网络安全模型一览
一、网络安全框架及模型是什么
网络安全模型是网络安全专业机构制定的一套标准、准则和程序,旨在帮助组织了解和管理面临的网络安全风险。优秀的安全框架及模型应该为用户提供一种可靠方法,帮助其实现网络安全建设计划。
对于那些希望按照行业最佳实践来设计或改进安全策略的组织或个人来说,网络安全框架及模型是不可或缺的指导工具。使用安全模型对业务安全进行总结和指导,避免思维被局限,出现安全短板。这些框架和模型的主要用途包括:
- 威胁建模和风险评估:安全框架和模型帮助组织分析其系统和网络上的潜在威胁,以识别风险因素。这有助于确定哪些资源可能受到攻击并了解潜在的影响。
- 策略和政策制定:安全框架和模型可用于制定安全策略和政策,明确规定组织内的安全要求和最佳实践。
- 威胁检测和入侵检测:安全框架和模型可帮助组织设计和实施有效的威胁检测和入侵检测系统,以及建立日志记录和监控机制。
- 漏洞管理:这些工具可以帮助组织跟踪系统中的漏洞,进行漏洞评估,优先处理漏洞,并确保及时修补。
- 合规性和法规遵守:安全框架和模型可用于确保组织符合适用的法规和标准。
- 培训和教育:安全框架和模型可以用于培训员工,提高他们对网络安全的认识,并确保他们了解并遵守安全政策。
- 应急响应和恢复计划:它们有助于制定应急响应和灾难恢复计划,以便在安全事件发生时能够快速应对和恢复。
- 编写解决方案:安全咨询和解决方案的编写通常需要依赖于网络安全框架和模型来制定有针对性的建议和战略。这些框架和模型为安全咨询师提供了一个结构化的方法来识别问题、提出解决方案和建议,以增强组织的网络安全。
参考链接:
https://developer.baidu.com/article/details/2754488 https://www.wangan.com/wenda/10331 https://www.freebuf.com/articles/others-articles/388414.html
二、PDR模型
PDR模型是由美国国际互联网安全系统公司(ISS)提出,它是最早体现主动防御思想的一种网络安全模型。
- 保护(Protection)就是采用一切可能的措施来保护网络、系统以及信息的安全。保护通常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等。
- 检测(Detection)可以了解和评估网络和系统的安全状态,为安全防护和安全响应提供依据。检测技术主要包括入侵检测 、漏洞检测以及网络扫描等技术。
- 响应(Response)在安全模型中占有重要地位,是解决安全问题的最有效办法。解决安全问题就是解决紧急响应和异常处理问题,因此,建立应急响应机制,形成快速安全响应的能力,对网络和系统而言至关重要。
三、PPDR模型
PPDR模型,即策略保护检测响应模型,该模型在总体安全策略的控制和指导下,在综合运用防火墙、身份认证、加密等防护工具的同时,利用漏洞评估、入侵检测等检测工具了解和评估系统的安全状态,通过适当的响应将系统调整到更安全的状态。其中保护、检测和响应形成一个完整、动态的安全循环。
PPDR的思想是,通过一致性检查、流量统计、异常分析、模式匹配,以及基于应用程序、目标、主机和网络的入侵检测等方法来检测安全漏洞。检测将系统从静态保护转变为动态保护,为系统的快速响应提供了基础。当系统出现异常时,会根据系统安全策略做出快速响应,从而达到保护系统安全的目的。
PPDR模型包括四个主要部分:策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。
- (1)策略:是指信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证策略、备份和恢复策略等。政策体系的建立包括安全政策的制定、评估和实施。策略是该模型的核心,它决定了网络安全的目标和各种措施的力度。
- (2)防护:是指通过部署和采用安全技术,如访问控制、防火墙、入侵检测、加密技术、身份验证、安全规则(基于安全策略的安全规则)和系统安全配置操作,提高网络保护能力,同时采取安全措施(使用防火墙、VPN等安装系统、安装补丁等)。
- (3)检测:是指利用信息安全检测工具对网络活动进行监测、分析和审计,以了解和确定网络系统的安全状态。检测这一环节,使得安全防护从被动防护发展到主动防御,这是整个模型动态性的体现。主要检测方法包括:实时监控、检测、报警等。检测主要是对以上两种方法的补充,通过检测发现系统或网络的异常情况,从而发现可能的攻击行为。
- (4)响应:是指在检测到安全漏洞和安全事件时,通过及时采取响应措施,将网络系统的安全性调整到最低风险状态,包括恢复系统功能和数据、启动备份系统等。其主要方法包括:关闭服务、跟踪、反击和消除影响。响应是系统在发现异常或攻击行为后所采取的自动行为。目前的入侵响应措施比较简单,主要有关闭端口、断开连接、中断服务等,多种入侵响应方法的研究将是未来的发展方向之一。
四、PDRR模型
PDRR模型由美国国防部提出,是防护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)的缩写。
PDRR改进了传统的只注重防护的单一安全防御思想,强调信息安全保障的PDRR四个重要环节。
五、PDR2A模型
PDR2A模型是在原PDR2安全模型的基础上提出的,由Protection(防护)、Detection(检测)、Response (响应)、Recovery(恢复)、Auditing(审计)组成。其在 PDR2 模型的基础上增加了审计分析模块。
审计分析是利用数据挖掘方法对处理后的日志信息进行综合分析,及时发现异常、可疑事件,以及受控终端中资源和权限滥用的迹象,同时把可疑数据、入侵信息、敏感信息等记录下来,作为取证和跟踪使用,以确认事故责任人。另外管理员还可以参考审计结果对安全策略进行更新,以提高系统安全性。
安全策略仍是整个内网安全监管系统的核心,包括安全防护策略、监控策略、报警响应策略、系统恢复策略、审计分析策略、系统管理策略,它渗透到系统的防护、检测、响应、恢复、审计各个环节,所有的监控响应、审计分析都是依据安全策略实施的。
六、IPDRR模型
- Identify:评估风险。包括:确定业务优先级、风险识别、影响评估、资源优先级划分。
- Protect:保证业务连续性。在受到攻击时,限制其对业务产生的影响。主要包含在人为干预之前的自动化保护措施。
- Detect:发现攻击。在攻击产生时即时监测,同时监控业务和保护措施是否正常运行。
- Respond:响应和处理事件。具体程序依据事件的影响程度来进行抉择,主要包括:事件调查、评估损害、收集证据、报告事件和恢复系统。
- Recover:恢复系统和修复漏洞。将系统恢复至正常状态,同时找到事件的根本原因,并进行预防和修复。
七、APPDRR模型
网络安全的动态特性在DR模型中得到了一定程度的体现,其中主要是通过入侵的检测和响应完成网络安全的动态防护。但DR模型不能描述网络安全的动态螺旋上升过程。为了使DR模型能够贴切地描述网络安全的本质规律,人们对DR模型进行了修正和补充,在此基础上提出了APPDRR模型。
APPDRR模型认为网络安全由风险评估(Assessment)、安全策略(Policy)、系统防护(Protection)、动态检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)六部分完成。
- 网络安全的第一个重要环节是风险评估,通过风险评估,掌握网络安全面临的风险信息,进而采取必要的处置措施,使信息组织的网络安全水平呈现动态螺旋上升的趋势。
- 网络安全策略是APPDRR模型的第二个重要环节,起着承上启下的作用:一方面,安全策略应当随着风险评估的结果和安全需求的变化做相应的更新;另一方面,安全策略在整个网络安全工作中处于原则性的指导地位,其后的检测、响应诸环节都应在安全策略的基础上展开。
- 系统防护是安全模型中的第三个环节,体现了网络安全的静态防护措施。
- 接下来是动态检测、实时响应、灾难恢复三环节,体现了安全动态防护和安全入侵、安全威胁“短兵相接”的对抗性特征。
APPDRR模型还隐含了网络安全的相对性和动态螺旋上升的过程,即:不存在百分之百的静态的网络安全,网络安全表现为一个不断改进的过程。通过风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复六环节的循环流动,网络安全逐渐地得以完善和提高,从而实现保护网络资源的网络安全目标。
八、PADIMEE模型
PADIMEE(Policy,Assessment,Design,Implementation,Management,Emergency,Education)模型是信息系统安全生命周期模型,它包括策略、评估、设计、实现、管理、紧急响应、教育七个要素。模型以安全策略为核心,设计—实现—管理—评估围绕策略形成一个闭环,其中紧急响应是管理的一个组成部分,教育覆盖了各个环节。
PADIMEE模型的工作过程分为如下几个阶段:
- 策略制定阶段(Policy Phase):确定安全策略和安全目标
- 评估分析结算(Assessment Phase):实现需求分析、风险评估、安全功能分析和评估准则设计等,明确表述现状和目标之间的差距
- 方案设计阶段(Design Phase):形成系统安全解决方案,为达到目标给出有效的方法和步骤
- 工程实施阶段(Implementation Phase):根据方案的框架,建设、调试安全设备,并将整个系统投入使用
- 运行管理阶段(Management Phase):在运行管理阶段包括两种情况,正常状态下的维护和管理(Management Status)和异常状态下的应急响应和异常处理(Emergency Response Status)
- 客户信息系统安全加固阶段:对系统中发现的漏洞进行安全加固,消除安全隐患
- 安全教育阶段(Education Phase):是贯穿整个安全生命周期的工作,需要对企业决策层、技术管理层、分析设计人员、工作执行人员等所有相关人员进行教育
九、WPDRRC模型
WPDRRC安全模型是我国在PDR模型、P2DR模型及PDRR等模型的基础上提出的适合我国国情的网络动态安全模型,在PDRR模型的前后增加了预警和反击功能。
WPDRRC模型有6个环节和三大要素。6个环节包括
- 预警
- 保护
- 检测
- 响应
- 恢复
- 反击
它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。
三大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证。
三大要素落实在WPDRRC模型6个环节的各个方面,将安全策略变为安全现实。
十、自适应安全架构ASA3.0
自适应安全框架(ASA)是Gartner于2014年提出的面向下一代的安全体系框架,以应对云大物移智时代所面临的安全形势。自适应安全框架(ASA)从预测、防御、检测、响应四个维度,强调安全防护是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。
- 防御:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
- 检测:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
- 响应:用于高效调查和补救被检测分析功能(或外部服务)查出的事务,以提供入侵认证和攻击来源分析,并产生新的预防手段来避免未来事故。
- 预测:通过防御、检测、响应结果不断优化基线系统,逐渐精准预测未知的、新型的攻击。主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能,从而构成整个处理流程的闭环。
十一、IATF信息保障技术框架
信息保障技术框架(Information Assurance Technical Framework,IATF),美国国家安全局(NSA)在1999年制定的,为保护美国政府和工业界的信息与信息技术设施提供技术指南。
核心思想:“深度防御”。
三个要素:人、技术、操作。
四个焦点领域:保护网络和基础设施、保护区域边界、保护计算环境、支持性基础设施。
十二、网络生存模型
网络生存性是指在网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续提供必要服务的能力。
目前,国际上的网络信息生存模型遵循“3R”的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式,给出相应的3R策略,即抵抗(Resistance)、识别(Recognition)和恢复(Recovery)。最后,定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式,给出系统需要重点保护的基本功能服务和关键信息等。
十三、纵深防御模型
纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够相互支持和补救,尽可能地阻断攻击者的威胁。
目前,安全业界认为网络需要建立四道防线:
- 安全保护是网络的第一道防线,能够阻止对网络的入侵和危害
- 安全监测是网络的第二道防线,可以及时发现入侵和破坏
- 实时响应是网络的第三道防线,当攻击发生时维持网络"打不垮"
- 恢复是网络的第四道防线,使网络在遭受攻击后能够以最快的速度“起死回升”,最大限度地降低安全事件带来的损失
十四、分层防护模型
分层防护模型针对单独保护节点,以OSI7层模型为参考,对保护对象进行层次化保护,典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层,然后针对每层的安全威胁,部署合适的安全措施,进行分层防护。
十五、SSE-CMM模型
SSE-CMM(Systems Security Engineering Capability Maturity Model)是系统安全工程能力成熟度模型。
SSE-CMM包括工程过程类(Engineering)、组织过程类(Organization)、项目过程类(Project)。
十六、数据安全能力成熟度模型
根据《信息安全技术 数据安全能力成熟度模型》,数据安全能力从组织建设、制度流程、技术工具及人员能力四个维度评估:
- 组织建设-数据安全组织机构的架构建立、职责分配和沟通协作
- 制度流程-组织机构关键数据安全领域的制度规范和流程落地建设
- 技术工具-通过技术手段和产品工具固化安全要求或自动化实现安全工作
- 人员能力-执行数据安全工作的人员的意识及专业能力
十七、软件安全能力成熟度模型
软件安全能力成熟度模型分成五级,各级别的主要过程如下:
- CMM1级-补丁修补
- CMM2级-渗透测试、安全代码评审
- CMM3级-漏洞评估、代码分析、安全编码标准
- CMM4级-软件安全风险识别、SDLC实施不同安全检查点
- CMM5级-改进软件安全风险覆盖率、评估安全差距
十八、BLP机密性模型
BLP机密性模型是由David Bell和Leonard LaPadula提出的符合军事安全策略的计算机安全模型,简称BLP模型。该模型用于防止非授权信息的扩散,从而保证系统的安全。
BLP模型有两个特性:简单安全特性、*特性。
- 简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
- *特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写,不能向下写。
十九、BiBa完整性模型
BiBa模型主要用于防止非授权修改系统信息,以保护系统的信息完整性。该模型同BLP模型类型,采用主体、客体、完整性级别描述安全策略要求。
BiBa具有三个安全特性:简单安全特性、*特性、调用特性。
- 简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴集合包含客体的全部范畴,即主体不能向下读。
- *特性。主体的完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上写。
- 调用特性。主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体。
二十、信息流模型
信息流模型是访问控制模型的一种变形,简称FM。该模型不检查主体对客户的存取,而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。
信息流模型可以用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露。隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取,通过信息流分析以发现隐蔽通道,阻止信息泄露途径。
二十一、信息系统安全保障评估模型
信息系统安全保障模型包含安全保障要素、生存周期和能力成熟度三个维度。
- 安全保障要素是将保障策略具化到技术、管理和工程等不同层面形成的保障要求。
- 生存周期维度是强调安全保障要素的识别要贯穿信息系统从规划组织、开发采购、实施交付、运维维护和废弃等生存周期阶段。
- 信息系统安全保障能力等级是在确保安全保障要素充分性的基础上,通过能力成熟度来评价信息系统安全保障能力。
二十二、网络安全能力滑动标尺模型
2015年,美国系统网络安全协会(SANS)提出了网络安全滑动标尺模型,将网络安全体系建设过程分为架构建设、被动防御、积极防御、威胁情报和进攻反制五个阶段,按照每个阶段的建设水平来对安全防护能力进行评估,并指导未来安全防护能力的建设。
- 第一阶段是基础架构阶段,解决的是从无到有的问题。
- 第二阶段为被动防御,意即根据架构完善安全系统、掌握工具、方法,具备初级检测和防御能力。
- 第三阶段为主动防御,指主动分析检测、应对,从外部的攻击手段和手法进行学习,该阶段开始引入了渗透测试、攻防演练和外部威胁情报。
- 第四阶段为智能学习,指利用流量、主机或其他各种数据通过机器学习,进行建模及大数据分析,开展攻击行为的自学习和自识别,进行攻击画像、标签等活动。
- 第五阶段指利用技术和策略实现反制威慑。
二十三、数据安全治理框架(DSG)
Gartner提出了数据安全治理框架(DSG),试图从组织的高层业务风险分析出发,对组织业务中的各个数据集进行识别、分类和管理,并针对数据集的数据流和数据分析库的机密性、完整性、可用性创建8种安全策略。同时,数据管理与信息安全团队,可以针对整合的业务数据生命周期过程进行业务影响分析(BIA), 发现的各种数据隐私和数据保护风险,以降低整体的业务风险。
- 经营战略:确立数据安全的处理如何支撑经营策略的制定和实施
- 治理:对数据安全需要开展深度的治理工作
- 合规:企业和组织面临的合规要求
- IT策略:企业的整体IT策略同步
- 风险容忍度:企业对安全风险的容忍度在哪里
二十四、数据安全架构5A方法论
5A方法论,分为身份认证、授权、访问控制、审计、资产保护均是为达成安全目标而采取的技术手段。
二十五、等级保护模型
《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》中提出了“一个中心,三重防护”的观点,
- 一个中心即安全管理中心,要求在系统管理、安全管理、审计管理三个方面实现集中管控
- 三重防护即从被动防护转变到主动防护,从静态防护转变到动态防护,从单点防护转变到整体防护,从粗放防护转变到精准防护,实现安全计算环境、安全区域边界、安全通信网络三重防护,要求通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现全方位安全防护。
二十六、网络杀伤链(Kill Chain)
模型由美国洛克西德·马丁公司于2011年提出,网络空间攻击行为分为七个步骤。包括
- 侦查探测
- 制作攻击工具
- 将工具投送到目标
- 释放代码
- 成功安装并控制
- 主动外联
- 远程控制
- 扩散
攻击链模型精髓在于明确提出网络攻防过程中攻防双方互有优势,攻击方必须专一持续,而防守方若能阻断/瓦解攻击方的进攻组织环节,即成功地挫败对手攻击企图。
二十七、ATT&CK框架
ATT&CK,英文全称Adversarial Tactics, Techniques, and Common Knowledge,中文为对抗性的策略、技巧和常识。
它是由美国MITRE机构2013首次提出的一套攻击行为知识库模型和框架,它将已知攻击者行为转换为结构化列表,汇总成战术和技术,并通过若干个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。
ATT&CK Matrix for Enterprise中战术按照逻辑分布在多个矩阵中,以“初始访问”战术开始,经过“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露“、”影响“等共计14项战术。
二十八、钻石模型(The Diamond Model)
是一个针对单个安全事件分析的模型,核心就是用来描述攻击者的技战术和目的。
模型建立的基本元素是入侵活动事件,每个事件都有四个核心特征:对手、能力、基础设施及受害者。这些功能通过连线来代表它们之间的关系,并布置成菱形,因此得名“钻石模型”。
二十九、攻击树模型
攻击树(Attack trees) 为我们提供了一种正式而条理清晰的方法来描述系统所面临的安全威胁和系统可能受到的多种攻击。我们用树型结构来表示系统面临的攻击,其中根节点代表被攻击的目标,叶节点表示达成攻击目标的方法。
三十、STRIDE模型
STRIDE是微软开发的用于威胁建模的方法和工具。在开展威胁评级之前,需要识别出威胁。为了准确地阐释安全隐患,进而识别出潜在威胁,可以采用STRIDE模型。
三十一、PASTA威胁建模
PASTA代表攻击模拟和威胁分析过程,致力于使技术安全要求与业务目标保持一致。
由七个步骤组成:
- 定义目标
- 定义技术范围
- 应用程序分解
- 威胁分析
- 漏洞和弱点分析
- 攻击建模
- 风险与影响分析
三十二、零信任模型
零信任安全模型是一种设计和实现安全 IT 系统的方法。零信任背后的基本概念是“从不信任,总是需要验证”。这意味着用户、设备和连接在默认情况下永远不受信任,即使他们在连接到公司网络或之前已经通过身份验证。
三十三、NIST 网络安全框架
NIST网络安全框架是一组安全实践,可帮助您了解网络安全并保护您的企业免受网络威胁。包含识别、保护、检测、响应、恢复五个阶段。
三十四、网络安全态势感知模型
基于大规模网络环境中的安全要素和特征,采用数据分析、挖掘和智能推演等方法,准确理解和量化当前网络空间的安全态势,有效检测网络空间中的各种攻击事件,预测未来网络空间安全态势的发展趋势,并对引起态势变化的安全要素进行溯源。目前使用比较多的是Endsley态势感知模型。
三十五、LINDDUN威胁建模
LINDDUN是一种隐私威胁建模方法,支持分析师系统地引发和减轻软件架构中的隐私威胁。
LINDDUN提供支持,以结构化方式指导您完成威胁建模过程。此外,LINDDUN还提供隐私知识支持,让非隐私专家也能推理出隐私威胁。
