下载掌阅APP,畅读海量书库
立即打开
等级保护工作的框架及核心思想与经典安全模型(如PDCA、IATF、P2DR)密切相关,其使用的评估方法以风险评估理论、层次分析法、决策论、本体论为基础。下面给出与等级保护相关的核心模型、基础理论以及在等级保护测评中的具体应用。
PDCA过程模型又称为“戴明环”,是戴明博士在质量管理中提出的思想和方法。PDCA过程模型被ISO/IEC 9001、ISO/IEC 14001、ISO/IEC 27001等国际管理体系标准广泛引用,被证明是保证管理体系持续改进的有效模式。等级保护的规定动作:定级、备案、建设整改、等级测评、监督检查及每年/每两年的复评测,就充分借鉴了PDCA过程模型的核心思想。下面结合等级保护测评过程,介绍PDCA过程模型及其在等级保护工作中的应用。
1.模型介绍
PDCA模型主要分成四个阶段:计划(Plan)、执行(Do)、检查(Check)、处理(Act),以四个阶段的首字母命名为PDCA。图2-1给出PDCA模型的基本过程。
1)P(Plan)计划,包括方针和目标的确定,以及活动规划的制定。
2)D(Do)执行,根据已知的信息,设计具体的方法、方案和计划布局;再根据设计和布局,进行具体运作,实现计划中的内容。
图2-1 PDCA过程模型
3)C(Check)检查,总结执行计划的结果,分清哪些对、哪些错,明确效果,找出问题。
4)A(Act)处理,对总结检查的结果进行处理,对成功的经验加以肯定,并予以标准化;对于失败的教训也要总结,引起重视。对于没有解决的问题,应提交给下一个PDCA循环去解决。
以上四个过程不是运行一次就结束,而是周而复始地进行,一个循环结束会解决一些问题,未解决的问题进入下一个循环,这样阶梯式上升。
2.PDCA思想在等级保护工作中的应用
等级保护的5个规定动作是定级、备案、建设整改、等级测评及监督检查,其中系统定级、备案明确了系统安全要求、安全目标及安全规划;建设整改由系统建设者按照系统等级的安全要求开展安全技术和安全管理建设,根据测评结果进行整改,达到相应安全等级的安全保护要求;等级测评主要是由第三方测评机构进行技术和管理层面上的测评活动,发现系统存在的安全差距;监督检查由系统监管单位定期或不定期地检查系统的安全保护现状,发现与等级保护要求的差距,并督促系统责任单位加以整改。等级保护的5个规定动作及其关系如图2-2所示。
图2-2 等级保护的5个规定动作及其关系
网络安全等级保护管理办法规定:对于二级信息系统,每两年测评一次;对于三级信息系统,每年需要进行测评一次,该管理办法体现出PDCA过程模型的循环递进思想。整个等级保护工作的PDCA模型如图2-3所示。
图2-3 等级保护工作的PDCA模型
《信息保障技术框架》(Information Assurance Technical Framework,IATF)是美国国家安全局(NSA)制定的,是描述其信息安全保障的指导性文件,提出了分区、分域和深度防御理论概念。我国国家973计划“信息与网络安全体系研究”课题组在2002年将IATF 3.0版引进国内后,IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起到重要的参考与指导作用。
1.IATF模型介绍
IATF的前身是《网络安全框架》(NSF),NSF的最早版本(0.1和0.2版)对崭新的网络安全挑战提供了初始的观察和指南。1998年5月,出版了NSF l.0版,在原有NSF的基础上添加了安全服务、安全强健性和安全互操作性方面的内容。1998年10月又推出了NSF l.1版。1999年8月31日,NSA出版了IATF 2.0,此时正式将NSF更名为IATF。IATF 2.0版将安全解决方案框架划分为4个纵深防御焦点域:保护网络和基础设施、保护区域边界、保护计算环境以及支撑性基础设施。1999年9月22日推出的IATF 2.0.1版本的变更以格式和图形的变化为主,在内容上并无很大的变动。2000年9月推出的IATF 3.0版通过将IATF的表现形式和内容通用化,使IATF扩展出了DoD的范围。2002年9月推出IATF 3.1版本,扩展了“纵深防御”,强调了信息保障战略,并补充了语音网络安全方面的内容。
IATF虽然是在军事需求的推动下由NSA组织开发的,但发展至今,IATF已经可以广泛地适用于政府和各行各业的信息安全工作,它所包含的内容和思想可以给各个行业信息安全工作的发展提供深刻的指导和启示作用。图2-4为信息保障技术框架(IATF)模型,其核心思想是“纵深防御”战略,强调人、技术、操作三个要素,关注保护四个焦点领域:网络和基础设施、区域边界、保护计算环境和支撑性基础设施。
图2-4 信息保障技术框架(IATF)模型
(1)核心思想
“纵深防御”战略是指在一种风险共担的信息环境中,多方共同采取多样化、多层次的综合性防御措施来保障信息和信息安全。“纵深防御”的实质在于当攻击者成功破坏某种安全机制时,安全防御体系仍能够利用其他防御机制为信息系统提供保护,使得能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施和应用系统。
(2)三个要素
人(People)是信息体系的主体,是信息系统的拥有者、管理者和使用者。人不仅是信息保障体系的核心,也是信息保障体系的第一要素。同时由于贪婪、懒惰等因素,人也成为信息保障体系最脆弱的一环。正是基于这样的认识,安全管理在安全保障体系中越显重要,可以这么说,网络安全保障体系实质上就是一个安全管理的体系,其中包括意识培训、组织管理、技术管理和操作管理等多个方面。
技术(Technology)是实现信息保障的重要手段,信息保障体系具备的各项安全服务通过技术机制实现,包括以防护为主的静态技术体系,以及防护、检测、响应、恢复并重的动态技术体系。
操作(Operation)也称为运行,它构成了安全保障的主动防御体系。如果说技术的构成是被动的,那么操作就是主动将各方面技术紧密结合在一起的过程,其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。
(3)四个焦点领域
网络和基础设施主要包括网络传输的各种节点(如路由器、网关等)及其基础设施(如卫星、微波、无线电频谱与光纤等)构成,主要形式包括各类业务网络、城域网、校园网、局域网等。保护网络和基础设施的主要目标是保证网络及相关基础设施的安全,防止数据非法泄露,防止受到拒绝服务攻击以及防止受到保护的信息在发送过程中的延迟、误传或者未发送的情况。主要安全防护方法包括骨干网可用性检测、无线网络安全框架、系统高度互联和虚拟专用网等。网络和基础设施是各种信息系统和业务系统的中枢,是整个信息系统安全的基础。
区域边界是区域的网络设施及其相关网络设备的接入点,保护区域边界主要是对进出某区域(物理区域或者逻辑区域)的数据流进行有效的控制和监视。主要安全防护方法包括病毒及恶意代码防御、防火墙、入侵检测、远程访问、多级别安全等。
保护计算环境是指使用信息保障技术确保数据在进入、离开或驻留在客户机和服务器时具有保密性、完整性和可用性。主要安全防护方法包括使用安全的操作系统、使用安全的应用程序、主机入侵检测、防病毒系统、主机脆弱性扫描、文件完整性保护等。
支撑性基础设施主要是为安全保障服务提供一套相关联的活动与基础设施。支撑性基础设施是网络安全机制赖以运行的基础,主要作用在于保障网络、区域边界和计算环境中网络安全机制的运行,从而实现对信息系统的安全管理、提供安全可靠的服务。目前IATF定义了两种支撑性基础设施,分别是密钥管理基础设施(KMI)、检测和响应基础设施。密钥管理基础设施(KMI)提供一种通用的联合处理方式,以便安全地创建、分发与管理公钥证书和传统的对称密钥,使它们能够为网络、边界区域和计算环境提供安全服务。检测和响应基础设施能够迅速检测并响应入侵行为,需要入侵检测与监视软件等技术解决方案以及训练有素的专业人员的支持。
2.IATF的安全原则和特点
(1)保护多个位置原则
纵深防御模型可以保护网络和基础设施、区域边界、计算环境等方面,为信息系统提供全方位安全防护。
(2)分层防御原则
分层防御是指在攻击者和信息系统之间部署多层防御机制,每一个防御机制必须对攻击者形成一道屏障。当某一个安全防御机制失效时,其他防御机制可以为信息系统提供安全防御保护。每一个安全防御机制中还应包括保护和检测措施,以使攻击者不得不面对被检测到的风险,迫使攻击者由于高昂的攻击代价而放弃攻击行为。
(3)安全健壮性原则
不同的信息对于组织有不同的价值,该信息丢失或破坏所产生的后果对组织也有不同的影响。对信息系统内每一个信息安全组件设置的安全强健性(即强度和保障),取决于被保护信息的价值以及所遭受的威胁程度。在设计信息安全保障体系时,必须要考虑到信息价值和安全管理成本的平衡。
IATF的特点是采用全方位防御、纵深防御,将信息系统风险降到最低,从而保障信息系统的安全性。信息安全不仅仅是一个技术问题,还是一项复杂的系统工程,其中人为因素也是不容忽视的。IATF框架提出结合“人”这一要素,将人员管理和人员培训纳入到框架中。提高管理人员的安全意识和安全防护能力,也是信息系统安全管理中一项必不可少的要求。
3.IATF在等级保护中的应用
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理共10个方面提出安全要求(见图2-5),这充分体现出IATF的“纵深防御”战略,强调人、技术、操作三个要素,同时也涉及IATF关注保护的四个焦点领域:网络和基础设施、区域边界、计算环境和支撑性基础设施。
图2-5 网络安全等级保护基本要求内容
a)安全技术要求 b)安全管理要求
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019)中不仅提出单元测评,还涉及安全控制点间、不同区域/层面间的关联测评分析,从系统、网络、应用等层次分别评估身份鉴别、访问控制、恶意病毒防护、安全审计、资源控制、入侵方法等,这也充分体现出IATF模型的分层防御和多个位置保护的原则。
1.P2DR模型
P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,也是动态安全模型的雏形。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
P2DR模型包括四个主要部分:Policy(策略)、Protection(防护)、Detection(检测)和Response(响应),如图2-6所示。
图2-6 P2DR模型
(1)策略(Policy)
策略是P2DR模型的核心,所有的防护、检测和响应都依据安全策略实施。网络安全策略一般由总体安全策略和具体安全策略两个部分组成。
(2)防护(Protection)
根据系统可能出现的安全问题而采取的预防措施,这些措施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、访问控制、授权、虚拟专用网(VPN)、防火墙、安全扫描和数据备份等。
(3)检测(Detection)
当攻击者穿透防护系统时,检测功能就发挥作用,及时发现系统中正在发生的异常行为,与防护系统形成互补。检测是动态响应的依据。
(4)响应(Response)
系统一旦检测到入侵行为,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
同时,P2DR模型理论的基本原理认为信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为等,都要消耗时间,所以提出用时间来衡量一个体系的安全性和安全能力。对于一个防护体系,当入侵者要发起攻击时,每一步都需要花费时间。攻击成功花费的时间就是安全体系提供的防护时间 t P ;在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为也要花费时间——检测时间 t D ;在检测到入侵后,系统会做出应有的响应动作,这也要花费时间——响应时间 t R 。P2DR模型用数学公式表述为
t P 代表系统为了保护安全目标设置各种保护后的防护时间,或者理解为在这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间。 t D 代表从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。 t R 代表从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。针对需要保护的安全目标,如果式(2-1)满足 t P > t D + t R ,也就是在入侵者危害安全目标之前就能被检测到并及时处理。
如果 t P =0,即式(2-1)的前提是假设防护时间为0,那么, t D 代表从入侵者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。 t R 代表从发现遭到破坏开始,系统能够做出足够的响应,将系统调整到正常状态的时间。比如,对网络服务器(Web Server)被破坏的页面进行恢复。那么, t D 与 t R 的和就是该安全目标系统的暴露时间 t E 。针对需要保护的安全目标, t E 越小,系统就越安全。
2.P2DR思想在等保2.0中的应用
在等保2.0时代,《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)中安全管理制度类别的安全策略部分,明确给出安全策略要求,指出需要制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。同时,将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施。等级保护基本要求不仅包括安全加固、补丁管理、应用防护之类的基础安全,还有全面检测、快速响应、安全分析、追根溯源、响应处理等积极动态的防御措施,强调系统的动态感知能力和监管能力。这些安全保护要求形成一个集攻、防、测、控、管、评的综合防御体系,充分反映出等保2.0时代融入信息安全领域经典模型P2DR的核心思想。
