软考-信息安全-网络安全体系与网络安全模型

4.1 网络安全体系概述

• 网络安全保障是一项复杂的系统工程，是安全策略，多种技术，管理方法和人员安全素质的综合。

4.1.1 网络安全体系概念

• 现代的网络安全问题变化莫测，要保障网络系统的安全，应当把相应的安全策略，各种安全技术和安全管理融合在一起，建立网络安全防御体系，使之成为一个有机的整体安全屏障。
• 网络安全体系是网络安全保障系统的最高层概念抽象，是由各种网络安全单元按照一定的规则组成的，共同实现网络安全的目标。
• 网络安全体系包括法律法规政策文件，安全策略，组织管理，技术措施，标准规范，安全建设与运营，人员队伍，教育培训，产业生态，安全投入等多种要素。

4.1.2 网络安全体系特征

• （1）整体性
  • 网络安全体系从全局，长远的角度实现安全保障，网络安全单元按照一定的规则，相互依赖，相互约束，相互作用而形成人机物一体化的网络安全保护方式。
• （2）协同性
  • 网络安全体系依赖于多种安全机制，通过各种安全机制的相互协作，构建系统性的网络安全保护方案。
• （3）过程性
  • 针对保护对象，网络安全体系提供一种过程式的网络安全保护机制，覆盖保护对象的全生命周期。
• （4）全面性
  • 网络安全体系基于多个维度，多个层面对安全威胁进行管控，构建防护，检查，响应，恢复等网络安全功能。
• （5）适应性
  • 网络安全体系具有动态演变机制，能够适应网络安全威胁的变化和需求。

4.1.3 网络安全体系用途

• 网络安全体系的建立是一个复杂持续建设和迭代演进的过程，但是网络安全体系对于一个组织有重大意义，主要体现如下：
  • （1）有利于系统性化解网络安全风险，确保业务持续开展并将损失降到最低限度。
  • （2）有利于强化工作人员的网络安全意识，规范组织，个人的网络安全行为。
  • （3）有利于对组织的网络资产进行全面系统的保护，维持竞争优势。
  • （4）有利于组织的商业合作。
  • （5）有利于组织的网络安全管理体现认证，证明组织有能力保障重要信息，能提高组织的知名度与信任度。

4.2 网络安全体系相关安全模型

• BLP机密性模型，BiBa完整性模型，信息流模型，信息保障模型，能力成熟度模型，纵深防御模型，分层防护模型，等级保护模型，网络生存模型。

4.2.1 BLP机密性模型

• Bell-LaPadula模型是由David Bell和Leonard LaPadula提出的符合军事安全策略的计算机安全模型，简称BLP模型。是一种状态机模型，该模型用于防止非授权信息的扩散，保证系统的安全。
• Bell-LaPadula模型的开发是为了确保秘密被保密；因此，它仅仅提供和解决了机密性。该模型不能解决系统维护的数据完整性-只有谁能够访问和无法访问数据，以及可以执行哪些操作。
• BLP模型有三个特性，具体如下：
• 简单安全特性的各种描述
  • 简单安全特性。主体对客体进行读访问的的必要条件是主体的安全基本不小于客体的安全级别，主体的范畴集合包含客体的全部范畴，即主体只能向下读，不能向上读。
  • 简单安全特性规定位于给定安全级别上的主体不能读取较高安全级别驻留的数据。例如：如果Bob获得秘密级安全许可，那么这一规则就表明他不能读取分类级别为绝密的数据。如果组织希望Bob能够读取绝密数据，那么必须首先为其赋予相应的访问许可。
  • 简单安全属性 (Simple Security Property) ：规定给定安全级别的主体无法读取更高安全级别的对象。
• *特性的各种描述
  • *特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级，即客体的保密级别不小于主体的保密级别，客体的范畴集合包含主体的全部范畴，即主体只能向上写，不能向下写。
  • *特性。规定位于给定安全级别上的主体不能将信息写入较低的安全级别。简单安全特性称为只能向下读，*属性特性称为只能向上写。
• 强*特性
  • 自主安全属性 (Discretionary Security Property) 使用访问矩阵来规定自主访问控制。
  • 它规定一个主体只能在同一个安全级别上执行读写功能，在较高或较低级别都不能读写，所以，一个主体要读写一个客体，主体的许可和客体的分类必须同等。
• 主体可以使用安全许可来标识
• 客体可以使用敏感等级来标识
• BLP用户和数据划分的安全等级和敏感等级
  • 公开（Unclassified）
  • 受限（Restricted）
  • 保密（Confidential）
  • 秘密（Secret）
  • 顶级机密（Top Secret）

	通过给每个安全密级增加一套类别，每种类别都描述一种信息，可以将模型进行扩展。属于多个类别的客体拥有所有属于这些类别的信息。
	这些类别来自于“需要知道’’原则，它规定，除非主体为了完成某些功能而需要读取客体，否则就不能读取这些客体。某人可以访问的类别集合就是类别集合的幂集。
	例如，如果类别是NUC，EUR和US，那么某人可以访问的类别集合就是以下集合之一：
	φ(空集)，{NUC}，{EUR}，{US}，{NUC，EUR},{EUR，US},{NUC，US},{NUC，EUR，US}

• 总结
  • 信息流只向高级别的客体方向流动，由低级别向高级别流，而高级别的主体可以读取低级别的主体信息。
  • BLP模型可以直接理解为是信息流模型，最上面是最高级别，最下面是最低级别，方向是向上的，从下向上流动，最高级别的主体只能向下读，不是最高级别的主体但又不是最低级别的主体，而介入她们之间，此时的主体可以向下读，也可以向上写。
• 参考链接
  • D3-3：安全模型和实例#唐老师CISSP讲义 - 知乎 (zhihu.com)
  • CISSP 中提到的两个安全性模型- BLP模型，Biba模型 - 知乎 (zhihu.com)
  • BLP保护模型 | binism's Blog

4.2.2 BiBa完整性模型

• BiBa模型主要用于防止非授权修改系统信息，以保护系统的信息完整性。该模型同BLP模型类似，采用主体，客体，完整性级别描述安全策略要求。

• BiBa具有三个安全特性，分别为：简单安全特性，*特性，调用特性。

  • 简单安全特性，主体对客体进行修改访问的必要条件是主体