與代碼無關的網絡安全
【引】 周末搬家,小小的喬遷之喜,但更愉悅的事是能夠幫助自家少年解決問題,他們要組織一個與『網絡安全』相關的模聯(lián)會議,于是就花點時間給他提供一些背景知識吧。
實際上,真實世界中的網絡安全往往致力于解決非代碼的漏洞,也就是說,除了傳統(tǒng)的計算機網絡安全之外,還會涉及到網絡安全的管理、政策、法律和國際事務。借鑒于我們所熟知的OSI 7層協(xié)議模型,可以在之上增加組織、政府和國際事務的新分層,從而可以對與代碼無關的網絡安全問題進行分類,進而提出應對措施。
OSI 模型的擴展
OSI模型是一個概念框架,能夠幫助我們如何理解計算機網絡,在安全領域也不例外。7層模型可以直觀地應用于網絡安全風險,每一層都存在著潛在的安全漏洞,例如:
| 抽象層? | 名稱 | 潛在安全隱患示例 |
|---|---|---|
| 1 | 物理層 | 剪斷線纜,無線干擾,破壞設備,竊聽裝置等 |
| 2 | 數據鏈路層 | 可用性威脅,增加噪音或延遲等 |
| 3 | 網絡層 | 虛假驗證,DNS和BGP 攻擊等 |
| 4 | 傳輸層 | 中間人攻擊等 |
| 5? | 會話層 | 會話拼接,消息重組等 |
| 6 | 表示層 | 加解密破解,編碼攻擊等 |
| 7 | 應用層 | 漏洞的手工探索,SQL注入,緩沖溢出,不良軟件等 |
在應用層之上,可以引入對組織、政府和國際事務的抽象層,在第8層引入組織層,組織或企業(yè)面臨著廣泛的網絡風險,并且采取許多行動來降低這些風險;在第9層引入政府層,政府制定和執(zhí)行法律可以降低網絡安全的風險;在第10層引入國際領域,沒有一個國家可以在另一個國家強制實施自己的法律,但通過國際條約或多邊會談,可以改善網絡安全的環(huán)境。
| OSI模型中抽象層? | 名稱 | 潛在安全隱患示例 |
|---|---|---|
| 8 | 組織層 | 內部攻擊,培訓和規(guī)章的匱乏;合作伙伴的網絡安全脆弱,缺乏信息共享;技術及組織標準的缺失等 |
| 9 | 政府層 | 缺少網絡安全以及物聯(lián)網安全的法律;糟糕的網絡犯罪律法;政府的過度監(jiān)管等 |
| 10 | 國際領域層 | 國家間的網絡攻擊;缺乏有效的國際協(xié)議來限制網絡攻擊;削弱網絡安全的跨國規(guī)定(例如ITU的某些提案)等 |
對于通信協(xié)議的數據單元而言,組織的控制規(guī)則可能來自于契約合同。合同是公司之間關系的治理結構,也管理著公司內部的安排,管理著董事會、管理層和雇員的角色和行為。因此,契約合同是第8層的協(xié)議數據單元,在該層中提供規(guī)則。政府對協(xié)議數據單元的控制規(guī)則是法律,政府制定和執(zhí)行法律,要求政府管轄范圍內的組織采取行動。而第10層的國際領域沒有約束性法律普遍適用,參與者需要通過外交互動,比如談判網絡安全相關條約等方式來實現。
總的來說,OSI七層模型關注的是用機器語言表示的協(xié)議,而擴展后的第8至10層關注的是用自然語言表示的協(xié)議(合同、法律、外交)。這些層可以同樣以 OSI 協(xié)議棧的方式運作, 第8層的組織選擇第7層的應用程序,第9層的政府制定法律來管理組織,第10層的國際事務影響到第9層的政府,并且適用于無法由一個政府制定法律的情況。
非代碼相關的網絡安全約束矩陣
非代碼相關的網絡安全主要指的是OSI模型的擴展,第8層適用于面臨網絡攻擊的組織,第9層適用于政府撰寫和執(zhí)行有關網絡安全的法律,第10層適用于沒有政府頒布法律的環(huán)境。因此,對第10層的研究既包括具有跨界影響的國家行為者,也包括非國家行為者。
組織、政府和國際事務形成了一個矩陣,可以確定哪些機構參與哪些網絡安全領域。下圖描述了每一層影響網絡安全決策的機構定義。
| OSI擴展模型中抽象層? | 機構或國家內的風險應對 | 與其他參與者的關系 | 本層的其他約束 | 協(xié)議中的數據單元 |
|---|---|---|---|---|
| 組織層 | 降低組織內部風險的內部政策或行動計劃 | 與其他實體(如供應商)簽訂合同時的管理漏洞 | 私有的標準和限制 | 契約合同 |
| 政府層 | 管理組織和個人能夠或必須做什么的法律 | 管理組織和個人如何互動的法律 | 政府限制自己行為的法律 | 法律 |
| 國際領域層 | 一國政府針對一個或多個其他國家的單方面行動 | 與其他國家的正式和非正式的關系管理 | 對來自其他國家的聯(lián)盟限制 | 外交 |
在矩陣中,三列中的每一列細化了決策機構的種類。這些方法應用于第8層(組織層)時變得更加清晰,一個公司(或其他面臨網絡安全攻擊的組織)采取許多行動來降低網絡風險,該公司制定事故應對計劃和其他內部政策,并培訓員工例如 CISO 在管理組織內部網絡風險方面的責任。對于組織與其他參與者的關系。首先,公司與供應商建立數據使用協(xié)議和其他合同,有缺陷的管理會使公司面臨風險,比如雇傭一個分包商來管理系統(tǒng)或數據,而承包商的安全管理可能很糟糕。網絡安全的另一個方面是組織之間的信息共享,比如通過信息共享和分析中心。組織的私有限制如果標準設計和實施得當,那么網絡安全就會得到改善; 如果做得不好,網絡風險和成本就會增加。將第8層作為一個整體來看,整個網絡安全在很大程度上取決于一個組織內部處理風險的能力、與其他行為者的合同和關系以及私有的標準和規(guī)范。
政府制定的法律規(guī)范了個人或組織行為,例如我國的《個人信息保護法》的頒布與實施,還包含了管理組織和個人如何相互作用的法律,例如我國的《中華人民共和國網絡安全法》中的未經授權進入計算機系統(tǒng)是犯罪行為。同時,還要明政府對自身行為的限制。監(jiān)視有時候有助于安全,比如罪犯的發(fā)現,但有時候也會傷害安全,例如政府的行為制造了后門或其他漏洞。
國際領域層適用于在一個國家內采取的旨在對其他國家產生網絡影響的行動,可以是一個政府的單方面行為,也會涉及到與其他國家的關系,這是外交的主要任務。有一些影響網絡安全的正式條約,如《布達佩斯公約》中有關于網絡犯罪和司法互助的條款,廣泛地說,適用于與其他國家可能進行的網絡安全方面的合作。當然,也有來自其他國家的聯(lián)盟限制,例如,國際電信聯(lián)盟制定的網絡安全規(guī)則,如果這些規(guī)則得以實施,那么就可以管理具有跨國效應的網絡行為。
審視非代碼相關的網絡安全
通過對OSI 網絡協(xié)議模型的擴展,可以建立網絡安全的大局觀,即系統(tǒng)視角。除了技術視角之外, 還要關注該如何管理公司的風險,例如,如何設計和管理網絡安全合同的法律和管理問題: 在外包或保險合同中應該如何對待網絡安全?進一步,還要關注國家網絡安全法律以及國際事務。
當前,有很多人模糊地承認了“跨學科”的必要性,同時,非代碼相關網絡安全的重要性日益增加,約束矩陣中任何部分的錯誤決定都可能對網絡安全產生負面影響,“真正的”網絡安全不再只是指技術措施。
【參考資料與關聯(lián)閱讀】
https://cacm.acm.org/magazines/2018/10/231364-a-pedagogic-cybersecurity-framework/fulltext 網絡應用程序的通信視角 面向互聯(lián)網應用的網絡優(yōu)化 計算機網絡的元認知、實踐與未來 嵌入式Linux的網絡連接管理 老曹眼中的網絡編程基礎 零信任安全的認知 放心用吧!淺談DuerOS的安全性 物聯(lián)網安全與區(qū)塊鏈 從構造函數看線程安全 Crash?! ——軟件崩潰后的數據一致性