第4章网络安全体系与网络安全模型

本章内容主要包括:
第一，讲述了网络安全体系的基本概念以及相关安全模型，主要包括机密性模型、完整性模型、信息流模型、信息保障模型、能力成熟度模型、纵深防御模型、分层防护模型、等级保护模型和网络生存模型;
第二，归纳了网络安全体系的建立应该遵循的原则和网络安全策略;
第三，详细分析了网络安全体系建设框架及相关组成要素的构建内容;
第四，给出了网络安全等级保护、智慧城市和智能交通等网络安全体系建设参考案例。

4.1网络安全体系概述

网络安全保障是项复杂的系统工程，是安全策略、多种技术、管理方法和人员安全素质的综合。
本节从网络安全体系的角度探讨网络安全保障建设，其主要内容包括网络安全体系的概念、特征和用途。

4.1.1网络安全体系概念

现代的网络安全问题变化莫测，要保障网络系统的安全，应当把相应的安全策略、各种安全技术和安全管理融合在一起，建立网络安全防御体系，使之成为一个有机的整体安全屏障。
一般而言，网络安全体系是网络安全保障系统的最高层概念抽象，是由各种网络安全单元按照一定的规则组成的，共同实现网络安全的且标。
网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素。
网络安全体系构建已成为一种解决网络安全问题的有效方法，是提升网络安全整体保障能力的高级解决方案。

4.1.2网络安全体系特征

一般来说，网络安全体系的主要特征如下:

(1) 整体性。网络安全体系从全局、长远的角度实现安全保障，网络安全单元按照一 定的规则，相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式。
(2) 协同性。网络安全体系依赖于多种安全机制，通过各种安全机制的相互协作，构建系统性的网络安全保护方案。
(3) 过程性。针对保护对象，网络安全体系提供一种过程式的网络安全保护机制，覆盖保护对象的全生命周期。
(4) 全面性。网络安全体系基于多个维度、多个层面对安全威胁进行管控，构建防护、检测、响应、恢复等网络安全功能。
(5) 适应性。网络安全体系具有动态演变机制，能够适应网络安全威胁的变化和需求。

4.1.3网络安全体系用途

网络安全体系的建立是一个复杂持续建设和迭代演进的过程，但是网络安全体系对于一个组织有重大意义，主要体现为:

(1)有利于系统性化解网络安全风险，确保业务持续开展并将损失降到最低限度;
(2)有利于强化工作人员的网络安全意识，规范组织、个人的网络安全行为;
(3)有利于对组织的网络资产进行全面系统的保护，维持竞争优势;
(4)有利于组织的商业合作;
(5)有利于组织的网络安全管理体系认证，证明组织有能力保障重要信息，能提高组织的知名度与信任度。

4.2网络安全体系相关安全模型

本节主要讲述BLP机密性模型、BiBa 完整性模型、信息流模型、信息保障模型、能力成熟度模型、纵深防御模型、分层防护模型、等级保护模型、网络生存模型。

安全模型用于精确和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。

4.2.1BLP机密性模型

Bell-LaPadula模型是由David Bell和Leonard LaPadula提出的符合军事安全策略的计算机安全模型，简称BLP模型。
该模型用于防止非授权信息的扩散，从而保证系统的安全。
BLP模型有两个特性:简单安全特性、*特性。

(1)简单安全特性。主体对客体进行 读访问 的必要条件是主体的安全级别不小于客体的安全级别，主体的范畴集合包含客体的全部范畴，即主体只能向下读，不能向上读。
(2)*特性。 一个主体对客体进行 写访问 的 必要条件 是 客体的安全级支配主体的安全级 ，即 客体的保密级不小于主体的保密级别， ==客体的范畴集合包含主体的全部范畴== ，即 主体只能向上写，不能向下写 。
如下图（BLP模型安全示意图）所示：
信息流只向高级别的客体方向流动，而高级别的主体可以读取低级别的主体信息。

BLP机密性模型可用于实现军事安全策略(Miliary Security Policy)。
该策略最早是美国国防部为了保护计算机系统中的机密信息而提出的一种限制策略。
策略规定，用户要合法读取某信息，当且仅当用户的安全级大于或等于该信息的安全级，并且用户的访问范畴包含该信息范畴时。
为了实现军事安全策略，计算机系统中的信息和用户都分配了一个访问类，它由两部分组成:

安全级:安全级别对应诸如公开、秘密、机密和绝密等名称;

范畴集:指安全级的有效领域或信息所归属的领域，如人事处、财务处等。

安全级的顺序一般规定为: 公开<秘密<机密<绝密。两个范畴集之间的关系是包含、被包含或无关。在一个访问类中，仅有单一的安全级， 而范畴可以包含多个。
下面给出系统访问类例子:

文件F访问类: {机密:人事处，财务处};
用户A访问类: {绝密: 人事处};
用户B访问类: {绝密:人事处，财务处，科技处}。
按照军事安全策略规定，用户B可以阅读文件F，因为用户B的级别高，涵盖了文件的范畴。而用户A的安全级虽然高，但不能读文件F,因为用户A缺少了“财务处”范畴。

4.2.2 BiBa 完整性模型

BiBa模型主要用于防止非授权修改系统信息，以保护系统的信息完整性。
该模型同BLP模型类似，采用主体、客体、完整性级别描述安全策略要求。
BiBa 具有三个安全特性:简单安全特性、*特性、调用特性。

主体是指访问数据的用户或程序，客体是指被访问的数据或资源。完整性级别则用于描述数据的重要性和对数据完整性的需求。

模型的特性阐述如下。

(1)简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别，主体的范畴集合包含客体的全部范畴，即主体不能向下读。
如图（BiBa模型简单安全特性示意图）所示。

(2) *特性。主体的完整性级别小于客体的完整性级别，不能修改客体，即 主体不能向上写 ，

如图（BiBa模型*特性示意图）所示。

(3)调用特性。主体的完整性级别小于另一个主体的完整性级别，不能调用另一个主体。
如图（BiBa模型调用特性示意图）所示。

BLP与BiBa安全特性比较

对用户和数据做相应的安全标记的系统，称为多级安全系统。多级安全系统把密级由低到高分为公开级、秘密级、机密级和绝密级，不同的密级包含不同的信息。它确保每一密集的信息仅能让那些具有高于或等于该级权限的人使用。

安全模型中主体对客体的访问主要有四种方式:

(1)向下读(read down):主体级别高于客体级别时允许读操作;

(2)向上读(read up):主体级别低于客体级别时允许读操作;

(3)向下写(write down):主体级别高于客体级别时允许执行或写操作;

(4)向上写(write up):主体级别低于客体级别时允许执行或写操作。

分级的安全标签实现了信息的单向流通。

多级安全模型访问数据不是受限于数据的密级，而是受限于主体已经获得了对哪些数据的访问权限。该模型下主体只能访问那些与已经拥有的信息不冲突的信息。

1.BLP模型特点

(1)简单安全特性规则:特定安全级的主体，只能向下读，不能上读;--这样能防止非授权信息扩散
(2)*特性规则:特定安全级的主体，只能向上写，不能向下写。

BLP机密模型:只允许向下读、向上写

由于只有向下读，向上写的操作，高等级数据没法被低等级主体读取到，信息只能向高处流动，保证了数据的机密性。
2.Biba模型特点
(1)简单安全特性规则:主体不能修改较低完整级的客体(主体不能向下读);
(2)*特性规则:主体不能修改较高完整级的客体(主体不能向上写);
(3)调用特性:主体不能调用较高完整级的主体。

Biba模型:只允许向下写、向上读

由于只有向下写，向上读的操作，高等级数据没法被低等级主体写入。这样保证了数据的完整性。

4.2.3信息流模型

信息流模型是访问控制模型的一种变形，简称FM。
该模型不检查主体对客体的存取，而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。
一般情况下，信息流模型可表示为FM=(N, P, SC,Ⓧ,→)，
其中，N表示客体集，
P表示进程集，
SC 表示安全类型集，
Ⓧ表示支持结合、交换的二进制运算符，
→表示流关系。
一个安全的FM当且仅当执行系列操作后，不会导致流与流关系→产生冲突。

信息流模型可以用于分析系统的隐蔽通道，防止敏感信息通过隐蔽通道泄露。
隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取，通过信息流分析以发现隐蔽通道，阻止信息泄露途径。

4.2.4信息保障模型

1. PDRR模型
   美国国防部提出了PDRR模型，其中PDRR是Protection、Detection、 Recovery、 Response英文单词的缩写。
   PDRR改进了传统的只有保护的单一安全防御思想，强调信息安全保障的四个重要环节。
   保护(Protection) 的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
   检测(Detection) 的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。
   恢复(Recovery)的内容主要有数据备份、数据修复，系统恢复等。
   响应(Response)的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。
2. P2DR模型
   P2DR模型的要素由 策略(Policy) 、防护( Protection)、检测(Detection) 、响应(Response) 构成。
   其中，安全策略描述系统的安全需求，以及如何组织各种安全机制实现系统的安全需求。
3. WPDRRC模型
   WPDRRC的要素由预警、保护、检测、响应、恢复和反击构成。模型蕴涵的网络安全能力主要是预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。

4.2.5能力成熟度模型

能力成熟度模型(简称CMM)是对一个组织机构的能力进行成熟度评估的模型。
成熟度级别一般分成五级: 1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。其中，级别越大，表示能力成熟度越高，各级别定义如下:

1级-非正式执行:具备随机、无序、被动的过程；
2级-计划跟踪:具备主动、非体系化的过程；
3级-充分定义:具备正式的、规范的过程；
4级-量化控制:具备可量化的过程；
5级-持续优化:具备可持续优化的过程。

目前，业界提出了不下30种成熟度模型。这些模型中比较知名的有:美国卡内基·梅隆大学软件研究院(SEI)从软件过程能力的角度提出的CMM、CMMI等。网络安全成熟度模型有:SSE-CMM、数据安全能力成熟模型、软件安全能力成熟度模型等。

1.CMM
软件能力成熟度模型(Capability Maturity Model for Software，CMM)，全称为SW-CMM。

(1)初始级(Initial):该级别的组织，软件开发是临时、混乱的。
(2)可重复级(Repeatable):该级别的组织，构建基本的管理过程、管理软件项目。组织管理过程、方法、经验可重复使用。
(3)已定义级(Defined):软件过程文档化、标准化，可根据需要改进开发过程，用评审保证质量。可借助CASE工具提高质量和效率
(4)已管理级(Managed):企业针对性，制定质量、效率目标，并收集、测量相应指标。利用统计工具和方法分析进行定量的质量、效率度量，并持续改进引发偏差的问题。
(5)优化级(Optimizing):基于统计质量和过程控制工具，持续改进软件过程。质量和效率稳步改进。

3.软件安全能力成熟度模型
软件安全能力成熟度模型分成五级，各级别的主要过程如下:
CMM1级——补丁修补；

CMM2级——渗透测试、安全代码评审；

CMM3级——漏洞评估、 代码分析、安全编码标准；

CMM4级——软件安全风险识别、SDLC实施不同安全检查点；
CMM5级——改进软件安全风险覆盖率、评估安全差距。

==考试中应该会有选择题形式出现，题目描述特征，然后问是哪一个级别==

2.CMMI
能力成熟度模型集成(Capability Maturity Model Integration,MMI)是CMM模型的最新版本。

3.SSE-CMM

SSE-CMM是CMM在系统安全工程领域的一个分支，主要用于评估实施者在信息安全建设过程中的能力和水平，可以为产品开发商改进安全产品、系统和服务的开发提供帮助，并为安全工程原则的应用提供了一个衡量和改进的途径。

SSE-CMM描述了一个组织的安全工程过程必须包含的基本特性，这些特性是完善安全工程的保证，也是信息安全工程实施的度量标准，同时还是一个易于理解的评估系统安全工程的框架。

SSE-CMM (Systems Security Engineering Capability Maturity Model)是系统安全工程能力成熟度模型。
SSE-CMM包括工程过程类( Engineering)、组织过程类 (Organization) 、项目过程类(Project)。
各过程类包括的过程内容如下表（SSE-CMM系统安全工程能力成熟度模型过程清单）所示。

SSE-CMM的工程过程、风险过程、保证过程的相互关系如下图（SSE-CMM的工程过程、风险过程、保证过程关联图）所示：

(1)风险过程域组:包含4个过程域(如图所示)，分别是评估影响、评估安全风险、评估威胁、评估脆弱性。其中“评估风险”要在其他3个域完成。

(2)工程过程域组:包含5个过程域(如图所示)，分别是实施安全控制、协调安全、监视安全态势、提供安全输入、确定安全需求。

(3)保证过程域组:包含2个过程域(如图所示)，分别是建立保证论据、校验和确认安全。

SSE-CMM的工程过程关系如下图（SSE-CMM的工程过程关联图）所示：

SSE-CMM的工程质量来自保证过程，如下图（SSE-CMM的保证过程图）所示：

4.数据安全能力成熟度模型

根据《信息安全技术 数据安全能力成熟度模型》，数据安全能力成熟度模型架构如下图（数据安全能力成熟度模型架构）所示

数据安全能力从组织建设、制度流程、技术工具及人员能力四个维度评估:

组织建设——数据 安全组织机构的架构建立、职责分配和沟通协作；
制度流程——组织机构关键数据安全领域的制度规范和流程落地建设；
技术工具——通过技术手段和产品工具固化安全要求或自动化实现安全工作；
人员能力——执行数据安全 工作的人员的意识及专业能力。
详情参考标准。

4.2.6纵深防御模型

纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来，针对保护对象，部署合适的安全措施，形成多道保护线，各安全防护措施能够互相支持和补救，尽可能地阻断攻击者的威胁。
目前，安全业界认为网络需要建立四道防线:安全保护是网络的第一道防线，能够阻止对网络的入侵和危害;安全监测是网络的第二道防线，可以及时发现入侵和破坏;实时响应是网络的第三道防线，当攻击发生时维持网络“打不垮”;恢复是网络的第四道防线，使网络在遭受攻击后能以最快的速度“起死回生”，最大限度地降低安全事件带来的损失，如下图（纵深防御模型示意图）所示：

4.2.7分层防护模型

分层防护模型针对单独保护节点，以OSI 7层模型为参考，对保护对象进行层次化保护，典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层，然后针对每层的安全威胁，部署合适的安全措施，进行分层防护，如下图（分层防护模型示意图）所示：

4.2.8等级保护模型

等级保护模型是根据网络信息系统在==国家安全、经济安全、社会稳定和保护公共利益==等方面的重要程度，结合系统面临的风险、系统特定的安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全。
以电子政务等级保护为实例，具体过程为:

首先， 依据电子政务安全等级的定级规则，确定电子政务系统的安全等级。

其次，按照电子政务等级保护要求，确定与系统安全等级相对应的基本安全要求。

最后，依据系统基本安全要求，并综合平衡系统的安全保护要求、系统所面临的风险和实施安全保护措施的成本，进行安全保护措施的定制，确定适用于特定电子政务系统的安全保护措施，并依照本指南相关要求完成规划、设计、实施和验收。

对电子政务系统实施等级保护的过程如下图（电子政务等级保护示意图）所示：

4.2.9网络生存模型

网络生存性是指在网络信息系统遭受入侵的情形下，网络信息系统仍然能够持续提供必要/服务的能力。目前，国际上的网络信息生存模型遵循“3R"的建立方法。

首先将系统划分成不可攻破的安全核和可恢复部分。

然后对一定的攻击模式，给出相应的3R策略，即抵抗( Resistance)、识别(Recognition) 和恢复(Recovery) 。

最后，定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式，给出系统需要重点保护的基本功能服务和关键信息等。在对网络生存模型支撑技术的研究方面，马里兰大学结合入侵检测提出了生存性的屏蔽、隔离和重放等方法，对防止攻击危害的传播和干净的数据备份等方面进行了有益的探讨。
美国CERT、DoD 等组织都开展了有关研究项目，如DARPA已启动容错网络(FaultNetwork)研究计划。

4.2网络安全原则

网络安全主要原则的主要特点，如表所示。

4.3网络安全体系

网络安全体系是网络安全保障系统的最高抽象，是提高安全保障能力的最高解决方案。网络安全体系由政策、人员培训、标准、建设与运营等组成。==网络安全体系的主要特征:整体性、协同性、过程性、全面性、适应性==。

4.3.1 ISO安全体系结构

ISO制定了国际标准ISO7498-2-1989《信息处理系统开放系统互连基本参考模型第2部分安全体系结构》。该标准描述了开放系统互连(OSI)的基本参考模型，为协调开发现有的与未来系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述，确定在参考模型内部提供服务与机制的位置。

下图给出了开放系统互连安全体系结构示意图。ISO的开放系统互连安全体系结构包含了安全机制、安全服务、OSI参考模型，并明确了三者之间的逻辑关系。

ISO制定的安全体系结构描述了5种安全服务

五类安全服务包括认证(鉴别)服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。

认证(鉴别)服务:在网络交互过程中，对收发双方的身份及数据来源进行验证。

访问控制服务:防止未授权用户非法访问资源，包括用户身份认证和用户权限确认。

数据保密性服务:防止数据在传输过程中被破解、泄露。
数据完整性服务:防止数据在传输过程中被篡改。

抗否认性服务:也称为抗抵赖服务或确认服务。防止发送方与接收方双方在执行各自操作后，否认各自所做的操作。

4.3.2网络安全体系要素

除了ISO的安全体系结构外，新考纲提出了一个==通用网络安全体系==。通用网络安全体系中的主要要素组成及内容，如表所示。

ISO的安全体系出现较晚，事实上的标准是 通用网络安全体系

考试侧重典型的框架

4.4网络安全体系框架主要组成和建设内容（了解）

本节主要讲述网络安全体系框架的组成部件以及建设内容。

4.4.1 网络安全体系组成框架

一般来说，网络安全体系框架包括网络安全法律法规、网络安全策略、网络安全组织、网络安全管理、网络安全基础设施及网络安全服务、网络安全技术、网络信息科技与产业生态、网络安全教育与培训、网络安全标准与规范、网络安全运营与应急响应、网络安全投入与建设等多种要素，如图 4-12 所示。

网络安全体系的各要素分析阐述如下
1.网络安全法律法规
网络安全法律法规用于指导网络安全体系的建设，使相关机构的网络安全行为符合当地的法律规定要求。
2.网络安全策略
网络安全策略是指为了更好地保护网络信息系统，而给出保护对象所采用的网络安全原则、网络安全方法、网络安全过程、网络安全措施。
3.网络安全组织

网络安全组织是为实现网络安全目标而组建的单位机构、岗位人员编制以及所规定的网络安全工作职能及工作办法。国家级网络安全组织通常涉及多个网络安全职能部门，这些部门负责网络安全技术和管理资源的整合和使用，按照规定要求完成网络安全职能。

4.网络安全管理
网络安全管理是指为满足网络信息系统的网络安全要求，而采取的管理方法、管理制度管理流程、管理措施以及所开展的管理活动。

5.网络安全基础设施及网络安全服务
网络安全基础设施是指提供基础性的网络安全服务设施，支撑网络信息系统的安全建设。网络安全服务是指为网络信息系统的安全保障所提供的服务，如网络用户实名认证服务、安全域名解析服务、网络安全通信加密服务、网络攻击源服务等。

6.网络安全技术
网络安全技术是为实现网络安全策略，构建网络安全机制，满足网络安全要求而采取的非人工的网络安全措施。
7.网络信息科技与产业生态
网络信息科技与产业生态是为支撑网络安全体系的建设而采取的相关措施，主要包括网络安全基础研究、网络安全核心技术创新研究、网络安全核心产品研发、网络信息产品生态圈建设等。
8.网络安全教育与培训
网络安全教育与培训是指为提升网络安全相关责任主体的网络安全意识及能力，而开展的网络安全相关教学活动。

9.网络安全标准与规范
网络安全标准与规范是指为实现网络安全项目建设、网络安全系统运营、网络安全服务、网络安全应急响应、网络安全产品研发、系统安全互联等工作，而提出的相关具体要求，如网络安全功能指标要求、网络安全技术指标要求、网络安全性能要求、安全开发过程要求、网络安全系统接口要求、网络安全协议格式要求、软件代码编写要求、网络安全测试保障要求、密码算法要求、网络安全产品认证要求等。
10.网络安全运营与应急响应
网络安全运营与应急响应是指为维护和实施网络信息系统的各种安全措施，而采取相关的网络安全工作机制。

11.网络安全投入与建设
网络安全投入与建设是指为落地实现网络信息系统的各种网络安全措施，而进行的相关投入及开展的建设活动。

4.4.2 网络安全策略建设内容

一般来说，网络安全策略的相关工作主要如下:

• 调查网络安全策略需求，明确其作用范围:
• 网络安全策略实施影响分析;
• 获准上级领导支持网络安全策略工作;
• 制订网络安全策略草案;
• 征求网络安全策略有关意见:
• 网络安全策略风险承担者评估;
• 上级领导审批网络安全策略;
• 网络安全策略发布;
• 网络安全策略效果评估和修订。

4.4.3 网络安全组织体系构建内容

网络安全组织建设内容主要包括网络安全机构设置、网络安全岗位编制、网络安全人才队伍建设、网络安全岗位培训、网络安全资源协同。网络安全组织的建立是网络安全管理工作开展的前提条件，通过建立合适的安全组织机构和组织形式，明确各组织单元在安全方面的工作职责以及组织之间的工作流程，才能确保网络系统安全保障工作健康有序地进行。网络安全组织结构主要包括领导层、管理层、执行层以及外部协作层等。网络安全组织各组成单元的工作分别说明如下。

1.网络安全组织的领导层
网络安全组织的领导层由各部门的领导组成，其职责主要有:

• 协调各部门的工作;
• 审查与批准网络系统安全策略;
• 审查与批准网络安全项目实施计划与预算;
• 网络安全工作人员考察和录用。

2.网络安全组织的管理层

网络安全组织的管理层由组织中的安全负责人和中层管理人员组成，其职责主要有:

• 制订网络系统安全策略;
• 制订安全项目实施计划与预算:
• 制订安全工作的工作流程
• 监督安全项目的实施;
• 监督日常维护中的安全;
• 监督安全事件的应急处理。

3.网络安全组织的执行层
网络安全组织的执行层由业务人员、技术人员、系统管理员、项目工程人员等组成，其职责主要有:

• 实现网络系统安全策略;
• 执行网络系统安全规章制度;
• 遵循安全工作的工作流程;
• 负责各个系统或网络设备的安全运行;
• 负责系统的日常安全维护。

4.网络安全组织的外部协作层
网络安全组织的外部协作层由组织外的安全专家或合作伙伴组成，其职责主要有:

• 定期介绍计算机系统和信息安全的最新发展趋势;
• 计算机系统和信息安全的管理培训;
• 新的信息技术安全风险分析;
• 网络系统建设和改造安全建议;
• 网络安全事件协调。

4.4.4 网络安全管理体系构建内容

网络安全管理体系涉及五个方面的内容:管理目标、管理手段、管理主体、管理依据、管理资源。

网络安全管理体系的构建涉及多个方面，具体来说包括网络安全管理策略、第三方安全管理、网络系统资产分类与控制、人员安全、网络物理与环境安全、网络通信与运行、网络访问控制、网络应用系统开发与维护、网络系统可持续性运营、网络安全合规性管理十个方面。下面分别给出这些方面的具体内容。

1.网络安全管理策略
网络安全管理策略通常由管理者根据==业务要求和相关法律法规==制定、评审、批准、发布、修订，并将其传达给所有员工和外部相关方，同时根据网络安全情况，定期或不定期评审网络安全策略，以确保其持续的适宜性、充分性和有效性。

2.第三方安全管理
第三方安全管理的目标是维护第三方访问的组织的信息处理设施和网络资产的安全性，要严格控制第三方对组织的信息及网络处理设备的使用，同时又能支持组织开展网络业务需要。第三方安全管理的主要工作有:

• 根据第三方访问的业务需求，必须进行风险评估，明确所涉及的安全问题和安全控制措施;
• 与第三方签定安全协议或合同，明确安全控制措施，规定双方的安全责任:
• 对第三方访问人员的身份进行识别和授权。

3.网络系统资产分类与控制
网络系统资产的清单列表和分类是管理的最基本工作，它有助于明确安全管理对象，组织可以根据资产的重要性和价值提供相应级别的保护。与网络系统相关联的资产示例有:

• 硬件资产:包括计算机、网络设备、传输介质及转换器、输入输出设备、监控设备和安全辅助设备;
• 软件资产:包括操作系统、网络通信软件、数据库软件、通用应用软件、委托开发和自主开发的应用系统及网络管理软件;
• 存储介质:包括光盘、硬盘、软盘、磁带、移动存储器;
• 信息资产:包括文字信息、数字信息、声音信息、图像信息、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、退守计划、归档信息;
• 网络服务及业务系统:包括电子邮件、Web服务、文件服务等;
• 支持保障系统:包括消防、保安系统、动力、空调、后勤支持系统、电话通信系统、厂商服务系统等。

网络系统的安全管理部门给出资产清单列表后，另外一项工作就是划分资产的安全级别。安全管理部门根据组织的安全策略和资产的重要程度，给定资产的级别。例如，在企业网络中一般可以把资产分成四个级别:公开、内部、机密、限制，各级别的划分依据如表 4-2所示。

4.人员安全
人是网络系统中最薄弱的环节，人员安全的管理目标是降低误操作、偷窃、诈骗或滥用等人为造成的网络安全风险。人员安全通过采取合适的人事管理制度、保密协议、教育培训、业务考核、人员审查、奖惩等多种防范措施，来消除人员方面的安全隐患。下面举例说明人员安全措施，如在人员录用方面应该做到:

• 是否有令人满意的个人介绍信，由某个组织或个人出具;
• 对申请人简历的完整性和准确性进行检查;
• 对申请人声明的学术和专业资格进行证实:
• 进行独立的身份检查(护照或类似文件)。

在人员安全的工作安排方面，应遵守以下三个原则。

1)多人负责原则

一般以下各项安全工作应由多人负责处理:

• 访问控制使用证件的发放与回收;
• 信息处理系统使用的媒介发放与回收;
• 处理保密信息;
• 硬件和软件的维护:
• 系统软件的设计、实现和修改;
• 重要程序和数据的删除和销毁等

2)任期有限原则

3)职责分离原则

出于对安全的考虑，下面各项工作应当职责分开:

• 计算机操作与计算机编程;
• 机密资料的接收和传送;
• 安全管理和系统管理;
• 应用程序和系统程序的编制;
• 访问证件的管理与其他工作;
• 计算机操作与信息处理系统使用媒介的保管等

5.网络物理与环境安全

网络物理与环境安全的管理目标是防止对组织工作场所和网络资产的非法物理临近访问、破坏和于扰。

6.网络通信与运行

网络通信与运行的管理目标是保证网络信息处理设施的操作安全无误，满足组织业务开展的安全需求。

7.网络访问控制

网络访问控制的管理目标是保护网络化服务，应该控制对内外网络服务的访问，确保访问网络和网络服务的用户不会破坏这些网络服务的安全。

8.网络应用系统开发与维护

网络应用系统开发与维护的管理目标是防止应用系统中用户数据的丢失、修改或滥用

9.网络系统可持续性运营

网络系统可持续性运营的管理目标是防止网络业务活动中断，保证重要业务流程不受重大故障和灾难的影响，要求达到:

• 实施业务连续性管理程序，预防和恢复控制相结合，要将由于自然灾害、事故、设备故障和蓄意破坏等引起的灾难和安全故障造成的影响降低到可以接受的水平;
• 分析灾难、安全故障和服务损失的后果，制订和实施应急计划，确保能够在要求的时间内恢复业务流程;
• 采用安全控制措施，确定和降低风险，限制破坏性事件造成的后果，确保重要操作及时恢复。

与网络系统可持续性运营相关的工作主要有:

• 网络运营持续性管理程序和网络运营制度;
• 网络运营持续性和影响分析;
• 网络运营持续性应急方案;
  网络运营持续性计划的检查、维护和重新分析:
• 网络运营状态监测。

10.网络安全合规性管理

网络安全合规性管理的目标是:

• 网络系统的设计、操作、使用和管理要依据成文法、法规或合同安全的要求:
• 不违反刑法、民法、成文法、法规或合约义务以及任何安全要求。

与网络安全合规性管理相关的工作主要有:

• 确定适用于网络管理的法律;

• 网络管理知识产权(IPR)保护:

• 组织记录的安全保障:

• 网络系统中个人信息的数据安全保护;

• 防止网络系统的滥用:

• 评审网络安全策略和技术符合性;

• 网络系统审计。

4.4.5 网络安全基础设施及网络安全服务构建内容

网络安全基础设施主要包括网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心。

4.4.6 网络安全技术体系构建内容

一般来说，网络安全技术的目标是通过多种网络安全技术的使用，实现网络用户认证、网络访问授权、网络安全审计、网络安全容灾恢复等网络安全机制，以满足网络信息系统的业务安全、数据安全的保护需求。

4.4.7 网络信息科技与产业生态构建内容

网络信息科技与产业生态构建的主要目标是确保网络安全体系能够做到安全自主可控，相关的技术和产品安全可信。

4.4.8 网络安全教育与培训构建内容

网络安全教育与培训是构建网络安全体系的基础性工作，是网络安全科技创新的源泉。

4.4.9 网络安全标准与规范构建内容

网络信息安全标准规范有利于提升网络安全保障能力，促进网络信息安全科学化管理。

4.4.10 网络安全运营与应急响应构建内容

网络安全运营与应急响应的目标是监测和维护网络信息系统的网络安全状况，使其处于可接受的风险级别。

网络安全运营与应急响应平台如图 4-13所示

4.4.11 网络安全投入与建设构建内容

一般企事业单位的网络安全投入主要包括网络安全专家咨询、网络安全测评、网络安全系统研发、网络安全产品购买、网络安全服务外包、网络安全相关人员培训、网络安全资料购买网络安全应急响应、网络安全岗位人员的人力成本等。

4.5 网络安全体系建设参考案例（了解）

本节给出网络安全体系建设的参考案例，主要包括网络安全等级保护体系、智慧城市安全体系框架、智能交通网络安全体系、ISO 27000信息安全管理体系、美国NIST 发布的《提升关键基础设施网络安全的框架》等。

4.5.1 网络安全等级保护体系应用参考

已颁布实施的《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。等级保护制度是中国网络安全保障的特色和基石。

国家网络安全等级保护制度 2.0 框架如图 4-14所示，体系框架包括风险管理体系、安全管理体系、安全技术体系、网络信任体系、法律法规体系、政策标准体系等。

定级方法如图 4-15 所示

4.5.2智慧城市安全体系应用参考

本应用参考案例来自《信息安全技术智慧城市安全体系架》。智慧城市安全体系框架以安全保障措施为视角，从智慧城市安全战略保障、智慧城市安全技术保障、智慧城市安全管理保障、智慧城市安全建设与运营保障、智慧城市安全基础支撑五个方面给出了智慧城市的安全要素，如图 4-16 所示。

4.5.3 智能交通网络安全体系应用参考

本应用参考案例来自《智能交通网络安全实践指南》。智能交通系统是集成先进的信息技术、数据通信技术、计算机处理技术和电子自动控制技术而形成的复杂系统，其潜在的网络安全风险可能危及车主的财产和生命安全
按照“识别风险、设计规划、指导落实、持续改进”的体系架构设计方法论，北航-梆梆车联网安全研究院、交通运输部公路科学研究院、普华永道等联合发布了智能交通网络安全体系建议，如图 4-17 所示。智能交通网络安全体系主要包括智能交通网络安全管理体系、智能交通网络安全技术体系、智能交通网络安全运营体系、智能交通网络安全评价体系。

智能交通网络安全管理体系架构由智能交通网络安全职能整体架构、智能交通产业内网络安全管理框架两个方面组成，如图4-18所示。智能交通网络安全职能整体架构负责处理产业链中各层级的管理职能分配以及各层级的管理、汇报和协作关系;智能交通产业内网络安全管理框架则负责处理在产业内具体组织和机构的安全管理，具体包括安全治理、安全管理等

智能交通网络安全技术体系参考我国 WPDRRC信息安全模型和国内外最佳实践，明确以“数据层、服务支撑层、平台层、物联网通信层、物联网智能终端”为保护对象的框架，构建智能情报、身份认证、访问控制、加密、防泄漏、防恶意代码、安全加固、安全监控、安全审计和可用性设计等安全技术框架，如图 4-19 所示。

智能交通网络安全运营体系如图 4-20所示，由三个要素组成:运营管理、网络安全事件周期性管理、工具。其中，运营管理的作用是有效衔接安全管理体系和安全技术体系，通过其有效运转实现安全管理体系、安全技术体系的不断优化提升:网络安全事件周期性管理覆盖预防(事前)、监控(事中)、响应(事后)，形成自主有效的闭环;工具主要包括事件管理、工单系统、审计日志、取证工具、安全扫描和合规平台等。

智能交通网络安全评价体系如图4-21所示，其目标是建立有效的评价体系，推动整体体系的持续优化和改进，使整个智能交通网络安全体系形成有效的闭环。

4.5.4 1SO 27000 信息安全管理体系应用参考

ISO 27000 信息安全管理标准最初起源于英国的 BS7799，其发展演变过程如图4-22所示。

信息安全管理系统(ISMS)按照PDCA不断循环改进，如图4-23所示。

其主要步骤阐述如下:
(1)计划(Plan)。建立ISMS，识别信息资产及其相关的安全需求;评估信息安全风险;选择合适的安全控制措施，管理不可接受的风险。
(2)执行(Do)。实现和运行ISMS，实施控制和运维管理
(3)检查(Check)。监测和评估 ISMS。
(4)处理(Act)。维持和改进ISMS。

4.5.5 NIST 网络安全框架体系应用参考

美国国家标准与技术研究院(NIST)发布了《提升关键基础设施网络安全的框架》，框架的核心结构如图 4-24 所示。

该框架首先定义了五个核心功能:识别、保护、检测、响应和恢复。然后，按照功能进行分类，每个功能的分数对应具体的子类，最后给出参考性文献。

4.6 本章小结

本章内容主要包括:第一，讲述了网络安全体系的基本概念以及相关安全模型，主要包括机密性模型、完整性模型、信息流模型、信息保障模型、能力成熟度模型、纵深防御模型、分层防护模型、等级保护模型和网络生存模型;第二，归纳了网络安全体系的建立应该遵循的原则和网络安全策略;第三，详细分析了网络安全体系建设框架及相关组成要素的构建内容;第四，给出了网络安全等级保护、智慧城市和智能交通等网络安全体系建设参考案例。