【引导案例】世界各国高度重视网络安全 。习近平总书记在2014年的会议讲话中强调:没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。近几年来,各国不断加强网络安全顶层设计。欧盟在2020年年底发布《欧盟数字十年网络安全战略》,打响“数字主权”保卫战;美国在2021年发布了《改善国家网络安全行政令》,致力于加强网络空间安全能力;日本在2022年初发布了最新的《网络安全战略》,强化网络空间安全的战略指导。
教学视频
课程视频3.1
1.国际网络空间安全学科知识体系
在国际计算机协会计算机科学教育分会ACM SIGCSE 2018会议上正式发布的 网络空间安全学科知识体系 (CSEC)在国际上具有广泛代表性和权威性,如图3-1所示。
图3-1 网络空间安全学科知识体系
国际网络空间安全学科知识体系 可由低到高 分为4个层面 :第一层 数据及软件安全是核心和关键 ,主要包括软件安全、数据安全和组件安全;第二层和第三层包括连接安全和系统安全(侧重运行安全);第四层包括人员安全、社会安全和组织安全(侧重管理安全)。 网络系统及管理安全是重要基础和保障 ,需要从分析、研发、测试和应用等方面建立系统的安全性,在技术、人员管理、数据信息等方面做好全方位的安全防范,利用法律、政策、伦理、人为因素和风险管理等手段保障系统安全运行。软件安全、组件安全和连接安全是系统安全的重要支撑。
1)人员安全。主要侧重人为因素对数据安全的影响,以及用户行为、知识和隐私对网络安全的影响,包括身份管理、社会工程、安全意识与常识、社交行为的隐私与安全、个人数据安全等。
2)社会安全。注重将社会作为一个整体范畴看待时,网络空间安全对其产生的广泛影响,主要包括法律法规、网络犯罪与监控、政策策略、伦理道德、隐私权、宣传教育等。
3)组织安全。指对组织机构的安全保护,主要包括风险管理、安全治理与策略、法律和伦理及合规性、安全战略与规划、规章制度等。
4)系统安全。注重系统整体的安全防范,主要包括整体方法论、安全策略、身份认证、访问控制、系统监测、系统恢复、系统测试、文档支持等。
5)连接安全。主要指组件之间连接(物理连接与逻辑连接)的安全,主要包括系统及体系结构、模型及标准、物理组件接口、软件组件接口、连接攻击、传输攻击等。
6)软件安全。是指从软件开发和应用两方面保护相关数据和系统安全,主要包括软件基本设计原则、软件安全需求及其在设计中的作用、实现问题、静态与动态分析、配置与加固,以及软件开发、测试、运维和漏洞发布等。
7)数据安全。主要侧重数据(信息资源)的安全保护,包括存储和传输中数据的安全,涉及数据保护相关的知识和技术,主要包括密码及加密技术、安全传输、数据库安全、数字取证、数据完整性与认证、数据存储安全等。
8)组件安全。注重集成到系统中的组件在分析、设计、制造、测试、管理与维护、采购等方面的安全,主要包括系统组件的漏洞、组件生命周期、安全组件设计原则、供应链管理、安全测试、逆向工程等。
2.国内网络空间安全学科知识体系
教育部信息安全教学指导委员会副主任委员、上海交通大学网络空间安全学院院长李建华教授、博导,2018年在“第十二届网络空间安全学科专业建设与人才培养研讨会”上所做的“新工科背景多元化网络空间安全人才培养及学科建设创新”报告中提出了 网络空间安全的学科知识体系, 如图3-2所示。
3.网络空间安全防御体系
由于网络空间安全的威胁和隐患剧增,急需构建新型网络空间安全防御体系,并从传统线性防御体系向新型多层次立体化网络空间防御体系发展。以相关法律、准则、策略、机制和技术为基础,以网络安全管理及运作防御贯彻始终,以第一层物理层防御(子)体系、第二层网络层防御体系和第三层系统层与应用层防御体系构成新型网络空间防御(子)体系,可以实现多层防御的立体化安全区域,将网络空间中的节点分布到所有区域,其中所有活动支撑着其他区域的活动,且其他区域的活动同样可以对网络空间产生影响。构建的一种整体的网络空间安全立体防御体系如图3-3所示。
图3-2 网络空间安全学科知识体系
图3-3 网络空间安全防御体系
1.OSI网络安全体系结构
开放系统互连参考模型(Open System Interconnect,OSI) 由国际标准化组织(ISO)提出,主要用于解决异构网络及设备互联互通的开放式层次结构的研究问题。
X.800是一种安全体系架构,用于安全连接各种开放数字系统。X.800建议书扩展了建议X.200(OSI模型)的应用领域,包括开放系统之间的安全通信,完成了两个任务:
1)OSI参考模型可以提供的安全服务的一般描述。
2)定义参考模型中可以使用服务和机制的位置。
X.800中的 网络安全机制 分为两类,特殊安全机制包括加密、数字签名、访问控制、数据完整性、身份认证、流量填充、路由控制和公证机制,通用安全机制包括可信功能、安全标签、事件检测、安全审计跟踪和安全恢复。
X.800框架内定义了5类 网络安全服务 :
1)认证服务。主要用于网络系统中认定识别实体(含用户、所用设备及操作)和数据源等,包括同等实体鉴别和数据源鉴别两种服务。
2)访问控制服务。访问控制包括身份验证和权限验证。其服务既可防止未授权用户非法访问或使用网络资源,也可防止合法用户越权访问或使用网络资源。
3)数据保密性服务。主要用于数据泄露、窃听等被动威胁的防御措施,可分为数据保密、保护网络系统中传输数据或数据库数据。对于网络系统中传输数据的保密,又分为面向连接保密和无连接保密。
4)数据完整性服务。主要有5种,包括:有恢复功能的面向连接的数据完整性、无恢复功能的面向连接的数据完整性、选择字段面向连接的数据完整性、选择字段无连接的数据完整性和无连接的数据完整性,主要用于满足不同用户、不同场合对数据完整性的要求。
5)不可否认性服务。防止整个或部分通信过程中,任何通信实体进行否认的行为,即防止发送方与接收方双方在执行各自操作后,否认各自所做的操作。
2.TCP/IP网络安全管理体系结构
TCP/IP网络安全管理体系结构 如图3-4所示。 包括立体的3个方面 :(X轴方向)安全服务与安全机制(认证、访问控制、数据完整性、抗抵赖性、可用性及可控性、可审计性)、(Y轴方向)分层安全管理、(Z轴方向)系统安全管理(终端系统安全、网络系统安全、应用系统安全)。综合了网络安全管理、技术和机制各要素,对网络安全整体管理与实施以及效能的充分发挥将起到至关重要的作用。
网络安全是系统工程
图3-4 TCP/IP网络安全管理体系结构
3.网络安全的攻防体系结构
网络安全的攻防体系结构 主要包括两大方面:攻击技术和防御技术。知己知彼,百战不殆,有效防范需要知晓常见攻击技术,主要的攻防体系结构如图3-5所示。
图3-5 网络安全攻防体系结构
常见的主要网络攻击技术 包括以下6种:隐藏IP、网络扫描、网络监听、网络入侵、网络后门、网络隐身。 主要网络安全防御技术 包括:系统安全配置与加固、实体(物理)安全与隔离技术、密码及加密技术、防火墙、计算机病毒查杀、入侵检测与防御技术、统一威胁资源管理(UTM)等。后面将陆续进行介绍。
主要网络攻击/防御技术
网络安全保障体系 如图3-6所示。网络安全保障功能主要体现在对整个网络系统的风险及隐患进行及时评估、识别、控制和应急处理等,便于有效地预防、保护、响应和恢复,确保系统安全运行。
网络安全的保障体系
图3-6 网络安全保障体系
1.网络安全保障关键要素
网络安全保障关键要素 包括4个方面:网络安全策略、网络安全管理、网络安全运作和网络安全技术,如图3-7所示。其中, 网络安全策略 是安全保障的核心,主要包括网络安全的战略、政策和标准。 网络安全管理 是指企事业机构的管理行为,主要包括安全意识、组织结构和审计监督等。 网络安全运作 是机构的日常管理行为,包括运作流程和对象管理。 网络安全技术 是网络系统行为,包括安全服务、措施、基础设施和技术手段。
在企事业机构的管理机制下,只有有效利用运作机制和技术手段,才能真正实现网络安全目标。“七分管理,三分技术,运作贯穿始终”, 网络安全策略是核心,管理是关键,技术是保障 ,其中的管理实际上包括技术方面的管理。通过网络安全运作,在日常工作中认真执行网络安全管理和技术手段,贯彻落实好网络安全策略。
P2DR模型是美国ISS公司提出的动态网络安全保障体系的代表模型,也是一种动态安全模型,包含4个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应),如图3-8所示。
P2DR模型基本概况
图3-7 网络安全保障要素
图3-8 P2DR模型示意图
2.网络安全保障总体架构
对于网络系统面临的各种威胁、隐患和风险,部分机构以往总是针对单一某项安全问题的传统措施,所提出的具体解决方案通常都有一定局限性,防范策略也难免顾此失彼。面对新的网络环境和威胁,需要建立一种以深度防御为特点的网络安全保障体系。 网络安全保障体系总体架构 如图3-9所示。此保障体系架构的外围是风险管理、法律法规、标准符合性。
图3-9 网络安全保障体系架构
网络安全管理的本质 是对网络信息安全风险进行动态及有效地管理和控制。 网络安全风险管理是网络运营管理的核心 ,其中的 风险分为 信用风险、市场风险和操作风险,包括网络信息安全风险。
网络安全的风险管理
实际上,在网络安全保障体系架构中,充分体现了风险管理的理念。 网络安全保障体系架构包括5个部分 :
1)网络安全策略。是整个体系架构的顶层设计,具有总体宏观上的战略性和方向性指导作用。以风险管理为核心理念,从长远发展规划和战略角度整体策划网络安全建设。
2)网络安全政策和标准。是对网络安全策略的逐层细化和落实,包括网络安全管理、运作和技术3个层面,各层面都有相应具体的安全政策和标准,通过统一规范便于真正落实到位。当网络安全管理、运作和技术发生变化时,相应的安全政策和标准也需要及时调整并适应;反之,安全政策和标准也会影响网络安全管理、运作和技术。
3)网络安全运作。对于网络安全实施极为重要,贯穿网络安全始终,也是网络安全管理机制和技术在日常运作中的实现,涉及运作流程和运作管理,包括日常运作模式和流程(风险评估、安全控制规划和实施、安全监控及响应恢复)。
4)网络安全管理。对网络安全运作的保证,从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现,而网络安全管理体系是从人员组织的角度保证正常运作,网络安全技术体系是从技术角度保证运作。
5)网络安全技术。网络安全运作需要网络安全基础服务和基础设施的有力支持。先进完善的网络安全技术可极大地提高网络安全运作的有效性,从而达到网络安全保障体系的目标,实现整个生命周期(预防、保护、检测、响应与恢复)的风险防范和控制。
【案例3-1】可信计算3.0 :可信计算与传统的防火墙等被动防御方式不同,所采取的是主动防御技术。可信计算3.0是我国在网络空间安全架构上的原始创新,是实现我国网络空间安全可信的有效手段。可信计算3.0的核心特征为“宿主+可信”双节点可信免疫架构,使宿主机(计算部件)与可信机(安全部件)分离,通过可信机对宿主机进行安全监控,实现对网络信息系统的主动免疫防护。
由中国工程院多名院士提议成立的中关村可信计算产业联盟于2014年4月16日正式成立,自运行以来发展迅速、成绩显著。工信部起草的《网络安全产业高质量发展三年行动计划(2021—2023年)(征求意见稿)》在重点任务中4次提及了可信计算、主动免疫技术,体现了可信计算技术在未来网络安全产业发展中至关重要的位置及其技术的先进性。工信部印发的《“十四五”信息通信行业发展规划》中强调了“深化数据要素流动,支持信息通信企业和工业企业加快数字化改造升级和数据开放合作,共建安全可信的数据空间”;“全面加强网络和数据安全保障体系和能力建设,打造繁荣发展的网络安全产业和可信的网络生态环境;积极营造安全可信网络生态环境,建设电信大数据共享平台和信息通信行业网络可信服务平台”。
中国工程院沈昌祥院士强调: 可信计算是网络空间战略最核心技术之一 ,应当坚持“五可”“一有”的 技术路线 。 “五可” 包括以下几个方面:一是可知,指对全部的开源系统及代码完全掌握其细节;二是可编,指完全理解开源代码并可自主编写;三是可重构,面向具体的应用场景和安全需求,对基于开源技术的代码进行重构,形成定制化的新体系结构;四是可信,通过可信计算技术增强自主操作系统免疫性,防范自主系统中的漏洞影响系统安全性;五是可用,做好应用程序与操作系统的适配工作,确保自主操作系统能够替代国外产品。“一有”是对最终的自主操作系统拥有自主知识产权,并处理好所使用的开源技术的知识产权问题。
开源技术及纵深防御
讨论思考
1)请简述ISO的网络安全体系结构。
2)网络安全的攻防体系具体包括哪些?
3)网络安全保障体系架构包括哪些?
4)网络空间安全体系包括哪几个方面?
本部分小结及答案