软考教材重点内容 信息安全工程师 第 4 章 网络安全体系与网络安全模型

4,1 网络安全体系的主要特征:
(1)整体性。网络安全体系从全局、长远的角度实现安全保障，网络安全单元按照一定的规则，相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式。
(2)协同性。网络安全体系依赖于多种安全机制，通过各种安全机制的相互协作，构建系统性的网络安全保护方案。
(3)过程性。针对保护对象，网络安全体系提供一种过程式的网络安全保护机制，覆盖保护对象的全生命周期。
(4)全面性。网络安全体系基于多个维度、多个层面对安全威胁进行管控，构建防护、检测、响应、恢复等网络安全功能。
(5)适应性。网络安全体系具有动态演变机制，能够适应网络安全威胁的变化和需求。
4.2 网络安全体系相关安全模型（与原版类型要求接近，并相对简单）

1. BLP 机密性模型
模型有两个特性:简单安全特性、*特性。
(1)简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别，主体的范畴集合包含客体的全部范畴，即主体只能向下读，不能向上读。
(2)*特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级，即客体的保密级别不小于主体的保密级别，客体的范畴集合包含主体的全部范畴，即主体只能向上写，不能向下写。
为了实现军事安全策略，计算机系统中的信息和用户都分配了一个访问类，它由两部分组成:
安全级:安全级别对应诸如公开、秘密、机密和绝密等名称;
范畴集:指安全级的有效领域或信息所归属的领域，如人事处、财务处等。
安全级的顺序一般规定为:公开<秘密<机密<绝密。两个范畴集之间的关系是包含、被包含或无关。在一个访问类中，仅有单一的安全级，而范畴可以包含多个。

例 1:（理解例子说明）
文件 F 访问类:笼机密:人事处，财务处};
用户 A 访问类:I 绝密:人事处};
用户 B 访问类:{绝密:人事处，财务处，科技处}。
按照军事安全策略规定，用户 B 可以阅读文件 F，因为用户 B 的级别高，涵盖了文件的范畴。而用户A 的安全级虽然高，但不能读文件 F，因为用户 A 缺少了“财务处”范畴。

4.2.2 BiBa 完整性模型
采用主体、客体、完整性级别描述安全策略要求。BiBa 具有三个安全特性:简单安全特性、*特性、调用特性。模型的特性如下。
(1)简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别，主体的范畴集合包含客体的全部范畴，即主体不能向下读。
(2)*特性。主体的完整性级别小于客体的完整性级别，不能修改客体，即主体不能向上

（3)调用特性。主体的完整性级别小于另一个主体的完整性级别，不能调用另一个主体。

4.2.4 信息保障模型
1. PDRR 模型
美国国防部提出了 PDRR 模型，其中 PDRR 是 Protection, Detection, Recovery, Response 英文单词的缩写。
PDRR 改进了传统的只有保护的单一安全防御思想，强调信息安全保障的四个重要环节。

2. P2DR 模型

P2DR 模型的要素由策略(Policy)、防护(Protection )、检测( Detection )、响应(Response)构成。

3. WPDRRC 模型
WPDRRC 的要素由预警、保护、检测、响应、恢复和反击构成。模型蕴涵的网络安全能力主要是预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。

4.2.5 能力成熟度模型
目前，网络安全方面的成熟度模型主要有 SSE-CMM、数据安全能力成熟度模型、软件安全能力成
熟度模型等。

1. SSE-CMM
SSE-CMM (Systems Security Engineering Capability Maturity Model)是系统安全工程能力成熟度模型。SSE-CMM 包括工程过程类(Engineering )、组织过程类(Organization )、项目过程类(Project)。

4.2.6 纵深防御模型
纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来，针对保护对象，部署合适的安全措施，形成多道保护线，各安全防护措施能够互相支持和补救，尽可能地阻断攻击者的威胁。
目前，安全业界认为网络需要建立四道防线:
安全保护是网络的第一道防线，能够阻止对网络的入侵和危害;
安全监测是网络的第二道防线，可以及时发现入侵和破坏;
实时响应是网络的第三道防线，当攻击发生时维持网络“打不垮”;
恢复是网络的第四道防线，使网络在遭受攻击后能以最快的速度“起死回生”，最大限度地降低安全
事件带来的损失。

4.2.7 分层防护模型
分层防护模型针对单独保护节点，以 OSI 7 层模型为参考，对保护对象进行层次化保护，典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层，然后针对每层的安全威胁，部署合适的安全措施，进行分层防护。

4.2.8 等级保护模型
等级保护模型是根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要
程度，结合系统面临的风险、系统特定的安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全。

4.2.9 网络生存模型

网络生存性是指在网络信息系统遭受入侵的情形下，网络信息系统仍然能够持续提供必要服务的能
力。国际上的网络信息生存模型遵循“3R'，的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。
然后对一定的攻击模式，给出相应的 3R 策略，即抵抗(Resistance )、识别(Recognition)和恢复(Recovery)。

4.3.1 网络安全原则

1.系统性和动态性原则
网络安全防范体系时，应当特别强调系统的整体安全性，也就是人们常说的“木桶原则”，即木桶的
最大容积取决于最短的一块木板。
2.纵深防护与协作性原则
网络安全防范技术都有各自的优点和局限性，各种网络安全技术之间应当互相补充，互相配合，在统一的安全策略与配置下，发挥各自的优点。
3.网络安全风险和分级保护原则
网络安全不是绝对的，网络安全体系要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。分级保护原则是指根据网络资产的安全级别，采用合适的网络防范措施来保护网络资产，做到适度防护。
4.标准化与一致性原则
网络系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联、互通、互操作。
5.技术与管理相结合原则
网络安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育和技术培训。
6.安全第一，预防为主原则网络安全应以预防为主，否则亡羊补牢，为之晚矣。特别是大型的网络，一旦攻击者进入系统后，就难以控制网络安全局面。因此，我们应当遵循“安全第一，预防为主”的原则。

4.4.1 网络安全体系组成框架
网络安全等级保护工作主要包括定级、备案、建设整改、等级测评、监督检查五个阶段。
定级对象建设完成后，运营、使用单位或者其主管部门选择符合国家要求的测评机构，依据《信息安全技术网络安全等级保护测评要求》等技术标准，定期对定级对象的安全等级状况开展等级测评。其中，定级对象的安全保护等级分为五个，
即第一级(用户自主保护级)、
第二级(系统保护审计级)、
第三级(安全标记保护级)、
第四级(结构化保护级)、
第五级(访问验证保护级)。

网络安全等级保护 2.0 的主要变化包括:
一.是扩大了对象范围，将云计算、移动互联、物联网、工业控制系统等列入标准范围，构成了“网络
安全通用要求+新型应用的网络安全扩展要求”的要求内容。
二是提出了在“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。
三是等级保护 2.0 新标准强化了可信计算技术使用的要求，各级增加了“可信验证”控制点。
其中，一级要求设备的系统引导程序、系统程序等进行可信验证;二级增加重要配置参数和应用程序进行可信验证，并将验证结果形成审计记录送至安全管理中心;三级增加应用程序的关键执行环节进行动态可