基于时间的安全模型
PDR(保护-检测-响应)模型
protection-detection-response是一种理论模型
只有在Pt防护时间(攻击者发起时,保护系统不被攻破的时间)>Dt检测时间(从发起攻击到检测到攻击)+Rt响应时间(从发起攻击到做出有效响应的时间),才认为系统是安全的。Pt,Dt,Rt很难准确定义,攻击者和攻击时间都是变化的
PDDR模型
在PDR模型基础上增加Policy(策略),及时的检测和响应就是安全,及时的检测和恢复就是安全。提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt
- 策略:模型的核心,所有的保护,检测和响应都是依据安全策略实施的,安全策略一般由总体策略和具体策略组成
- 保护:根据系统可能出现的安全问题而采取的防御措施,这些措施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网络、防火墙、安全扫描、数据备份等。
- 检测:攻击者穿透防护系统时,检测功能发挥作用,与防护系统形成互补。检测是动态响应的依据。
- 响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括应急响应和恢复处理,恢复处理又包括系统恢复和信息恢复
PDDR考虑了管理因素,强调安全管理的持续性,安全策略的动态性。但没考虑人员的流动,人员的素质和策略贯彻的不稳定性。
不管是PDR还是PDDR,总体来说还是局限于从技术角度考虑安全问题。
信息安全保障技术框架(IATF)
核心思想
IATF提出信息安全保障的核心思想是纵深防御,采用一个多层次的、纵深的安全措施来保障信息系统安全。
核心三要素
IATF提出的深度防御战略3个核心要素为人、技术、和操作。
- 人是信息系统的主体,也是信息系统的拥有者、管理者和使用者,是信息安全保障的核心,也是信息安全保障的第一要素。
- 技术是实现信息安全保障的重要手段,信息安全保障体系所需要的各项安全服务就是通过技术机制来实现的。
- 操作也称为运行,是信息系统的主动防御体系,和技术手段的被动防御不同,操作就是将各方面技术紧密结合在一起的主动的过程,包括风险评估、安全监控、安全审计、跟踪报告、入侵检测、响应恢复等。
四个焦点
IATF 关注网络和基础设施、区域边界、计算环境、支撑性基础设施4个焦点领域。基于四个焦点领域,结合IATF纵深防御思想进行安全防御从而形成保障框架
- 保护网络和基础设施
网络和其他基础设施是信息系统及业务的支撑,是整个信息系统安全的基础。保护措施- 合理规划以确保骨干网可用性
- 使用安全的技术架构
- 使用冗余设备提高可用性
- 使用VPN保护通信
- 保护区域边界
要合理的将信息系统根据业务、管理方式和安全等级划分不同的安全区域,并明确定义不同网络区域间需要哪些数据传递。在此基础上采取措施对数据进行控制和监视,采取的措施- 在区域边界设置身份认证和访问控制措施
- 在区域边界部署入侵检测系统以发现针对安全区域内的攻击行为
- 在区域边界部署防病毒网关以发现并过滤数据中的恶意代码
- 使用vpn设备以保障安全的接入
- 部署抗拒绝服务攻击设备以应对拒绝服务攻击
- 流量管理、行为管理等其他措施
- 保护计算机环境
计算机环境指信息系统中的服务器、客户机及其中安装的操作系统、应用软件等。保护措施- 安装并使用安全的操作系统和应用软件
- 在服务器部署主机入侵检测系统、防病毒软件和其他安全防护软件
- 定期对系统进行漏洞扫描或者补丁加固,避免系统脆弱性。
- 定期对系统进行安全配置检查,确保最优配置。
- 部署或配置对文件的完整性保护
- 定期对系统和数据进行备份
- 支撑性基础设施
支撑性基础设施是提供安全服务的基础设施及与之相关的一系列活动的综合体。IATF定义了两种类型的支撑性基础设施:密钥管理基础设施KMI/公钥基础设施PKI和检测与响应- KMI/PKI 提供支持密钥、授权和证书管理的密码基础设施并能实现使用网络服务人员确实的身份识别
- 检测和响应 提供入侵检测、报告、分析、评估和响应基础设施,它能迅速检测和响应入侵、异常事件并提供运行状态报告。
- 其他安全机制
- 保护多个位置 不要只保护关键系统,任意一个系统的漏洞都可能导致严重的后果,要有全面的防御机制。
-
分层防御 保护多个位置是横向防御,分层防御是纵向防御,是纵深防御的体现
分层防御示例 - 安全强健性
不同信息对组织价值不同,信息丢失或破环所产生的后果对组织也有不同影响。 设计信息安全保障体系时,必须考虑到信息的价值和安全管理成本的平衡
- 特点
IATF的四个技术焦点区域是一个逐层递进的关系,从而形成的纵深防御系统。IATF最大的缺陷在于缺乏流程化的管理要求和对业务相关性在信息安全管理体系中的体现。在体系中更注重技术消减策略。将管理局限人的因素,难以有效体现业务和安全的平衡概念。
信息安全保障评估框架
相关概念和关系
信息系统安全保障工作的基础和前提是风险管理,最适宜的信息安全策略就是最优的风险管理对策,是一个在有限资源前提下的最优选择问题。
信息系统安全保障评估描述
信息系统安全保障评估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动你先客观的评估。
评估是信息系统安全保障的重要概念,系统所有者可以根据评估所得到的客观结果建立主观的信心。
信息系统安全评估保障描述
- 在信息系统运行环境中,其具体的安全保障控制相对安全要求(目的)的符合性评估
-
信息系统安全保障级的评估
image.png
信息系统安全保障评估模型
国家标准GB/T 20274.1-2006《信息安全技术 信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含保障要素、生命周期和安全特征 3方面
主要特点:
- 将风险和策略作为信息系统安全保障的基础和核心
- 强调信息系统安全保障持续发展的动态安全模型,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程
- 强调综合保障的观念。信息系统的安全保障是通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标,通过对信息系统的技术、管理、工程和人员要求的评估,提供了对信息系统安全保障的信心。
- 通过风险和策略为基础,在整个信息系统安全保障的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息系统的安全特征:信息的保密性、完整性和可用性特征,从而达到保障组织机构执行其使命的根本目的
内容说明:
-
基于信息系统生命周期的信息安全保障
信息系统安全保障生命周期的安全保障要素
- 计划组织阶段:根据组织机构的业务要求、法律法规的 要求、系统所存在的风险等因素,产生了信息系统安全保障要求。在此阶段,信息安全策略应加入信息系统建设和使用决策中。从信息系统建设开始,就应该综合考虑系统的安全保障要求,确保信息系统建设和信息系统安全保障建设同步规划、同步实施。
- 开发采购阶段:此阶段是计划组织阶段的细化和具体体现。在此阶段,进行系统安全需求分析、系统安全体系设计以及相关预算申请和项目准备等活动。在此阶段,应克服传统拘泥于具体技术的片面性,要综合考虑系统的风险和安全策略,将信息系统安全保障作为一个整体,进行系统的设计,建立信息系统安全保障整体规划和全局视野。组织机构可根据具体要求,对系统整体的技术、管理安全保障规划和设计进行评估,以保障对信息系统的整体规划满足组织机构的建设要求和相关国家和行业的要求。
- 实施交付阶段: 在此阶段,组织机构可通过对承建方进行信息安全服务资格要求和人员专业资格要求以确保施工组织的服务能力;组织机构还可通过信息系统安全工程保障对实施施工过程进行监理和评估,最终确保所交付系统的安全性。
- 运行维护阶段:信息系统进入运行维护阶段后,对信息系统的管理、运行维护和使用人员的能力的等方面进行综合保障,是信息系统得以安全正常运行的根本保证。
- 变更:信息系统投入运行后并不是一成不变的,它随着业务和需求的变更、外界环境的变更产生新的要求或增强原有的要求,重新进入信息系统组织计划阶段。
- 废弃阶段:当信息系统不再满足业务要求时,信息系统进入废弃阶段,在这个阶段,需要考虑信息安全销毁等要素
- 信息安全保障要素
- 信息安全技术
- 密码技术
- 访问控制技术
- 审计和监控技术
- 网络安全技术
- 操作系统与数据库安全技术
- 安全漏洞与恶意代码
- 软件安全开发
- 信息安全管理
信息安全管理体系的一部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的方法的体系。 - 信息安全工程
信息安全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以及产品的开发、交付和升级。 - 信息安全人才
信息安全保障要素中,人是最关键也是最活跃的要素。- 所有员工:进行信息安全保障意识教育,具体采取内部培训、在组织机构网站发布相关信息等措施来增强所有员工安全意识
- 涉及信息系统的岗位和职责的员工:需要进行相应的信息安全保障的基本技能培训
- 信息安全专业人员: 应建立更全面、更专业的信息安全保障知识和经验。
- 信息安全保障解决方案
信息安全保障解决方案是一个动态的风险管理过程,是以安全需求为依据设计的。标准格式应包括:引言、信息系统描述、信息系统安全环境、安全保障目的、安全保障要求、信息系统概要规范、ISPP申明,以及符合性声明。
企业安全架构
企业安全架构是企业架构的一个子集,它定义了信息安全战略,包括分层级的解决方案、流程和规程,以及他们与整个企业的战略、战术和运营链接的方式。
-
舍伍德商业应用安全架构
SABSA是一个分层的模型,包括6个层级,第一层从安全的角度定义了业务需求,模型的每一层在抽象方面逐层减少,在细节方面则是逐层增加。
image.png
- 背景层
- 什么类型的系统
- 什么时候使用
- 为什么会用
- 将如何使用
- 谁会使用它
- 它在哪里使用
- 何时可以使用
- 概念层
- 需要安全控制的目标在哪里,为什么要保护,控制的目标是直接来自企业的经营分险分析,是企业安全动机概念化。
- 如何实现保护?在高层次技术和管理安全策略和过程映射框架中,保护业务流程。
- 如何实现安全域框架概念化的保护?这里重要的概念是安全域(逻辑和物理)、域边界和安全组织
- 逻辑层(设计视图)
- 什么?即需要保护的商业信息,它是一个真正的业务逻辑表示
- 为什么?指定的安全和风险管理政策要求
- 如何做? 指定逻辑安全服务,以及如何将他们组合成一个复杂的安全系统,以满足整体业务需求的可重复使用的共同集合
- 谁?指定实体及期相互间的关系、属性。
- 在哪里?指定的安全域和域间的关系
- 什么时候?指定开始时间、期限和生命周期方面与安全相关的日历和时间表
- 物理层面
- 什么?指定的业务数据模型和安全相关的数据结构(表、信息、指针、证书和签名)
- 为什么?指定驱动系统内的逻辑决策规则(条件、方式、程序和行动)
- 如何?指定的安全机制和物理应用
- 谁?指定访问控制系统的人机界面的形式
- 在哪里?主机平台和网络
- 什么时候?指定的时间和顺序
- 组件层(安全架构)
- 什么?信息和通信技术的组成部分
- 为什么? 风险管理相关的工具和产品
- 如何?流程工具和标准
- 谁?人事管理工具和产品
- 在哪里?定位工具和标准
- 什么时候?步骤计时和测序工具
- 运营层(运维管理)
- 什么?服务交付管理
- 为什么?操作风险管理
- 如何?流程交付管理
- 谁?人事管理
- 在哪里?环境管理
- 什么时候?日程管理
-
舍伍德商业架构模型生命周期
image.png
管理和衡量这一活动的重要意义在与提早设定目标绩效指标,一旦该系统投入使用,必衡量目标的实际性能并管理任何一个被发现的偏差
