一、系统安全体系架构规划框架
1 安全技术体系架构
- 核心目标:建立可持续改进的安全技术能力,适应信息技术系统的动态变化。
- 分层模型 :
- 将信息系统抽象为 5层实体对象:应用层、存储层、主机层、网络层、物理层。
- 划分依据:基于安全风险威胁的实际分布(主机/存储单列因其重要性)。
- 作用:为安全风险评估提供结构化分析基础,覆盖从物理设备到应用的全栈防护。
2 信息系统安全体系规划
- 三大构成体系 :
- 技术体系 :
- 物理安全技术:环境/设备防护。
- 系统安全技术:网络/操作系统/应用安全。
- 组织体系 :
- 机构:决策层、管理层、执行层三级架构。
- 岗位:按安全事务设定专职职位。
- 人事:人员培训、考核与监管。
- 管理体系 :
- 法律管理(合规性)、制度管理(内部规章)、培训管理(安全意识)。
- 技术体系 :
3 信息系统安全规划框架
- 规划三原则 :
- 依托企业信息化战略:安全目标需与信息化目标对齐,提供保障支撑。
- 技术-管理-组织协同 :
- 物理安全(设备/环境)、网络安全(拓扑/访问控制)、系统安全(OS/应用策略)、运营安全(备份/入侵检测)、人员安全(组织/教育)。
- 以资源保护为核心 :
- 规划四要素:蓝图(目标)、现状(分析)、需求(分解)、措施(执行路径)。
二、信息安全整体架构设计(WPDRRC模型)
1 WPDRRC信息安全体系架构模型
- 模型定位:中国自主提出的动态防御模型(预警/保护/检测/响应/恢复/反击)。
- 6环节能力 :
- 预警(W):风险扫描与趋势分析(例:远程安全评估)。
- 保护(P):加密/访问控制/防火墙等基础防护。
- 检测(D):入侵检测/脆弱性扫描。
- 响应(R):应急策略启动(隔离/报警)。
- 恢复(R):容错/备份/灾难恢复。
- 反击(C):取证与反制技术。
- 3大要素:人员(核心)、策略(桥梁)、技术(保障)。
| 模型对比 | 预警 | 保护 | 检测 | 响应 | 恢复 | 反击 | 管理 |
|---|---|---|---|---|---|---|---|
| PDR(传统) | ❌ | ✔️ | ✔️ | ✔️ | ❌ | ❌ | ❌ |
| WPDRRC(中国) | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
2 信息安全体系架构设计
- 系统安全保障体系 :
- 安全区域策略:分区域制定防护措施(如审计制度)。
- 统一防病毒系统:全网部署,满足实时性/扩展性。
- 网络安全管理:遵循ISO 17799标准,涵盖制度/组织/应急响应。
- 安全架构五维度 :
- 物理安全:环境/设备抗灾防盗。
- 系统安全:网络冗余设计、OS加固、应用最小化开放端口。
- 网络安全:防火墙/VPN/入侵检测/病毒防护。
- 应用安全:身份认证/数据加密。
- 管理安全:职责分离/审计跟踪。
三、网络安全体系架构设计
1 OSI安全体系架构概述
- 标准依据:GB/T 9387.2-1995(等同ISO 7498-2)。
- 三维安全空间:安全服务 × 协议层次 × 系统单元。
- 5类安全服务 :
① 鉴别 ② 访问控制 ③ 数据机密性 ④ 数据完整性 ⑤ 抗抵赖性。 - 分层多点防御架构 :
- 多点防御:网络基础设施、边界、计算环境。
- 支撑设施:PKI(公钥基础设施)、入侵检测与响应系统。
2 OSI安全框架详解
- 认证框架 :
- 双向/多向实体认证(如数字证书),防止身份伪造。
- 访问控制框架 :
- 自主访问控制(DAC)与强制访问控制(MAC)。
- 机密性框架 :
- 加密传输(链路/端到端)、密钥管理。
- 完整性框架 :
- 数据源认证(防篡改)、传输完整性校验(如哈希算法)。
- 抗抵赖框架 :
- 数字签名/可信第三方存证,解决行为追溯问题。
本章重点考点总结
- 安全体系三维构成:技术/组织/管理体系的协同作用。
- WPDRRC模型特点:动态6环节(含预警与反击),对比传统PDRR的升级。
- OSI安全服务分类:5类服务在协议层的分布(物理层/网络层/传输层/应用层)。
- 分层防御设计:多点技术防御(网络/边界/计算环境)+ 支撑设施(PKI/检测响应)。
- 典型考题方向 :
- 问:WPDRRC模型中"反击(C)"环节的目标是什么?
答:通过技术手段取证并打击计算机犯罪行为。 - 问:OSI安全架构中哪些层最适合配置安全服务?
答:物理层、网络层、传输层、应用层。
- 问:WPDRRC模型中"反击(C)"环节的目标是什么?