软考-网络安全体系与网络安全模型

本文为作者学习文章，按作者习惯写成，如有错误或需要追加内容请留言（不喜勿喷）

本文为追加文章，后期慢慢追加

by 2023年10月

网络安全体系相关安全模型

BLP机密性模型

BLP（Biba-格雷泽-麦克拉伦）模型是一个安全模型，用于计算机系统中对机密性的保护。它是在多层安全的背景下开发的，其基本原则是确保高级别用户不能读取低级别用户的数据。BLP模型通过将信息安全分为多个级别来实现这一目标，每个级别都有唯一的标识符。更高的水平表示更高的机密性，低级别表示更少的机密性。BLP模型还提供了针对数据保护的机制，而不是仅仅依赖于网络保护。

BLP模型基于以下原则：

• 保密性：高级别用户不能访问低级别用户的敏感数据。
• 完整性：高级别用户不能修改低级别用户的数据。
• 可用性：高级别用户可以访问他们需要的数据。

为了实现这些原则，BLP模型使用了以下几个安全规则：

• 读取规则：低级别用户不能读取高级别数据，以防止信息泄露。
• 写入规则：高级别用户不能向低级别用户写入数据，以防止数据污染或篡改。
• 反向流规则：低级别用户不能将数据从高级别用户传输到低级别用户。
• 授权规则：高级别用户需要授权才能向低级别用户写入数据。
  BLP模型可以应用于各种计算机系统，包括操作系统、网络和应用程序等。通过对数据的分类和控制，BLP模型可以有效地保护机密性，确保敏感信息不会泄露。

其特征包括：

• 安全等级：BLP模型基于安全等级来限制访问和数据流动。安全等级通常分为多个级别，如“机密”、“秘密”、“机密但不是特别机密”等。

• 保护规则：BLP模型中的保护规则基于安全等级控制数据的访问和传输。BLP模型有两个基本规则：不允许信息从高等级流向低等级，不允许用户读取高等级的信息。

• 访问控制：BLP模型通过强制访问控制机制限制用户的访问权限。每个用户被赋予一个安全等级，只能访问其安全等级或更低等级的数据。

• 安全性限制：BLP模型中，数据被分为多个安全性等级，这些等级与用户的安全性等级或许可的访问等级进行比较。这种方法可帮助确保高等级数据不会被低等级的用户访问。

• 具有清晰界限的对象：BLP模型中的对象必须具有清晰界限。例如，只有整个文件的安全等级才能进行评估，而不能对文件中的数据进行分析。

• 禁用隐蔽信道：BLP模型禁用隐蔽信道，以确保数据不能以非法的方式传输。隐蔽信道是在未经授权的情况下，从系统中的一个对象向另一个对象传输信息的方式。

总之，BLP模型提供了一种强大的安全机制，以确保信息的安全性和机密性。

BLP模型有两个特性: 简单安全特性（读 )、*特性（写）。

• 简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别，主体的范畴集合包含客体的全部范畴，即主体只能向下读，不能向上读
• 特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级，即客体的保密级别不小于主体的保密级别，客体的范畴集合包含主体的全部范畴，即主体只能向上写，不能向下写。

为了实现军事安全策略，计算机系统中的信息和用户都分配了一个访问类，在一个访问类中，仅有单一的安全级，而范畴可以包含多个。它由两部分组成

• 安全级：对应诸如公开、秘密、机密和绝密等名称，安全级的顺序一般规定为:公开<秘密<机密<绝密
• 范畴集：指安全级的有效领域或信息所归属的领域，如人事处、财务处等。两个范畴集之间的关系是句含、被包含或无关。
  举例：文件F 访问类：（机密：人事处，财务处）
  用户A 访问类:（绝密:人事处）
  用户B 访问类：(绝密:人事处，财务处，科技处）

BiBa完整性模型

BiBa完整性模型（Biba Integrity Model）是计算机系统安全领域中的一种模型，通过对数据的完整性进行严格的管理和控制来保护系统免受不良操作或恶意攻击的影响。BiBa模型认为数据和主体（用户、程序）分别具有三种不同的完整性级别：

• 高完整性（High Integrity）：数据或主体不能被更改或删除，只能添加新的数据或主体。
• 中等完整性（Medium Integrity）：数据或主体可以被修改，但只能被高完整性级别的主体更改。
• 低完整性（Low Integrity）：数据或主体可以被任何主体修改。

BiBa模型通过强制执行完整性级别来保证数据的完整性，从而提高系统的安全性。然而，该模型并不涉及机密性和可用性问题，因此通常与其它模型一起使用来全面保护计算机系统。

BiBa 具有三个安全特性：简单安全特性、 特性、调用特性

• 简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别，主体的范畴集合包含客体的全部范畴，即主体不能向下读。
• *特性。主体的完整性级别小于客体的完整性级别，不能修改客体，即主体不能向上写( 上读下写)
• 调用特性。主体的完整性级别小于另一个主体的完整性级别，不能调用另一个主体

信息保障模型

信息保障模型是指对于信息的安全保护，制定的一系列措施和规范的模型，主要包括以下几个方面：

1. 机构安全：对于信息安全的保护应该由内部员工和外部人员共同维护，要建立保密制度，规范信息的采集、存储、传输、处理和销毁等方面的操作管理。

2. 访问控制：对于系统的进入和出去，需要指定访问权限、密码验证、身份认证等措施，保证信息的保密性、完整性和可用性。

3. 数据加密：对于重要的核心数据采用加密技术进行保护，其中包括对于敏感数据的传输和存储加密，避免数据被窃取或破坏。

4. 网络安全：对于网络的安全需要建立网络安全策略、防火墙、数据包过滤器、入侵检测系统等措施，保证网络不会被攻击、破坏和窃取。

5. 应急响应：当出现信息安全问题，需要建立应急响应机制，迅速进行事件处置，尽快恢复信息系统的正常运行。

总的来说，信息保障模型是一种综合性的保护措施，通过建立合适的制度、技术和管理手段，可以最大限度地提高信息系统的安全性和可靠性，确保信息不会被窃取、篡改、破坏和泄露。

信息保障模型
美国国防部提出了PDRR 模型，改进了传统的只保护的单一安全防御思想，强调信息安全保障的四个重要环节。
美国ISS公司提出的动态网络安全体系的代表模型。P2DR 模型的要素由策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)构成。

• 防护(Protection)的内容主要有加密机制、数据签名机制、i访问控制机制、认证机制、信息隐藏、防火墙技术等。

• 检测(Detection)的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等

• 恢复(Recovery)的内容主要有数据备份数据修复、系统恢复等

• 响应(Response)的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等

• 区分: 第一章网络应具备的基本功能防御/监测/应急/恢复

WPDRRC 的要素由预警、保护、检测、响应、恢复和反击构成。模型蕴涵的网络安全能力主要是预警保护能力、检测能力、响应能力、恢复能力和反击能力。

能力成熟度模型

能力成熟度模型（Capability Maturity Model，简称 CMM）是一种软件开发过程成熟度模型，由美国卡内基梅隆大学软件工程研究所所开发，用于评估企业的软件开发能力水平。

CMM 通过分阶段描述企业在软件开发过程中的能力成熟度，从初始级别到最高级别依次为：

1. 初始级别（Initial）：初始级别的企业软件开发过程非常不稳定，缺乏统一的流程和策略，往往是随意的。

2. 可重复级别（Repeatable）：可重复级别的企业已经建立了基本的软件开发流程和规范，能够在相同的环境下重复使用这些规范。

3. 定义级别（Defined）：定义级别的企业建立了详细的软件开发流程和规范，能够对整个开发过程进行管理。

4. 管理级别（Managed）：管理级别的企业能够通过度量和计量来管理软件开发活动，以确保开发过程的稳定性和可预测性。

5. 优化级别（Optimizing）：优化级别的企业不断改进自己的软件开发过程，以适应变化的业务需求。

CMM 有助于企业评估自己的软件开发能力水平，找出自己的短板，并制定改进计划，以提高整体的软件开发质量和效率。

软件安全能力成熟度模型分成五级：

• CMM1 级-补丁修补
• CMM2 级-渗透测试、安全代码评审
• CMM3 级-漏洞评估、代码分析、安全编码标准
• CMM4 级-软件安全风险识别、SDLC 实施不同安全检查点
• CMM5 级-改进软件安全风险覆盖率、评估安全差距

数据安全能力成熟度模型

数据安全能力成熟度模型是一种评估企业数据安全能力的方法，目的是帮助企业了解其数据安全管理的成熟度、识别风险并确定改进方向和重点。

该模型通常包括以下阶段：

1. 初级阶段：企业缺乏数据安全意识和策略，数据保护措施不完善，缺少安全意识培训和监管体系。

2. 中级阶段：企业开始意识到数据安全的重要性，并采取了一些基本的数据安全措施，例如防火墙、病毒扫描等。

3. 高级阶段：企业建立了完整的数据安全管理体系，拥有专门的数据安全团队和安全运营中心，可以对整个企业的数据安全进行全面的监测和保护。

4. 优秀阶段：企业不断优化数据安全管理，建立了高效的应急响应机制，可以快速有效地应对各种安全事件。

通过对企业数据安全能力的评估，企业可以了解自身的数据安全状况，发现不足之处，并根据所处的阶段确定改进方向和重点，以提高数据安全保护水平。

等级保护模型

等级保护模型（Protection Level Model）是一种常见的计算机安全模型，用来描述和控制系统中不同对象（如文件、进程、用户等）之间的访问权限。等级保护模型将对象和主体分成几个不同的安全等级，描述了它们之间的安全性质和访问控制规则，确保系统中的信息资源受到必要的保护。

等级保护模型通常包括以下几个组成部分：

1. 安全等级集合：系统中所有对象和主体都被归为不同的安全等级。

2. 安全性质：每个安全等级都包含一些安全性质，描述了该等级的安全特征，如机密性、完整性、可用性等。

3. 安全状态：系统中的每个对象和主体都被赋予一个安全状态，表示该对象或主体在系统中的访问权限。

4. 访问控制规则：系统根据安全等级和安全状态定义访问控制规则，控制对象和主体之间的访问。

等级保护模型是一种基于多层安全的模型，可以通过对系统中的对象和主体进行分类和限制访问来保护信息资源的安全性。它被广泛应用于各种计算机系统和网络安全领域，如操作系统、数据库管理系统、网络安全等。

《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。国家等级保护制度2.0标准已执行。体系框架包括风险管理体系、安全管理体系、安全技术体系、网络信任体系、法律法规体系、政策标准体系等。

等级保护的内容

网络安全等级保护工作主要包括定级、备案、建设整改、等级测评、监督检查五个阶段。
定级对象的安全保护等级分为五个，即第一级（用户自主保护级）、第二级（系统保护审计级）、第三级（安全标记保护级）、第四级（结构化保护级）、第五级（访问验证保护级）。
定级方法流程：

1. 确定业务信息安全受到破坏时所侵害的客体
2. 综合评定对客体的侵害程度
3. 业务信息安全等级
4. 确定系统服务安全受到破坏时所侵害的客体
5. 综合评定对客体的侵害程度
6. 系统服务安全等级
7. 定级对象的初步安全保护等级

网络安全等级保护2.0的主要变化包括：

• 扩大了对象范围，将云计算、移动互联、物联网、工业控制系统等列入标准范围，构成了“网络安全通用要求新型应用的网络安全扩展要求“的要求内容。
• 提出了在“安全通信网络””安全区域边界””安全计算环境”和”安全管理中心”支持下的三重防护体系架构
• 等级保护2.0 新标准强化了可信计算技术使用的要求，各级增加了”可信验证”控制点。其中，一级要求设备的系统引导程序、系统程序等进行可信验证，二级增加重要配置参数和应用程序进行可信验证，并将验证结果形成审计记录送至安全管理中心，三级增加应用程序的关键执行环节进行动态可信验证，四级增加应用程序的所有执行环节进行动态可信验证。

纵深防御模型

纵深防御模型的基本思路是将信息网络安全防护措施有机组合起来，形成多道保护线。安全保护是网络的第一道防线；安全监测是网络的第二道防线；实时响应是网络的第三道防线；恢复是网络的第四道防线。

分层防护模型

分层防护模型以QSL7 层模型为参考，对保护对象进行层次化保护。

网络生存模型

网络生存性是指在网络信息系统遭受入侵的情形下，仍然能够持续提供必要服务的能力。遵循”3R”的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式，给出相应的3R 策略，即抵抗(Resistance)、识别(Recognition)和恢复(Recovery)。最后，定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式，给出系统需要重点保护的基本功能服务和关键信息等。

网络安全原则

1. 系统性和动态性原则 （ 整体安全性的木桶原则）
2. 纵深防护与协作性原则
3. 网络安全风险和分级保护原则
4. 标准化与一致性原则
5. 技术与管理相结合原则
6. 安全第一，预防为主原则
7. 安全与发展同步，业务与安全等同
8. 人机物融合和产业发展原则
9. 分权制原则

网络安全体系框架组成和建设内容

网络安全基础设施主要包括网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心。
网络安全服务类型主要包括网络安全监测预警、网络安全风险评估、网络安全数字认证、网络安全保护、网络安全检查、网络安全审计、网络安全应急响应、网络安全容灾备份、网络安全测评认证、网络安全电子取证等。
ISO的开放系统互连安全体系结构包含安全机制、安全服务、OSI参考模型。