NISP二级知识点——2.知识子域：信息安全保障框架

信息安全保障框架

基于时间的PDR与PPDR模型

• PDR模型
• 保护-检测-响应（Protection-Detection-Respone，PDR）模型是信息安全保障工作中的常用模型
• 承认漏洞，正视威胁，采取适度防护、加强检测工作、落实响应、建立对威胁的防护来保障系统的安全
• 出发点：基于时间的可证明的安全模型
• 任何安全防护措施都是基于时间的，超过该时间段，这种防护措施是可能被攻破的
• 当Pt>Dt>Rt,系统是安全的（例如Pt是3个小时，Dt是1个小时，Rt是一个小时，则认为系统是安全的，因为攻击系统的保护机制需要三个小时，而检测和响应只需要两个小时）
• 局限性：Pt、Dt、Rt很难准确定义

  PPDR（Policy Protection Detection Response）模型核心思想

• 所有的防护、检测、响应都是依据安全策略实施
• 全新定义：及时的检测和响应就是安全
• 如果Pt<Dt+Rt,那么，Et=（Dt+Rt）-Pt
• PPDR模型则更强调控制和对抗、考虑了管理的因素，强调安全管理的持续性、安全策略的动态性等。

P2DR模型中的数学法则

• 假设S系统的防护、检测和反应的时间分别是

     Pt（防护时间、有效防御攻击的时间）

     Dt（检测时间、发起攻击到检测到的时间）

     Rt（反应时间、检测到公斤级到处理完成时间）

• 假设系统被对手成功攻击后的时间为

     Et（暴露时间）

• 则该系统防护、检测和反应的时间关系如下：

     如果Pt>Dt+Rt,那么S是安全的；

     如果Pt<Dt+Rt,那么Et=（Dt+Rt）-Pt

信息安全保障技术框架（IATF)

• 美国国家安全局（NSA)制定，为保护美国政府和工业界的信息与信息技术设施提供技术指南
• 核心思想：“深度防御”
• 核心要素

       三个要素：人（第一要素，也是最脆弱的）：意识培训、组织管理、技术管理、操作管理

       技术：防护、检测、响应、恢复

       操作：（也叫运行）风险评估、安全监控、安全审计

       跟踪告警、入侵检测、响应恢复

四个焦点领域

• 保护网络和基础设施
• 保护区域边界
• 保护计算环境
• 支持性基础设施

保护网络和基础设施

目标：网络和支持它的基础设施必须：

1. 防止数据非法泄露
2. 防止受到拒绝服务的攻击
3. 防止受到保护的信息在发送过程中的时延、误传或未发送

方法：

1. 合理规划以确保骨干网可用性
2. 使用安全的技术架构，例如在使用无线网络时考虑安全的技术架构
3. 使用冗余设备提高可用性
4. 使用虚拟专网（VPN)保护通信
5. ......

保护区域边界

• 区域边界：区域的网络设备与其它网络设备的接入点
• 目标：对进出某区域（物理区域或逻辑区域）的数据流进行有效的控制与监视
• 方法

1. 病毒、恶意代码防御
2. 防火墙
3. 入侵检测
4. 远程访问
5. 多级别安全
6. ......

保护计算环境

• 目标：使用信息保障技术确保数据在进入、离开或驻留客户机和服务器时具有保密性、完整性和可用性
• 方法：

1. 使用安全的操作系统
2. 使用安全的的应用程序（app）
3. 主机入侵检测
4. 防病毒系统
5. 主机脆弱性扫描
6. 文件完整性保护
7. ......

支撑性基础设施

目标：为安全保障服务提供一套相互关联的活动与基础设施

• 密钥管理基础设施（KMI）（密码学可以解决一切的安全问题）

       提供一种通用的联合处理方式，以便安全地创建、分发和管理公钥证书和传统的对称密钥，使它们能够为网络、区域和计算环境提供安全服务

• 检测和响应基础设施

      能够迅速检测并响应入侵行为，需要入侵检测与监视软件等技术解决方案以及训练有素的专业人员（通常指计算机应急响应小组（CERT))的支持

安全原则与特点

安全原则

• 保护多个位置（横向防御)
• 分层防御（纵向防御）

攻击类型	第一层防线	第二层防线
被动攻击	链路和网络层加密和流量安全	安全的应用
主动攻击	保卫区域边界	保卫计算环境
内部	物理和人员安全	认证的访问控制、审计
接近攻击	物理和人员安全	技术监督措施
分发攻击	可信软件开发和分发	运行时完整性控制

• 安全强健性（取决于被保护的信息的价值和所遭受的威胁的程度）

IATF的特点

• 全方位防御、纵深防御将系统风险降到最低
• 信息安全不纯粹时技术问题，而是一项复杂的系统工程
• 提出“人”这一要素的重要性，人即管理（技术是安全的基础，管理的安全的灵魂）

缺点：缺乏流程化的管理要求和对业务相关性在信息安全管理体系中的体现，难以体现业务与管理的平衡

信息系统安全保障评估框架-基本概念

信息系统

• 用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、机构人员和组件的总和
• 信息系统自身存在漏洞
• 面临来自内部、外部的安全威胁

信息系统安全保障

• 在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出信息安全保障要求，确保信息系统的保密性、完整性和可用性，把安全风险降到可接受的程度，从而保障系统能够顺利实现组织机构的使命。

信息安全保障解决方案

• 以风险评估和法规要求得出的安全需求为依据
• 考虑系统的业务功能和价值
• 考虑系统风险那些是必须处置的，哪些是可接受的
• 贴合实际具有可实施性
• 可接受的成本
• 合理的进度
• 技术可实现性
• 组织管理和文化的可接受性

舍伍德的商业应用安全架构

SABSA模型架构

• 背景层（业务视图）
• 概念层（架构视图）
• 逻辑层（设计视图）
• 物理层（建设视图）
• 组件层（实施者视图）
• 运营层（服务和管理视图）