01
概述
网络安全专业机构制定的一套标准、准则和程序,旨在帮助组织了解和管理面临的网络安全风险。优秀的安全框架及模型应该为用户提供一种可靠方法,帮助其实现网络安全建设计划。对于那些希望按照行业最佳实践来设计或改进安全策略的组织或个人来说,网络安全框架及模型是不可或缺的指导工具。使用安全模型对业务安全进行总结和指导,避免思维被局限,出现安全短板。本文仅做简单介绍,做到穿针引线的作用,详细介绍等后续安排。
02
分类
1.PDR模型
PDR模型是由美国国际互联网安全系统公司(ISS)提出,它是最早体现主动防御思想的一种网络安全模型。
保护(Protection)就是采用一切可能的措施来保护网络、系统以及信息的安全。保护通常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等。
检测(Detection)可以了解和评估网络和系统的安全状态,为安全防护和安全响应提供依据。检测技术主要包括入侵检测 、漏洞检测以及网络扫描等技术。
响应(Response)在安全模型中占有重要地位,是解决安全问题的最有效办法。解决安全问题就是解决紧急响应和异常处理问题,因此,建立应急响应机制,形成快速安全响应的能力,对网络和系统而言至关重要。
2.P2DR模型
P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,也是动态安全模型的雏形。根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。网络安全策略一般包括总体安全策略和具体安全策略2个部分。
P2DR模型包括四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。
策略:定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则。
防护:通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
检测:是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
3.PDRR模型
PDRR模型由美国国防部提出,是防护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)的缩写。PDRR改进了传统的只注重防护的单一安全防御思想,强调信息安全保障的PDRR四个重要环节。
4.PDR2A模型
PDR2A模型是在原PDR2安全模型的基础上提出的,由Protection(防护)、Detection(检测)、Response (响应)、Recovery(恢复)、Auditing(审计)组成。其在 PDR2 模型的基础上增加了审计分析模块。
审计分析是利用数据挖掘方法对处理后的日志信息进行综合分析,及时发现异常、可疑事 件,以及受控终端中资源和权限滥用的迹象,同时把可疑数据、入侵信息、敏感信息等记录下来,作为取证和跟踪使用,以确认事故责任人。另外管理员还可以参考审计结果对安全策略进行更新,以提高系统安全性。安全策略仍是整个内网安全监管系统的核心,包括安全防护策略、监控策略、报警响应策略、系统恢复策略、审计分析策略、系统管理策略,它渗透到系统的防护、检测、响应、恢复、审计各个环节,所有的监控响应、审计分析都是依据安全策略实施的。
5.IPDRR模型
IPDRR是NIST提供的一个网络安全框架(cybersecurity framework),主要包含了五个部分:
Identify:评估风险。包括:确定业务优先级、风险识别、影响评估、资源优先级划分。
Protect:保证业务连续性。在受到攻击时,限制其对业务产生的影响。主要包含在人为干预之前的自动化保护措施。
Detect:发现攻击。在攻击产生时即时监测,同时监控业务和保护措施是否正常运行。
Respond:响应和处理事件。具体程序依据事件的影响程度来进行抉择,主要包括:事件调查、评估损害、收集证据、报告事件和恢复系统。
Recover:恢复系统和修复漏洞。将系统恢复至正常状态,同时找到事件的根本原因,并进行预防和修复。
6.APPDRR模型
网络安全的动态特性在DR模型中得到了一定程度的体现,其中主要是通过入侵的检测和响应完成网络安全的动态防护。但DR模型不能描述网络安全的动态螺旋上升过程。为了使DR模型能够贴切地描述网络安全的本质规律,人们对DR模型进行了修正和补充,在此基础上提出了APPDRR模型。
APPDRR模型认为网络安全由风险评估(Assessment)、安全策略(Policy)、系统防护(Protection)、动态检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)六部分完成。
根据APPDRR模型,网络安全的第一个重要环节是风险评估,通过风险评估,掌握网络安全面临的风险信息,进而采取必要的处置措施,使信息组织的网络安全水平呈现动态螺旋上升的趋势。网络安全策略是APPDRR模型的第二个重要环节,起着承上启下的作用:一方面,安全策略应当随着风险评估的结果和安全需求的变化做相应的更新;另一方面,安全策略在整个网络安全工作中处于原则性的指导地位,其后的检测、响应诸环节都应在安全策略的基础上展开。系统防护是安全模型中的第三个环节,体现了网络安全的静态防护措施。接下来是动态检测、实时响应、灾难恢复三环节,体现了安全动态防护和安全入侵、安全威胁“短兵相接”的对抗性特征。
APPDRR模型还隐含了网络安全的相对性和动态螺旋上升的过程,即:不存在百分之百的静态的网络安全,网络安全表现为一个不断改进的过程。通过风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复六环节的循环流动,网络安全逐渐地得以完善和提高,从而实现保护网络资源的网络安全目标。
7.PADIMEE模型
PADIMEE(Policy,Assessment,Design,Implementation,Management,Emergency,Education)模型是信息系统安全生命周期模型,它包括策略、评估、设计、实现、管理、紧急响应、教育七个要素。模型以安全策略为核心,设计—实现—管理—评估围绕策略形成一个闭环,其中紧急响应是管理的一个组成部分,教育覆盖了各个环节。
PADIMEE模型的工作过程分为如下几个阶段:
策略制定阶段(Policy Phase):确定安全策略和安全目标;
评估分析结算(Assessment Phase):实现需求分析、风险评估、安全功能分析和评估准则设计等,明确表述现状和目标之间的差距;
方案设计阶段(Design Phase):形成系统安全解决方案,为达到目标给出有效的方法和步骤;
工程实施阶段(Implementation Phase):根据方案的框架,建设、调试安全设备,并将整个系统投入使用。
运行管理阶段(Management Phase):在运行管理阶段包括两种情况,正常状态下的维护和管理(Management Status),和异常状态下的应急响应和异常处理(Emergency Response Status).
客户信息系统安全加固阶段:对系统中发现的漏洞进行安全加固,消除安全隐患。
安全教育阶段(Education Phase):是贯穿整个安全生命周期的工作,需要对企业决策层、技术管理层、分析设计人员、工作执行人员等所有相关人员进行教育。
8.WPDRRC模型
WPDRRC安全模型是我国在PDR模型、P2DR模型及PDRR等模型的基础上提出的适合我国国情的网络动态安全模型,在PDRR模型的前后增加了预警和反击功能。
WPDRRC模型有6个环节和三大要素。6个环节包括预警、保护、检测、响应、恢复和反击,它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。三大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证。三大要素落实在WPDRRC模型6个环节的各个方面,将安全策略变为安全现实。
9.自适应安全架构ASA3.0
自适应安全框架(ASA)是Gartner于2014年提出的面向下一代的安全体系框架,以应对云大物移智时代所面临的安全形势。自适应安全框架(ASA)从预测、防御、检测、响应四个维度,强调安全防护是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。
防御:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
检测:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
响应:用于高效调查和补救被检测分析功能(或外部服务)查出的事务,以提供入侵认证和攻击来源分析,并产生新的预防手段来避免未来事故。
预测:通过防御、检测、响应结果不断优化基线系统,逐渐精准预测未知的、新型的攻击。主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能,从而构成整个处理流程的闭环。
10.IATF信息保障技术框架
信息保障技术框架(Information Assurance Technical Framework,IATF),美国国家安全局(NSA)在1999年制定的,为保护美国政府和工业界的信息与信息技术设施提供技术指南。
核心思想:“深度防御”。
三个要素:人、技术、操作。
四个焦点领域:保护网络和基础设施、保护区域边界、保护计算环境、支持性基础设施。
11.网络生存模型
网络生存性是指在网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续提供必要服务的能力。目前,国际上的网络信息生存模型遵循“3R”的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式,给出相应的3R策略,即抵抗(Resistance)、识别(Recognition)和恢复(Recovery)。最后,定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式,给出系统需要重点保护的基本功能服务和关键信息等。
12.纵深防御模型
纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够相互支持和补救,尽可能地阻断攻击者的威胁。目前,安全业界认为网络需要建立四道防线:安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;安全监测是网络的第二道防线,可以及时发现入侵和破坏;实时响应是网络的第三道防线,当攻击发生时维持网络"打不垮";恢复是网络的第四道防线,使网络在遭受攻击后能够以最快的速度“起死回升”,最大限度地降低安全事件带来的损失。
13.分层防护模型
分层防护模型针对单独保护节点,以OSI7层模型为参考,对保护对象进行层次化保护,典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层,然后针对每层的安全威胁,部署合适的安全措施,进行分层防护。
14.SSE-CMM模型
SSE-CMM(Systems Security Engineering Capability Maturity Model)是系统安全工程能力成熟度模型。SSE-CMM包括工程过程类(Engineering)、组织过程类(Organization)、项目过程类(Project)。
15.数据安全能力成熟度模型
根据《信息安全技术 数据安全能力成熟度模型》,数据安全能力从组织建设、制度流程、技术工具及人员能力四个维度评估:
组织建设-数据安全组织机构的架构建立、职责分配和沟通协作:
制度流程-组织机构关键数据安全领域的制度规范和流程落地建设;
技术工具-通过技术手段和产品工具固化安全要求或自动化实现安全工作;
人员能力-执行数据安全工作的人员的意识及专业能力。
16.软件安全能力成熟度模型
软件安全能力成熟度模型分成五级,各级别的主要过程如下:
CMM1级-补丁修补:
CMM2级-渗透测试、安全代码评审;
CMM3级-漏洞评估、代码分析、安全编码标准;
CMM4级-软件安全风险识别、SDLC实施不同安全检查点;
CMM5级-改进软件安全风险覆盖率、评估安全差距。
17.BLP机密性模型
BLP机密性模型是由David Bell和Leonard LaPadula提出的符合军事安全策略的计算机安全模型,简称BLP模型。该模型用于防止非授权信息的扩散,从而保证系统的安全。BLP模型有两个特性:简单安全特性、*特性。
简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
*特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写,不能向下写。
18.BiBa完整性模型
BiBa模型主要用于防止非授权修改系统信息,以保护系统的信息完整性。该模型同BLP模型类型,采用主体、客体、完整性级别描述安全策略要求。BiBa具有三个安全特性:简单安全特性、*特性、调用特性。
简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴集合包含客体的全部范畴,即主体不能向下读。
*特性。主体的完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上写。
调用特性。主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体。
19.信息流模型
信息流模型是访问控制模型的一种变形,简称FM。该模型不检查主体对客户的存取,而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。信息流模型可以用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露。隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取,通过信息流分析以发现隐蔽通道,阻止信息泄露途径。
20.信息系统安全保障评估模型
信息系统安全保障模型包含安全保障要素、生存周期和能力成熟度三个维度。安全保障要素是将保障策略具化到技术、管理和工程等不同层面形成的保障要求。生存周期维度是强调安全保障要素的识别要贯穿信息系统从规划组织、开发采购、实施交付、运维维护和废弃等生存周期阶段。信息系统安全保障能力等级是在确保安全保障要素充分性的基础上,通过能力成熟度来评价信息系统安全保障能力。
21.网络安全能力滑动标尺模型
2015年,美国系统网络安全协会(SANS)提出了网络安全滑动标尺模型,将网络安全体系建设过程分为架构建设、被动防御、积极防御、威胁情报和进攻反制五个阶段,按照每个阶段的建设水平来对安全防护能力进行评估,并指导未来安全防护能力的建设。
第一阶段是基础架构阶段,解决的是从无到有的问题。
第二阶段为被动防御,意即根据架构完善安全系统、掌握工具、方法,具备初级检测和防御能力。
第三阶段为主动防御,指主动分析检测、应对,从外部的攻击手段和手法进行学习,该阶段开始引入了渗透测试、攻防演练和外部威胁情报。
第四阶段为智能学习,指利用流量、主机或其他各种数据通过机器学习,进行建模及大数据分析,开展攻击行为的自学习和自识别,进行攻击画像、标签等活动。
第五阶段指利用技术和策略实现反制威慑。
22.数据安全治理框架(DSG)
Gartner提出了数据安全治理框架(DSG),试图从组织的高层业务风险分析出发,对组织业务中的各个数据集进行识别、分类和管理,并针对数据集的数据流和数据分析库的机密性、完整性、可用性创建8种安全策略。同时,数据管理与信息安全团队,可以针对整合的业务数据生命周期过程进行业务影响分析(BIA), 发现的各种数据隐私和数据保护风险,以降低整体的业务风险。
经营战略:确立数据安全的处理如何支撑经营策略的制定和实施
治理:对数据安全需要开展深度的治理工作
合规:企业和组织面临的合规要求
IT策略:企业的整体IT策略同步
风险容忍度:企业对安全风险的容忍度在哪里
23.数据安全架构5A方法论
5A方法论,分为身份认证、授权、访问控制、审计、资产保护均是为达成安全目标而采取的技术手段。
24.等级保护模型
《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》中提出了“一个中心,三重防护”的观点,一个中心即安全管理中心,要求在系统管理、安全管理、审计管理三个方面实现集中管控;三重防护即从被动防护转变到主动防护,从静态防护转变到动态防护,从单点防护转变到整体防护,从粗放防护转变到精准防护,实现安全计算环境、安全区域边界、安全通信网络三重防护,要求通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现全方位安全防护。
25.PETS渗透测试框架
渗透测试分为:前期交互,情报搜集,威胁建模,漏洞分析,渗透攻击,后渗透攻击,报告阶段。
26.网络杀伤链(Kill Chain)
模型由美国洛克西德·马丁公司于2011年提出,网络空间攻击行为分为七个步骤。包括侦查探测、制作攻击工具、将工具投送到目标、释放代码、成功安装并控制、主动外联、远程控制及扩散。
攻击链模型精髓在于明确提出网络攻防过程中攻防双方互有优势,攻击方必须专一持续,而防守方若能阻断/瓦解攻击方的进攻组织环节,即成功地挫败对手攻击企图。
27.ATT&CK框架
ATT&CK,英文全称Adversarial Tactics, Techniques, and Common Knowledge,中文为对抗性的策略、技巧和常识。
它是由美国MITRE机构2013首次提出的一套攻击行为知识库模型和框架,它将已知攻击者行为转换为结构化列表,汇总成战术和技术,并通过若干个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。
ATT&CK Matrix for Enterprise中战术按照逻辑分布在多个矩阵中,以“初始访问”战术开始,经过“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露“、”影响“等共计14项战术。
28.钻石模型(The Diamond Model)
是一个针对单个安全事件分析的模型,核心就是用来描述攻击者的技战术和目的。模型建立的基本元素是入侵活动事件,每个事件都有四个核心特征:对手、能力、基础设施及受害者。这些功能通过连线来代表它们之间的关系,并布置成菱形,因此得名“钻石模型”。
29.攻击树模型
攻击树(Attack trees) 为我们提供了一种正式而条理清晰的方法来描述系统所面临的安全威胁和系统可能受到的多种攻击。我们用树型结构来表示系统面临的攻击,其中根节点代表被攻击的目标,叶节点表示达成攻击目标的方法。
30.STRIDE模型
STRIDE是微软开发的用于威胁建模的方法和工具。在开展威胁评级之前,需要识别出威胁。为了准确地阐释安全隐患,进而识别出潜在威胁,可以采用STRIDE模型。
31.PASTA威胁建模
PASTA代表攻击模拟和威胁分析过程,致力于使技术安全要求与业务目标保持一致。由七个步骤组成:定义目标;定义技术范围;应用程序分解;威胁分析;漏洞和弱点分析;攻击建模;风险与影响分析。
32.零信任模型
零信任安全模型是一种设计和实现安全 IT 系统的方法。零信任背后的基本概念是“从不信任,总是需要验证”。这意味着用户、设备和连接在默认情况下永远不受信任,即使他们在连接到公司网络或之前已经通过身份验证。
33.NIST 网络安全框架
NIST网络安全框架是一组安全实践,可帮助您了解网络安全并保护您的企业免受网络威胁。包含识别、保护、检测、响应、恢复五个阶段。
34.网络安全态势感知模型
基于大规模网络环境中的安全要素和特征,采用数据分析、挖掘和智能推演等方法,准确理解和量化当前网络空间的安全态势,有效检测网络空间中的各种攻击事件,预测未来网络空间安全态势的发展趋势,并对引起态势变化的安全要素进行溯源。目前使用比较多的是Endsley态势感知模型。
35.LINDDUN威胁建模
LINDDUN是一种隐私威胁建模方法,支持分析师系统地引发和减轻软件架构中的隐私威胁。LINDDUN提供支持,以结构化方式指导您完成威胁建模过程。此外,LINDDUN还提供隐私知识支持,让非隐私专家也能推理出隐私威胁。
03
用途
网络安全框架和模型是用于指导和支持组织设计、实施和维护其网络安全策略的工具。它们有助于组织了解威胁、漏洞、风险以及如何采取措施来保护信息和系统。这些框架和模型的主要用途包括:
威胁建模和风险评估:安全框架和模型帮助组织分析其系统和网络上的潜在威胁,以识别风险因素。这有助于确定哪些资源可能受到攻击并了解潜在的影响。
策略和政策制定:安全框架和模型可用于制定安全策略和政策,明确规定组织内的安全要求和最佳实践。
威胁检测和入侵检测:安全框架和模型可帮助组织设计和实施有效的威胁检测和入侵检测系统,以及建立日志记录和监控机制。
漏洞管理:这些工具可以帮助组织跟踪系统中的漏洞,进行漏洞评估,优先处理漏洞,并确保及时修补。
合规性和法规遵守:安全框架和模型可用于确保组织符合适用的法规和标准。
培训和教育:安全框架和模型可以用于培训员工,提高他们对网络安全的认识,并确保他们了解并遵守安全政策。
应急响应和恢复计划:它们有助于制定应急响应和灾难恢复计划,以便在安全事件发生时能够快速应对和恢复。
编写解决方案:安全咨询和解决方案的编写通常需要依赖于网络安全框架和模型来制定有针对性的建议和战略。这些框架和模型为安全咨询师提供了一个结构化的方法来识别问题、提出解决方案和建议,以增强组织的网络安全。