CH3 信息安全保障与安全运维
从安全模型的理论推演,到应急响应的实战处置,一章打通保障全局
🎯学习目标
读完这一章,你应该能回答:
- 信息有哪些基本性质?
- 网络空间安全发展经历了哪五个阶段?
- PDR / PPDR 模型的核心思想和公式是什么?
- IATF 深度防御的三要素和四个焦点领域是什么?
- 应急响应的六阶段流程是什么?
1信息的基本概念与性质
三个经典定义
| 人物 | 定义 |
|---|---|
| 香农(信息论创始人) | "信息是用以消除不确定性的东西" |
| 维纳(控制论创始人) | "信息是人们在适应外部世界……同外部世界进行交换的内容的名称" |
| 钟义信(中国学者) | "信息是事物运动的状态与方式,是事物的一种属性" |
信息的八大性质
| 性质 | 通俗理解 |
|---|---|
| 依附性 | 信息不能脱离载体单独存在,用"符号"表示 |
| 可伪性 | 信息可以伪造(需要鉴别和完整性保护) |
| 动态性 | 只有及时、新颖才有价值 |
| 可处理性 | 内容可识别,形式可转换 |
| 共享性 | 可以无限扩散(给别人不会减少自己的) |
| 可传递性 | 时间和空间上都可传递 |
| 异步性 | 以存储方式接收,任何时间可用 |
| 可交换性 | 两个主体间可以交换 |
2网络空间安全基本特征
四大特征
系统的安全
不是单点的,是整个系统层面
动态的安全
今天安全不代表明天安全
无边界的安全
网络空间没有物理边界
非传统的安全
不同于传统军事安全
安全范畴(四层)
- 信息技术问题 — 技术系统的安全
- 组织管理问题 — 人 + 技术 + 组织内部环境
- 社会问题 — 法制、舆论
- 国家安全问题 — 信息战、虚拟空间
3网络空间安全发展五阶段 ⭐
从"管好密码"到"管好系统"到"管好全局"到"攻防一体"。
核心:通过密码技术解决通信保密。威胁:搭线窃听、密码学分析。措施:加密(如 ENIGMA 转轮密码机)。
核心:预防、检测和减小计算机系统未授权活动的后果。措施:操作系统的访问控制。标志:1985 年美国发布 TCSEC(橘皮书),划分 4 等级 7 级别。
核心:保护信息在存储、处理和传输全过程。措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN 等。
核心:从技术扩展到管理,从静态扩展到动态。措施:技术安全保障 + 安全管理 + 人员意识/培训 + 认证认可。
核心:从传统防御发展到"威慑"为主的攻防一体。三大能力:网络防御 Defense、网络攻击 Offense、网络利用 Exploitation。
4安全模型 ⭐⭐
PDR 模型
由美国 ISS 公司提出,最早体现主动防御思想的安全模型。出发点:任何防护措施都是基于时间的,是可以被攻破的。
P · 保护
加密、鉴别、访问控制、防火墙
D · 检测
入侵检测、漏洞检测、网络扫描
R · 响应
应急响应机制
PDRR 模型
PDR 的进化版,增加了恢复(Restore),强调自动故障恢复能力。四要素:保护 → 检测 → 反应 → 恢复。
PPDR 模型(重点中的重点)
在 PDR 基础上增加了策略(Policy)作为核心。
| 要素 | 说明 |
|---|---|
| Policy(策略) | 模型的核心,所有防护/检测/响应都依据安全策略实施 |
| Protection(防护) | 访问控制、防火墙、加密、身份鉴别等 |
| Detection(检测) | 实时监控、检测、报警,防护从被动演进到主动 |
| Response(响应) | 关闭服务、跟踪、反击、消除影响 |
如果 Pt > Dt + Rt,那么系统 S 是安全的
如果 Pt < Dt + Rt,那么 Et = (Dt + Rt) - Pt
通俗理解:防线能扛的时间,要超过"发现敌人 + 消灭敌人"的总时间,系统才安全。
模型对比速查
| 模型 | 核心思想 | 要素 |
|---|---|---|
| PDR | 主动防御,攻防时间表 | 保护、检测、响应 |
| PDRR | 增加恢复能力 | 保护、检测、反应、恢复 |
| PPDR | 策略为核心的动态安全 | 策略、防护、检测、响应 |
| IATF | 深度防御,多层防护 | 人、技术、操作 + 四领域 |
5IATF 深度防御模型 ⭐
IATF(Information Assurance Technical Framework)由美国 NSA 制定。核心理念:深度防御(Defense-in-Depth)。
三个核心要素
人 People
第一位的要素,也是最脆弱的。包括意识培训、组织管理、技术管理、操作管理。
技术 Technology
信息保障的重要手段。动态技术体系:防护 → 检测 → 响应 → 恢复。
操作 Operation
构成主动防御体系。包括风险评估、安全监控、安全审计、入侵检测、响应恢复。
四个技术焦点领域("三保护一支撑")
| 领域 | 目标 | 主要方法 |
|---|---|---|
| 本地计算环境 | 确保数据在客户机/服务器上的 CIA | 安全 OS、主机 IDS、防病毒、脆弱性扫描 |
| 区域边界 | 对进出区域的数据流进行控制与监视 | 防火墙、入侵检测、病毒防御、远程访问安全 |
| 网络和基础设施 | 防数据泄露、拒绝服务、传输异常 | 骨干网可用性、无线安全、VPN |
| 支撑性基础设施 | 为安全服务提供基础 | 密钥管理、证书管理、入侵检测、审计 |
6信息系统安全保障模型
国家标准 GB/T 20274.1-2006 给出的评估框架,三个维度:
安全特征
机密性、完整性、可用性 → 保护资产 → 保障业务使命
生命周期
计划组织 → 开发采购 → 实施交互 → 运行维护 → 废弃
保障要素
技术、工程、管理、人员
信息安全 vs 安全保障
| 信息安全 | 安全保障 | |
|---|---|---|
| 重点 | 保护、防御 | 保护、检测和响应、攻击后修复 |
| 目的 | 防止攻击发生 | 始终保证维持特定水平的可用性、完整性、真实性、机密性和抗抵赖性 |
7国内外网络空间安全保障
国外(以美国为例)
- 四个关键文件:PDD63(1998)→ 国家计划 V1.0(2000)→ 行政令 13231(2001)→ 保护网际空间的国家战略(2003)
- CNCI(网络"曼哈顿计划"):三道防线 + 十二项提议
- 重点保护对象:18 项关键基础设施(银行和金融被所有国家列为关键基础设施)
我国保障体系
| 时期 | 阶段 | 主要工作 |
|---|---|---|
| 2001-2002 | 启动 | 国家信息化小组重组;网络与信息安全协调小组成立 |
| 2003-2005 | 展开 | 出台指导政策;首次全国信息安全保障会议 |
| 2006 至今 | 深化 | 法律法规、标准化、等级保护和风险评估取得新进展 |
8安全需求与安全方案
ISPP(信息系统保护轮廓)
从用户角度规范化描述信息系统安全保障需求。定义了"某种类型信息系统的与实现无关的一组系统级安全保障要求"。
ISST(信息系统安全目标)
从建设方(厂商)角度制定的安全保障方案,根据 ISPP 编制。比 ISPP 多了"信息系统概要规范"和"ISPP 声明"。
9应急响应流程 ⭐
应急响应:一个组织为了应对各种安全事件所做的准备以及事后所采取的措施。
亡羊补牢:备份、病毒检测、后门清除、系统恢复、追踪取证
安全事件分级
| 级别 | 名称 | 标准 |
|---|---|---|
| 四级 | 一般 | 未造成业务中断或中断 < 10 分钟,无数据损坏 |
| 三级 | 较大 | 中断 10-30 分钟,无数据损坏 |
| 二级 | 重大 | 中断 30-60 分钟,或数据部分损坏(可通过备份恢复) |
| 一级 | 特别重大 | 中断 > 60 分钟,或数据损坏无法恢复,或重要数据泄露 |
六阶段流程
调研分析、确定目标和范围、制定预案和方案、组建团队、工具准备
确定检测对象和范围、判断是否为安全事件、确定处理方案
隔离和处理故障系统/区域,限制影响范围,保证业务连续性
确定根除方案,消除安全威胁的根源
重建系统、数据备份/恢复、安装新 OS、配置基线、上线测试
吸取教训、审计抑制和根除效果、完善安全计划、发布经验总结
10常见应急事件处置
勒索病毒处置
- 了解现状:文件被加密?无法启动?桌面有勒索信息?
- 了解发病时间:文件加密时间、新文件出现时间
- 了解系统架构:IP、端口、操作系统、中间件等
- 确认感染者:定位被感染主机
- 处置:未感染 → 关闭 SSH/RDP、改密码、备份隔离;已感染 → 立即隔离(拔网线)、保留现场
挖矿木马处置
特征:CPU/GPU 异常占用、有对矿池地址的 DNS 解析。处置:断网隔离 → 结束恶意进程 → 提取样本 → 删除木马 → 安装杀软、补丁更新。
DDoS 事件处置
| 类型 | 特征 |
|---|---|
| SYN Flood | 大量虚假地址的 SYN 请求 |
| ACK Flood | 发送大量 ACK 标志位包 |
| ICMP Flood | 大量 ICMP 请求消耗资源 |
| UDP Flood | 向未开放端口发送大量 UDP 数据包 |
| DNS Flood | 短时间内大量 DNS 请求 |