权重较高网站,美图在线图片编辑器,画出网站开发项目流程图,哈尔滨网站免费制作4.1 网络安全体系概述
4.1.1 网络安全体系概述 一般面言#xff0c;网络安全体系是网络安全保障系统的最高层概念抽象#xff0c;是由各种网络安全单元按照一定的规则组成的#xff0c;共同实现网络安全的目标。网络安全体系包括法律法规政策文件、安全策略、组织管理、技术…4.1 网络安全体系概述
4.1.1 网络安全体系概述 一般面言网络安全体系是网络安全保障系统的最高层概念抽象是由各种网络安全单元按照一定的规则组成的共同实现网络安全的目标。网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素。
4.1.2 网络安全体系特征 一般来说网络安全体系的主要特征如下
整体性。协同性。过程性。全面性。适应性。
4.1.3 网络安全体系用途 网络安全体系的建立是一个复杂持续建设和迭代演进的过程但是网络安全体系对于一个组织有重大意义主要体现为
有利于系统性化解网络安全风险确保业务持续开展并将损失降到最低限度有利于强化工作人员的网络安全意识规范组织、个人的网络安全行为有利于对组织的网络资产进行全面系统的保护维持竞争优势有利于组织的商业合作有利于组织的网络安全管理体系认证证明组织有能力保障重要信息能提高组织的知名度与信任度。
4.2 网络安全体系相关安全模型 本节主要讲述BLP机密性模型、BiBa完整性模型、信息流模型、保息保障模型、能力成熟度模型、纵深防御模型、分层防护模型、等级保护模型、网络生存模型。
4.2.1 BLP机密性模型 Bell-LaPadula模型是由David Bell和Leonard LaPadula提出的符合军事安全策略的计算机安全模型简称BLP模型。该模型用于防止非授权信息的扩散从而保证系统的安全。BLP模型有两个特性简单安全特性、*特性。
简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别主体的范畴集合包含客体的全部范畴即主体只能向下读不能向上读。*特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级即客体的保密级别不小于主体的保密级别客体的范畴集合包含主体的全部范畴即主体只能向上写不能向下写。
4.2.2 BiBa完整性模型 BiBa模型主要用于防止非授权修改系统信息以保护系统的信息完整性。该模型同BLP模型类似采用主体、客体、完整性级别描述安全策略要求。BiBa具有三个安全特性简单安全特性、*特性、调用特性。
简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别主体的范畴集合包含客体的全部范畴即主体不能向下读。*特性。主体的完整性级别小于客体的完整性级别不能修改客体即主体不能向上写。调用特性。主体的完整性级别小于另一个主体的完整性级别不能调用另一个主体。
4.2.3 信息流模型 信息流模型是访问控制模型的一种变形简称FM。该模型不检查主体对客体的存取而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。 信息流模型可以用于分析系统的隐蔽通道防止第三信息通过隐蔽通道泄露。
4.2.4 信息保障模型 PDRR模型 美国国防部提出了PDRR模型其中PDRR是Protection保护、Detection检测、Recovery恢复、Response响应英文单词的缩写。 P2DR模型 P2DR模型的要素由策略Policy、防护Protection、检测Detection、响应Response构成。 WPDRRC模型 WPDRRC的要素由预警、保护、检测、响应、恢复和反击构成。模型蕴含的网络安全能力主要是预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。
4.2.5 能力成熟度模型 能力成熟度模型简称CCM是对一个组织机构的能力进行成熟度评估的模型。成熟度级别一般分五级级别越大表示能力成熟度越高各级别定义如下
1级-非正式执行具备随机、无序、被动的过程2级-计划跟踪具备主动、非体系化的过程3级-充分定义具备正式的、规范的过程4级-量化控制具备可量化的过程5级-持续优化具备可持续优化的过程。 目前网络安全成熟度模型主要有SSE-CMM、数据安全成熟度模型、软件安全能力成熟度模型。 SSE-CMM SSE-CMM(Systems Security Engineering Capability Maturity Model)是系统安全工程能力成熟度模型。SSE-CMM包括工程过程类Engineering、组织过程类Organization、项目过程类Project。 数据安全能力成熟度模型 数据安全能力从组织建设、制度流程、技术工具及人员能力四个维度评估 组织建设——数据安全组织机构的架构建立、职责分配和沟通协作制度流程——组织机构关键数据安全领域的制度规范和流程落地建设技术工具——通过技术手段和产品工具固化安全要求或自动化实现安全工作人员能力——执行数据安全工作的人员的意识及专业能力 软件安全能力成熟度模型 软件安全成熟度模型分成五级各级别的主要过程如下 CMM1级——补丁修补CMM2级——渗透测试、安全代码评审CMM3级——漏洞评估、代码分析、安全编码标准CMM4级——软件安全风险识别、SDLC实施不同安全检查点CMM5级——改进软件安全风险覆盖率、评估安全差距。
4.2.6 纵深防御模型 纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来针对保护对象部署合适的安全措施形成多道保护线各安全防护措施能够相互支持和补救尽可能地阻断攻击者的威胁。目前安全业界认为网络需要建立四道防线1安全保护、2安全监测、3实时响应、4恢复。
4.2.7 分层防护模型 分层防护模型针对单独保护节点以OSI 7层模型为参考对保护对象进行层次化保护典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层然后针对每层的安全威胁部署合适的安全措施进行分层防护。
4.2.8 等级保护模型 等级保护模型是根据网络信息系统在国家安全、经济安全、社会稳定和保护公民利益等方面的重要程度结合系统面临的风险、系统特定的安全保护要求和成本开销等因素将其划分成不同的安全保护等级采取相应的安全保护措施以保障信息和信息系统的安全。
4.2.9 网络生存模型 网络生存性是指在网络信息系统遭受入侵的情形下网络信息系统仍然能够持续提供必要服务的能力。目前国际上的网络信息生存模型遵循“3R”的建立方法。3R策略抵抗Resistance、识别Recognition、恢复Recovery。
4.3 网络安全体系建设原则与安全策略
4.3.1 网络安全原则 网络安全体系在建立过程中主要遵循以下原则
系统性和动态性原则纵深防护与协作性原则网络安全风险和分级保护原则标准化与一致性原则技术与管理相结合原则安全第一预防为主原则安全与发展同步业务与安全等同人机物融合与产业发展原则
4.3.2 网络安全策略 网络安全策略是有关保护对象的网络安全规则及要求其主要依据网络安全法律法规和网络安全风险。通常情况下一个网络安全策略文件应具备以下内容
涉及范围该文件内容涉及的主题、组织区域、技术系统有效期所有者责任参考文件策略主体内容复查违规处理。
4.4 网络安全体系框架主要组成和建设内容
4.4.1 网络安全体系组成框架
网络安全法律法规网络安全策略网络安全组织网络安全管理网络安全基础设施及网络安全服务网络安全技术网络信息科技与产业生态网络安全教育与培训网络安全标准与规范网络安全运营与应急响应网络安全投入与建设
4.4.2 网络安全策略建设内容 一般来说网络安全策略的相关工作主要如下
调查网络安全策略需求明确其作用范围网络安全策略实施影响分析获准上级领导支持网络安全策略工作制订网络安全策略草案征求网络安全策略有关意见网络安全策略风险承担者评估上级领导审批网络安全策略网络安全策略发布网络安全策略效果评估和修订。
4.4.3 网络安全组织体系构建内容
网络安全组织的领导层网络安全组织的管理层网络安全组织的执行层网络安全组织的外部协作层
4.4.4 网络安全管理体系构建内容
网络安全管理策略第三方安全管理网络系统资产分类与控制人员安全网络物理与环境安全网络通信与运行网络访问控制网络应用系统开发与维护网络系统可持续性运营网络安全合规性管理
4.4.5 网络安全基础设施及网络服务构建内容 网络安全基础设施主要包括网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心。
4.4.6 网络安全技术体系构建内容 一般来说网络安全技术的目标是通过多种网络安全技术的使用实现网络用户认证、网络访问授权、网络安全审计、网络安全容灾恢复等网络安全机制以满足网络信息系统的业务安全、数据安全的保护需求。
4.4.7 网络信息科技与产业生态构建内容
4.4.8 网络安全教育与培训构建内容
4.4.9 网络安全标准与规范构建内容
4.4.10 网络安全运营与应急响应构建内容 网络安全运营与应急响应的目标是监测和维护网络信息系统的网络安全状况使其处于可接受的风险级别。其主要的工作内容如下
网络信息安全策略修订和预警网络信息安全态势监测和预警网络信息系统配置检查和维护网络信息安全设备部署和维护网络信息安全服务设立和实施网络信息安全应急预案制定和演练网络信息安全运营与应急响应支撑平台维护和使用。
4.4.11 网络安全投入与建设构建内容
4.5 网络安全体系建设参考案例
4.5.4 ISO 27000信息案例管理体系应用参考 ISO 27000信息安全管理标准最初起源于英国的BS7799。 信息安全管理系统ISMS按照PDCA不断循环改进。其主要步骤阐述如下 1计划Plan。建立ISMS识别信息资产及其相关的安全需求评估信息安全风险选择合适的安全控制措施管理不可接受的风险。 2执行Do。实现和运行ISMS实施控制和运维管理。 3检查Check。监测和评估ISMS。 4处理Act。维持和改进ISMS。 ISO 27001给出的信息安全管理目标领域共计11项即安全策略、安全组织、资产管理、人力资源安全、物理与运行管理、访问控制、信息系统获取开发与维护、信息安全事件管理、业务持续运行、符合性。ISO 27002则根据ISO 27001的39个控制目标给出了实施安全控制的要求。详细内容请参见标准文档。
