网络安全保障模型的企业应用融合设计初探

◆蔺旭冉 朱 彤

网络安全保障模型的企业应用融合设计初探

◆蔺旭冉 朱 彤

（核工业计算机应用研究所 北京 100048）

在当前企业的业务和信息化网络化结合和依赖程度快速提高、面临的信息安全风险越来越高、国家高度重视的大环境下，网络安全保障能力建设是各类企业面临的一项重要课题。本文重点以主流的信息安全保障模型为基础，结合企业网络安全工作开展实践经验，初步融合设计一个以风险评估为起点、以人员管理和安全策略为核心的网络安全保障模型，可作为网络安全保障能力建设方法和思路的一项借鉴。

网络安全；风险评估；信息安全保障模型；安全策略

0 引言

信息化建设工作在各级企业中均快速推进，从经营管理到科研生产等各个领域，信息系统的规模和复杂程度快速提升，其核心业务对信息化的依赖程度越来越高，业务数据价值与日俱增。在外部网络安全形势日趋严峻，国家管控标准要求不断提升的情况下，企业对开展信息安全防护和保障能力的建设需求也快速攀升。但实际上多数企业由于前期信息安全意识不足和成本投入的考虑，在信息化规划设计和建设之初以功能实现为主，同期对网络安全防护的投入远远不足，整体的安全防护建设和管控工作起步较晚，企业网络安全信息系统整体存在较大的安全风险和隐患。

因此，本文主要在现有信息安全模型分析研究的基础上，结合网络安全工作开展实践经验，初步完成网络安全保障模型的融合设计研究，为如何找准开展网络安全保障能力建设的发力点提供参考。

1 信息安全保障模型的发展

传统的信息安全模型最早起步于20世纪70年代，包括最早提出的强访问控制Bell-LaPadula模型，把强制访问控制用于完整性的Biba模型，Clark Wilson数据完整性模型和中国墙模型等，在信息技术飞速发展不断提升信息安全防护能力。随着信息技术网络社会化的进一步发展，信息安全的众多因素和变量的不确定性快速增加，使得信息安全问题也日益重要尖锐和复杂，需要信息安全保障的理念和模型来维持一种动态和可控的状态。

同传统的信息安全模型相比，信息安全保障模型将保护、检测和响应等因素动态的综合起来，更关注检测和响应，尤其是在攻击发生时保证信息系统可用性、完整性和机密性维持在稳定水平。其中，比较具有代表性且广泛应用的信息安全保障模型包括源自P2DR模型和HTP模型，包括以P2DR模型衍生和发展出的PDRR、P2DRM、MPDRR和WPDRRC等。

1.1 P2DR模型

P2DR模型（Policy（策略）、Protection（防护）、Detection（检测）和Response（响应））源自美国国际互联网安全系统公司（ISS）提出的自适应网络安全模型。P2DR模型建立在基于时间的安全理论基础之上，在统一的安全策略指导下，由恰当的防护措施、动态的检测机制（如入侵检测等）和安全事件的响应，综合形成一个完备的、闭环的动态自适应安全体系。但是P2DR及PDRR等大部分衍生模型主要着眼于安全过程本身，对内部管理方面的安全管控不足，尤其忽略了人的因素。

1.2 HTP模型

HTP信息安全模型由三部分组成：人员与管理（Human and Management）包括法律法规、安全管理和教育培训等，技术与产品（Technology and Products）包括认证技术、防火墙、入侵检测等；流程与体系（Process and Framework）包括风险评估、体系建设和运行改进的周期性安全管控体系。HTP信息安全模型将信息安全放到了组织层面中考虑，相比P2DR等模型更强调了人员和管理这一因素，但在技术、策略和标准上描述较为简单，缺少与实际运行管控过程的有机结合。

2 模型融合设计

随着网络安全环境的快速变化、新技术的大量应用和国家网络安全战略部署的持续推进，各级企业均面临着网络安全威胁快速增大、信息系统安全风险漏洞增多、网络安全能力自主可控和创新不足等新形势下的问题和挑战，迫切需要快速加强网络安全保障能力建设。通过分析已有的主要信息保障安全模型的特点和局限性，结合目前大部分企业体系化网络安全管控和防护不够全面和规范的现状，本文主要基于P2DR及其衍生模型和HTP等安全保障模型的思路和要素，结合企业网络安全保障能力建设实践经验进行初步的融合模型设计，如图1所示。

图1 融合模型设计

2.1 安全保障能力核心要素

企业的网络安全保障能力建设的核心要素包括安全策略、人员管理、安全技术、安全产品和网络安全组织。

（1）安全策略

安全策略是P2DR模型中的核心要素，也是企业网络安全保障能力建设的根本依据和顶层设计，应根据业务特点、保障资源、防护对象和对应的防护标准制定，明确企业网络安全方针、组织机构职责和管控策略措施等。安全策略应涵盖信息系统网络安全相关设计、建设、运营和废止的全生命周期管理，并根据实际业务开展和系统变化情况及时更新和调整，确保能够实时有效的指导各级各类具体的网络安全保障工作执行。

（2）人员管理

人员作为企业网络安全最活跃和不确定的因素，也是HTP模型中的核心要素。人员包括大量的内部员工用户和关键的网络安全管理、技术人员，是对网络信息系统最大的潜在威胁。应按照人员业务特点、岗位职责和基础能力的不同，在有针对性地制定相关的人员管理规范的基础上，落实安全意识培养、技术能力培训和监督检查常态化等基本措施，结合技术管控手段，严控内部风险。

（3）安全技术

网络安全技术是确保安全策略和管理要求实现的基本条件，从技术上划分涵盖物理安防、网络边界防护、访问控制、身份鉴别、安全审计、系统开发、密码和数据安全等各个层面；从对象上划分为系统和设备的安全防护技术和专业的网络安全人员技术能力两大类。一方面需要在落实各个环节的基本的安全防护技术措施适度全覆盖的基础上，根据业务特点、行业标准和风险评估结果进行重点防护；另一方面需要确保网络安全技术人员的技术能力与相应的技术措施相匹配，能够有效发挥出技术措施的防护能力，尤其强化日常分析监测和应急处置能力。

（4）安全产品

网络安全产品是安全技术实现的重要实现载体，包括安全防护技术环节实现必要的安全防护产品和安全监督管理落实需要的安全审计和安全检查检测产品。应按照“适度防范”和“兼顾效率”的原则进行网络安全产品的部署和使用，避免过度防护。同时，其配置和管理必须严格执行安全策略中相关要求。

（5）网络安全组织

企业的网络安全保障能力建设必须依托企业内部职权明确的网络安全组织来完成。网络安全组织的最优方式为独立于信息系统建设和运维管理机构，例如可成立相对独立的网络安全管理中心，来承担企业网络安全规划设计、安全策略设计和维护、信息系统全生命周期的安全监督管控、安全状态的检测和态势感知、应急处置和恢复等职能，通过专业能力专职统筹推进网络安全保障工作落实。

2.2 网络安全运行管控

通过国家信息安全等级保护工作多年来的持续推行，大部分企业通过对其建设和整改，其重要网络信息系统已具备必要的安全防护能力，但在运行管理方面仍然存在短板，尤其是内部管控明显不足，需要按照防护、检测、响应和恢复的基本环节进行相对完整和体系化的运行管控，最大化的发挥已有技术管理措施的安全防护效能。

（1）防护

基于安全策略落实的物理、网络、应用和数据安全等防护措施集合，确保防护对象保密性和完整性的相对安全可控。

（2）检测

在无法实现绝对安全的前提下，需要通过各种探测、检查、监控和报警等技术和管理手段，及时发现安全威胁和隐患。

（3）响应

根据安全策略对于所出现或定义的安全威胁或安全事件，包括异常报警事件处置和安全应急响应处置等。

（4）恢复

通过评估安全事件产生的危害与影响，按照安全策略恢复系统功能或数据。

2.3 持续评估改进

在网络信息系统安全运行管控的基础上，以定期的风险评估为起点和输入，有重点分层级的实施安全体系整改建设，通过实际的运行和过程管控实践再发现问题和不足，持续、快速和有效的提升以策略、人员、技术和产品为核心的网络安全保障能力。

（1）风险评估

风险评估应根据国家有关信息安全技术与管理标准，对照企业安全策略的方针准则和具体要求，以识别信息资产为评估对象，通过威胁和脆弱性的全面的识别和分析，判断安全风险发生的可能性及其危害和影响。安全无止境，考虑到网络安全保障能力建设范围广、投入大和动态变化的特点，需要建立定期的风险评估机制，并通过科学和全面的评估结果，分级分阶段有针对性的合理进行风险整改和控制，快速补齐安全短板的同时平衡资源投入压力。

（2）安全体系建设

网络安全是动态的多层次多因素过程，通过局部或个别的要素和环节难以进行有效的保障，需要充分结合业务需求和特点参照相应的安全防护标准制定安全策略，并以此为基础设计包括人员管理、技术要求和过程管控规范等要素在内的体系化安全框架。通过风险评估和实际运行管控实践活动进行不断的充实完善、调整和优化，形成适用于本企业的科学合理的安全体系。

（3）运行及过程管控

通过体系化的网络安全保障能力建设和提升，不断强化企业网络信息系统的防护、检测、响应和恢复等各个运行及过程管控环节的落地实施。

3 结束语

网络安全保障能力建设是一项系统工程，投入大周期长，需要科学合理和切合实践的方法指导。在当前网络安全外部环境整体严峻的态势下，企业可以通过优化健全基本运行管控环节，在保障信息系统基本安全的基础上，以风险评估为启动和切入点，以网络安全组织为支撑点，以策略、人员、技术和产品为建设核心，持续建立健全安全体系，实现网络安全保障能力的快速和有效提升。

[1]范红，冯登国，吴亚非.信息安全风险评估方法与应用[M].清华大学出版社，2006.

[2]沈昌祥.信息安全[M].浙江大学出版社，2007.

[3]GB/T 22081-2016.信息技术 安全技术 信息安全控制实践指南[S]，2016．

[4]蒋韬，李信满，刘积仁.信息安全模型研究[J].小型微型计算机系统，2000.

[5]雷璟，王冬梅.建立信息安全管理体系的HTP方法[J]. 电子信息技术评论，2005.

[6]张惠.信息系统运维阶段信息安全风险评估工作研究[J].网络安全技术与应用，2018.