第4章ネットワークセキュリティシステムとネットワークセキュリティモデル
ネットワークセキュリティシステムの概要
- ネットワークセキュリティシステムの概念
ネットワークセキュリティシステムには、法律、規制、ポリシードキュメント、セキュリティ戦略、組織管理、技術的対策、標準と仕様、セキュリティの構築と運用、人員、教育とトレーニング、産業生態学、セキュリティ投資などのさまざまな要素が含まれます。
- ネットワークセキュリティシステムの特徴
- 誠実さ
- シナジー
- 手続き
- 包括性
- 適応性
- ネットワークセキュリティシステムの使用法
- サイバーセキュリティリスクを体系的に解決し、継続的な事業開発を確保し、損失を最小限に抑えるのに役立ちます
- スタッフのサイバーセキュリティ意識を強化し、組織や個人のサイバーセキュリティ行動を標準化するのに役立ちます
- 組織にとって有益な事業協力
- 組織のネットワークセキュリティ管理システムの認定に役立ちます。これは、組織が重要な情報を保護する能力を持ち、組織の評判と信頼を向上させることができることを証明します。
ネットワークセキュリティシステム関連のセキュリティモデル
-
** BLP機密性モデル:**略してBLPモデル。不正な情報の拡散を防ぎ、システムのセキュリティを確保するために使用されます。
- シンプルな安全機能:被験者は読み上げることしかできず、読み上げることはできません
- *特徴:本体は上向きにしか書けず、下向きに書けません
つまり、情報の流れは高レベルのオブジェクトの方向にのみ流れ、高レベルのサブジェクトは低レベルのサブジェクト情報を読み取ることができます。
-
軍事セキュリティポリシーで使用できます。ポリシーでは、ユーザーのセキュリティレベルが情報のセキュリティレベル以上であり、ユーザーのアクセスカテゴリに情報カテゴリが含まれている場合にのみ、ユーザーが特定の情報を合法的に読む必要があると規定されています。
例:
-
BiBa整合性モデル:システム情報の不正な変更を防ぎ、システム情報の整合性を保護するために使用されます
-
シンプルなセキュリティ機能:対象は読み込めません
-
※特徴:本体は書き留めることができません
-
呼び出し特性:サブジェクトの整合性レベルは別のサブジェクトの整合性レベルよりも低く、別のサブジェクトを呼び出すことはできません
-
-
情報フローモデル
- 説明:FMと呼ばれるアクセス制御モデルの変形
- 機能:システムの隠しチャネルを分析して、機密情報が隠しチャネルから漏洩するのを防ぐために使用されます
-
情報保証モデル
- PDRRモデル
- 米国国防総省は、保護、検出、回復、対応を提案しました
- P2DRモデル
- 要素は、ポリシー、保護、検出、および応答で構成されます
- WPDRRCモデル
- 要素は、早期警告、保護、検出、対応、回復、反撃で構成されています
- PDRRモデル
-
能力成熟度モデル
-
CMMは、CMMと略され、組織の能力の成熟度評価のモデルです。成熟度には5つのレベルがあり、レベルが高いほど、能力の成熟度が高くなります。
-
サイバーセキュリティの成熟度モデル:
-
SSE-CMM:システムセキュリティエンジニアリング機能成熟度モデル
- エンジニアリングプロセス、組織プロセス、プロジェクトプロセスを含む
-
データセキュリティ機能の成熟度モデル
-
ソフトウェアセキュリティ機能成熟度モデル
-
-
-
多層防御モデル
-
基本的な考え方:情報ネットワークのセキュリティ保護対策を有機的に組み合わせ、適切なセキュリティ対策を展開してオブジェクトを保護し、複数の保護ラインを形成する
-
-
階層型保護モデル
- 階層的保護を実行するための参照としてOSI7層モデルを取ります:物理層、ネットワーク層、システム層、アプリケーション層、ユーザー層、管理層
-
階層的保護モデル
-
特定のプロセス:システムセキュリティレベルを決定し、システムセキュリティレベルに対応する基本的なセキュリティ要件を決定し、セキュリティ保護対策をカスタマイズし、ガイドの関連要件に従って完全な計画、設計、実装、および受け入れを行います。
-
-
ネットワーク生存モデル
- 「3R」の確立方法:
- システムを壊れないセキュリティコアと回復可能な部分に分割し、3R戦略(抵抗、認識、および回復)を提供します
- 提供する必要のある通常のサービスモードと悪用される可能性のある侵入モードを定義し、保護する必要のある基本的な機能サービスと重要な情報を提供します。
- 「3R」の確立方法:
ネットワークセキュリティシステム構築の原則と戦略
- サイバーセキュリティの原則
- 体系的かつ動的な原則
- 徹底的な保護とコラボレーションの原則
- ネットワークセキュリティのリスクと階層的保護の原則
- 標準化と一貫性の原則
- テクノロジーと管理を組み合わせる原則
- 安全第一、予防第一
- 安全性と開発は同期され、ビジネスと安全性は同等です
- 人と機械と材料の統合と産業開発の原則
- ネットワークセキュリティ戦略には、次のものが必要です。
- 関与:主題、組織領域、技術システム
- 有効期間:ポリシードキュメントの該当する期間
- 所有者:ポリシーファイルの保守とファイルの整合性の確保を担当します
- 責任:各安全ユニットの責任者を決定します
- 参照文書:安全計画などの引用された参照文書
- 戦略の主な内容
- レビュー:レビューを実施するかどうか、特定のレビュー時間、レビュー方法など。
- 規制違反:このポリシー文書の条件の違反に対処するための措置
ネットワークセキュリティシステムフレームワークの構成と構築内容
-
ネットワークセキュリティシステム構成フレームワーク
-
ネットワークセキュリティ戦略構築内容、関連作業は以下の通りです
-
ネットワークセキュリティポリシーの要件を調査し、そのアクションの範囲を明確にします
-
ネットワークセキュリティポリシーの実装の影響の分析
-
サイバーセキュリティ戦略の作業をサポートするために優れたリーダーによって承認されました
-
サイバーセキュリティ戦略の策定に関する意見
-
サイバーセキュリティ戦略の利害関係者の評価
-
スーパーバイザーがネットワークセキュリティポリシーを承認する
-
ネットワークセキュリティポリシーがリリースされました
-
サイバーセキュリティ戦略の評価と改訂
ネットワークセキュリティ戦略:
- ネットワーク資産分類戦略、パスワード管理戦略、インターネット使用セキュリティ戦略、ネットワーク通信セキュリティ戦略、リモートアクセス戦略、デスクトップセキュリティ戦略、サーバーセキュリティ戦略、アプリケーションセキュリティ戦略。
-
-
ネットワークセキュリティ組織システム構築内容
- 主に含まれるもの:ネットワークセキュリティ組織の設立、ネットワークセキュリティの仕事の確立、ネットワークセキュリティの人材チームの構築、ネットワークセキュリティの仕事のトレーニング、ネットワークセキュリティのリソースの調整
- 組織構造には、主にリーダーシップ、管理、経営幹部、外部のコラボレーションが含まれます
-
ネットワークセキュリティ管理システム構築内容
-
5つの側面を含む:管理目的、管理方法、管理対象、管理基盤、管理リソース
-
管理システムには、次の10の側面が含まれます。
-
ネットワークセキュリティ管理戦略
-
サードパーティのセキュリティポリシー
-
ネットワークシステムの資産分類と管理
-
人員の安全
-
サイバー物理学と環境セキュリティ
-
ネットワーク通信と運用
-
ネットワークアクセス制御
-
ネットワークアプリケーションシステムの開発と保守
-
ネットワークシステムの持続可能な運用
-
サイバーセキュリティコンプライアンス管理
-
-
-
ネットワークセキュリティ技術システム構築内容
- 保護技術、検出技術、回復技術、応答技術に分けることができます
-
ネットワークセキュリティインフラストラクチャとネットワークセキュリティサービス構築コンテンツ
- インフラストラクチャには、ネットワークセキュリティデジタル認証サービスセンター、ネットワークセキュリティオペレーションセンター、ネットワークセキュリティ評価および認証センターが含まれます。
- サイバーセキュリティサービスの目標:サイバーセキュリティサービスを通じて事業運営とデータセキュリティを確保する
-
ネットワーク情報技術と産業生態学的建設コンテンツ
- 目標:ネットワークセキュリティシステムが安全で制御可能であり、関連するテクノロジーと製品が安全で信頼できることを保証すること
-
ネットワークセキュリティの教育とトレーニングのコンテンツ
- 作業内容:教員の育成、教材の開発・購入、環境整備、意識向上研修、技能研修
-
ネットワークセキュリティの基準と規範の構築内容
-
ネットワークセキュリティ運用と緊急時対応構築内容
- 仕事内容:
- ネットワーク情報セキュリティポリシーの改訂と施行
- ネットワーク情報セキュリティ状況の監視と早期警告
- ネットワーク情報システム構成の検査と保守
- ネットワーク情報セキュリティ機器の導入と保守
- ネットワーク情報セキュリティサービスの確立と実装
- ネットワーク情報セキュリティ緊急計画の策定と訓練
- ネットワーク情報セキュリティインシデントへの対応と対応
- ネットワーク情報セキュリティ運用と緊急対応サポートプラットフォームのメンテナンスと使用
- 仕事内容:
-
ネットワークセキュリティへの投資と建設コンテンツ
- ネットワークセキュリティ戦略と標準仕様の策定と実装
- ネットワークセキュリティの組織と管理構造およびポストスタッフ
- ネットワークセキュリティプロジェクトの計画、設計、および実装
- ネットワークセキュリティソリューションの設計と展開
- ネットワークセキュリティエンジニアリングプロジェクトの受け入れ評価と提供
ネットワークセキュリティシステム構築の参考事例
ネットワークセキュリティグレード保護システムアプリケーション、スマートシティセキュリティシステムアプリケーション、高度道路交通ネットワークセキュリティシステムアプリケーション、ISO 27000情報セキュリティ管理システムアプリケーション、NISTネットワークセキュリティフレームワークシステムアプリケーションなど、詳細については、本P85-P94をお読みください。