網絡安全系統如圖1所示。其保障功能主要體現在對整個網絡系統的風險和隱患進行及時的評估、識別、控制和應急處理,便於有效的預防、保護、響應和恢復,保證系統的安全運行。
圖1網絡安全系統
1.網絡安全的關鍵要素
網絡安全的關鍵要素包括網絡安全戰略、網絡安全管理、網絡安全運行和網絡安全技術四個方面,如圖2所示。其中,網絡安全策略是安全保障的核心,主要包括網絡安全策略、策略和標準。網絡安全管理是指企事業單位的管理行為,主要包括安全意識、組織架構和審計監督。網絡安全運行是企事業單位的日常管理行為,包括運行過程和對象管理。網絡安全技術是網絡系統的行為,包括安全服務、措施、基礎設施和技術手段。?
圖2網絡安全要素圖3 P2DR模型示意圖
在組織的管理機制下,只有運用運行機制和技術手段,才能真正實現網絡安全。通過網絡安全運營,在日常工作中認真落實網絡安全管理和網絡安全技術手段。管理是關鍵,技術是保障,管理實際上包括管理技術。P2DR模型是美國ISS公司提出的動態網絡安全體系的代表模型,也是壹種動態安全模型,包括策略(安全策略)、防護(保護)、檢測(檢測)和響應(響應)四個主要部分。如圖3所示。
2.網絡安全的總體框架。
針對網絡系統的各種威脅和風險,以往針對單方面的具體安全風險提出的具體解決方案具有壹定的局限性,對策難免會顧此失彼。面對新的網絡環境和威脅,有必要建立以深度防禦為特征的網絡信息安全保障體系。網絡安全系統的總體框架如圖4所示。這個安全體系框架的外圍是風險管理、法律、法規和標準的合規性。
圖4網絡安全系統框架
網絡安全管理的本質是對網絡信息安全風險進行動態有效的管理和控制。網絡安全風險管理是網絡運營管理的核心,其中風險分為信用風險、市場風險和運營風險,包括網絡信息安全風險。事實上,風險管理的理念在網絡信息安全保障體系框架中得到了充分體現。網絡安全體系結構包括五個部分:
1)網絡安全策略。屬於整個架構的頂層設計,在整體宏觀上起到戰略性、方向性的指導作用。以風險管理為核心理念,從長遠發展規劃和戰略的角度規劃整體網絡安全建設。
2)網絡安全政策和標準。是對網絡安全策略的逐層細化和落實,包括管理、運營和技術。每個級別都有相應的安全策略和標準。通過實施標準政策來規範管理、操作和技術,保證其統壹性和規範性。當這三者發生變化時,相應的安全政策和標準需要相互調整和適應。相反,安全政策和標準也會影響管理、操作和技術。
3)網絡安全運營。基於日常運行模式及其概念流程(風險評估、安全控制規劃和實施、安全監控和響應恢復)。它是網絡安全體系的核心,貫穿網絡安全的始終;也是網絡安全管理機制和技術機制在日常運營中的實現,涉及運營流程和運營管理。
4)網絡安全管理。對網絡的安全運行非常重要,從人員、意識、責任等方面保證網絡的順利運行。網絡安全是通過運營系統實現的,網絡安全管理系統從人員組織的角度保證正常運行,網絡安全技術系統從技術的角度保證運行。
5)網絡安全技術。網絡安全基礎服務和網絡安全運行所需基礎設施的及時支持。先進完善的網絡安全技術可以大大提高網絡安全運行的有效性,從而達到網絡安全保障體系的目標,實現全生命周期(預防、防護、檢測、響應、恢復)的風險防控。
節選-延伸:網絡安全技術與應用(第3版)賈鐵軍主編,機械工業出版社,2017。