网络安全体系与网络安全模型
Posted Comrade、t
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全体系与网络安全模型相关的知识,希望对你有一定的参考价值。
网络安全体系特征:
- 整体性:从全局长远的角度实现安全保障,形成人机物一体化的网络安全保护方式
- 协同性:网络安全体系依赖于多种安全机制,通过多种安全机制相互协作,构建系统性的网络安全保护方案;
- 过程性:针对保护对象,网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期;
- 全面性:基于多个维度、多个层面对安全威胁进行管控,构建防护、检测、响应、恢复等网络安全功能;
- 适应性:具有动态演变机制,能够适应安全威胁的变化和需求。
- 有利于系统化了解网络安全风险,确保业务持续开展,并将损失降到最低限度;
- 有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为
- 有利于对组织的网络资产进行全面系统保护,维持竞争优势;
- 有利于组织的商业合作;
- 有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,能提高组织的知名度和信任度。
网络安全体系相关模型
- BLP机密性模型:用于防止非授权信息的扩散,从而保证系统的安全,(可用于实现军事安全策略)
- 简单安全特性:主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级,主机的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读;
- *特性:一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集包含主体的全部范畴,即主体只能向上写,不能向下写。
- BiBa完整性模型:主要用于防止非授权修改系统信息,以保护系统的信息完整性
- 简单安全特性:主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴及包含客体的全部范畴,即主体不能向下读;
- *特性:主机完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上写;
- 调用特性:主体完整性级别小于另一个主体的完整性级别,不能调用另一个主体。
-
信息流模型:访问控制模型的一种变形,简称FM,该模型不检查主体对客体的存取,而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。信息流模型可以用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露,隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取,通过信息流分析以发现隐蔽通道,阻止信息泄露途径。
- 信息保障模型
- PDRR模型:
-
保护:加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等;
检测:入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等;
恢复:数据备份、数据修复、系统恢复等;
响应:应急策略、应急机制、应急手段、入侵过程分析、安全状态评估等。
-
- P2DR模型:策略、防护、检测、响应
- WPDRRC:预警、保护、检测、响应、恢复、反击
- PDRR模型:
- 能力成熟度模型:网络安全方面的成熟度模型主要有SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型
- 1级-非正式执行:具备随机性、无序、被动的过程;
- 2级-计划跟踪:具备主动、非系统化的过程;
- 3级-充分定义:具备正式的、规范的过程‘
- 4级-量化控制:具备可量化的过程;
- 5级-持续优化:具备可持续优化的过程。
-
软件安全能力成熟度模型:
CMM1级 — 补丁修补
CMM2级 — 渗透测试、安全代码评审;
CMM3级 — 漏洞评估、代码分析、安全编码标准;
CMM4级 — 软件安全风险识别、SDLC实施不同安全检查点;
CMM5级 — 改进软件安全风险覆盖率、评估安全差距。
- 纵深防御模型:形成多道防线,目前安全业界认为需建立四道:安全保护线;安全监测;实时响应;恢复。
- 分层防护模型:针对单独的保护节点,以OSI7层模型为参考,对保护对象进行层次化保护,典型保护层次分为:物理层、网络层、系统层、应用层、用户层、管理层。
- 等级保护模型:依据定级规则确定安全等级、按照等级保护要求确定与系统安全等级相对应的基本安全要求、依据系统基本安全要求,并综合平和系统的安全保护要求、所面临的风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用的安全保护措施,并按照其相关要求完成规划,,设计,实施和验收。
- 网络生存模型:指在网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续提供必要服务的能力。3R策略:抵抗、识别、恢复。
网络安全原则
- 系统性和动态性原则;
- 纵深防护和协作性原则;
- 网络安全风险和分级保护原则;
- 标准化和一致性原则;
- 技术和管理相结合原则;
- 安全第一,预防为主原则;
- 安全与发展同步,业务园区等同;
- 人机物融合和产业发展原则
网络安全体系组成框架:包括网络安全法律法规、网络安全策略、网络安全组织、网络安全管理、网络安全基础设施及网络安全服务、网络安全技术、网络信息科技与产业生态、网络安全教育与培训、网络安全标准与规范、网络安全运营与应急响应、网络安全投入与建设等多种要素。
网络安全策略建设内容
网络安全组织体系构建内容
- 网络安全组织领导层
- 网络安全组织管理层
- 网络安全组织执行层
- 网络安全外部协作层
网络安全管理体系构建内容
- 网络安全管理策略
- 第三方安全管理网络系统资产分类和控制
- 人员安全
- 网络物理与环境安全
- 网络访问控制
- 网络应用系统开发与维护
- 网络系统可持续性运营
- 网络安全合规性管理
计算机网络体系结构-第二节体系结构与参考模型2:ISO/OSI模型
文章目录
一:ISO/OSI参考模型简介
OSI(开放式系统互联通信参考模型):是国际化标准组织(ISO)于1984年提出的网络体系结构模型。自下而上依次为 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层;其中低三层统称为通信子网,完成数据传输功能,高三层统称为资源子网,完成数据处理功能,传输层承上启下
OSI参考模型,在理论上获得了成功,但是在市场应用上却是失败的。而之后的TCP/IP模型则更适合于市场,因此获得了成功,OSI参考模型只能成为一种法定标准
二:ISO/OSI参考模型通信流程
分层后整个通信流程类似于收发快递。寄快递时,你需要将信息填写好,然后用包裹封装起来,接着交给快递公司寄送;收到快递时,你需要将包裹一层一层剥开,拿到最终想要的物品(信息)
信息在通信双方的主机上需要经过七层考验,而在经过中间的一些设备时最多只能到达网络层
- 如果两个主机属于同一网段,那就不需要经过网络层,否则需要通过路由器等设备进行转发
对等实体间会有相应的协议,用来规定如何封装数据和解析数据
这七层模型中:
- 上面四层是中间系统(例如路由器、网关等)用不到的,实现了一种逻辑上的连通(就好像信息“直接”从主机 A A A传到了主机 B B B),因此实现了端到端通信
- 下面三层所负责的就是“信息下一步应该要传到哪里、是否需要进行转发”等问题,传输的过程中可能需要很多点、发送很多次才能完成,因此实现了点到点通信
通信流程:总的来说,网络中信息在传输时需要经历封包和解包两个过程
- 封包:每一层都将上一层传过来的数据看作源信息,并附加本层的首部(或尾部),然后传送给下一层
- 解包:每一层在取走本层的包后,然后将数据传送给下一层进行解包
三:ISO/OSI参考模型各层功能及涉及协议(重点)
下图比较重要
(1)应用层(Application Layer)
应用层:是OSI模型的最高层,是用户与网络的界面;应用层为特定类型的网络应用提供访问OSI环境的手段;用户的实际应用多种多样,所以这也就要求应用层采用不同的协议来解决不同类型的应用要求,比如QQ、浏览器等等;典型的协议有
- FTP(文件传送)
- SMTP(电子邮件)
- HTTP(万维网)
- …
(2)表示层(Presentation Layer)
表示层:用于处理在两个通信系统中交换信息的表示方式(语法和语义);主要有以下功能
- 数据格式变换
- 数据加密解密
- 数据压缩和恢复
(3)会话层(Session Layer)
会话层:向表示层实体/用户进程提供建立连接并在连接上有序传输数据,也即建立同步(SYN);主要有以下功能
- 建立、管理、终止会话
- 使用校验点可以使会话在通信失效时从校验点或同步点继续恢复通信,实现数据同步
(4)传输层(Transport Layer)
(5)网络层(Network Layer)
(6)数据链路层(Data Link Layer)
(7)物理层(Physical Layer)
以上是关于网络安全体系与网络安全模型的主要内容,如果未能解决你的问题,请参考以下文章
计算机网络技术:TCP/IP体系结构将网络分为哪几层?TCP/IP体系结构与OSI模型的对应关系是