美国网络安全体系架构揭秘
网络安全体系是一项复杂的系统工程,需要把安全组织体系、安全技术体系和安全管理体系等手段进行有机融合,构建一体化的整体安全屏障。针对网络安全防护,美国曾提出多个网络安全体系模型和架构,其中比较经典的包括PDRR模型、P2DR模型、IATF框架和黄金标准框架。
PDRR模型
PDRR模型由美国国防部(DoD)提出,是防护(Protection)、检测(Detection)、恢复(Recovery)、响应(Response)的缩写。PDRR改进了传统的只注重防护的单一安全防御思想,强调信息安全保障的PDRR四个重要环节。图1所示为PDRR模型的主要内容。
图1 PDRR模型
P2DR模型
20世纪90年代末,美国国际互联网安全系统公司(ISS)提出了基于时间的安全模型——自适应网络安全模型(Adaptive Network Security Model,ANSM),该模型也被称为P2DR(Policy Protection Detection Response)模型。该模型可量化,也可进行数学证明,是基于时间的安全模型,可以表示为:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。
如图2所示,P2DR模型是在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)评估系统的安全状态,使系统保持在最低风险的状态。安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)组成了一个完整动态的循环,在安全策略的指导下保证信息系统的安全。P2DR模型提出了全新的安全概念,即安全不能依靠单纯的静态防护,也不能依靠单纯的技术手段来实现。
P2DR模型以基于时间的安全理论(Time Based Security)这一数学模型作为论述基础。该理论的基本原理是:信息安全相关的所有活动,无论是攻击行为、防护行为、检测行为和响应行为等都要消耗时间,因此可以用时间来衡量一个体系的安全性和安全能力。
图2 P2DR模型
IATF框架
信息保障技术框架(Information Assurance Technical Framework,IATF)是由美国国家安全局(NSA)制定并发布的,其前身是网络安全框架(Network Security Framework,NSF)。自1998年起,NSA就开始着眼于美国信息化现状和信息保障的需求,建立了NSF。1999年,NSA将NSF更名为IATF,并发布IATF 2.0。直到现在,随着美国信息技术的进步和对信息安全认识的逐步加深,IATF仍在不断完善和修订。
IATF是一系列保证信息和信息设施安全的指南,为建设信息保障系统及其软硬件组件定义了一个过程,依据所谓的纵深防御策略,提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。
IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域:局域计算环境(Local Computing Environment)、区域边界(Enclave Boundaries)、网络和基础设施(Networks & Infrastructures)、支撑性基础设施(Supporting Infrastructures),如图3所示。在每个焦点域内,IATF都描述了其特有的安全需求和相应的可控选择的技术措施。IATF提出这四个焦点域的目的是让人们理解网络安全的不同方面,以全面分析信息系统的安全需求,考虑恰当的安全防御机制。
四个焦点域中,局域计算环境包括服务器、客户端及其上所安装的应用程序、操作系统等;区域边界是指通过局域网相互连接、采用单一安全策略且不考虑物理位置的本地计算设备的集合;网络和基础设施提供区域互联,包括操作域网(OAN)、城域网(MAN)、校园域网(CAN)和局域网(LANs),涉及广泛的社会团体和本地用户;支撑性基础设施为网络、区域和计算环境的信息保障机制提供支持基础。
图3 IATF焦点域
IATF信息保障的核心思想是纵深防御战略,该战略为信息保障体系提供了全方位、多层次的指导思想,通过采用多层次、在各个技术框架区域中实施保障机制,以最大限度降低风险、防止攻击,保障用户信息及其信息系统的安全。IATF的纵深防御战略如图4所示,其中人(People)、技术(Technology)和操作(Operation)是主要核心因素,是保障信息及系统安全必不可少的要素。
图4 IATF的纵深防御战略
黄金标准框架
基于美国国家安全系统信息保障的最佳实践, NSA于2014年6月发布《美国国家安全体系黄金标准》(Community Gold Standard v2.0,CGS2.0)。
CGS2.0标准框架强调了网络空间安全四大总体性功能:治理(Govern)、保护(Protect)、检测(Detect)和响应与恢复(Respond & Recover),如图5所示。其中,治理功能为各机构全面了解整个组织的使命与环境、管理档案与资源、建立跨组织的弹性机制等行为提供指南;保护功能为机构保护物理和逻辑环境、资产和数据提供指南;检测功能为识别和防御机构的物理及逻辑事务上的漏洞、异常和攻击提供指南;响应与恢复功能则为建立针对威胁和漏洞的有效响应机制提供指南。
CGS框架的设计使得组织机构能够应对各种不同的挑战。该框架没有像开处方那样给出单独的一种方法来选择和实施安全措施,而是按照逻辑,将基础设施的系统性理解和管理能力、以及通过协同工作来保护组织安全的保护和检测能力整合在了一起。
图5 CGS框架示意图
总结
随着信息化的快速发展,网络安全已经成为影响社会各个层面的战略性国家问题,保障网络安全直接关系到国计民生、经济运行和国家安全。构建网络安全体系是进行网络安全防范的基础,能够将各种网络安全防范单元进行有机集成,形成网络安全防范系统的最高层抽象。
来源:中国保密协会科学技术分会
猜你喜欢
1、GitHub 标星 3.2w!史上最全技术人员面试手册!FackBoo发起和总结
2、如何才能成为优秀的架构师?
3、从零开始搭建创业公司后台技术栈
4、程序员一般可以从什么平台接私活?
5、37岁程序员被裁,120天没找到工作,无奈去小公司,结果懵了...
6、滴滴业务中台构建实践,首次曝光
7、不认命,从10年流水线工人,到谷歌上班的程序媛,一位湖南妹子的励志故事
8、15张图看懂瞎忙和高效的区别!
美国网络安全体系架构揭秘相关推荐
- 美国标准的网络安全体系架构
网络安全体系是一项复杂的系统工程,需要把安全组织体系.安全技术体系和安全管理体系等手段进行有机融合,构建一体化的整体安全屏障.针对网络安全防护,美国曾提出多个网络安全体系模型和架构,其中比较经典的包括 ...
- 【转载】网络安全体系设计方法论
这一年来,网络安全行业兴奋异常.各种会议.攻防大赛.黑客秀,马不停蹄.随着物联网大潮的到来,在这个到处都是安全漏洞的世界,似乎黑客才是安全行业的主宰.然而,我们看到的永远都是自己的世界,正如医生看到的 ...
- 敲黑板 划重点 网络安全体系的9大知识点都在这里
敲黑板 划重点 网络安全体系的9大知识点都在这里 首席数字官 2020-09-25 18:21:05 文丨赵博智 编辑丨秦丽 来源丨首席数字官 在新基建浪潮之下,云计算.大数据.物联网.人工智能为代表 ...
- 第四章:网络安全体系与网络安全模型
一.思维导图: 二.本章大纲要求 4.1 网络安全体系概述 •网络安全体系概念 •网络安全体系特征 •网络安全体系用途 4.2 网络安全体系相关安全模型 •BLP 机密性模型 • BiBa 完整性模型 ...
- 智能制造体系架构分析与工业互联网应用
导读 对德国工业4.0.中国制造2025等国内外智能制造的主要概念与发展趋势进行分析,并对智能制造的典型应用场景.主要需求及体系架构进行分析,结合物联网.云计算和大数据等技术,提出面向智能制造的工业互 ...
- 论坛报名 | 智能体系架构与芯片的下一个十年
与6位图灵奖得主和100多位专家 共同探讨人工智能的下一个十年 长按图片或点击阅读原文,内行盛会,首次免费注册 2020年6月21-24日,第二届北京智源大会(官网:https://2020.baai ...
- 开启报名 | AI芯片体系架构和软件专题报告会2020
近年来,专用的人工智能芯片为人工智能应用提供了强大的算力.面对日新月异的人工智能应用,人工智能芯片的体系架构,系统软件,安全成为计算机体系结构和系统软件的热点研究问题.为了推进国内在该领域的发展,由北 ...
- 专家谈计算机体系架构研究获“图灵奖”
来源:科学网 作者:王佳雯 韩扬眉 近日,有着"计算机界的诺贝尔奖"之称的"图灵奖"揭开面纱.国际计算机协会宣布,美国科学家约翰·轩尼诗和大卫·帕特森获得2 ...
- 【转】BI 入门: 体系架构及相关技术
(1) 老板,你要这么多数据做什么? 假如你是一个商品零售公司的老板. 你的公司很先进,已经实现了业务信息化,每一笔销售单据都保存在数据库中,日积月累,已经保存了十余年的销售数 ...
- IPSec逻辑体系架构
以下内容摘自业界唯一一本真正从全局视角介绍网络安全系统设计的图书--<网络工程师必读--网络安全系统设计>一书.目前该书在卓越网上仅需要70折:http://www.amazon.cn/m ...
最新文章
- 这三篇论文开源了!何恺明等人的PointRend,Hinton组的SimCLR和谷歌大脑的EfficientDet...
- Windows下载、安装、卸载Redis
- NLTK完成简单的情感分析
- C#中控件如何设置透明色
- Attributes.Add用途与用法
- shell 判断字符串最后一个字符
- 控件ListView相关属性 1217
- java拦截器handler_java拦截器HandlerInterceptor的preHandle、postHandle与afterCompletion三个方法...
- 聊聊论文分区,SCI,JCR,CCF分区你弄懂了吗?
- 发稿猫:5步分析钟薛高、东鹏特饮新品牌如何做营销
- 【方法】如何提高专注能力
- 斯坦福大学java视频_iPhone应用开发视频教程-斯坦福大学公开课
- 跳棋java课程设计,C语言课程设计(论文)跳棋.doc
- 在腾讯云上申请一个免费的centos系统,将编好的python程序和c程序上载到centos系统,
- 英国部份城市中英文对照
- HDFS操作及命令介绍
- 这个简笔画很值得学,哄小孩必备
- 雷电模拟器运行一直不动解决方案
- 2019年3月5日-MPU9250使用(二)
- 用Python实现Word多文档合并