网络安全保障框架协议:提升企业数据安全的依据
随着企业信息化进程的加快,信息安全问题日益突出,特别是企业的数据安全问题,成为了企业发展的瓶颈。在这样的社会背景下,网络安全保障框架协议应运而生,成为保障企业数据安全的重要手段。本文将从网络安全保障框架协议的定义、框架及重要性三个方面进行剖析。
一、网络安全保障框架协议的定义
网络安全保障框架协议是指国家、行业对网络安全保障管理的标准、规范、指南等文件的总称,其目的是为了实现信息的安全保护。网络安全保障框架协议主要是国家或地方依据相关法律、法规,根据国家信息安全政策的要求,制定的网络安全保障管理制度,涵盖了政策、标准、规范、指南、技术与产品等不同方面的内容。
二、网络安全保障框架协议的框架
网络安全保障框架协议包含以下几个层次的框架:
1、政策层框架:政策层框架主要是国家和地方制定的关于网络安全的政策和法律法规,包括《中华人民共和国网络安全法》、《中央网信办办公厅关于落实网络安全等级保护制度的指导意见》等。
2、标准层框架:标准层框架主要是制定关于网络安全保障的标准和规范,为企业提供了技术支持和规范指导。例如《信息安全技术 个人信息安全规范》、《企业信息安全基线白皮书》等。
3、技术层框架:技术层框架主要是针对特定领域、特定环节、特定问题制定的技术标准和技术规范,包括定制的操作系统、管理软件、加密技术等。
4、产品层框架:产品层框架是指保障网络安全的产品与服务,并且遵循国家和地方的相关标准和规范,如加密设备、虚拟专网、防火墙、入侵检测系统等。
三、网络安全保障框架协议的重要性
1、提高信息安全水平:网络安全保障框架协议为企业提供了技术、标准、规范等一系列保障网络安全的支持,能够有效预防和防范网络安全风险,提高企业信息安全水平。
2、规范企业管理:网络安全保障框架协议为企业提供了规范化、标准化的管理模式,能够提高企业的管理效率和管理水平,使企业运行更加安全稳定。
3、降低企业风险:网络安全保障框架协议能够帮助企业识别和评估网络安全风险,并制定相应的风险预防和缓解措施,从而减少企业的风险。
综上所述,网络安全保障框架协议是提升企业信息安全的必要手段,企业需要在实践中深入了解并持续推行,加强企业网络安全保障建设,保障企业信息安全,实现信息安全与企业发展的良性互动,助力企业的可持续发展。
相关问题拓展阅读:
- 网络安全管理措施
- 如何建立电子商务安全保障架构
- 互联网基础资源技术协议的安全发展趋势
网络安全管理措施
【热心相助】
您好!网络安全管理措施需要综合防范,主要体现在网络安全保障体系和总体框架中。
面对各种网络安全的威胁,以往针对单方面具体的安全隐患,提出具体解决方案的应对措施难免顾此失彼,越来越暴露出其局限性。面对新的网络环空塌境和威胁,需要建立一个以深度防御为特点的信息安全保障体系。
【案例】我国某金融机构的网络信息安全保障体系总体框架如图1所示。网络信息安全保障体系框架的外围是风险管理、法律法规、标准的符合性。
图1 网络信息安全保障体系框架
风险管理是指在对风险的可能性和不确定性等因素进行收集、分析、评估、预测的基础上,制定的识别风险、衡量风险、积极应对风险、有效处置风险及妥善处理风险等一整套系统而科学的管理方法,以避免和减少风险损失,促进企业长期稳定发展。网络安全管理的本质是对信息宽乎安全风险的动态有效管理和控制。风险管理是企业运营管理的核心,风险分为信用风险、市场风险和操作风险,其中后者包括信息安全风险。实际上,在信息安全保障体系框架中充分体现了风险管理的理念。网络信息安全保障体系架构包括五个部分:
1) 网络安全战略。以风险管理为核心理念,从长远战略角度通盘考虑网络建设安全。它处于整个体系架构的上层,起到总体的战略性和方向性指导的作用。
2) 信息安全政策和标准。以风险管理理念逐层细化和落实,是对网络安全战略的逐层细化和落实,跨越管理、运作和技术三个不同层面,在每一层面都有相应的安全政策和标准,通过落实标准政策规范管理、运作和技术,以保证其统一性和规范性。当三者发生变化时,相应的安全政策和标准通过调整相互适应。安全政策和标准也会影响管理、运作和技术。
3) 网络安全运作。是基于风险管理理念的日常运作模式及其概念性流程(风险评估、安全控制规划和实施、安全监控及响应恢复)。既是网络安全保障体系的核心,贯穿网络安全始终;又是网络安全管理机制和斗巧圆技术机制在日常运作中的实现,涉及运作流程和运作管理。
4) 网络安全管理。涉及企业管理体系范畴,是网络安全体系框架的上层基础,对网络安全运作至关重要,从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现,而网络安全管理体系是从人员组织的角度保证网络安全运作,网络安全技术体系是从技术角度保证网络安全运作。
5) 网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的技术可以极大提高网络安全运作的有效性,从而达到网络安全保障体系的目的,实现整个生命周期(预防、保护、检测、响应与恢复)的风险防范和控制。
(拓展参考本人资料:清华大学出版社,贾铁军教授主编,网络安全实用技术)
如何建立电子商务安全保障架构
电子商务安全体系主要包括网络安全、物理安全、商务安全、系统安全四个方面。
保障电子商务安全体系结构主要有以下几个方式:
之一,网络安全。
对于电子商务来说,网络安全是其中的基础环历笑节,因此,为了使电子商务能够顺利地进行下去,首先电子商务平台要求安全、可靠,所提供的服务不能有中断;
第二,物理安全。
电子商务在运行时,首先要根据国家的相关标准、实际资金状况以及信息安全等,制定出科学的物理安全的相关要求,然后通过相关建设,使其达到标准。同时,对于通信电路、系统资源以及物理介质等要采取一定的保护措施,使其处于物理E安全的位置;
第三,商务安全。
这里指的是在网络媒介中,商务交易所出现的一些安全问题,包括进一步防止商务信息的泄露、伪造以及篡改皮消等,或者防止商务的交易行为出现变动,被加以抵赖,也就是说,要使电子商务的完整燃烂知性、保密性以及真实性得到实现;
第四,系统安全。
对系统安全漏洞方面的问题早日解决,通过安全加固,进一步采用安全技术装备进行保护,使系统的安全防护能力得到加强。
电子商务安全体系主要包括网络安全、物理安全、商务安全、系统安全四个方面。
保障电子商务安全体系结构主要有以下几个方式:
之一,网络安全。
对于电子商务来说,凳茄网络安全是其中的基础环节,因此,为了使电子商务能够顺利地进行下去,首先电子商务平台要求安全、可靠,所提供的服务不能有中断;
第二,物理安全。
电子商务在运行时,首先要根据国家的相关标准、实际资金状况以及信息安全等,制定出科学的物理安全的相关要求,然后通过相关建设,使其达到标准。同时,对于通信电路、系统资源以及物理介质等要采取一定的保护措施,使其处于物理E安全的位置;
第三,商务安全。
这里指的是在网络媒介中,商务交易所出现芦迹的一些安全问题,包括进一步防止商务信息的泄露、伪造以及篡改等,或者防止商务的交易行为出现变动,被加以抵赖,也就是说,要使电子商务的完整性、保密性以及真实性得到实现;
第四,系统安全。
对系统安陪粗并全漏洞方面的问题早日解决,通过安全加固,进一步采用安全技术装备进行保护,使系统的安全防护能力得到加强。
互联网基础资源技术协议的安全发展趋势
文 中国互联网络信息中心 姚 健康
一、国际互联网工程任务组是互联网技术协议发展大本营
互联网的发展改变了世界。互联网运行的核心技术标准和核心技术协议主要来自国际互联网工程任务组(IETF)。IETF 创立于 1986 年初,是负责制订互联网方面技术标准的重要组织,主要任务是负责互联网相关技术标准的研发和制定,超过90% 的互联网技术标准由其制定。IETF 通过技术标准的制定,保障了互联网的长期稳定运行。IETF大量的技术性工作均由其内部的各种工作组(WG)承担和完成。这些工作组依据各项不同类别的研究课题而组建。在成立工作组之前,IETF 通常会先设立兴趣小组(BOF)开展工作组筹备工作。筹备工作完成后,经过 IETF 高层研究认可,可正式成立工作组。IETF 汇聚了全球顶尖的互联网技术工程师,每年举行三次会议,参会规模均在千人以上。
互联网架构委员会(IAB)成立于 1983 年,是 IETF 的更高管理机构,由包括 IETF 主席在内的 13 名委员组成。IAB 的主要职责之一是负责互联网协议体系结构的监管,把握互联网技术的长期演进方向,保护互联网的长期发展,负责确定互联网标准的制订规则,指导互颂激联网技术标准的编辑出版,负责互联网的编号管理,并协调与其他国际标准化组织的工作。
IETF 将工作组分类为不同的领域,每个领域由几个领域主任(Area Director)负责管理。领域主任组成互联网工程指导委员会(IESG),具体领域如下。
一是应用和实时研究领域(Applications andReal-Time Area)。该领域主要研究应用层相关的标准,也包括实时相关的网络协议。
二是通用研究领域(General Area)。该研究领域用于包括不适合放在其他研究领域的研究内容。
三是网际互联研究领域(Internet Area)。网际互联研究领域主要研究 IP 数据包如何在不同的网络环境中进行传输。
四是运营管理研究领域(Operations andManagement Area)。该研究领域主要涉及互联网的运营与管理方面的内容。随着互联网的快速发展与普及,对网络的运营与管理提出了更高的要求,因此,该研究领域也越来越受到重视。
五是路由研究领域(Routing Area)。该研究领域主要负责制订如何在网络中确定传输路径以将IP 数据包路由到目的地的相关标准。
六是安全研究领域(Security Area)。该研究领域主要负责研究 IP 网络中的授权、认证、审计等与私密性保护有关的协议与标准。互联网的安全性越来越受到人们的重视,因此,该领域也成为IETF 中最活跃的研究领域之一。
七是传输研究领域(Transport Area)。该领域主要负责研究特殊类型或特殊用途的数据包在网络中的端到端的传输方式。
在上述领域,除了安全研究领域专门研究安全技术以外,其他领域也会涉及安全问题。如何提高互联网技术协议的安全是 IETF 长期研究的重点议题。
二、互联网基础资源技术协议利用公钥信任链加强安全
IETF 互联网基础资源技术协议从默认信任数据转向保障数据来源可信、数据完整和防篡改等方向发展。
(一)域名系统协议利用公钥信任链加强安全
域名系统协议(DNS)是互联网的启答核心协议,是一种将域名映射为某些预定义类型资源记录(如IP 地址)的分布式互联网服务系统。作为一种互联网应用层的资源寻址基础服务,域名服务是其他互联网络应用服务的基础。常见的互联网络应用服务如网页远程访问服务、电子邮件服务、文件远程访问服务等一般都以域名服务为基础,实现资源的寻址和定位。
DNSSEC 协议是一个针对 DNS 协议的安全扩展,它通过给 DNS 的应答消息添加基于非对称加密算法的数字签名,保证数据未经篡改且来源正确;再通过域名体系自下而上逐级向父域提交自己公共密钥,实现整个域野旁袜名体系的逐级安全认证。DNSSEC 为 DNS 数据提供了三方面的安全保障:一是数据来源验证,保证 DNS 应答消息来自被授权的权威服务器;二是数据完整性验证,保证 DNS 应答消息在传输途中未经篡改;三是否定存在验证,当用户请求一个不存在的域名时,DNS服务器也能够给出包含数字签名的否定应答消息,以保证这个否定应答的可靠性。
综上所述,DNSSEC 本质上是在域名系统树型授权体系的基础上,再建立一套基于密码学手段的签名/验证体系,也就是信任链体系,通过信任链上的逐级安全验证,确保 DNS 查询结果的真实可靠性、数据完整性和非否认性。
互联网名称与数字管理机构(ICANN)一直在全球推进 DNSSEC 的部署,2023 年 7 月,ICANN 正式用 DNSSEC 签署根域。为了更好地管理根密钥,ICANN 制订了根密钥管理计划。该计划在全球选择信任社区代表(TCR),负责生成管理根密钥。ICANN 一共选出 21 名 TCR 和一些后备TCR,所有的候选人都是来自互联网社区的个人。其中 14 名 TCR 是密码管理员(CO),美国东海岸和西海岸各 7 名,负责参与生成根密钥。另外 7名 TCR 是恢复密钥持有人(RKSH),负责硬件安全模块(H)内容的备份和管理,用于紧急状态时候恢复 H 工作状态。2023 年 6 月,在美国弗吉尼亚州的库尔佩珀(Culpeper)召开了全球之一次 DNSSEC 根密钥生成仪式会议。
ICANN 有两套完全相同的 H,分别放在美国东海岸和西海岸,用于根密钥的生成。启动H 的密钥由 CO 保管。根密钥生成仪式,轮流在东西海岸进行。如果 H 出现问题或者根密钥出现紧急情况,需要 RKSH 赴美恢复 H,重新恢复根秘钥。根据 ICANN 制定的根密钥管理规则,没有 TCR 的参与,ICANN 是无法生成根密钥的。通过 TCR 的参与生成和管理根密钥,使 ICANN 的根密钥生成管理更加透明,形成了全球参与根密钥生成管理的局面。
DNSSEC 机制利用公钥信任链机制构建了可信的域名查询体系,全球根服务器中的互联网顶级域名数据需要利用根秘钥进行签名,保证数据的安全可信。DNSSEC 只是保证了 DNS 数据的可信性,但是,并没有对 DNS 数据本身进行加密。
(二)资源公钥基础设施协议通过公钥信任链应对路由通告伪造问题
作为支撑互联互通的互联网基础设施,域名系统和域间路由系统对互联网的安全有着至关重要的影响。由于边界网关协议(BGP)缺乏对路由通告内容真实性的保证,因此黑客的蓄意攻击以及错误的网络参数配置都可以导致路由劫持现象的发生。路由劫持对互联网的正常运行影响极大,可能导致大面积的网络瘫痪。于是,IETF 提出了资源公钥基础设施(RPKI)协议。RPKI 的概念最早便诞生于描述安全边界网关协议(S-BGP)方案的论文中。S-BGP 提出了一种附加签名的 BGP 消息格式,用以验证路由通告中 IP 地址前缀和传播路径上自治域(AS)号的绑定关系,从而避免路由劫持。基于这样的设计,数字证书和签名机制被引入BGP 范畴,并利用了公钥基础设施(PKI)。为验证路由通告签名者所持有的公钥,该签名者的 IP地址分配上级为其签发证书,一方面,验证其公钥,另一方面,验证该实体对某个 IP 地址前缀的所有权。基于 IP 地址资源分配关系而形成的公钥证书体系,RPKI 的基本框架就此形成。
RPKI 体系由三大关键模块组成:基础资源公钥证书体系(RPKI)、数字签名对象、储存 RPKI签名对象的分布式 RPKI 资料库。这三大模块能够确保一个实体验证谁是某个 IP 地址或者 AS 号码的合法持有者。RPKI 可以使 IP 地址的合法持有者授权某个 AS 作为该地址的路由源,并进行验证。这种可以验证的授权,可以用来构建更加安全的路由表过滤项。
为了推动 RPKI 的部署,RPKI 架构充分利用了现有的技术和实践。RPKI 的结构可与现有的资源分配体系对应,可以看作是目前资源管理组织运行模式的自然技术延伸,而且现有的资源分配和回收方式在这套新体系中都有明确地相关定义。
(三)传输服务协议通过公钥信任链应对域名证书伪造和客户端认证问题
互联网上用于安全认证的证书一般由被称为认证机构(CA)颁发。然而,CA 模型比较容易受攻击,在互联网上受信任的 CA 有成千上万个,这些 CA 在理论上可以颁发任何一个证书。一个 CA可能存在恶意颁发或者错误颁发不属于互联网域名使用者的证书,从而形成中间人攻击,造成互联网安全的隐患。IETF 在 RFC6698 技术标准中提出了基于 DNS 的名字实体认证协议(DANE)技术,DANE 可以通过称为传输层安全认证(TLSA)的DNS 资源记录进行域名证书的认证和颁发,使只有控制域名的实际控制人才能颁发相应域名的安全证书,保证了 TLS 证书的安全。DANE 使用 DNSSEC基础设施存储和签署密钥,以及 TLS 使用的证书。DANE 提供了将公钥绑定到 DNS 域名的机制。由于管理公钥数据和管理DNS 域名的实体是同一个,减少了利用域名进行中间人攻击的机会。与域名关联的密钥只能由该父级域名密钥签名与关联。例如,“example.cn”钥匙只能由“cn”的密钥签名,“cn”的密钥只能由 DNS 根钥匙签名。任何域名的签名密钥都可以通过使用标准 DNSSEC 协议查询和分发签名密钥,通过 DANE 可以部署用户自签名证书。原本自签名证书被认为是不安全的,但是通过DNSSEC 的加持,针对域名自有域名的自签名证书在 DANE 里可以安全使用。
年,IETF 又成立了网络客户端 DANE 认证(DANCE)工作组,利用 DANE 加强网络客户端相关协议的安全。目前,相关技术标准正在制定过程中。各种传输服务协议可以通过 DANE 机制中的公钥信任链应对域名证书伪造和客户端认证问题,使通信更加安全。
三、互联网基础资源技术协议向保护隐私化发展
年的斯诺登事件爆发后,IETF 的更高技术管理机构 IAB 组织了专门的技术研讨会,研讨如何加强互联网的隐私保护,防止中间人进行窃听和信息截取。IAB 认为,IETF 的技术协议需要全面加强端到端的加密,以避免中间人攻击。此后,IETF 的各项协议都加强了安全的考虑,以保护用户的隐私不被中间人截取,推动互联网协议向保护隐私化发展。
(一)互联网传输协议向快速安全连接QUIC 协议演进
快速 UDP 互联网连接(Quick UDP InternetConnection,QUIC)协议是以谷歌开发和部署的网络协议为基础进行研究的基础传输协议,并被IETF 进行了标准化工作。谷歌认为传输控制协议(TCP)存在诸多问题,想设计一种新的传输协议,在 2023 年提出基于 UDP 进行设计的思路,并在2023 年 8 月发布的 Chromium 版本 29 中首次公开。QUIC 是众多对 TCP 进行完善的传输层网络协议之一。QUIC 协议于 2023 年 5 月正式发布,并编号为RFC9000。
QUIC 可以被认为是数据报传输应用程序。使用 QUIC 的应用程序协议使用 UDP 端口 443 发送和接收数据包。QUIC 很好地解决了当今传输层和应用层面临的各种需求,包括处理更多的连接,具有更好的安全性和低延迟性。QUIC 基于 UDP 传输,融合了包括 TCP、安全传输层协议(TLS)、超文本传输协议第 2 版(HTTP/2)等协议的特性,使传输协议更加高效。QUIC 的一个主要目标就是减少连接延迟,当客户端之一次连接服务器时,QUIC 只需要 1 次往返时延(RTT)的延迟就可以建立可靠安全的连接,相对于 TCP+TLS 的 1 3次 RTT,前者要更加快捷。之后,客户端可以在本地缓存加密的认证信息,当再次与服务器建立连接时,可以实现 0 RTT 的延迟。QUIC 同时重复使用了 HTTP/2 协议的多路复用功能,而且利用 UDP 成功避免了 HTTP/2 的队头阻塞问题。
(二)DNS 传输协议向保护用户隐私方向发展
由于 DNS 的明文设计,因此用户查询域名DNS 数据会泄露用户的行为,同时,第三方服务器会收集用户的查询日志,DNS 隐私保护方面的技术发展主要包括 2 个方面。
一是查询最小化机制。即递归解析器每次只发送必要的查询信息,不向根和顶级服务器暴露完整的域名。同时,有研究者提出,将每次真实的查询混淆在多个虚拟查询中,及服务器主动进行热点域名广播等方法,用来缓解用户隐私泄露的风险。
二是基于 HTTPS 的 DNS(DoH)和基于 TCP的 DNS(DoT)机制,分别利用 HTTPS、TCP 技术,实现 DNS 的加密,二者的底层都是基于 TLS。目前,二者已相继发布为 IETF RFC 技术标准。IETF 成立DNS 隐私传输交换工作组,专门研究 DNS 隐私保护相关的课题,基于 QUIC 的 DNS(DoQ)也在该工作组推动过程中。另一方面,HTTP-over-QUIC已被命名为 HTTP/3。DoH/DoT 发布为正式标准后,IETF 隐私相关的议题主要集中在对具有加密技术的解析器的自动发现及递归到权威解析器的隐私加密机制研究方面。
(三)传输层安全协议进行扩展以支持更隐私化技术
TLS 1.3 是 IETF 制定的 TLS 新标准。TLS 用于保护 Web(以及更多其他领域),提供加密并确保每个 HTTPS 网站和应用程序编程接口(API)的真实性。TLS 1.3 所属的 RFC 8446 标准在 2023 年发布,这是该协议的之一次重大改革,带来了重大的安全性和性能改进。TLS 1.3 基于更早的 TLS 1.2,但与 TLS 1.2 也有较大的 区 别, 例 如,TLS1.3 可以减少协议握手的延迟时间,提高抗攻击性,设计将密钥协商和认证算法从密码包中分离出来,移除脆弱和较少使用的算法,例如移除信息摘要算法 (MD5)和安全散列算法(SHA-224)的支持等。TLS1.3 将大部分传输信息进行了加密处理,但是 TLS 1.3 提供的服务器名字指示信息(SNI)并未在发送客户端问候(ClientHello)会话时加密。第三方可以轻松获取 TLS 1.3 双方交换信息时的服务器名字指示信息。IETF 目前正在推动如何把服务器名字指示信息(SNI)也进行加密的技术(ECH)。如果 ECH技术部署后,通信双方的服务器名字指示信息(SNI)将进行加密,第三方很难获知 SNI 信息,使双方通信更加隐私化。
四、互联网基础资源技术协议向全面安全可信发展
互联网已经融入了生活和工作的方方面面,互联网传输的数据越来越重要。互联网基础资源技术协议的数据从明文传输方式,逐步过渡到认证明文数据的来源可靠性、完整性和防篡改性,并对部分核心数据进行了加密,对有些协议参数也进行了加密。通过签名、信任链和加密等方式保证了互联网数据传输的可靠性和安全性,减少了中间人获取隐私信息的可能。基于上述分析,可以有以下判断。
一是 QUIC 协议展现了比 TCP 协议更好的性能,互联网的 TCP 协议有可能被 QUIC 协议逐步取代。在未来十年,QUIC 协议将逐步蚕食 TCP 协议的领地,更多的应用程序将基于 QUIC 协议传输而不是 TCP 协议。
二 是 TLS 1.3 协议正在逐步得到部署,逐步取代旧版本的协议,如果未来配合ECH 技术的部署,使互联网的端到端传输更加安全可靠,但是这项技术可能导致利用服务器名字指示信息(SNI)进行安全策略管理的防火墙的部分功能失效。
三是 RPKI 由于存在信任链和信任锚的安全管理问题,短期内很难得到大规模部署。如果 RPKI操作不当,证书错误配置或者恶意撤销也会引发一系列的安全问题。
四是自从互联网全球域名根区部署 DNSSEC技术十多年以来,由于技术部署投入和带来的收益不成正比,因此目前部署率不是很高。在下一个十年,如果没有关键应用的支持,DNSSEC 也很难进行大规模普及应用。
(本文刊登于《中国信息安全》杂志2023年第4期)
关于网络安全保障框架协议的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
