🎓 总站 🏠 本课目录 CH1 概论 CH2 风险管理 CH3 安全保障 CH4 技术体系 CH5 鉴别 CH6 访问控制 CH7 防火墙 CH8 入侵检测 古典密码 哈希函数 牛津密码练习
网络空间安全技术 · 第三章

CH3 信息安全保障与安全运维

从安全模型的理论推演,到应急响应的实战处置,一章打通保障全局

📚 学习进度
0%

🎯学习目标

读完这一章,你应该能回答:

  1. 信息有哪些基本性质?
  2. 网络空间安全发展经历了哪五个阶段
  3. PDR / PPDR 模型的核心思想和公式是什么?
  4. IATF 深度防御的三要素和四个焦点领域是什么?
  5. 应急响应的六阶段流程是什么?

1信息的基本概念与性质

三个经典定义

人物定义
香农(信息论创始人)"信息是用以消除不确定性的东西"
维纳(控制论创始人)"信息是人们在适应外部世界……同外部世界进行交换的内容的名称"
钟义信(中国学者)"信息是事物运动的状态与方式,是事物的一种属性"

信息的八大性质

性质通俗理解
依附性信息不能脱离载体单独存在,用"符号"表示
可伪性信息可以伪造(需要鉴别和完整性保护)
动态性只有及时、新颖才有价值
可处理性内容可识别,形式可转换
共享性可以无限扩散(给别人不会减少自己的)
可传递性时间和空间上都可传递
异步性以存储方式接收,任何时间可用
可交换性两个主体间可以交换
信息的功能 基本功能:维持和强化世界的有序性。社会功能:促进人类文明进步。网络空间安全的任务就是确保信息功能的正确实现。

2网络空间安全基本特征

四大特征

🔗

系统的安全

不是单点的,是整个系统层面

⏱️

动态的安全

今天安全不代表明天安全

🌍

无边界的安全

网络空间没有物理边界

🆕

非传统的安全

不同于传统军事安全

安全范畴(四层)

  1. 信息技术问题 — 技术系统的安全
  2. 组织管理问题 — 人 + 技术 + 组织内部环境
  3. 社会问题 — 法制、舆论
  4. 国家安全问题 — 信息战、虚拟空间

3网络空间安全发展五阶段 ⭐

一句话串联 通信安全 → 计算机安全 → 信息系统安全 → 信息安全保障 → 网络空间安全
从"管好密码"到"管好系统"到"管好全局"到"攻防一体"。
阶段 1 · 通信安全(COMSEC)· 1940s-1970s

核心:通过密码技术解决通信保密。威胁:搭线窃听、密码学分析。措施:加密(如 ENIGMA 转轮密码机)。

阶段 2 · 计算机安全(COMPUSEC)· 1970s-1990s

核心:预防、检测和减小计算机系统未授权活动的后果。措施:操作系统的访问控制。标志:1985 年美国发布 TCSEC(橘皮书),划分 4 等级 7 级别。

阶段 3 · 信息系统安全(INFOSEC)· 1990s 后

核心:保护信息在存储、处理和传输全过程。措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN 等。

阶段 4 · 信息安全保障(IA)· 21 世纪初

核心:从技术扩展到管理,从静态扩展到动态。措施:技术安全保障 + 安全管理 + 人员意识/培训 + 认证认可。

阶段 5 · 网络空间安全(CS)· 2010 年后

核心:从传统防御发展到"威慑"为主的攻防一体。三大能力:网络防御 Defense、网络攻击 Offense、网络利用 Exploitation。

4安全模型 ⭐⭐

PDR 模型

由美国 ISS 公司提出,最早体现主动防御思想的安全模型。出发点:任何防护措施都是基于时间的,是可以被攻破的。

P · 保护

加密、鉴别、访问控制、防火墙

D · 检测

入侵检测、漏洞检测、网络扫描

R · 响应

应急响应机制

PDRR 模型

PDR 的进化版,增加了恢复(Restore),强调自动故障恢复能力。四要素:保护 → 检测 → 反应 → 恢复。

PPDR 模型(重点中的重点)

在 PDR 基础上增加了策略(Policy)作为核心。

要素说明
Policy(策略)模型的核心,所有防护/检测/响应都依据安全策略实施
Protection(防护)访问控制、防火墙、加密、身份鉴别等
Detection(检测)实时监控、检测、报警,防护从被动演进到主动
Response(响应)关闭服务、跟踪、反击、消除影响
PPDR 数学法则(必考) 设 Pt = 防护时间,Dt = 检测时间,Rt = 反应时间,Et = 暴露时间

如果 Pt > Dt + Rt,那么系统 S 是安全的
如果 Pt < Dt + Rt,那么 Et = (Dt + Rt) - Pt

通俗理解:防线能扛的时间,要超过"发现敌人 + 消灭敌人"的总时间,系统才安全。
PDR vs PPDR 的区别 PDR 强调落实反应;PPDR 更强调控制和对抗、动态性。PPDR 以安全检测、漏洞监测和自适应填充"安全间隙"为循环,特别考虑人为的管理因素。

模型对比速查

模型核心思想要素
PDR主动防御,攻防时间表保护、检测、响应
PDRR增加恢复能力保护、检测、反应、恢复
PPDR策略为核心的动态安全策略、防护、检测、响应
IATF深度防御,多层防护人、技术、操作 + 四领域

5IATF 深度防御模型 ⭐

IATF(Information Assurance Technical Framework)由美国 NSA 制定。核心理念:深度防御(Defense-in-Depth)

三个核心要素

人 People

第一位的要素,也是最脆弱的。包括意识培训、组织管理、技术管理、操作管理。

技术 Technology

信息保障的重要手段。动态技术体系:防护 → 检测 → 响应 → 恢复。

操作 Operation

构成主动防御体系。包括风险评估、安全监控、安全审计、入侵检测、响应恢复。

四个技术焦点领域("三保护一支撑")

领域目标主要方法
本地计算环境确保数据在客户机/服务器上的 CIA安全 OS、主机 IDS、防病毒、脆弱性扫描
区域边界对进出区域的数据流进行控制与监视防火墙、入侵检测、病毒防御、远程访问安全
网络和基础设施防数据泄露、拒绝服务、传输异常骨干网可用性、无线安全、VPN
支撑性基础设施为安全服务提供基础密钥管理、证书管理、入侵检测、审计
易错点 "IATF 强调以安全检测、漏洞监测和自适应填充安全间隙为循环"——这是 PPDR 的特点,不是 IATF 的!考试常用来做干扰项。

6信息系统安全保障模型

国家标准 GB/T 20274.1-2006 给出的评估框架,三个维度:

安全特征

机密性、完整性、可用性 → 保护资产 → 保障业务使命

生命周期

计划组织 → 开发采购 → 实施交互 → 运行维护 → 废弃

保障要素

技术、工程、管理、人员

信息安全 vs 安全保障

信息安全安全保障
重点保护、防御保护、检测和响应、攻击后修复
目的防止攻击发生始终保证维持特定水平的可用性、完整性、真实性、机密性和抗抵赖性

7国内外网络空间安全保障

国外(以美国为例)

  • 四个关键文件:PDD63(1998)→ 国家计划 V1.0(2000)→ 行政令 13231(2001)→ 保护网际空间的国家战略(2003)
  • CNCI(网络"曼哈顿计划"):三道防线 + 十二项提议
  • 重点保护对象:18 项关键基础设施(银行和金融被所有国家列为关键基础设施)

我国保障体系

时期阶段主要工作
2001-2002启动国家信息化小组重组;网络与信息安全协调小组成立
2003-2005展开出台指导政策;首次全国信息安全保障会议
2006 至今深化法律法规、标准化、等级保护和风险评估取得新进展
等级保护制度 1994 年首次提出 → 2003 年中办发 27 号文明确建立 → 2007 年《信息安全等级保护管理办法》→ 《网络安全法》第 21 条:国家实行网络安全等级保护制度。

8安全需求与安全方案

ISPP(信息系统保护轮廓)

用户角度规范化描述信息系统安全保障需求。定义了"某种类型信息系统的与实现无关的一组系统级安全保障要求"。

ISST(信息系统安全目标)

建设方(厂商)角度制定的安全保障方案,根据 ISPP 编制。比 ISPP 多了"信息系统概要规范"和"ISPP 声明"。

9应急响应流程 ⭐

应急响应:一个组织为了应对各种安全事件所做的准备以及事后所采取的措施。

两个维度 未雨绸缪:风险评估、安全计划、安全意识培训、预警
亡羊补牢:备份、病毒检测、后门清除、系统恢复、追踪取证

安全事件分级

级别名称标准
四级一般未造成业务中断或中断 < 10 分钟,无数据损坏
三级较大中断 10-30 分钟,无数据损坏
二级重大中断 30-60 分钟,或数据部分损坏(可通过备份恢复)
一级特别重大中断 > 60 分钟,或数据损坏无法恢复,或重要数据泄露
注意 特殊时期(重大活动、赛事等)发生的事件级别上提一级

六阶段流程

① 准备

调研分析、确定目标和范围、制定预案和方案、组建团队、工具准备

② 检测

确定检测对象和范围、判断是否为安全事件、确定处理方案

③ 抑制

隔离和处理故障系统/区域,限制影响范围,保证业务连续性

④ 根除

确定根除方案,消除安全威胁的根源

⑤ 恢复

重建系统、数据备份/恢复、安装新 OS、配置基线、上线测试

⑥ 跟进

吸取教训、审计抑制和根除效果、完善安全计划、发布经验总结

10常见应急事件处置

勒索病毒处置

  1. 了解现状:文件被加密?无法启动?桌面有勒索信息?
  2. 了解发病时间:文件加密时间、新文件出现时间
  3. 了解系统架构:IP、端口、操作系统、中间件等
  4. 确认感染者:定位被感染主机
  5. 处置:未感染 → 关闭 SSH/RDP、改密码、备份隔离;已感染 → 立即隔离(拔网线)、保留现场

挖矿木马处置

特征:CPU/GPU 异常占用、有对矿池地址的 DNS 解析。处置:断网隔离 → 结束恶意进程 → 提取样本 → 删除木马 → 安装杀软、补丁更新。

DDoS 事件处置

类型特征
SYN Flood大量虚假地址的 SYN 请求
ACK Flood发送大量 ACK 标志位包
ICMP Flood大量 ICMP 请求消耗资源
UDP Flood向未开放端口发送大量 UDP 数据包
DNS Flood短时间内大量 DNS 请求
部署提示 流量大时,防火墙必须在抗 DDoS 设备后面,否则未净化流量会使防火墙过载。

🎯本章自测

单选PPDR 模型的安全条件公式是?
单选IATF 深度防御模型中,排在第一位的核心要素是?
单选应急响应的正确六阶段流程是?
单选关于 IATF,以下哪个说法是错误的?
ISPP 定义了什么?
ISPP 定义了某种类型信息系统的与实现无关的一组系统级安全保障要求。它是从用户角度出发的。
PDR 和 PPDR 最大的区别是什么?
PPDR 在 PDR 基础上增加了策略(Policy)作为核心,更强调控制和对抗、安全的动态性,特别考虑人为的管理因素。
网络空间安全发展的五个阶段分别是什么?
① 通信安全 COMSEC → ② 计算机安全 COMPUSEC → ③ 信息系统安全 INFOSEC → ④ 信息安全保障 IA → ⑤ 网络空间安全 CS