简化安全:高层次方法
发布: (2025年12月15日 GMT+8 23:04)
5 min read
原文: Dev.to
Source: Dev.to
红队 vs 蓝队
在信息安全领域,通常区分两种方法:
- 红队:寻找漏洞、发动攻击、进行渗透。
- 蓝队:保护系统。
虽然两者共享某些工具,但这两个世界是不同的。了解对方的做法有助于预判攻击并提升防御。借用医学和军事(防御、病毒等)的词汇,恰好形象地展示了猫捉老鼠的游戏。
本文将从 蓝队 的视角出发,按自上而下的顺序遍历安全层次,并解释最晦涩的术语。
网络治理
法规与流程
组织必须遵守各种文本(法规、指令、法律),如 DORA、GDPR 等。这些文件主要规定 流程、报告义务以及需要遵循的原则。它们从技术角度并不总是明确,但要求对安全实践提供依据。
需求示例:
- 保护制造链条。
- 管理实体资产(设备回收、网络访问限制)。
治理团队的角色
网络治理团队并非开发团队:他们是法规与流程的专家,负责与信息安全总监(CISO)及管理层协作。他们定义安全需求,并召集技术团队部署所需工具。
小插曲:我曾认识一位优秀的网络安全专家,却不熟悉 OWASP。
DICT(或 CIA)模型
缩写 DICT(英文为 CIA)涵盖安全的四大支柱:
| 要素 | 描述 |
|---|---|
| 可用性 | 在预定时间内对资源的持续、可靠访问。 |
| 完整性 | 确保数据保持准确、完整且未被篡改。 |
| 机密性 | 仅限授权人员访问。 |
| 可追溯性 | 记录并保存对系统所执行的操作。 |
DICT 通常对每个标准以 0‑4 进行评分,依据企业需求而定。没有统一的标准;每个组织可以自行制定评分体系。
可用性
- 服务必须快速且定期可访问。
- 常体现在 SLA 中(例如:99.999% 的可用性)。
- 在约束极高的情况下,会进入 降级模式:优先保障关键和核心功能,无论是技术资源还是人力资源。
完整性
- 数据必须准确、完整,防止任何形式的篡改(意外、非法或恶意)。
- 常用方法:校验和、哈希、区块链、数字签名、HTTPS 证书。
- 在完整性至关重要的领域(银行、军用通信),会倾向于使用一致性检查,即使会牺牲访问/写入性能。
机密性
- 只有被授权的人员才能访问其对应的信息(权限、许可)。
- 访问控制不仅适用于数据,也适用于系统(无论是物理还是数字层面)。
- 常见技术:封闭网络、强身份验证、身份识别、可信模型聚合。
可追溯性
- 所有访问和访问尝试必须被记录并以可利用的方式保存。
- 日志、用户标识以及关联标识符帮助我们了解谁在何时做了什么。
- 这些痕迹对监控、审计以及事件响应至关重要。
结论
采用 蓝队 方法意味着:
- 理解法规要求并将其转化为具体流程。
- 按 DICT 模型(可用性、完整性、机密性、可追溯性)评估每个系统。
- 实施相应的控制措施(SLA、校验和、身份验证、日志)。
- 根据功能的关键性对资源进行优先级排序。
掌握这些高层概念后,您将更有底气在不被技术术语淹没的情况下,保护信息系统的安全。
来源: