网络安全体系与网络安全模型

一、网络安全体系概述
网络安全体系：是网络安全保证系统的最高层概念抽象，是由各种网络安全单元按照一定的规则组成的，共同实现网络安全的目标

网络安全体系构成：包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素

网络安全体系构建已成为一种解决网络安全问题的有效方法，是提升网络安全整体保障能力的高级解决方案

1.1 网络安全体系特征
整体性：网络安全体系从全局、长远的角度实现安全保障，网络安全单元按照一定的规则，相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式
协同性：网络安全体系依赖于多种安全机制，通过各种安全机制的相互协作，构建系统性的网络安全保护方案
过程性：针对保护对象，网络安全体系提供一种过程式的网络安全保护机制，覆盖保护对象的全生命周期
全面性：网络安全体系基于多个维度、多个层面对安全威胁进行管控，构建防护、检测、响应、恢复等网络安全功能
适应性：网络安全体系具有动态演变机制，能够适应网络安全威胁的变化和需求
1.2 网络安全体系用途
有利于系统性化解网络安全风险，确保业务持续开展并将损失降到最低限度
有利于强化工作人员的网络安全意识，规范组织、个人的网络安全行为
有利于对组织的网络资产进行全面系统的保护，维持竞争优势
有利于组织的商业合作
有利于组织的网络安全管理体系认证，证明组织有能力保障重要信息，能提高组织的知名度与信任度
二、网络安全体系相关安全模型
2.1 BLP机密性模型 
Bell-LaPadula（BLP）模型是一种符合军事安全策略的计算机安全模型，该模型用于防止非授权信息的扩散，从而保证系统的安全

BLP模型特性
简单安全特性：主体（用户等）对客体（文件等）进行读访问的必要条件是主体的安全级别不小于客体的安全级别，主体的范畴集合包含客体的全部范畴，即主体只能向下读，不能向上读（保证了客体的保密性）
*特性（* property）：一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级即客体的保密级别不小于主体的保密级别，客体的范畴集合包含主体的全部范畴，即主体只能向上写，不能向下写（没有保证客体的完整性）
BLP机密性模型可用于实现军事安全策略，该策略规定，用户要合法读取某信息，当且仅当用户的
安全级大于或等于该信息的安全级，并且用户的访问范畴包含该信息范畴时，为了实现军事安全策略，计算机系统中的信息和用户都分配了一个访问类，由两部分组成:

安全级：对应诸如公开、秘密、机密和绝密等名称，按顺序规定为公开<秘密<机密<绝密
范畴级：指安全级的有效领域或信息所归属的领域，如人事处、财务处等
系统访问类例子:

        文件F访问类: {机密: 人事处，财务处} 
        用户A访问类: {绝密: 人事处} 
        用户B访问类: {绝密: 人事处，财务处，科技处}
按照军事安全策略规定，用户B可以阅读文件F，但用户A不能读文件F

2.2 BiBa完整性模型
主要用于防止非授权修改系统信息，以保证系统的信息完整性。该模型同BLP模型类似，采用主体、客体、完整性级别描述安全策略要求

BiBa安全特性
简单安全特性：主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别，主体的范畴包含客体的全部范畴，即主体不能向下读（只能上读没有保证机密性）
*特性：主体的完整性级别小于客体的完整性级别，不能修改客体，即主体不能向上写（只能下写，保证了完整性）
调用特性：主体的完整性级别小于另一个主体的完整性级别，不能调用另一个主体
2.3 信息流模型 （FM）
是访问控制模型的一种变形，简称FM。 该模型不检查主体对客体的存取，而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输

信息流模型可表示为：FM=(N，P，SC，⊗，→)

N：表示客体集
P：表示进程集
SC：表示安全类型集
⊗：表示支持结合、交换的二进制运算符
→：表示流关系
一个安全的FM当且仅当执行系列操作后，不会导致流与流关系→产生冲突

信息流模型可以用于分析系统的隐蔽通道，防止敏感信息通过隐蔽通道泄露。隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取，通过信息流分析以发现隐蔽通道，阻止信息泄露途径

2.4 信息保障模型
包括PDRR模型、 P2DR模型、WPDRRC模型

PDRR模型
改进了传统的只有保护的单一安全防御思想，强调信息安全保证的四个重要环节

保护(Protection)的内容：加密、数据签名、访问控制、认证、信息隐藏、防火墙技术等
检测(Detection)的内容：入侵检测、系统脆弱性、数据完整性、攻击性检测
恢复(Recovery)的内容：数据备份、数据修复、系统恢复等
响应(Response的内容：应急策略、应急机制、应急手段、入群过程分析及安全状态评估等
P2DR模型
构成：策略(Policy) 、防护(Protection) 、检测(Detection) 、响应(Response)，其中，安全策略描述系统的安全需求，以及如何组织各种安全机制实现系统的安全需求

是在整体的安全策略(Policy) 的控制和指导下，在综合运用防护工具(Protection，如防火墙、操作系统身份认证、加密等手段)的同时，利用检测工具(Detection， 如漏洞评估、入侵检测等系统)了 解和评估系统的安全状态，通过适当的响应(Response) 将系统调整到“最安全”和“风险最低”的状态

WPDRRC 模型
构成：预警、保护、检测、响应、恢复和反击

模型蕴涵的网络安全能力主要是预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力

2.5 能力成熟度模型（CMM）
是对一个组织机构的能力进行成熟度评估的模型，一般分为五级:

1级-非正式执行：具备随机、无序、被动的过程
2级-计划跟踪：具备主动、非体系化的过程
3级-充分定义：具备正式的、规范的过程
4级-量化控制：具备可量化的过程
5级-持续优化：具备可持续优化的过程
网络安全方面的成熟度模型
主要有SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型等

1.SSE-CMM (Systems Security Engineering Capability Maturity Model)：系统安全工程能力成熟度模型，包括工程过程类(Engineering) 、组织过程类(Organization) 、项目过程类(Project) 

2.数据安全能力成熟度模型

从组织建设、制度流程、技术工具及人员能力四个维度评估

组织建设：数据安全组织机构的架构建立、职责分配和沟通协作
制度流程：组织机构关键数据安全领域的制度规范和流程落地建设
技术工具：通过技术手段和产品工具固化安全要求或自动化实现安全工作
人员能力：执行数据安全工作的人员的意识及专业能力
模型架构如图

3.软件安全能力成熟度模型，分为五级:

CMM1级：补丁修补
CMM2级：渗透测试、安全代码评审
CMM3级：漏洞评估、代码分析、安全编码标准
CMM4级：软件安全风险识别、SDLC实施不同安全检查点
CMM5级：改进软件安全风险覆盖率、评估安全差距
2.6 纵深防御模型
基本思路：将信息网络安全防护措施有机组合起来，针对保护对象，部署合适的安全措施，形成多道保护线，各安全防护措施能够互相支持和补救，尽可能地阻断攻击者的威胁

四道防线
安全保护：能够阻止对网络的入侵和危害
安全监测：可以及时发现入侵和破坏
实时响应：当攻击发生时维持网络“打不垮”
恢复：使网络在遭受攻击后能以最快速度“起死回生”，最大限度地降低安全事件带来的损失
2.7 分层防护模型
针对单独保护节点，以0SI 7层模型为参考，对保护对象进行层次化保护

典型保护层次划分：物理层、网络层、系统层、应用层、用户层、管理层

针对每层的安全威胁，部署合适的安全措施，进行分层防护

2.8 等级保护模型
是根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度，结合系统面临的风险、系统特定的安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全

2.9 网络生存模型
网络生存性：指网络信息系统遭受入侵的情形下，网络信息系统仍然能够持续提供必要服务的能力

目前，国家上的网络信息生存模型遵循“3R”的建立方法

首先，将系统划分成不可攻破的安全核和可恢复部分
然后，对一定的攻击模式，给出相应的3R策略，即抵抗(Resistance)、识别(Recognition)、和恢复(Recovery)
最后，定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式，给出系统需要重点保护的基本功能服务和关键信息等
三、网络安全体系建设原则与安全策略
3.1 网络安全原则
1. 系统性和动态性原则
强调系统的整体安全性，即“木桶原则”（木桶的最大容积取决于最短的一块木板）。网络安全策略根据网络系统的安全环境和攻击适时而变

2. 纵深防护与协作性原则
各种网络安全技术之间应该互相补充，互相配合，在统一的安全策略与配置下，发挥各自的优点

网络安全体系构成

安全评估机制：包括识别网络系统风险，分析网络风险，制定风险控制措施
安全防护机制：根据具体系统存在的各种安全威胁采取相应的防护措施，避免非法攻击的进行
安全监测机制：是获取系统的运行情况，及时发现和制止对系统进行的各种攻击
安全应急响应机制：是在安全防护机制失效的情况下，进行应急处理和及时地恢复信息，降低攻击的破坏程度
3. 网络安全风险和分级保护原则
网络安全体系要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行

分级保护：指根据网络资产的安全级别，采用合适的网络防范措施来保护网络资产，做到适度防护

4. 标准化与一致性原则
网络系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确
保各个分系统的一致性，使整个系统安全地互联、互通、互操作

5. 技术与管理相结合原则
网络安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，必须将各种安全技术与运行管理机制、人员思想教育和技术培训、安全规章制度的建设相结合

6. 安全第一，预防为主原则
网络安全应以预防为主，否则亡羊补牢，为之晚矣。特别是大型的网络，一旦攻击者进入系统后，就难以控制网络安全局面

7. 安全与发展同步，业务与安全等同
网络安全的建设要实现和信息化统一谋划、统一部署、统一推进、统一实施

确保三同步：同步规划、同步建设、同步运行，做到安全与发展协调一致、齐头并进，以安全保发展、以发展促安全，安全与发展同步，业务与安全等同

8. 人机物融合和产业发展原则
要构建“网络安全人力防火墙”，发挥人的主动性，实现“网络安全为人民，网络安全靠人民”

网络安全体系建设要依托网络信息产业的发展，做到自主可控，安全可信，建立持续稳定
发展的网络安全生态，支撑网络安全体系的关键要素可控

3.2 网络安全策略
是有关保护对象的网络安全规则及要求，其主要依据网络安全法律法规和网络安全风险

通常，一个网络安全策略文件应具备以下内容：

涉及范围：该文件内容涉及的主题、组织区域、技术系统
有效期：策略文件适用期限
所有者：规定本策略文件的所有者，由其负责维护策略文件，以及保证文件的完整性，策略文件由所有者签署而正式生效
责任：在本策略文件覆盖的范围内，确定每个安全单元的责任人
参考文件：引用的参考文件，比如安全计划
策略主体内容：这是策略文件中最重要的部分，规定具体的策略内容
复查：规定对本策略文件的复查事宜，包括是否进行复查、具体复查时间、复查方式等
违规处理：对于不遵守本策略文件条款内容的处理办法。
四、网络安全体系框架主要组成和建设内容
 4.1 网络安全体系组成框架

 4.2 网络安全策略建设内容
调查网络安全策略需求，明确其作用范围
网络安全策略实施影响分析
获准上级领导支持网络安全策略工作制订网络安全策略草案
征求网络安全策略有关意见
网络安全策略风险承担者评估
上级领导审批网络安全策略
网络安全策略发布
网络安全策略效果评估和修订
4.3 网络安全组织体系构建内容
主要包括：

网络安全机构设置
网络安全岗位编制
网络安全人才队伍建设
网络安全岗位培训
网络安全资源协同
网络安全组织的建立是网络安全管理工作开展的前提条件

网络安全组织结构主要构成：

领导层：由各部门的领导组成
管理层：由组织中的安全负责人和中层管理人员组成
执行层：由业务人员、技术人员、系统管理员、项目工程人员等组成
外部协作层：由组织外的安全专家或合作伙伴组成
4.5 网络安全管理体系构建内容
网络安全体系涉及内容
管理目标：大的方面包括政治、经济、文化、国防安全等，小的方面则是网络系统的保密、可用、可控等
管理手段：包括安全评估、安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访问控制等
管理主体：大的方面包括国家网络安全职能部门，小方面主要是网络管理员、单位负责人等
管理依据：行政法规、法律、部门规章制度、技术规范等
管理资源：包括安全设备、管理人员、安全经费、时间等
网络安全管理体系的构建涉及内容
1. 网络安全管理策略：给网络信息系统的保护目标提供了具体安全措施要求和保护方法
2. 第三方安全管理：目标是维护第三方访问的组织的信息处理设施和网络资产的安全性

主要工作有:

根据第三方访问的业务需求，必须进行风险评估，明确所涉及的安全问题和安全控制措施
与第三方签订安全协议或合同，明确安全控制措施，规定双方的责任
对第三方访问人员的身份进行识别和授权
3. 网络系统资产分类与控制：网络系统资产的清单列表和分类是管理的最基本工作，它有助于
明确安全管理对象，组织可以根据资产的重要性和价值提供相应级别的保护

资产示例有:

硬件资产：包括计算机、网络设备、传输介质及转换器、输入输出设备、监控设备和安全辅助设备
软件资产：包括操作系统、网络通信软件、数据库软件、通用应用软件、委托开发和自主开发的应用系统及网络管理软件
存储介质：包括光盘、硬盘、软盘、磁带、移动存储器
信息资产：包括文字信息、数字信息，声音信息、图像信息、系统文档、用户手册，培训材料、操作或支持步骤、连续性计划、退守计划、归档信息
网络服务及业务系统：包括电子邮件、Web服务、文件服务等
支持保障系统：包括消防、保安系统、动力、空调、后勤支持系统、电话通信系统、厂商服务系统等
给出资产清单列表后，另外一项工作就是划分资产的安全级别

在企业网络中，资产分四个级别：公开、内部、机密、限制

4. 人员安全：目标是降低误操作、偷窃、诈骗或滥用等人为造成的网络安全风险。在人员安全
工作安排方面

遵循三个原则：多人负责原则、任期有限原则、职责分离原则

5. 网络物理与环境安全：目标是防止对组织工作场所和网络资产的非法物理临近访问、破坏和干扰
6. 网络通信与运行：目标是保证网络信息处理设施的操作安全无误，满足组织业务开展的安全需求
7. 网络访问控制：目标是保护网络化服务，应该控制对内外网络服务的访问，确保访问网络和网络服务的用户不会破坏这些网络服务的安全

要求做到:

组织网络与其他组织网络或公用网之间的正确连接
用户和设备都具有适当的身份验证机制
用户访问信息服务时进行控制
8. 网络应用系统开发与维护：管理目标是防止应用系统中用户数据的丢失、修改或滥用。网络应用
系统设计必须包含适当的安全控制措施、审计追踪或活动日志记录
9. 网络系统可持续性运营：管理目标是防止网络业务活动中断，保证重要业务流程不受重大故障和
灾难的影响
10. 网络安全合规性管理：管理目标是网络系统的设计、操作、使用和管理要依据成文法法规或合
同安全的要求，不违反刑法、民法、成文法、法规或合约义务以及任何安全要求

4.6 网络安全基础设施及网络安全服务构建内容
网络安全基础设施
主要包括：网络安全数字认证服务中心，网络安全运行中心、网络安全测评认证中心

网络安全服务 
服务目标：是通过网络安全服务以保障业务运营和数据安全

服务输出的网络安全保证能力有：预警、评估、防护、监测、应急、恢复、测试、追溯等

服务类型包括：网络安全监测预警、网络安全风险评估、网络安全数字认证、网络安全保护、网络安全检查、网络安全设计、网络安全应急响应、网络安全容灾备份、网络安全测评认证、网络安全电子取证等

4.7 网络安全技术体系构建内容
技术目标：通过多种网络安全技术的使用，实现网络用户认证、网络访问授权、网络安全审计、网络安全容灾恢复等网络安全机制，以满足网络信息系统的业务安全、数据安全的保护需求

对于国家而言，网络安全核心技术的目标：则是要做到自主可控、安全可信，确保网络信息科技的技术安全风险可控，避免技术安全隐患危及国家安全

技术类型：可分为保护类、监测类、恢复类、响应类技术

4.8 网络信息科技与产业生态构建内容
主要目标：确保网络安全体系能够做到安全自主可控，相关的技术和产品安全可信

主要内容：包括网络信息科技基础性研究、IT产品研发和供应链安全确保、网络信息科技产品及系统安全测评、有关网络信息科技的法律法规政策、网络信息科技人才队伍建设等

4. 更多
4.9 网络安全教育与培训构建内容
是构建网络安全体系的基础性工作，是网络安全科技创新的源泉

4.10 网络安全标准与规范构建内容
有利于提升网络安全保障能力，促进网络信息安全科学化管理

4.11 网络安全运营与应急响应构建内容
目标：监测和维护网络信息系统的网络安全状况，使其处于可接受的风险级别

4.12 网络安全投入与建设构建内容
一般企事业单位的网络安全投入主要包括：网络安全专家咨询、网络安全测评、网络安全系统研发、网络安全产品购买、网络安全服务外包、网络安全相关人员凭培训、网络安全资料购买、网络安全应急响应、网络安全岗位人员的人力成本等

五、网络安全体系建设参考案例
5.1 网络安全等级保护体系应用参考
国家网络安全等级保护制度2.0体系框架：风险管理体系、安全管理体系、安全技术体系、网络信任体系、法律法规体系、政策标准体系等

网络安全等级保护工作：定级、备案、建设整改、等级测评、监督检查

定级对象的安全保护等级分为五个：第一级(用户自主保护级)、第二级(系统审计保护级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级)

定级方法流程如下

网络安全等级保护2.0的主要变化
扩大了对象方位，将云计算、移动互联、物联网、工业控制系统等列入标准范围，构成了“网络安全通用要求+新型应用的网络安全扩展要求”的要求内容
提出了在“安全通信网络”“安全区域边界” “安全计算环境” 和“安全管理中心”支持下的三重防护体系架构
等级保护2.0新标准强化了可信计算技术使用的要求，各级增加了“可信验证”控制点，其中：
一级：要求设备的系统引导程序、系统程序等进行可信验证
二级：增加重要配置参数和应用程序进行可信验证，并将验证结果形成审计记录送至安全管理中心
三级：增加应用程序的关键执行环节进行动态可信验证;四级增加应用程序的所有执行环节进行动态可信验证
5.2 智慧城市安全体系应用参考
智慧城市安全体系要素包括：

智慧城市安全战略保障
智慧城市安全技术保障
智慧城市安全管理保障
智慧城市安全建设与运营保障
智慧城市安全基础支撑
智慧城市安全体系框架

5.3 智能交通网络安全体系应用参考
智能交通网络安全体系构成
1. 智能交通网络安全管理体系

架构组成

智能交通网络安全职能整体架构：负责处理产业链中各层级的管理职能分配以及各层级的管理、汇报和协作关系
智能交通产业内网络安全管理框架：负责处理在产业内具体组织和机构的安全管理，具体包括安全治理、安全管理等。
2. 智能交通网络安全技术体系

参考我国WPDRRC信息安全模型和国外最佳实践，明确以“数据层、服务支撑层、平台层、物联网通信层、物联网智能终端”为保护对象的框架，构建智能情报、身份认证、访问控制、加密、防泄漏、防恶意代码、安全加固、安全监控、安全审计和可用性设计等安全技术框架

3. 智能交通网络安全运营体系

三要素组成

运营管理：作用是有效衔接安全管理体系和安全技术体系，通过其有效运转实现安全管理体系、安全技术体系的不断优化提升
网络安全事件周期性管理：覆盖预防(事前)、监控(事中)、响应(事后)，形成自主有效的闭环
工具：主要包括事件管理、工单系统、审计日志、取证工具、安全扫描和合规平台等
4. 智能交通网络安全评价体系

目标：建立有效的评价体系，推动整体体系的持续优化和改进，使整个智能交通网络安全体系形成有效的闭环

5.4 ISO 27000信息安全管理体系应用参考
信息安全管理系统( ISMS) 按照PDCA不断循环改进，主要步骤：

计划(Plan) ：建立ISMS，识别信息资产及其相关的安全需求;评估信息安全风险，选择合适的安全控制措施，管理不可接受的风险
执行(Do)：实现和运行ISMS， 实施控制和运维管理
检查(Check) ：监测和评估ISMS
处理(Act)：维持和改进ISMS
ISO 27000中的PDCA示意图

5.5 NIST 网络安全框架体系应用参考
NIST发布了《提升关键基础设施网络安全的框架》，定义了五个核心功能：

识别(Identify) ：指对系统、资产、数据和网络所面临的安全风险的认识以及确认，类型包括资产管理、商业环境、治理、风险评估、风险管理策略
保护(Protect) ：指制定和实施合适的安全措施，确保能够提供关键基础设施服务，包括访问控制、意识和培训、数据安全、信息保护流程和规程、维护、保护技术
检测(Detect) ：指制定和实施恰当的行动以发现网络安全事件，包括异常和事件、安全持续监测、检测处理
响应(Respond)：指对已经发现的网络安全事件采取合适的行动，包括响应计划、通信、分析、缓解、改进
恢复(Recover) ：指制定和实施适当的行动，以弹性容忍安全事件出现并修复受损的功能或服务，包括恢复计划、改进、通信