购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.5 网络空间安全统一框架

2016年前后,国外的安全词典开始出现“Cyberspace Security”这样的词汇,国内都统一翻译成“网络安全”。今天,整个行业已经形成共识,都将它翻译成“网络空间安全”了。但是网络空间安全目前也只是停留在定义阶段,还没有形成清晰的概念共识。这里提出一个网络空间安全的概念框架—网络空间安全统一框架,以方便大家理解网络空间安全的完整概念(如图2-7所示)。

用信息化概念来描绘整个网络空间时,可以形成一个六层结构:终端层(Terminal Level)、局域网层(Network Level)、互联网层(Internet Level)、网络空间层(Cyberspace Level)、身份层(Identity Level)、信息流层(Information Flow Level)。

图2-7中倒三角的三个顶点,代表了网络空间安全概念中的三个元素:威胁、资产和数据。其中资产是威胁的实施对象,主要是指各类IT基础设施;数据是指资产上承载的一切有价值的信息。

图2-7 网络空间安全统一框架

威胁、资产、数据三要素的关系是:所有威胁会沿着网络空间最外层逐步向内入侵资产,共有五种类型的入侵形式;入侵成功后,资产就会受到不同程度的影响或破坏;数据则会沿着由内向外的路径进行逃逸。通过图2-7可以看到,网络空间安全虽然复杂,但是核心任务却非常简单,就是要防止威胁对资产的入侵和数据向外的逃逸。

终端层的核心是各类终端。终端既是物理世界与数字世界的连接点和交互桥梁,又是数字世界的原点和构建数字世界的基石。一切数据与信息都从终端产生,终端可以是PC、移动设备、服务器这类办公终端,可以是打印机、扫描仪这类哑终端,可以是ATM、收银机这类自助终端,还可以是智能硬件、视频摄像头、闸机这样的IoT终端。

在终端层之上是局域网层。如果是个人环境,就叫家庭网络;如果是企业环境,就叫企业网络。企业网络也是我们常说的边界,它包括内网和网关两个概念。内网是个逻辑概念,它本身又包括三种状态:与互联网联通、逻辑隔离和物理隔离。大型企业会有多张网和多种状态并存的情况。网关是企业内部网络互联或与互联网连接的关口,这种互联依赖于交换机或路由器等网络连接设备。每个交换机或路由器所在的位置就是一个网关,所有安全硬件设备都会放置在这个位置,对进出的访问流量做分析或处置。

局域网层之上是互联网层,这是离我们每个人生活最近的一层,这里包括传统的三大网络:PC网络、移动网络和IDC网络。PC网络是承载个人用户的网络,就是我们常说的小区宽带网;移动网络是承载智能手机用户的网络;IDC网络是承载企业用户的网络,就是各个IDC运营商经营的数据中心网络。

网络空间层则是指在互联网的基础之上构建的云计算与大数据、万物互联等特殊的IT形态。将云计算与大数据放一起说明的原因是它们的基础架构相同,构建安全解决方案的逻辑基本一致。万物互联是物物互联的网络形态,与互联网相交但不重合。

上面提到的终端层、局域网层、互联网层和网络空间层是由物理的IT设备构建的,因此也可以统称为IT层。

身份层是抽象出来的一个逻辑概念,它是物理身份在数字空间的数字身份映射,简称ID。ID本身又是一个非常宽泛的概念,包括代表人身份的身份ID、代表终端身份的终端ID、代表网络身份的网络ID等,很多地方又把ID叫作唯一标识,因为ID在一定范围内不允许重复。

身份层把数字空间里的“人”分成三种角色:攻击者、数字员工和网民。攻击者是威胁的发起者;数字员工是各种组织的内部员工在数字空间的映射;网民是数字空间里的普通群众。这三种角色在不同的场合下可以互相转换。随着安全和威胁的纵深发展,针对身份发起的攻击已经越来越多,身份安全已经成为一个非常重要的前沿课题。

信息流层是进一步抽象出来的概念,如果站在安全的角度对数字空间里的信息进行分类的话,最终都可以分成文件流、访问流、代码流、控制流、业务流、数据流这六种信息流对象。文件流是指各种外部存储中的静态文件或内存中的动态进程,恶意软件往往是该形态;访问流是指网络间的各种协议访问或链接访问,黑客攻击与恶意URL往往是该形态;代码流是指用脚本语言或编译型语言编写的源程序,软件供应链攻击往往会针对这一对象发起,漏洞和Bug也会在这里产生;控制流是数字世界产生的与配置、权限相关的信息流对象,木马、后门、越权攻击、弱口令攻击就是该形态;业务流是指数字世界产生的逻辑流转,业务欺诈、逻辑漏洞就是该形态;数据流是数字世界产生的各种有价值数据,数据泄露就是针对该形态的威胁后果。

网络空间无论如何分层,最终就是上述六种信息在流动,网络空间安全的本质,就是针对这些信息流里的威胁来进行相应的分析和处理。 iioBjUc1qMzVKNiCfKw1mWee0H5+obWEMzukapyqEnS/wMCttMT1+DaAprKqtK3P

点击中间区域
呼出菜单
上一章
目录
下一章
×