◆藺旭冉 朱 彤

網(wǎng)絡(luò)安全保障模型的企業(yè)應(yīng)用融合設(shè)計初探

◆藺旭冉 朱 彤

（核工業(yè)計算機應(yīng)用研究所 北京 100048）

在當(dāng)前企業(yè)的業(yè)務(wù)和信息化網(wǎng)絡(luò)化結(jié)合和依賴程度快速提高、面臨的信息安全風(fēng)險越來越高、國家高度重視的大環(huán)境下，網(wǎng)絡(luò)安全保障能力建設(shè)是各類企業(yè)面臨的一項重要課題。本文重點以主流的信息安全保障模型為基礎(chǔ)，結(jié)合企業(yè)網(wǎng)絡(luò)安全工作開展實踐經(jīng)驗，初步融合設(shè)計一個以風(fēng)險評估為起點、以人員管理和安全策略為核心的網(wǎng)絡(luò)安全保障模型，可作為網(wǎng)絡(luò)安全保障能力建設(shè)方法和思路的一項借鑒。

網(wǎng)絡(luò)安全；風(fēng)險評估；信息安全保障模型；安全策略

0 引言

信息化建設(shè)工作在各級企業(yè)中均快速推進(jìn)，從經(jīng)營管理到科研生產(chǎn)等各個領(lǐng)域，信息系統(tǒng)的規(guī)模和復(fù)雜程度快速提升，其核心業(yè)務(wù)對信息化的依賴程度越來越高，業(yè)務(wù)數(shù)據(jù)價值與日俱增。在外部網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻，國家管控標(biāo)準(zhǔn)要求不斷提升的情況下，企業(yè)對開展信息安全防護和保障能力的建設(shè)需求也快速攀升。但實際上多數(shù)企業(yè)由于前期信息安全意識不足和成本投入的考慮，在信息化規(guī)劃設(shè)計和建設(shè)之初以功能實現(xiàn)為主，同期對網(wǎng)絡(luò)安全防護的投入遠(yuǎn)遠(yuǎn)不足，整體的安全防護建設(shè)和管控工作起步較晚，企業(yè)網(wǎng)絡(luò)安全信息系統(tǒng)整體存在較大的安全風(fēng)險和隱患。

因此，本文主要在現(xiàn)有信息安全模型分析研究的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)安全工作開展實踐經(jīng)驗，初步完成網(wǎng)絡(luò)安全保障模型的融合設(shè)計研究，為如何找準(zhǔn)開展網(wǎng)絡(luò)安全保障能力建設(shè)的發(fā)力點提供參考。

1 信息安全保障模型的發(fā)展

傳統(tǒng)的信息安全模型最早起步于20世紀(jì)70年代，包括最早提出的強訪問控制Bell-LaPadula模型，把強制訪問控制用于完整性的Biba模型，Clark Wilson數(shù)據(jù)完整性模型和中國墻模型等，在信息技術(shù)飛速發(fā)展不斷提升信息安全防護能力。隨著信息技術(shù)網(wǎng)絡(luò)社會化的進(jìn)一步發(fā)展，信息安全的眾多因素和變量的不確定性快速增加，使得信息安全問題也日益重要尖銳和復(fù)雜，需要信息安全保障的理念和模型來維持一種動態(tài)和可控的狀態(tài)。

同傳統(tǒng)的信息安全模型相比，信息安全保障模型將保護、檢測和響應(yīng)等因素動態(tài)的綜合起來，更關(guān)注檢測和響應(yīng)，尤其是在攻擊發(fā)生時保證信息系統(tǒng)可用性、完整性和機密性維持在穩(wěn)定水平。其中，比較具有代表性且廣泛應(yīng)用的信息安全保障模型包括源自P2DR模型和HTP模型，包括以P2DR模型衍生和發(fā)展出的PDRR、P2DRM、MPDRR和WPDRRC等。

1.1 P2DR模型

P2DR模型（Policy（策略）、Protection（防護）、Detection（檢測）和Response（響應(yīng)））源自美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的自適應(yīng)網(wǎng)絡(luò)安全模型。P2DR模型建立在基于時間的安全理論基礎(chǔ)之上，在統(tǒng)一的安全策略指導(dǎo)下，由恰當(dāng)?shù)姆雷o措施、動態(tài)的檢測機制（如入侵檢測等）和安全事件的響應(yīng)，綜合形成一個完備的、閉環(huán)的動態(tài)自適應(yīng)安全體系。但是P2DR及PDRR等大部分衍生模型主要著眼于安全過程本身，對內(nèi)部管理方面的安全管控不足，尤其忽略了人的因素。

1.2 HTP模型

HTP信息安全模型由三部分組成：人員與管理（Human and Management）包括法律法規(guī)、安全管理和教育培訓(xùn)等，技術(shù)與產(chǎn)品（Technology and Products）包括認(rèn)證技術(shù)、防火墻、入侵檢測等；流程與體系（Process and Framework）包括風(fēng)險評估、體系建設(shè)和運行改進(jìn)的周期性安全管控體系。HTP信息安全模型將信息安全放到了組織層面中考慮，相比P2DR等模型更強調(diào)了人員和管理這一因素，但在技術(shù)、策略和標(biāo)準(zhǔn)上描述較為簡單，缺少與實際運行管控過程的有機結(jié)合。

2 模型融合設(shè)計

隨著網(wǎng)絡(luò)安全環(huán)境的快速變化、新技術(shù)的大量應(yīng)用和國家網(wǎng)絡(luò)安全戰(zhàn)略部署的持續(xù)推進(jìn)，各級企業(yè)均面臨著網(wǎng)絡(luò)安全威脅快速增大、信息系統(tǒng)安全風(fēng)險漏洞增多、網(wǎng)絡(luò)安全能力自主可控和創(chuàng)新不足等新形勢下的問題和挑戰(zhàn)，迫切需要快速加強網(wǎng)絡(luò)安全保障能力建設(shè)。通過分析已有的主要信息保障安全模型的特點和局限性，結(jié)合目前大部分企業(yè)體系化網(wǎng)絡(luò)安全管控和防護不夠全面和規(guī)范的現(xiàn)狀，本文主要基于P2DR及其衍生模型和HTP等安全保障模型的思路和要素，結(jié)合企業(yè)網(wǎng)絡(luò)安全保障能力建設(shè)實踐經(jīng)驗進(jìn)行初步的融合模型設(shè)計，如圖1所示。

圖1 融合模型設(shè)計

2.1 安全保障能力核心要素

企業(yè)的網(wǎng)絡(luò)安全保障能力建設(shè)的核心要素包括安全策略、人員管理、安全技術(shù)、安全產(chǎn)品和網(wǎng)絡(luò)安全組織。

（1）安全策略

安全策略是P2DR模型中的核心要素，也是企業(yè)網(wǎng)絡(luò)安全保障能力建設(shè)的根本依據(jù)和頂層設(shè)計，應(yīng)根據(jù)業(yè)務(wù)特點、保障資源、防護對象和對應(yīng)的防護標(biāo)準(zhǔn)制定，明確企業(yè)網(wǎng)絡(luò)安全方針、組織機構(gòu)職責(zé)和管控策略措施等。安全策略應(yīng)涵蓋信息系統(tǒng)網(wǎng)絡(luò)安全相關(guān)設(shè)計、建設(shè)、運營和廢止的全生命周期管理，并根據(jù)實際業(yè)務(wù)開展和系統(tǒng)變化情況及時更新和調(diào)整，確保能夠?qū)崟r有效的指導(dǎo)各級各類具體的網(wǎng)絡(luò)安全保障工作執(zhí)行。

（2）人員管理

人員作為企業(yè)網(wǎng)絡(luò)安全最活躍和不確定的因素，也是HTP模型中的核心要素。人員包括大量的內(nèi)部員工用戶和關(guān)鍵的網(wǎng)絡(luò)安全管理、技術(shù)人員，是對網(wǎng)絡(luò)信息系統(tǒng)最大的潛在威脅。應(yīng)按照人員業(yè)務(wù)特點、崗位職責(zé)和基礎(chǔ)能力的不同，在有針對性地制定相關(guān)的人員管理規(guī)范的基礎(chǔ)上，落實安全意識培養(yǎng)、技術(shù)能力培訓(xùn)和監(jiān)督檢查常態(tài)化等基本措施，結(jié)合技術(shù)管控手段，嚴(yán)控內(nèi)部風(fēng)險。

（3）安全技術(shù)

網(wǎng)絡(luò)安全技術(shù)是確保安全策略和管理要求實現(xiàn)的基本條件，從技術(shù)上劃分涵蓋物理安防、網(wǎng)絡(luò)邊界防護、訪問控制、身份鑒別、安全審計、系統(tǒng)開發(fā)、密碼和數(shù)據(jù)安全等各個層面；從對象上劃分為系統(tǒng)和設(shè)備的安全防護技術(shù)和專業(yè)的網(wǎng)絡(luò)安全人員技術(shù)能力兩大類。一方面需要在落實各個環(huán)節(jié)的基本的安全防護技術(shù)措施適度全覆蓋的基礎(chǔ)上，根據(jù)業(yè)務(wù)特點、行業(yè)標(biāo)準(zhǔn)和風(fēng)險評估結(jié)果進(jìn)行重點防護；另一方面需要確保網(wǎng)絡(luò)安全技術(shù)人員的技術(shù)能力與相應(yīng)的技術(shù)措施相匹配，能夠有效發(fā)揮出技術(shù)措施的防護能力，尤其強化日常分析監(jiān)測和應(yīng)急處置能力。

（4）安全產(chǎn)品

網(wǎng)絡(luò)安全產(chǎn)品是安全技術(shù)實現(xiàn)的重要實現(xiàn)載體，包括安全防護技術(shù)環(huán)節(jié)實現(xiàn)必要的安全防護產(chǎn)品和安全監(jiān)督管理落實需要的安全審計和安全檢查檢測產(chǎn)品。應(yīng)按照“適度防范”和“兼顧效率”的原則進(jìn)行網(wǎng)絡(luò)安全產(chǎn)品的部署和使用，避免過度防護。同時，其配置和管理必須嚴(yán)格執(zhí)行安全策略中相關(guān)要求。

（5）網(wǎng)絡(luò)安全組織

企業(yè)的網(wǎng)絡(luò)安全保障能力建設(shè)必須依托企業(yè)內(nèi)部職權(quán)明確的網(wǎng)絡(luò)安全組織來完成。網(wǎng)絡(luò)安全組織的最優(yōu)方式為獨立于信息系統(tǒng)建設(shè)和運維管理機構(gòu)，例如可成立相對獨立的網(wǎng)絡(luò)安全管理中心，來承擔(dān)企業(yè)網(wǎng)絡(luò)安全規(guī)劃設(shè)計、安全策略設(shè)計和維護、信息系統(tǒng)全生命周期的安全監(jiān)督管控、安全狀態(tài)的檢測和態(tài)勢感知、應(yīng)急處置和恢復(fù)等職能，通過專業(yè)能力專職統(tǒng)籌推進(jìn)網(wǎng)絡(luò)安全保障工作落實。

2.2 網(wǎng)絡(luò)安全運行管控

通過國家信息安全等級保護工作多年來的持續(xù)推行，大部分企業(yè)通過對其建設(shè)和整改，其重要網(wǎng)絡(luò)信息系統(tǒng)已具備必要的安全防護能力，但在運行管理方面仍然存在短板，尤其是內(nèi)部管控明顯不足，需要按照防護、檢測、響應(yīng)和恢復(fù)的基本環(huán)節(jié)進(jìn)行相對完整和體系化的運行管控，最大化的發(fā)揮已有技術(shù)管理措施的安全防護效能。

（1）防護

基于安全策略落實的物理、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)安全等防護措施集合，確保防護對象保密性和完整性的相對安全可控。

（2）檢測

在無法實現(xiàn)絕對安全的前提下，需要通過各種探測、檢查、監(jiān)控和報警等技術(shù)和管理手段，及時發(fā)現(xiàn)安全威脅和隱患。

（3）響應(yīng)

根據(jù)安全策略對于所出現(xiàn)或定義的安全威脅或安全事件，包括異常報警事件處置和安全應(yīng)急響應(yīng)處置等。

（4）恢復(fù)

通過評估安全事件產(chǎn)生的危害與影響，按照安全策略恢復(fù)系統(tǒng)功能或數(shù)據(jù)。

2.3 持續(xù)評估改進(jìn)

在網(wǎng)絡(luò)信息系統(tǒng)安全運行管控的基礎(chǔ)上，以定期的風(fēng)險評估為起點和輸入，有重點分層級的實施安全體系整改建設(shè)，通過實際的運行和過程管控實踐再發(fā)現(xiàn)問題和不足，持續(xù)、快速和有效的提升以策略、人員、技術(shù)和產(chǎn)品為核心的網(wǎng)絡(luò)安全保障能力。

（1）風(fēng)險評估

風(fēng)險評估應(yīng)根據(jù)國家有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對照企業(yè)安全策略的方針準(zhǔn)則和具體要求，以識別信息資產(chǎn)為評估對象，通過威脅和脆弱性的全面的識別和分析，判斷安全風(fēng)險發(fā)生的可能性及其危害和影響。安全無止境，考慮到網(wǎng)絡(luò)安全保障能力建設(shè)范圍廣、投入大和動態(tài)變化的特點，需要建立定期的風(fēng)險評估機制，并通過科學(xué)和全面的評估結(jié)果，分級分階段有針對性的合理進(jìn)行風(fēng)險整改和控制，快速補齊安全短板的同時平衡資源投入壓力。

（2）安全體系建設(shè)

網(wǎng)絡(luò)安全是動態(tài)的多層次多因素過程，通過局部或個別的要素和環(huán)節(jié)難以進(jìn)行有效的保障，需要充分結(jié)合業(yè)務(wù)需求和特點參照相應(yīng)的安全防護標(biāo)準(zhǔn)制定安全策略，并以此為基礎(chǔ)設(shè)計包括人員管理、技術(shù)要求和過程管控規(guī)范等要素在內(nèi)的體系化安全框架。通過風(fēng)險評估和實際運行管控實踐活動進(jìn)行不斷的充實完善、調(diào)整和優(yōu)化，形成適用于本企業(yè)的科學(xué)合理的安全體系。

（3）運行及過程管控

通過體系化的網(wǎng)絡(luò)安全保障能力建設(shè)和提升，不斷強化企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的防護、檢測、響應(yīng)和恢復(fù)等各個運行及過程管控環(huán)節(jié)的落地實施。

3 結(jié)束語

網(wǎng)絡(luò)安全保障能力建設(shè)是一項系統(tǒng)工程，投入大周期長，需要科學(xué)合理和切合實踐的方法指導(dǎo)。在當(dāng)前網(wǎng)絡(luò)安全外部環(huán)境整體嚴(yán)峻的態(tài)勢下，企業(yè)可以通過優(yōu)化健全基本運行管控環(huán)節(jié)，在保障信息系統(tǒng)基本安全的基礎(chǔ)上，以風(fēng)險評估為啟動和切入點，以網(wǎng)絡(luò)安全組織為支撐點，以策略、人員、技術(shù)和產(chǎn)品為建設(shè)核心，持續(xù)建立健全安全體系，實現(xiàn)網(wǎng)絡(luò)安全保障能力的快速和有效提升。

[1]范紅，馮登國，吳亞非.信息安全風(fēng)險評估方法與應(yīng)用[M].清華大學(xué)出版社，2006.

[2]沈昌祥.信息安全[M].浙江大學(xué)出版社，2007.

[3]GB/T 22081-2016.信息技術(shù) 安全技術(shù) 信息安全控制實踐指南[S]，2016．

[4]蔣韜，李信滿，劉積仁.信息安全模型研究[J].小型微型計算機系統(tǒng)，2000.

[5]雷璟，王冬梅.建立信息安全管理體系的HTP方法[J]. 電子信息技術(shù)評論，2005.

[6]張惠.信息系統(tǒng)運維階段信息安全風(fēng)險評估工作研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018.