网络安全模型介绍

第1章网络安全模型介绍在介绍网络安全能力成熟度模型之前，为便于后续对模型阶段、内容和过程域进行设定，先介绍几个流行的网络安全模型。只有充分考虑模型的含义、内容和外延，才能在尽可能多的场景中灵活运用它们。随着网络安全领域的发展，网络安全模型也在不断地发生变化。本章将介绍目前网络安全领域较为流行的模型，包括诞生最早的防护检测响应模型、前些年提出的信息保障技术框架、这几年大热的自适应安全架构以及系统管理和网络安全审计委员会发布的网络安全滑动标尺模型。 1.1　防护检测响应模型防护检测响应（Protection-Detection-Response，PDR）模型是美国国际互联网安全系统（ISS）组织提出的，它是最早体现主动防御思想的网络安全模型。PDR 模型包括防护（Protection）、检测（Detection）、响应（Response）3 个部分。 1）防护。防护是指采用一切可能的措施保护网络、系统以及信息的安全。防护通常采用的技术和方法是加密、认证、访问控制、防火墙隔离以及恶意代码防护等。　2 网络安全能力成熟度模型：原理与实践 2）检测。通过检测可以了解、评估网络和系统的安全状态，为安全防护和安全响应提供依据。检测技术主要包括入侵检测、漏洞检测以及网络扫描等。 3）响应。响应在安全模型中占据重要地位，是解决安全问题最有效的办法。解决安全问题就是处理紧急事件与异常问题，因此，建立响应机制，实现快速安全响应，对网络和系统安全至关重要。 PDR 模型的实现原理是引入时间参数 Pt、Dt 和 Rt，构成动态的、具有时间特性的安全系统。Pt 表示黑客成功入侵系统所需的时间，即从人为攻击开始到攻击成功的时间；Dt 表示检测系统安全的时间；Rt 表示安全运营团队对安全事件的反应时间，即从发现漏洞或攻击触发反应程序到实施防御措施的时间。显然，无论从理论上还是实践上都不可能完全避免攻击，因此只能尽量增大 Pt，为检测和响应留出足够时间，或者尽量减小 Dt 和 Rt，缩短反应和启动防御的时间。根据木桶原理，攻击会在网络安全最薄弱的环节进行突破，因此进一步要求系统内任何一个具体的安全需求应满足：Pt > Dt + Rt。这一要求非常高，实现成本也非常高。在实际操作中，经常有一些无法在攻击前期被检测到的漏洞。针对这类漏洞的攻击实际上满足 Pt < Dt + Rt。设 Et = Dt + Rt - Pt，其中，Et 为暴露时间，此时 Et > 0，而我们的目标是使 Et 尽量小，这样才能快速发现攻击，并对这些攻击做出响应。随着网络安全的发展，从 PDR 模型衍生出了 P2DR 模型、P2DR2 模型，下面进行简要介绍。 1. P2DR 模型 P2DR 模型包括 4 个主要部分：安全策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）。P2DR 模型是在安全策略的控制和指导下，综合运用防护工具（如防火墙、操作系统身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测等）了解和评估系统的安全状态，通过适当的反应将系统调整第 1 章　网络安全模型介绍 3　到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整、动态的安全循环，在安全策略的指导下保证信息系统的安全。 2. P2DR2 模型 P2DR2 是一种基于闭环控制、主动防御的动态安全模型，通过区域网络路由及安全策略的分析与制定，在网络内部及边界建立实时检测、监测和审计机制，应用多样性系统灾难备份恢复、关键系统冗余设计等方法，构造多层次、全方位和立体的区域网络安全环境。 1.2　信息保障技术框架信息保障技术框架（Information Assurance Technology Framework，IATF）是美国国家安全局（NSA）制定的一个全面描述网络安全的保障体系，目的是为美国政府和工业界信息与信息技术设施提供技术指南。信息保障技术框架如图 1-1 所示。IATF 是从整体信息保护的角度来看待网络安全问题，其代表理论为深度防护（Defense-in-Depth）战略。IATF 强调人、技术、操作这 3 个核心原则，关注 4 个网络安全保障领域：网络基础设施、边界安全、计算环境、支撑性基础设施。图 1-1　信息保障技术框架　4 网络安全能力成熟度模型：原理与实践 IATF 代表了信息保障时代信息基础设施的全部安全需求。IATF 颇具创造性的地方在于，它首次提出了信息保障依赖于人、技术和操作共同实现组织职能 / 业务运作的思想，对技术 / 信息基础设施的管理也离不开这 3 个核心原则。IATF 理论阐述了稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在组织信息基础设施的所有层面都能得以实施。下面分别讲解这 3 个核心原则。人是信息体系的主体，是信息系统的拥有者、管理者和使用者。人不仅是信息保障体系的核心，也是信息保障体系的第一位要素。同时由于贪婪、懒惰等人性，人也成为信息保障体系最脆弱的一面。正是基于这样的认识，安全管理在安全保障体系中愈显重要，可以这么说，网络安全保障体系实质上就是一个安全管理的体系，其中包括意识培训、组织管理、技术管理和操作管理等多个方面。技术是实现信息保障的重要手段，信息保障体系具备的各项安全服务就是通过技术机制实现的。当然，这里所说的技术已经不单是以防护为主的静态技术体系，而是防护、检测、响应、恢复并重的动态技术体系。操作也称为运行，它构成了安全保障的主动防御体系。如果说技术的构成是被动的，那么操作就是主动将各方面技术紧密结合在一起的过程，其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。 1.2.1　IATF 的核心思想 IATF 的核心思想是纵深防御战略。所谓纵深防御战略，就是采用一个多层次、纵深的安全措施来保障用户信息及信息系统的安全。在纵深防御战略中，人、技术和操作也是保障信息及信息系统安全的核心因素。除了纵深防御这个核心思想外，IATF 还提出了一些其他的网络安全原则，这些原则对建立信息安全保障体系具有非常重要的意义，下面逐一进行介绍。 1. 保护多个位置原则保护多个位置原则涉及保护网络基础设施、边界安全、计算环境等方面。这第 1 章　网络安全模型介绍 5　一原则提醒我们，仅在信息系统的重要区域设置保护装置是不够的，任何一个系统漏洞都可能引起严重的攻击和破坏，只有在信息系统的各个方位布置全面的防御机制，才能将风险降至最低。 2. 分层防御原则如果说保护多个位置原则是横向防御，那么分层防御原则就是纵向防御，这也是纵深防御思想的一个具体体现。分层防御是在攻击者和目标之间部署多层防御机制，这样的机制会形成一道屏障，隔离攻击者的进攻。每一层防御机制应包括保护和检测措施，使攻击者不得不面临被发现的风险，迫使攻击者因畏惧高昂的代价而放弃攻击行为。 3. 安全强健性原则不同的信息对企业有不同的价值，信息丢失或破坏也会产生不同的影响，因此需要根据被保护信息的价值以及所遭受的威胁程度对信息系统内的每一个网络安全组件设置安全强健性（即强度和保障）。在设计网络安全保障体系时，必须考虑信息价值和安全管理成本之间的平衡。 1.2.2　IATF 体系介绍 1. 网络基础设施防御网络基础设施是各种信息系统和业务系统的中枢，为获取用户数据流和用户信息提供传输机制，它的安全是整个信息系统安全的基础。网络基础设施防御包括：维护信息服务，防止服务攻击（DoS）；保护在整个广域网上进行交换的公共或私人的信息，避免这些信息在无意中泄露给未授权访问者或发生更改、延时以及发送失败的情况，保护数据免受数据流分析的攻击。 2. 边界安全根据业务的重要性、管理等级和安全等级的不同，一个信息系统通常可以划分为多个区域，每个区域是在单一统辖权控制下的物理环境，具有逻辑和物理安全措　6 网络安全能力成熟度模型：原理与实践施。边界安全防御关注的是如何对进出这些边界的数据流进行有效的控制与监视，对区域边界的基础设施实施保护。 3. 计算环境计算环境中的安全防护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。计算环境能够提供包括信息访问、存储、传输、录入等在内的服务。计算环境防御就是要利用识别与认证（I&A）、访问控制等技术确保进出内部系统数据的保密性、完整性和不可否认性。这是信息系统安全保护的最后一道防线。 4. 支撑性基础设施支撑性基础设施是与安全保障体系相关联的活动和提供安全服务的基础设施的总称。目前纵深防御策略定义了两种支撑基础设施：密钥管理基础设施（KMI）/ 公钥基础设施（PKI）和检测与响应基础设施。KMI / PKI 涉及网络环境的各个环节，是密码服务的基础。本地 KMI/PKI 提供本地授权，广域网范围的 KMI/PKI 提供证书、目录以及密钥的产生和发布功能。检测与响应基础设施中的组成部分可预警、检测、识别可能的网络攻击，并做出有效的响应，对攻击行为进行调查分析。 1.3　自适应安全架构 Gartner 在 2014 年的 ISC（Internet Security Conference）上针对高级攻击提出了一套自适应安全架构（Adapted Security Architecture,ASA），这套架构在当时并未引起足够的关注。从 2014 年和 2015 年的十大科技趋势对比中也可以看到，到了 2015 年便开始有基于风险的安全策略和自适应安全。不过，自适应安全架构在刚被提出的两年里，认可度并未得到全面的提升。直到 2017 年，Gartner 把自适应安全架构列入“2017 年十大战略技术趋势”，认为它是现代数字业务的重要组成部分。 Gartner 分析师认为，数字业务是融合了设备、软件、流程和人的智能且复杂的系第 1 章　网络安全模型介绍 7　统，而数字业务的安全保障体系将成为一个复杂的安全世界，这就需要一种持续、连贯和协调的方法来保障其安全性。 1.3.1　自适应安全架构 1.0 在自适应安全架构提出之前，市场上的安全产品主要侧重于解决安全防御和边界防御的问题。基于“安全事件必然发生”假设，Gartner 提出了自适应安全架构 1.0。自适应安全架构 1.0 将人们从加强防御和提升应急响应速度的思路中解放出来，转而关注加强安全监测和安全响应能力。自适应安全架构 1.0 可进行持续的监控和分析，同时引入了全新的预测能力，如图 1-2 所示。图