网络安全保护机制覆盖保护对象的 全生命周期。 ◆ 全面性网络安全体系基千 多个维度、多个层面 对安全威胁进行管控构建防护、检测、响应、恢复等网络安全功能。 ◆ 适应性网络安全体系具有 动态 演变机制能够 适应 网络安全威胁的 变化和需求 。 2网络安全体系 用途 ◆ 有利于 系统性化解网络安全风险 确保业务待续开展并将损失降到最低限度 ◆ 有利于 强化工作人员的网络安全意识 规范组织、个人的网络安全行为 ◆ 有利于 对组织的网络资产进行全面系统的保护 维持竞争优势 ◆ 有利于 组织的商业合作 ◆ 有利于组织的网络安全管理体系认证 证明组织有能力保障重要信息 能提高组织的知名度与信任度 网络安全体系相关 安全模型 1BLP 机密性模型 ◆ Bell-LaPadula 模型是 符合军事安全策略的计算机安全模型 简称 BLP 模型。 该模型用于防止非授权信息的扩散 从而保证系统的安全。 ◆ BLP 模型有 两个特性 简单安全特性、特性 ▶ 简单安全特性主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别主体的范畴集合包含客体的全部范畴即 主体只能向下读不能向上读 。 ▶ 特性一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级即客体的保密级别不小于主体的保密级别客体的范畴集合包含主体的全部范畴即 主体只能向上写不能向下写 。 2BiBa 完整性模型 ◆ BiBa 模型主要用于 防止非授权修改系统信息 以保护系统的信息完整性。该模型同 BLP 模型类似采用 主体、客体、完整性级别 描述安全策略要求。 ◆ BiBa 具有 个安全特性简单安全特性、特性、调用特性 ▶ 简单安全特性主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别主体的范畴集合包含客体的全部范畴即 主体不能向下读 . ▶ * 特性主体的完整性级别小于客体的完整性级别不能修改客体即 主体不能向上写 . ▶ 调用特性主体的完整性级别小于另个主体的完整性级别不能调用另个主体. 3信息流 摸型 ◆ 信息流模型是 访问控制模型的一种变形 简称 FM 。该模型不检查主体对客体的存取而是根据 两个客体的安全属性来控制从一个客体到另一个客体的信息传输 。 ◆ 信息流模型可以用千分析系统的隐蔽通道 防止敏感信息通过隐蔽通道泄露 。隐蔽通道通常表现为 低安全等级主体对于高安全等级主体所产生信息的间接读取 通过信息流分析以发现隐蔽通道阻止信息泄露途径。 4信息 保障摸型 ◆ PDRR 模型PDRR 改进了传统的只有保护的单一安全防御思想强调信息安全保障的 四个重要 环节。 ▶ 保护 (Protection) 的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。 ▶ 检测 (Detection) 的内容主要有入侵检测、系统脆弱性检测、 数据完整性检测、攻击性检测等。 ▶ 恢复 (Recovery) 的内容主要有数据备份、数据修复、系统恢复等。 ▶ 响应 (Response) 的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。 ◆ P2DR 模型 ▶ P2DR 模型的要素由 策略 (Policy) 、防护 (Protection) 、检测 (Detection) 、响应 (Response) 构成。其中安全策略描述系统的安全需求以及如何组织各种安全机制实现系统的安全需求。 ◆ WPDRRC 模型 ▶ WPDRRC 的要素由 预警、保护、检测、响应、恢复和反击 构成。模型蕴涵的网络安全能力主要是 预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力 。 5能力成熟度 摸型 ◆ 能力成熟度模型简称 CMM) 是 对一个组织机构的能力进行成熟度评估的模型 。成熟度级别一般分成五级 ♦ 1级非正式执行具备随机、无序、被动的过程 ♦ 2 级计划跟踪具备主动、非体系化的过程 ♦ 3 级充分定义具备正式的、规范的过程 ♦ 4 级晕化控制具备可量化的过程 ♦ 5 级 - 持续优化具备可待续优化的过程 目前网络安全方面的成熟度模型主要有 SSE-CMM 、数据安全能力成熟度模型、软件安全能力成熟度模型等。 ▶ SSE-CMM SSE-CMM是系统安全工程能力成熟度模型。 SSE-CMM 包括 工程过程类、组织过程类、项目过程类。 ▶ 数据安全能力成熟度模型 数据安全能力从 组织建设、制度流程、技术工具及人员能力 四个维度评估 组织建设数据安全组织机构的架构建立、职责分配和沟通协作 制度流程组织机构关键数据安全领域的制度规范和流程落地建设 技术工具通过技术手段和产品工具固化安全要求或自动化实现安全工作 人员能力执行数据安全工作的人员的意识及专业能力 ▶ 软件安全能力成熟度模型 软件安全能力成熟度模型分成 五级各级别的主要过程如下 CMM1 级 —— 补丁修补 CMM2 级 ——渗透测试、安全代码评审 CMM3 级 —— 漏洞评估、代码分析、安全编码标准 CMM4 级 —— 软件安全风险识别、 SDLC 实施不同安全检查点 CMM5 级 —— 改进软件安全风险覆盖率 评估安全差距 6纵深防御橾型 ◆ 纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来 。针对保护对象部署合适的安全措施形成 多道保护线 各安全防护措施能够互相支持和补救尽可能地阻断攻击者的威胁。 ◆ 安全业界认为网络需要建立 四道防线 ▶ 安全 保护 是网络的第 一 道防线能够阻止对网络的入侵和危害 ▶ 安全 监测 是网络的第 二 道防线可以及时发现入侵和破坏 ▶ 实时 响应 是网络的第 三 道防线当攻击发生时维持网络 打不垮; ▶ 恢复 是网络的第 四 道防线使网络在遭受攻击后能以最快的速度 ” 起死回生 ”最大限度地降低安全事件带来的损失 7分层防护模型 ◆ 分层防护模型针对单独保护节点以 OSI 层模型为参考对保护对象进行层次化保护 典型保护层次分为 物理层、网络层、系统层、应用层、用户层、管理层 然后针对每层的安全威胁部署合适的安全措施进行分层防护 8等级保护橾型 ◆ 等级保护模型是根据网络信息系统在 国家安全、经济安全、社会稳定和保护公共利益 等方面的重要程度结合系统面临的风险、系统特定的安全保护要求和成本开销等因素将其 划分成不同的安全保护等级采取相应的安全保护措施以保障信息和信息系统的安全。 9 网络生存模型 ◆ 网络生存性指在网络信息系统遭受入侵的情形下网络信息系统仍然能够持续提供必要 服务的能力。目前国际上的网络信息生存模型遵循 “3R 的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式给出相应的 3R 策略即抵抗 (Resistance) 、识别 (Recognition) 和恢复 (Recovery) 。最后定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式给出系统需要重点保护的基本功能服务和关键信息等。 网络安全体系建设原则与安全策略
1网络安全原则
◆ 系统性和动态性原则在建立网络安全防范体系时应特别强调系统的整体安全性也就是人们常说的 “木桶原则”即木桶的最大容积取决千最短的一块木板。
◆ 纵深防护与协作性原则各种网络安全技术之间应当互相补充互相配合在统 的安全策略与配置下发挥各自的优点。
◆ 网络安全风险和分级保护原则分级保护原则是指根据网络资产的安全级别采用合适的网络防范措施来保护网络资产 做到 适度防护 。
◆ 标准化与一致性原则网络系统是一个庞大的系统工程其 安全体系的设计必须遵循一系列的标准 这样才能确保各个分系统的一致性使整个系统安全地互联、互通、互操作。
◆ 技术与管理相结合原则将各种安全技术与运行管理机制、人员思想教育和技术培训、安全规章制度的建设相结合。
◆ 安全第一预防为主原则网络安全应以预防为主否则亡羊补牢为之晚矣 特别是大型的网络 旦攻击者进入系统后就难以控制网络安全局面 因此我们应当遵循 “安全第一预防为主” 的原则。
◆ 安全与发展同步业务与安全等同网络安全的建设要实现和信息化统 谋划、统一部署、统 推进、统 实施确保同步一一同步规划、同步建设、同步运行做到安全与发展协调 致、齐头并进以安全保发展、以发展促安全安全与发展同步业务与安全等同。
◆ 人机物融合和产业发展原则网络安全体系建设要依托网络信息产业的发展做到自主可控安全可信建立持续稳定发展的网络安全生态支撑网络安全体系的关键要素可控。 2网络安全策略 ◆ 网络安全策略是有关保护对象的网络安全规则及要求其主要依据网络安全法律法规和网络安全风险。 ◆ 针对具体保护对象的网络安全需求网络安全策略包含不同的内容但通常情况下一个网络安全策略文件应具备以下内容 ▶ 涉及范围该文件内容涉及的主题、组织区域、技术系统 ▶ 有效期策略文件适用期限 ▶ 所有者规定本策略文件的所有者由其负责维护策略文件以及保证文件的完整性 策略文件由所有者签署而正式生效 ▶ 责任在本策略文件覆盖的范围内确定每个安全单元的责任人 ▶ 参考文件引用的参考文件比如安全计划 ▶ 策略主体内容这是策略文件中最重要的部分规定具体的策略内容 ▶ 复查规定对本策略文件的复查事宜包括是否进行复查、具体复查时间、复查方式等 ▶ 违规处理对于不遵守本策略文件条款内容的处理办法 网络安全体系框架主要组成和建设内容 1网络安全休系组成框架 2网络安全策略建设内容 ◆ 网络安全策略的相关工作主要如下 ▶ 调查网络安全策略需求明确其作用范围 ▶ 网络安全策略实施影响分析 ▶ 获准上级领导支持网络安全策略工作 ▶ 制订网络安全策略草案 ▶ 征求网络安全策略有关意见 ▶ 网络安全策略风险承担者评估 ▶ 上级领导审批网络安全策略 ▶ 网络安全策略发布 ▶ 网络安全策略效果评估和修订 ◆ 一般企事业单位的网络信息系统中网络安全策略主要有 网络资产分级策略、密码管理策略、互联网使用安全策略、网络通信安全策略、远程访问策略、桌面安全策略、服务器安全策略、应用程序安全策略等八类。网络安全策略表现形式通常通过规章制度、操作流程及技术规范体现 。 3网络安全组织休系构建内容 ◆ 网络安全组织建设内容主要包括 网络安全机构设置、网络安全岗位编制、网络安全人才队伍建设、网络安全岗位培训、网络安全资源协同 。 ◆ 网络安全组织结构主要包括领导层、管理层、执行层以及外部协作层等。 4网络安全管理体系构建内容 ◆ 网络安全管理体系涉及 五个方面 的内容管理目标、管理手段、管理主体、管理依据、管理资源 。 5网络安全基础设施及网络安全服务构建内容 ◆ 网络安全 基础设施 主要包括 网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心 。 ◆ 网络安全服务类型主要包括网络安全监测预警、网络安全风险评估、网络安全数字认证、网络安全保护、网络安全检查、网络安全审计、网络安全应急响应、网络安全容灾备份、网络安全测评认证、网络安全电子取证等。 6网络安全技术体系构建内容 ◆ 网络安全技术类型可分为保护类技术、监测类技术、恢复类技术、响应类技术。 7网络信息科技与产业生态构建内容 ◆ 网络信息科技与产业生态构建的主要目标是确保网络安全体系能够做到 安全自主可控 相关的 技术和产品安全可信 。 8网络安全教育与培训构建内容 ◆ 网络安全教育与培训是构建网络安全体系的基础性工作是网络安全科技创新的源泉。 9网络安全标准与规范构建内容 ◆ 网络信息安全标准规范有利于提升网络安全保障能力促进网络信息安全科学化管理。 10网络安全运营与应急响应构建内容 ◆ 网络安全运营与应急响应的目标是监测和维护网络信息系统的网络安全状况. 11网络安全投人与建设构建内容 ◆ 网络安全建设主要的工作内容如下 ▶ 网络安全策略及标准规范制定和实施 ▶ 网络安全组织管理机构的设置和岗位人员配备 ▶ 网络安全项目规划、设计、实施 ▶ 网络安全方案设计和部署 ▶ 网络安全工程项目验收测评和交付使用 网络安全体系建设参考案例 1网络安全等级保护体系应用参考 《中华人民共和国网络安全法》第二十一条规定国家实行网络安全等级保护制度。等级保护制度 是中国网络安全保障的 特色 和 基石。 ◆ 网络安全等级保护工作主要包括定级、备案、建设整改、等级测评、监督检查五个阶段。 ◆ 定级对象的安全保护等级分为五个第一级用户自主保护级、第二级系统保护审计级、第三级安全标记保护级、第四级结构化保护级、第五级访问验证保护级 ◆ 网络安全等级保护 2.0 的主要变化包括 ▶ 一是扩大了对象范围将云计算、移动互联、物联网、工业控制系统等列入标准范围构成了“网络安全通用要求新型应用的网络安全扩展要求的要求内容。 ▶ 二是提出了在 “ 安全通信网络 ” “ 安全区域边界 ” “ 安全计算环境 ” 和 “ 安全管理中心 ” 支持下的 三重防护体系架构 。 ▶ 三是等级保护 2.0 新标准 强化了可信计算技术使用的要求各级增加了”可信验证”控制点 。其中 ♦ 一级 要求设备的系统引导程序、系统程序等进行可信验证 ♦ 二级 增加重要配置参数和应用程序进行可信验证并将验证结果形成审计记录送至安全管理中心 ♦ 三级 增加应用程序的关键执行环节进行动态可信验证 ♦ 四级 增加应用程序的所有执行环节进行动态可信验证 2智慧城市安全体系应用参考 ◆ 智慧城市安全体系框架 以安全保障措施为视角从 智慧城市安全战略保障、智慧城市安全技术保障、智慧城市安全管理保障、智慧城市安全建设与运营保障、智慧城市安全基础支撑 五个方面给出了智慧城市的安全要素. ◆ 智慧城市安全体系的各要素阐述如下 ▶ 智慧城市安全战略保障明确国家智慧城市安全建设总体方针按要求约束智慧城市安全管理、技术以及建设与运营活动。智慧城市安全战略保障要素包括 法律法规、政策文件及标准规范 。 ▶ 智慧城市安全管理保障智慧城市安全管理保障要素包括 决策规划、组织管理、协调监督、评价改进 。 ▶ 智慧城市安全技术保障以建立城市纵深防御体系为目标从 物联感知层、网络通信层、计算与存储层、数据及服务融合层以及智慧应用层五个层次 分别采用多种安全防御手段动态应对智慧城市安全技术风险。智慧城市安全技术保障的功能要素包括 防护、检测、响应和恢复 。 ▶ 智慧城市安全建设与运营保障智慧城市安全建设与运营保障要素包含 工程实施、监测预警、应急处置和灾难恢复 。 ▶ 智慧城市安全基础支撑智慧城市安全基础支撑设施包括密钥与证书管理基础设施、身份管理基础设施、监测预警与通报基础设施、容灾备份基础设施和时间同步等基础设施。基础服务支撑包括产品和服务的资质认证、安全评估、安全检测、安全审查以及咨询服务等。 3智能交通网络安全体系应用参考 ◆ 智能交通网络安全体系主要包括智能交通网络安全管理体系、 智能交通网络安全技术体系、智能交通网络安全运营体系、智能交通网络安全评价体系。 4ISO 27000 信息安全管理休系应用参考 ◆ 信息安全管理系统 (ISMS) 按照 PDCA 不断循环改进。其主要步骤阐述如下 ▶ 计划 (Plan) 建立 ISMS, 识别信息资产及其相关的安全需求评估信息安全风险 选择合适的安全控制措施管理不可接受的风险 ▶ 执行 (Do) 实现和运行 ISMS, 实施控制和运维管理 ▶ 检查 (Check) 监测和评估 ISMS ▶ 处理 (Act) 维持和改进 ISMS 5NIST 网络安全框架休系应用参考 ◆ 该框架首先定义了五个核心功能 识别、保护、检测、响应和恢复 。 学习书籍信息安全工程师教程
