h5工具广州:推动优化防控措施落
1、网络安全体系的特征
网络安全体系:网络安全保障系统的最高层概念抽象
| 特征 | 内容 |
|---|---|
| 整体性 | 网络安全单元按照一定的规则,相互依赖、相互作用而形成人机物一体化的网络安全保护方式 |
| 协同性 | 通过各种安全机制的相互协作,构建系统性的网络安全保护方案 |
| 过程性 | 网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期 |
| 全面性 | 网络安全体系基于多个维度、多个层面对安全威胁进行管控 |
| 适应性 | 网络安全体系,能够适应网络安全威胁的变化和需求,动态的 |
2、BLP机密性模型
Bel1-LaPadula模型:符合军事安全策略的计算机安全模型,用于防止非授权信息的扩散
BLP模型的两个特征:【下读上写】 简单安全 特性、*特性 (即机密性)
- 简单安全特性:操作者读访问资源时,操作者(主体)的安全级别和范畴都 >= 资源 (客体)
【主体只能向下读,不能向上读 ==》 下读】【读的角度】
- *特性:操作者写访问资源时,操作者【主体】的安全级别和范畴读<= 资源(客体)
【主体只能向上写,不能向下写==》 上写】 【写的角度】
举例说明:
- 文件F的 访问类 : {机密: 人事处、财务处};
- 用户A 访问类:{绝密:人事处};
- 用户B 访问类: {绝密 人事处、财务处、科技处}
主体:用户A 用户B
客体:文件F
安全级别:绝密、机密
范畴:人事处、财务处、科技处
按照军事安全策略规定,用户B可以阅读文件F 因为用户B安全级别高,同时范畴大于文件F; 而用户A 虽然安全级别高,但是范畴不够,所以不能读文件F。
3、BLP机密性模型和Biba完整性模型对比
| BLP机型米模型和Biba完整性模型对比 | ||||
|---|---|---|---|---|
| 口诀 | 简单安全特性 | *特性 | 调用特性 | |
| BLP模型 | 下读 上写 | 主体的安全级别和范畴 >= 客体 | 主体的安全级别和范畴 <= 客体 | 无 |
| Biba模型 | 不能下读 不能上写 不能调用 | 主体的完整性级别和范畴 >= 客体 | 主体的完整性级别 < 客体 | 主体的完整性级别 < 另一个主体 |
4、信息保障模型P2DR、PDRR、WPDRRC模型对比
| Pretection | Detection | Response | Recovery | |||
|---|---|---|---|---|---|---|
| P2DR模型 | 策略 | |||||
| PDRR模型 | / | 保护 | 检测 | 响应 | 恢复 | |
| WPDRRC模型 | 预警 | 反击 |
5、网络安全方面3个能力成熟度模型
网络安全方面的成熟度模型主要有:SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型)
| 模型名称 | 内容 |
|---|---|
| 能力成熟度模型 |
|
| 系统安全工程 能力成熟度模型 | 包括:工程过程类、组织过程类、项目过程类 |
| 数据安全能力 成熟度模型 | 数据安全能力:组织建设、制度流程、技术工具、人员能力四个维度评估 |
| 软件安全能力 成熟度模型 | 分为5级:1级--补丁修补; 2级--渗透测试、安全代码评审; 3级--漏洞评估、代码分析、安全编码标准; 4级--软件安全风险识别、SDLC(软件开发生命周期)实施不同安全检查点; 5级--改进软件安全风险覆盖率、评估安全差距 |
6、网络安全等级保护体系(等保2.0)
- 等级保护制度是中国网络安全保障的特色和基石
- 网络安全等级保护工作主要包括:定级、备案、建设整改、等级测评、监督检查五个阶段
- 定级对象的安全保护等级分为5个,即第一级(用户自主保护级)、第二级(系统保护审计级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级)
- 网络安全等级保护2.0 的主要变化包括:
- 扩大了对象范围
- 提出1个中心,三重防护体系架构
- 强化了可信计算技术使用的要求,增加了”可信验证“控制点
7、软件安全能力成熟度模型CMM
软件安全能力成熟度模型分成五级,各级别主要过程如下:
- CMM 1级 —— 补丁修补;
- CMM 2级 —— 渗透测试、安全代码评审
- CMM 3级 —— 漏洞评估、代码分析、安全编码标准
- CMM 4级 —— 软件安全风险识别、SDLC实施不同安全检查点
- CMM 5级 —— 改进软件安全风险覆盖率 评估安全差距
8、物理安全威胁
| 分类 | 内容 |
|---|---|
| 自然安全威胁 | 地震、洪水、鼠害、雷电 |
| 人为安全威胁 | 盗窃、爆炸、毁坏、硬件攻击 |
| 常见的硬件攻击技术 | 内容 |
|---|---|
| 硬件木马 | 在集成电路IC中植入的”恶意电路“ 在IC的研发设计、生产制造、封装测试、应用等整个生命周期度可能被植入恶意硬件逻辑,形成硬件木马 |
| 硬件协同的恶意代码 | 本身是一个硬件,用来帮助恶意软件,实现越权访问 |
| 硬件安全漏洞利用 | 熔断幽灵属于CPU漏洞,通过cache与内存的关系,可以确定代码、数据在内存中的位置,然后再利用其它漏洞对内存中的代码、数据进行篡改 |
| 基于软件漏洞攻击硬件实体 | 利用软件漏洞,修改物理实体的配置参数,使得物理实体非正常的运行,从而导致物理实体受到破坏【震网病毒】 |
| 基于环境攻击计算机实体 | 利用计算机系统所依赖的外部环境缺陷,导致计算机系统运行出现问题 |
8、物理安全平台等级
物理安全规范:
《信息系统物理安全技术要求(GB/T210522007)》 将信息系统的物理安全进行了分级,并给出设备物理安全、环境物理安全、系统物理安全的各级对应的保护要求,具体要求目标如下:
【信息系统物理安全技术只涉及前4级】
- 第一级物理安全平台为第1级用户自主保护级提供基本的物理安全保护;
- 第二级物理安全平台为第2级系统审计保护级提供适当的物理安全保护;
- 第三级物理安全平台为第3级安全标记保护级提供较高程度的物理安全保护;
- 第四级物理安全平台为第4级结构化保护级提供更高程度的物理安全保护;
9、机房功能区域组成
按照《计算机场地通用规范(GB/f 2887-2011)》的规定,计算机机房可选用下列房间(允许一室多用或酌情增减):
- 主要工作房间:主机房、终端室等
- 第1类辅助房间:低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等
- 第2类辅助房间:资料室、维修室、技术人员办公室
- 第3类辅助房间:储藏室、缓冲间、技术人员休息室、盥洗室
10、机房与数据中心等级划分
| 机房等级 | 划分条件 |
|---|---|
| A级 | 造成严重损害、对机房安全有严格要求、有完善的机房安全措施 |
| B级 | 造成较大损害、对机房安全有较严格要求、有较完善的机房安全措施 |
| C级 | 不属于A、B级的情况 |
| 数据中心等级 | 划分条件 |
|---|---|
| A级 | 造成重大的经济损失、造成公共场所秩序严重混乱 |
| B级 | 造成较大的经济损失、造成公共场所秩序混乱 |
| C级 | 不属于A、B级的情况 |
11、IDC 互联网数据中心
IDC的组成:机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统
IDC机房等级划分:R1、R2、R3 3个级别
| 级别 | 机房基础设施和网络系统冗余能力 | 机房基础设施和网络系统可用性能力 |
|---|---|---|
| R1 | 具备一定的冗余能力 | 不应小于 99.5% |
| R2 | 具备冗余能力 | 不应小于 99.9% |
| R3 | 具备容错能力 | 不应小于99.99% |