|
从上世纪90年代开始,网络安全的研究从不惜一切代价把人侵者阻挡在系统之外的防御思想,开始转变为预防一检测一攻击响应一恢复相结合的思想,强调网络系统在受到攻击的情况下,信息系统的稳定运行能力。PDRR信息安全模型就是在这一思想下被提出来的。 PDRR信息安全模型的结构如下图所示,他将策略是分别作用于防护、检测、响应与恢复等四个环节中去,这四个环节构成一个动态的信息安全防护周期。 安全策略共有四个部分: 安全策略第一部分:防御阶段。根据系统已知的安全问题作出防御措施,比如打补丁,访问控制,数据加密等等。 安全策略第二部分:检测阶段。当攻击者穿透了防御系统,检测系统就会报警,报警内容要包括攻击者的身份,攻击源头以及系统损失情况 安全策略第三部分:响应阶段。一旦检测出入侵,响应部分就立即做出反应,包括应急处理以及业务保证等。 安全策略第四部分:恢复阶段。入侵事件发生后,系统恢复到初始状态。 PDRR可以系统化的解决信息安全问题,安全产品与系统可以方便依照这四个组件进行搭建,为用户提供体系化的安全服务与保障。 但PDRR只给出了实施方法,没有给出具体的量化来确保系统的安全,虽然涵盖了全部的生命周期,其动态防护性却无法充分体现。
P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,也是动态安全模型的雏形。 根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。所有的防护、检测和响应都是依据安全策略实施的。 P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。 “时间”是P2DR模型的核心要素。不管是攻击时间,还是防护以及响应都要消耗时间,所以P2DR 模型就可以用一些典型的数学公式来表达安全的要求,这里面有两层含义。
假设Pt是保护时间(或者黑客攻击成功花费的时间),Dt是检测时间,Rt是恢复时间。 网络安全的含义就是及时检测和立即响应: 当Pt > Dt + Rt 时,网络处于安全状态; 当Pt < dt="" +="" rt="" 时,=""> 当Pt = Dt + Rt 时, 网络安全处于临界状态。 Pt 的值越大说明系统的保护能力越强, 安全性越高。
假设Et为从发现破坏系统行为到将系统恢复正常的时间。 如果防护时间Pt=0时,则Et = Dt + Rt 此时的解决安全问题的有效方法就是降低检测时间Dt 和响应时间Rt 。 综上所述,P2DR给了安全全新定义, “及时的检测和响应就是安全”; “及时的检测和恢复就是安全”。 而且,这样的定义为安全问题的解决给出了明确的方向:提高系统的防护时间 Pt,降低检测时间 Dt和响应时间 Rt。 PPDR及其衍生的模型对实践有较好的指导意义,注重了时间的因素,但随着网络技术的发展,PPDR模型很难对分布式攻击实施有效防护的缺陷也就逐渐暴露出来;另外,PPDR模型主要着眼于安全过程本身,对管理方面的安全强调不够。
BS7799是国际上具有代表性的信息安全管理体系标准,其第二部分《信息安全管理体系规范》,是组织评价信息安全管理体系有效性、符合性的依据。它的最新版本(BS 7799-2:2002)是2002年9月5日修订的,引入了PDCA(Plan-Do-Check-Action)过程模式,作为建立、实施信息安全管理体系并持续改进其有效性的方法。 PDCA过程模式被ISO 9001、ISO 14001等国际管理体系标准广泛采用,是保证管理体系持续改进的有效模式。依据BS 7799-2:2002建立信息安全管理体系时,过程方法鼓励其用户强调下列内容的重要性: 1、理解组织的信息安全要求,以及为信息安全建立方针和目标的需求; 2、在管理组织整体业务风险背景下实施和运行控制; 3、监控并评审信息安全管理体系的业绩和有效性; 4、在目标测量的基础上持续改进。 PDCA采用持续改进的方式促进信息安全防护水平的不断提升,而且可以适用于不同行业的业务对信息安全的整体要求。 PDCA为构建一个稳定的动态的自适应的安全防护体系提供非常重要的理论基础,其管理全面性是P2DR与PDRR等模型无法比拟的。 人是事故的主体,所有安全威胁都是由人发起的,不管是PDRR、P2DR还是PDCA无一都忽略了“人”这一关键因素的存在, “以人为本”的诉求在安全界的呼声越来越高。
HTP模型随着“人员”在信息系统安全保护中的作用日益突出,一种全新的 “以人为本”的信息安全模型被业内人士提出来。HTP模型由人员与管理(Human andmanagement)、技术与产品(Technologyand products)、流程与体系(Process and Framework)三部分组成。人员与管理包括法律法规、安全管理、安全教育与培训、组织文化等;技术与产品包括密码技术、认证技术、防火墙、防病毒、入侵检测、网络隔离等;流程与体系是指组织遵循国内外相关信息安全标准与最佳实践过程,考虑组织对信息安全的各个层面的实际需求,在风险分析的基础上引入恰当控制,建立合理的安全管理体系,从而保证组织赖以生存的信息资产的安全性、完整性和可用性。 HTP模型认为人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线。统计结果表明,在所有的信息安全事故中,只有30%是由于黑客入侵或其他外部原因造成得,70%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌,就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。以往的各种安全模型,其最大的缺陷是忽略了对人的因素的考虑,在信息安全问题上,要以人为本,人的因素比信息安全技术和产品的因素更重要。 HTP信息安全模型将信息安全放在组织所处的信息环境中考虑,尤其强调了人员和管理这一因素,将人员的属性从权限变换到角色的角度,打造了基于角色的控制体系。但HIP安全模型对技术防范措施的描述比较简单,需要相关技术标准的支撑。
通过对上述各个信息系统安全保护模型的分析和比较,我们发现每个模型都有各自的优缺点,都是从不同的角度提出了对信息系统安全进行有效保护的方法论,适用于信息系统安全保护的不同领域。因此,在综合考虑信息系统安全保护对人、技术、管理、环境等方面的要求的基础上,应构建一个切合实际、科学合理、易于实施以及更加全面的信息系统安全保护模型以指导对信息系统安全实施有效保护。 WPDRRC信息安全模型是我国“863”信息安全专家组提出的,面向等级保护合规要求提出的,并适合中国国情的信息系统安全保障体系建设模型,以“全面”“合规”防护著称。 WPDRRC在PDRR 模型的前后增加了预警和反击功能。WPDRRC模型有6 个环节和3 大要素。6 个环节包括预警、保护、检测、响应、恢复和反击, 它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击。3 大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证,落实在WPDRRC6 个环节的各个方面, 将安全策略变为安全现实。
要构建一个全面动态防御的安全系统,可以借助安全模型实现全面的安全管理,但是,在信息安全模型应用的时候,也应避免如下误区: 1、避免产品的无序叠加。安全模型是需要通过技术进行保障的,如果仅仅是将功能或者产品进行简单的叠加,无序的使用,是无法达到安全效果的。 2、忽略安全管理作用。三分技术七分管理,在管理与制度以及规章的协同作用下,安全的效果事半功倍。一个没有管理仅仅拥有安全技术的系统就像有法律而没有执法者的国家一样不会安全。 3、安全模型与业务分离。所有的安全一定是为业务服务的,皮之不存毛将焉附。如一个研发单位构建数据安全,其防护的对象一般都是授权用户,如果把大量的资金放在对非授权用户的防护上,效果一定是无法达到企业要求的。 总体来说,信息安全管理不是产品的线性叠加,是产品与产品之间通过一种内在的纽带,面向安全风险的系统的安全防护措置与方法集。这个内在的纽带就是信息安全模型。构建高效的信息安全模型以及确保其在实践中灵活应用是信息安全建设的关键任务。
下面就以WPDRRC模型为例,简要介绍一下安全模型在安全系统建设过程的应用。 首先,利用的技术手段将待防护的系统分层分类,一般可分为边界安全、计算环境安全、Web 应用安全和链路安全等几大类; 再次,通过联防联动机制,以及大数据分析技术,采用统一的安全语义,面向人员、管理、技术构建一体化的安全运营中心(SOC--Security Operations Center),实现系统的总体策略布局与快速应急响应,量化系统的防御强度与能力,实现动态防护体系; 最后,针对不同的安全威胁,采用不同的安全措施,通过安全模型逐一实现安全技术体系,对系统的软硬件设备、业务数据等受保护对象进行多层次保护,建立纵深防御体系。具体应用方法如下图:
结束语 信息安全体系结构的设计并没有严格统一的标准,不同领域不同时期,人们对信息安全的认识都不尽相同,对解决信息安全问题的侧重也有所差别。 随着网络技术的快速发展和网络应用的普及,信息系统安全问题变得愈加复杂。在信息安全建设、整改工作中,信息系统安全模型发挥着重要的指导作用。对不同的业务系统,由于安全期望有所不同,可以采取不同信息安全模型进行管理,以期以最小的投入换的最大的安全效果,做到适当安全。 |
|
|
来自: kaller_cui > 《专业》
