软考教材重点内容 信息安全工程师 第 4 章 网络安全体系与网络安全模型
4,1 网络安全体系的主要特征:
(1)整体性。网络安全体系从全局、长远的角度实现安全保障,网络安全单元按照一定的规则,相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式。
(2)协同性。网络安全体系依赖于多种安全机制,通过各种安全机制的相互协作,构建系统性的网络安全保护方案。
(3)过程性。针对保护对象,网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期。
(4)全面性。网络安全体系基于多个维度、多个层面对安全威胁进行管控,构建防护、检测、响应、恢复等网络安全功能。
(5)适应性。网络安全体系具有动态演变机制,能够适应网络安全威胁的变化和需求。
4.2 网络安全体系相关安全模型(与原版类型要求接近,并相对简单)
1. BLP 机密性模型
模型有两个特性:简单安全特性、*特性。
(1)简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
(2)*特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写,不能向下写。
为了实现军事安全策略,计算机系统中的信息和用户都分配了一个访问类,它由两部分组成:
安全级:安全级别对应诸如公开、秘密、机密和绝密等名称;
范畴集:指安全级的有效领域或信息所归属的领域,如人事处、财务处等。
安全级的顺序一般规定为:公开<秘密<机密<绝密。两个范畴集之间的关系是包含、被包含或无关。在一个访问类中,仅有单一的安全级,而范畴可以包含多个。
例 1:(理解例子说明)
文件 F 访问类:笼机密:人事处,财务处};
用户 A 访问类:I 绝密:人事处};
用户 B 访问类:{绝密:人事处,财务处,科技处}。
按照军事安全策略规定,用户 B 可以阅读文件 F,因为用户 B 的级别高,涵盖了文件的范畴。而用户A 的安全级虽然高,但不能读文件 F,因为用户 A 缺少了“财务处”范畴。
4.2.2 BiBa 完整性模型
采用主体、客体、完整性级别描述安全策略要求。BiBa 具有三个安全特性:简单安全特性、*特性、调用特性。模型的特性如下。
(1)简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴集合包含客体的全部范畴,即主体不能向下读。
(2)*特性。主体的完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上
(3)调用特性。主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体。
4.2.4 信息保障模型
1. PDRR 模型
美国国防部提出了 PDRR 模型,其中 PDRR 是 Protection, Detection, Recovery, Response 英文单词的缩写。
PDRR 改进了传统的只有保护的单一安全防御思想,强调信息安全保障的四个重要环节。
2. P2DR 模型
P2DR 模型的要素由策略(Policy)、防护(Protection )、检测( Detection )、响应(Response)构成。
3. WPDRRC 模型
WPDRRC 的要素由预警、保护、检测、响应、恢复和反击构成。模型蕴涵的网络安全能力主要是预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。
4.2.5 能力成熟度模型
目前,网络安全方面的成熟度模型主要有 SSE-CMM、数据安全能力成熟度模型、软件安全能力成
熟度模型等。
1. SSE-CMM
SSE-CMM (Systems Security Engineering Capability Maturity Model)是系统安全工程能力成熟度模型。SSE-CMM 包括工程过程类(Engineering )、组织过程类(Organization )、项目过程类(Project)。
4.2.6 纵深防御模型
纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够互相支持和补救,尽可能地阻断攻击者的威胁。
目前,安全业界认为网络需要建立四道防线:
安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;
安全监测是网络的第二道防线,可以及时发现入侵和破坏;
实时响应是网络的第三道防线,当攻击发生时维持网络“打不垮”;
恢复是网络的第四道防线,使网络在遭受攻击后能以最快的速度“起死回生”,最大限度地降低安全
事件带来的损失。
4.2.7 分层防护模型
分层防护模型针对单独保护节点,以 OSI 7 层模型为参考,对保护对象进行层次化保护,典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层,然后针对每层的安全威胁,部署合适的安全措施,进行分层防护。
4.2.8 等级保护模型
等级保护模型是根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要
程度,结合系统面临的风险、系统特定的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
4.2.9 网络生存模型
网络生存性是指在网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续提供必要服务的能
力。国际上的网络信息生存模型遵循“3R',的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。
然后对一定的攻击模式,给出相应的 3R 策略,即抵抗(Resistance )、识别(Recognition)和恢复(Recovery)。
4.3.1 网络安全原则
1.系统性和动态性原则
网络安全防范体系时,应当特别强调系统的整体安全性,也就是人们常说的“木桶原则”,即木桶的
最大容积取决于最短的一块木板。
2.纵深防护与协作性原则
网络安全防范技术都有各自的优点和局限性,各种网络安全技术之间应当互相补充,互相配合,在统一的安全策略与配置下,发挥各自的优点。
3.网络安全风险和分级保护原则
网络安全不是绝对的,网络安全体系要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。分级保护原则是指根据网络资产的安全级别,采用合适的网络防范措施来保护网络资产,做到适度防护。
4.标准化与一致性原则
网络系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联、互通、互操作。
5.技术与管理相结合原则
网络安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育和技术培训。
6.安全第一,预防为主原则网络安全应以预防为主,否则亡羊补牢,为之晚矣。特别是大型的网络,一旦攻击者进入系统后,就难以控制网络安全局面。因此,我们应当遵循“安全第一,预防为主”的原则。
4.4.1 网络安全体系组成框架
网络安全等级保护工作主要包括定级、备案、建设整改、等级测评、监督检查五个阶段。
定级对象建设完成后,运营、使用单位或者其主管部门选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护测评要求》等技术标准,定期对定级对象的安全等级状况开展等级测评。其中,定级对象的安全保护等级分为五个,
即第一级(用户自主保护级)、
第二级(系统保护审计级)、
第三级(安全标记保护级)、
第四级(结构化保护级)、
第五级(访问验证保护级)。
网络安全等级保护 2.0 的主要变化包括:
一.是扩大了对象范围,将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络
安全通用要求+新型应用的网络安全扩展要求”的要求内容。
二是提出了在“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。
三是等级保护 2.0 新标准强化了可信计算技术使用的要求,各级增加了“可信验证”控制点。
其中,一级要求设备的系统引导程序、系统程序等进行可信验证;二级增加重要配置参数和应用程序进行可信验证,并将验证结果形成审计记录送至安全管理中心;三级增加应用程序的关键执行环节进行动态可
相关文章:
软考教材重点内容 信息安全工程师 第 4 章 网络安全体系与网络安全模型
4,1 网络安全体系的主要特征: (1)整体性。网络安全体系从全局、长远的角度实现安全保障,网络安全单元按照一定的规则,相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式。 (2)协同性。网络安全体系依赖于多种安全机制,通过各…...
机器学习——期末复习 重点题归纳
第一题 问题描述 现有如下数据样本: 编号色泽敲声甜度好瓜1乌黑浊响高是2浅白沉闷低否3青绿清脆中是4浅白浊响低否 (1)根据上表,给出属于对应假设空间的3个不同假设。若某种算法的归纳偏好为“适应情形尽可能少”,…...
MYSQL——数据更新
一、插入数据 1.插入完整的数据记录 在MYSQL中,使用SQL语句INSERT插入一条完整的记录,语法如下: INSERT INTO 表名 [(字段名1[,...字段名n])] VALUES (值1[...,值n]); 表名——用于指定要插入的数据的表名 字段名——用于指定需要插入数据…...
Vite 基础理解及应用
文章目录 概要Vite基础知识点1. 快速启动和热更新热更新原理 2. 基于ES模块的构建3. 对不同前端框架的支持 vite.config.js配置实例1. 基本结构2. 服务器相关配置3. 输入输出路径配置4. 打包优化配置 项目构建一、项目初始化二、项目结构理解三、CSS处理四、静态资源处理五、构…...
[JAVA]用MyBatis框架实现一个简单的数据查询操作
基于在前面几章我们已经学习了对MyBatis进行环境配置,并利用SqlSessionFactory核心接口生成了sqlSession对象对数据库进行交互,执行增删改查操作。这里我们就先来学习如何对数据进行查询的操作,具体查询操作有以下几个步骤 创建实体类创建Ma…...
CSS 样式的优先级?
在CSS中,样式的优先级决定了当多个样式规则应用于同一个元素时,哪个样式会被最终使用。以下是一些决定CSS样式优先级的规则: 就近原则: 最后应用在元素上的样式具有最高优先级。这意味着如果两个选择器都应用了相同的样式…...
Linux驱动开发快速入门——字符设备驱动(直接操作寄存器设备树版)
Linux驱动开发快速入门——字符设备驱动 前言 笔者使用开发板型号:正点原子的IMX6ULL-alpha开发板。ubuntu版本为:20.04。写此文也是以备忘为目的。 字符设备驱动 本小结将以直接操作寄存器的方式控制一个LED灯,可以通过read系统调用可以…...
数据结构《栈和队列》
文章目录 一、什么是栈?1.1 栈的模拟实现1.2 关于栈的例题 二、什么是队列?2.2 队列的模拟实现2.2 关于队列的例题 总结 提示:关于栈和队列的实现其实很简单,基本上是对之前的顺序表和链表的一种应用,代码部分也不难。…...
C# 超链接控件LinkLabel无法触发Alt快捷键
在C#中,为控件添加快捷键的方式有两种,其中一种就是Windows中较为常见的Alt快捷键,比如运行对话框,记事本菜单等。只需要按下 Alt 框号中带下划线的字母即可触发该控件的点击操作。如图所示 在C#开发中,实现类似的操作…...
JVM类加载过程-Loading
一、Class对象的生命周期 .class文件是如何加载到内存中:.class文件是ClassLoader通过IO将文件读到内存,再通过双亲委派的模式进行Loading,再Linking、以及Initializing,代码调用等一系列操作后,进行GC,组成完整的生命周期; 二、双亲委派模式(Loading的过程): 1、类…...
2024年11月19日Github流行趋势
项目名称:build-your-own-x 项目维护者:danistefanovic, rohitpaulk, sarupbanskota 等项目介绍:通过从零开始重新创建你最喜欢的技术来掌握编程。项目star数:312,081项目fork数:29,004 项目名称:freqtrad…...
详细描述一下Elasticsearch索引文档的过程?
大家好,我是锋哥。今天分享关于【详细描述一下Elasticsearch索引文档的过程?】面试题。希望对大家有帮助; 详细描述一下Elasticsearch索引文档的过程? Elasticsearch的索引文档过程是其核心功能之一,涉及将数据存储到…...
基于css的Grid布局和vue实现点击左移右移轮播过渡动画效果
直接上代码,以下代码基于vue2,需要Vue3或者react可以使用国内直连GPT/Claude来帮你转换下 代码如下: // ScrollCardsGrid.vue <template><div class"scroll-cards-container"><!-- 左箭头 --><div v-show"showLef…...
HarmonyOS NEXT应用元服务开发Intents Kit(意图框架服务)习惯推荐方案概述
一、习惯推荐是HarmonyOS学习用户的行为习惯后做出的主动预测推荐。 1.开发者将用户在应用/元服务内的使用行为向HarmonyOS共享,使得HarmonyOS可以基于共享的数据学习用户的行为习惯。 2.在HarmonyOS学习到用户的行为习惯后,会给用户推荐相应功能&#x…...
【AtCoder】Beginner Contest 380-F.Exchange Game
题目链接 Problem Statement Takahashi and Aoki will play a game using cards with numbers written on them. Initially, Takahashi has N N N cards with numbers A 1 , … , A N A_1, \ldots, A_N A1,…,AN in his hand, Aoki has M M M cards with numbers B …...
30. 并发编程
一、什么是多任务 如果一个操作系统上同时运行了多个程序,那么称这个操作系统就是 多任务的操作系统,例如:Windows、Mac、Android、IOS、Harmony 等。如果是一个程序,它可以同时执行多个事情,那么就称为 多任务的程序。…...
【包教包会】CocosCreator3.x框架——带翻页特效的场景切换
一、效果演示 二、如何获取 1、https://gitee.com/szrpf/TurnPage 2、解压,导入cocos creator(版本3.8.2),可以直接运行Demo演示 三、算法思路 1、单场景 页面预制体 通过loadScene来切换页面,无法实现页面特效。…...
k8s上面的Redis集群链接不上master的解决办法
问题描述 之前在k8s上面部署了一台node,然后创建了6个redis的pod,构建了一个redis的集群,正常运行。 最近添加了一台slave node,然后把其中的几个redis的pod调度到了slave node上面,结果集群就起不来了,…...
<项目代码>YOLOv8 瞳孔识别<目标检测>
YOLOv8是一种单阶段(one-stage)检测算法,它将目标检测问题转化为一个回归问题,能够在一次前向传播过程中同时完成目标的分类和定位任务。相较于两阶段检测算法(如Faster R-CNN),YOLOv8具有更高的…...
网络编程-002-UDP通信
1.UDP通信的简单介绍 1.1不需要通信握手,无需维持连接,网络带宽需求较小,而实时性要求高 1.2 包大小有限制,不发大于路径MTU的数据包 1.3容易丢包 1.4 可以实现一对多,多对多 2.客户端与服务端=发送端与接收端 代码框架 收数据方一般都是客户端/接收端 3.头文件 #i…...
MySQL更换瀚高语法更换
MySQL更换瀚高语法更换 一、前言二、语句 一、前言 水一篇,mysql更换瀚高之后,一些需要更换的语法介绍 > 二、语句 MySQL瀚高MySQL用法瀚高用法说明ifnull(x,y)coalesce(x,y)相同相同用于检查两个表达式并返回第一个非空表达式。如果第一个表达式不是 NULL&…...
Object.prototype.hasOwnProperty.call(item, key) 作用与用途
在 JavaScript 中,Object.prototype.hasOwnProperty.call(item, key) 是一种检查对象 item 是否具有特定属性 key 作为自身的属性(而不是继承自原型链)的方法。这种调用方式是安全的,特别是在处理可能被修改过原型链的对象时。 解…...
DNS的10种资源记录
前言 在DNS(域名系统)中,常见的资源记录(Resource Records, RR)用于存储域名与IP地址、邮件服务器等网络资源之间的映射关系。以下是几种常见的DNS资源记录: 1. A记录(Address Record…...
【数据分享】1981-2024年我国逐日最低气温栅格数据(免费获取)
气象数据一直是一个价值很高的数据,它被广泛用于各个领域的研究当中。之前我们分享过来源于美国国家海洋和大气管理局(NOAA)下设的国家环境信息中心(NCEI)发布的1929-2024年全球站点的逐日最低气温数据(可查看之前的文章获悉详情&…...
Kafka进阶_1.生产消息
文章目录 一、Controller选举二、生产消息2.1、创建待发送数据2.2、创建生产者对象,发送数据2.3、发送回调2.3.1、异步发送2.3.2、同步发送 2.4、拦截器2.5、序列化器2.6、分区器2.7、消息可靠性2.7.1、acks 02.7.2、acks 1(默认)2.7.3、acks -1或all 2.8、部分重…...
百度世界2024:智能体引领AI应用新纪元
在近日盛大举行的百度世界2024大会上,百度创始人李彦宏以一场题为“文心一言”的精彩演讲,再次将全球科技界的目光聚焦于人工智能(AI)的无限可能。作为一名科技自媒体,我深感这场演讲不仅是对百度AI技术实力的一次全面…...
NIST 发布后量子密码学转型战略草案
美国国家标准与技术研究所 (NIST) 发布了其初步战略草案,即内部报告 (IR) 8547,标题为“向后量子密码标准过渡”。 该草案概述了 NIST 从当前易受量子计算攻击的加密算法迁移到抗量子替代算法的战略。该草案于 2024 年 11 月 12 日发布,开放…...
同向双指针
长度最小的子数组 力扣209 #define MIN(a, b) ((b) < (a) ? (b) : (a)) int minSubArrayLen(int target, int* nums, int numsSize) {int ans numsSize 1;int left 0;int right 0;int sum 0;for (right 0; right < numsSize; right){sum nums[right];while (su…...
小鹏汽车大数据面试题及参考答案
抽象类与接口的区别是什么? 抽象类是一种不能被实例化的类,它可以包含抽象方法和非抽象方法。抽象方法是没有具体实现的方法,必须在子类中被实现。抽象类主要用于为一组相关的类提供一个通用的模板,子类可以继承抽象类并实现其中的抽象方法,也可以使用抽象类中的非抽象方法…...
华为再掀技术革新!超薄膜天线设计路由器首发!
随着Wi-Fi技术的不断进步,新一代的Wi-Fi 7路由器凭借其高速率、低延迟、更稳定的性能受到了广泛关注。它能够更好地满足现代家庭对网络性能的高要求,带来更加流畅、高效的网络体验。9月24日,华为在其秋季全场景新品发布会上推出了全新Wi-Fi 7…...
出名的网站建设软件/app推广联盟平台
前戏 到目前为止,我们已经学过了JavaScript的一些简单的语法。但是这些简单的语法,并没有和浏览器有任何交互。 也就是我们还不能制作一些我们经常看到的网页的一些交互,我们需要继续学习BOM和DOM相关知识。 JavaScript分为 ECMAScript&#…...
电商供应链网站/推广普通话宣传语100字
本篇文章给大家带来的内容是关于MySql通过查询结果集更新数据的方法介绍,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。表结构现在有用户表和用户实名认证表,user_info,user_card。user_info中的字段…...
惠州的企业网站建设/上首页的seo关键词优化
最近写代码,需要停止interval之后再重新启动,开始使用代码如下,发现无法重新启动 function func(){console.log("print")} //定时任务 var interval setInterval(func, 2000); //启动,func不能使用括号 clearInterval(interval );…...
信誉好的集团网站建设/微友圈推广平台怎么加入
有时候我们会在列表页或者内容详情页调用指定的顶级栏目名称及链接,试了很多方法,有的只能调用所有顶级栏目或者是该频道下面的子栏目,实在是让人感到费解。。下面说说各种栏目名称的调用方法:1、{dede:field name"typename&…...
林州企业网站建设/连接交换
目录1.springboot简介2.REST风格1.简介2.RESTful3.复制工程4.属性配置1.application.properties2.application.yml、.yaml3.关于写配置文件的时候没有提示的解决方案4.yaml1.语法格式2.读取数据3.封装对象5.整合第三方技术1.整合Junit1.实现2.注意事项2.整合mybatis3.整合mybat…...
做英文的小说网站/seo顾问培训
1.磁盘分区格式说明linux分区不同于windows,linux下硬盘设备名为(IDE硬盘为hdx(x为从a—d)因为IDE硬盘最多四个,SCSI,SATA,USB硬盘为sdx(x为a—z)),硬盘主分区最多为4个,不用说大家也知道…..所以主分区从s…...