图1 PDRR模型 如图2所示,P2DR模型是在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)评估系统的安全状态,使系统保持在最低风险的状态。安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)组成了一个完整动态的循环,在安全策略的指导下保证信息系统的安全。P2DR模型提出了全新的安全概念,即安全不能依靠单纯的静态防护,也不能依靠单纯的技术手段来实现。 P2DR模型以基于时间的安全理论(Time Based Security)这一数学模型作为论述基础。该理论的基本原理是:信息安全相关的所有活动,无论是攻击行为、防护行为、检测行为和响应行为等都要消耗时间,因此可以用时间来衡量一个体系的安全性和安全能力。 图2 P2DR模型 IATF是一系列保证信息和信息设施安全的指南,为建设信息保障系统及其软硬件组件定义了一个过程,依据所谓的纵深防御策略,提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。 IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域:局域计算环境(Local Computing Environment)、区域边界(Enclave Boundaries)、网络和基础设施(Networks & Infrastructures)、支撑性基础设施(Supporting Infrastructures),如图3所示。在每个焦点域内,IATF都描述了其特有的安全需求和相应的可控选择的技术措施。IATF提出这四个焦点域的目的是让人们理解网络安全的不同方面,以全面分析信息系统的安全需求,考虑恰当的安全防御机制。 四个焦点域中,局域计算环境包括服务器、客户端及其上所安装的应用程序、操作系统等;区域边界是指通过局域网相互连接、采用单一安全策略且不考虑物理位置的本地计算设备的集合;网络和基础设施提供区域互联,包括操作域网(OAN)、城域网(MAN)、校园域网(CAN)和局域网(LANs),涉及广泛的社会团体和本地用户;支撑性基础设施为网络、区域和计算环境的信息保障机制提供支持基础。 图3 IATF焦点域 图4 IATF的纵深防御战略 CGS2.0标准框架强调了网络空间安全四大总体性功能:治理(Govern)、保护(Protect)、检测(Detect)和响应与恢复(Respond & Recover),如图5所示。其中,治理功能为各机构全面了解整个组织的使命与环境、管理档案与资源、建立跨组织的弹性机制等行为提供指南;保护功能为机构保护物理和逻辑环境、资产和数据提供指南;检测功能为识别和防御机构的物理及逻辑事务上的漏洞、异常和攻击提供指南;响应与恢复功能则为建立针对威胁和漏洞的有效响应机制提供指南。 CGS框架的设计使得组织机构能够应对各种不同的挑战。该框架没有像开处方那样给出单独的一种方法来选择和实施安全措施,而是按照逻辑,将基础设施的系统性理解和管理能力、以及通过协同工作来保护组织安全的保护和检测能力整合在了一起。 图5 CGS框架示意图PDRR模型
P2DR模型
IATF框架
黄金标准框架
总结
作者:中国保密协会科学技术分会,如若转载,请注明出处。
发表评论 取消回复