4.1、网络安全模型

网络安全体系概述

网络安全体系是网络安全保证系统的最高层概念抽象，是一个体系，体系一般是一个概念，一个抽象，我们搞过计算机的，都知道有osi的体系架构，还有TCP/IP体系架构或者体系模型，它都是比较抽象的概念，整个网络安全体系包含法律法规，政策文件，安全策略，组织管理，技术措施，标准规范、安全建设与运营，人员队伍、教育培训，产业生态、安全投入等等多个方面，整个体系包含是很广的

我们要建设网络安全，不是说花300万买几台比较牛逼的设备就搞完了，网络安全的建设是很复杂，既有技术层面的，也有管理层面的，还有人员，后期培训，包括整个产业链，像我们现在都在推国产化、芯片，国产化这个也跟网络安全相关，所以它是一个包含比较广，包含要素比较多的一个东西

网络安全体系的特征，有整体性，协同性，过程性，全面性和适应性。有整体性，所以我们要做到人机物一体化，不是买一个设备就行了，不同的东西，不同的点，我们要做相互协同，构建系统性的网络安全保护方案

有个效应叫木桶效应，就是木桶它能盛的水是跟它最低的那一片木头相关的，所以我们要做全面协同，来保证系统性的防护

过程性提供过程式的网络安全保护机制，就是相当于还是一个动态发展的，不是静态的，要做全生命周期防护

全面性跟整体性其实是一个东西

适应性，网络安全体系具有动态演变机制能够适应各种安全、威胁的变化和需求

网络安全模型-BLP模型

BLP是机密性模型，该模型用于防止非授权信息的扩散，从而保证系统安全，这个模型包含了两个特性，简单安全特性和*特性

简单安全特性，主体对客体进行访问的必要条件是主体的安全级别不小于客体的安全级别，我要访问你，我的安全级别要比你高，至少不小于你，不小于就是相同或者比你高，主体的范畴集合要包含客体的全部范畴，即主体只能向下读，不能够向上读，简单安全特性的特点是读访问

*特性表示写访问特点，一个主体对客体要进行写访问的必要条件是客体的安全级支配主体的安全级及客体的保密级别不小于主体的保密级别，然后客体的范畴集包含主体的全部范畴。即只能上写，不可以下写

BLP模型是一个机密性模型，机密性模型用于防止信息的扩散，包含两个特性，这两个特性第一个是简单安全特性，只能下读，不可以上读，第二个*特性只能够上写，不可以向下写

BLP只能保证信息的机密性，不能保证完整性，因为只能向下读取，比如说有一个领导，权限比较大，他可以读一些比这个领导权限更小的一些信息，所以能保证机密性，但是不能保证完整性，就是它可以上写，比如说我的权限是一级，但是我可以写十级的数据，这样的话不能保证完整性，我可以随意去修改，随意去写，这是BLP模型，它的优点和缺点能保证机密性，但是不能保证完整性

BLP机密模型可用于军用，实现军事策略安全，它具有保密性，只能下读，不能上读，该策略最早是美国国防部为了保护计算机系统中的机密信息而提出的一种限制策略。策略规定，用户要合法读取信息，当且仅当用户的安全级别大于等于该信息的安全级，并且用户的访问范畴要包含这个信息的范畴你才能够访问某一个数据

第一个叫安全级，第二个叫范畴集，安全级在我们计算机领域，我们经常把它划分成公开、秘密、机密、绝密，公开这个等级是最低的安全级别

你要访问信息的条件有两个点，第一个安全级别要大于等于对方，第二个用户的范畴集要包含信息的范畴集这两个条件，比如说用户a要访问文件f，第一个条件，安全级大于信息的安全级，绝密大于机密，但是第二个范畴集，用户a的范畴集是人事处，这个信息的范畴集是人事处和财务处，用户的访问范畴集要包含信息的范畴集时，你才能访问，用户A肯定不包含，文件f有的用户AA没有，所以第二个条件不满足，所以用户a不能访问文件f

用户b访问f，第一个条件安全级，b的安全级绝密大于机密没问题，第二个条件b的范畴集有三个，包含我们文件f的范畴集，所以能访问

网络安全模型-Biba模型

Biba完整性模型，它保证的是完整性，主要用于防止非授权修改，非授权篡改，保证系统信息的完整性

Biba模型一共有三个特性，简单安全特性，*特性和调用特性，比先前多了一个调用特性

简单安全特性，跟前面的BLP模型是不一样的，主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别，你要修改它，你就要大于等于它，然后主体的范畴集要包含客体的全部范畴集，主体不能向下读，它只能向上读

*特性，主体的完整性级别要小于客体的完整性级别，如果主体的完整性级别小于客体的完整性级别，它是不能修改客体的，就不能上写

调用特性，主体的完全性级别小于另外一个主体的完全级别，不能够调用另外一个主体

网络安全模型 - 信息流模型

信息流模型是访问控制模型的一种变形，简称FM，该模型不检查主体对客体的存取，而是根据两个客体的安全属性来控制从一个客体到另外一个客体的信息传输

信息流模型可用于分析隐蔽通道，隐蔽通道主要是表现为低安全等级主体向高安全等级主体产生信息的读取，说白了就是信息泄密，通过隐蔽的方式把信息给透露出去，那这就叫隐蔽信道

信息保障模型

PDRR模型是由保护、检测detection、恢复recovery、响应response组成

检测就是入侵检测、漏洞扫描等等，都可以检测，出了问题之后恢复，然后我们要做响应

P2DR模型两个p，一个是安全策略，另外一个是防护

WPDRRC模型主要是由预警waring、保护、检测、反应、恢复、反击Counterattack

能力成熟度模型

CMM是对一个组织机构的能力进行成熟度评估，分成五个等级，一级是非正式执行，具有随机、无序、被动的过程，一级就特别low

二级叫计划跟踪，具有主动、非体系化的过程，没太大的一个体系化

三级叫充分定义，具备正式的，规范的过程

CMM里面有软件开发，还涉及到安全管控

第四级叫量化控制，具备可量化的一个过程

第五级持续优化

级别越大，反正能力越成熟，越牛逼

能力成熟度模型主要有SSE-CMM系统安全工程能力成熟度模型，数据安全能力成熟度模型，软件安全能力成熟度模型

SSE-CMM包含工程过程类，组织过程类、项目过程类

数据安全能力从组织建设，制度流程，技术工具及人员能力等四个维度去评估

软件安全能力分成五个级别，五级最牛逼

低级最简单，具备补丁修补这样的能力就可以了

第二级的话就是渗透测试、代码评审

第三级具备安全编码

第四级是软件安全风险识别

第五级差距分析，评估安全差距

其它安全模型

纵深防御模型，先做安全保护，然后监测，实时响应，有问题了之后再恢复。纵深，就是一层一层，我们有多层次防护

分层防护模型，基于osi模型，比如说物理层，机房防护，数据链路层做链路加密，网络层，该买防火墙的买防火墙，应用层，买一些web应用防火墙或者视频安全设备，从oa对应着osi不同的层次，每一层做一些安全防护

等级保护模型，针对不同的信息系统划不同的等级，比如有些是三级，有些是四级，三级和四级采用的安全测试不一样，等级越高，你采用的安全测试肯定越丰富

网络生存模型，就是当我们的系统遭受入侵的时候，网络信息仍然能够持续的提供必要的一些服务。要遵守3r策略，3r策略就是抵抗，识别和恢复

网络安全原则

第一个叫系统性和动态性原则，我们要强调整体性安全，因为木桶原则就是我们网络的安全性，网络安全取决于你最薄弱的那个点，而且我们要适时的去做一些改变

第二个纵深防御和协同

网络安全风险和分级保护原则，比如说我们刚刚提到的等保，根据系统的重要性，比如说有些是二级，有些三级，有些四级，采取相应的措施，要做到适度防御，适度防护，不是说你安全做的越好就越牛逼，我记得当时微软有一个系统叫VISTA，并没有被大量的应用，因为他做的比较安全，
安全到你干个啥你都不太方便，其实安全和和易用性是存在矛盾的，你越安全，那你就可能不太易用，比如说，你为了安全，你说担心天上掉一个飞机下来，把你给砸中，你跑到地下200米去生活，这其实挺安全的，但是你的平时生活会受到很大的影响，所以要做到适度防御，注意适度

WIN7应用比较广，因为WIN7它做到了一个适度防御，不要搞一下就断网了，不要动不动就谈一个窗，影响我的使用，像维斯塔，就没有被应用起来

标准化与一致性原则，网络安全我们尽量要用一些标准产品，标准协议，技术与管理相结合，安全第一，预防为主，安全与发展同步，业务与安全等同，人机物融合和产业发展融合原则，然后适度防御，没有绝对的安全