实际上,真实世界中的网络安全往往致力于解决非代码的漏洞,也就是说,除了传统的计算机网络安全之外,还会涉及到网络安全的管理、政策、法律和国际事务。借鉴于我们所熟知的OSI 7层协议模型,可以在之上增加组织、政府和国际事务的新分层,从而可以对与代码无关的网络安全问题进行分类,进而提出应对措施。
OSI 模型的扩展
OSI模型是一个概念框架,能够帮助我们如何理解计算机网络,在安全领域也不例外。7层模型可以直观地应用于网络安全风险,每一层都存在着潜在的安全漏洞,例如:
抽象层 | 名称 | 潜在安全隐患示例 |
---|---|---|
1 | 物理层 | 剪断线缆,无线干扰,破坏设备,窃听装置等 |
2 | 数据链路层 | 可用性威胁,增加噪音或延迟等 |
3 | 网络层 | 虚假验证,DNS和BGP 攻击等 |
4 | 传输层 | 中间人攻击等 |
5 | 会话层 | 会话拼接,消息重组等 |
6 | 表示层 | 加解密破解,编码攻击等 |
7 | 应用层 | 漏洞的手工探索,SQL注入,缓冲溢出,不良软件等 |
在应用层之上,可以引入对组织、政府和国际事务的抽象层,在第8层引入组织层,组织或企业面临着广泛的网络风险,并且采取许多行动来降低这些风险;在第9层引入政府层,政府制定和执行法律可以降低网络安全的风险;在第10层引入国际领域,没有一个国家可以在另一个国家强制实施自己的法律,但通过国际条约或多边会谈,可以改善网络安全的环境。
OSI模型中抽象层 | 名称 | 潜在安全隐患示例 |
---|---|---|
8 | 组织层 | 内部攻击,培训和规章的匮乏;合作伙伴的网络安全脆弱,缺乏信息共享;技术及组织标准的缺失等 |
9 | 政府层 | 缺少网络安全以及物联网安全的法律;糟糕的网络犯罪律法;政府的过度监管等 |
10 | 国际领域层 | 国家间的网络攻击;缺乏有效的国际协议来限制网络攻击;削弱网络安全的跨国规定(例如ITU的某些提案)等 |
对于通信协议的数据单元而言,组织的控制规则可能来自于契约合同。合同是公司之间关系的治理结构,也管理着公司内部的安排,管理着董事会、管理层和雇员的角色和行为。因此,契约合同是第8层的协议数据单元,在该层中提供规则。政府对协议数据单元的控制规则是法律,政府制定和执行法律,要求政府管辖范围内的组织采取行动。而第10层的国际领域没有约束性法律普遍适用,参与者需要通过外交互动,比如谈判网络安全相关条约等方式来实现。
总的来说,OSI七层模型关注的是用机器语言表示的协议,而扩展后的第8至10层关注的是用自然语言表示的协议(合同、法律、外交)。这些层可以同样以 OSI 协议栈的方式运作, 第8层的组织选择第7层的应用程序,第9层的政府制定法律来管理组织,第10层的国际事务影响到第9层的政府,并且适用于无法由一个政府制定法律的情况。
非代码相关的网络安全约束矩阵
非代码相关的网络安全主要指的是OSI模型的扩展,第8层适用于面临网络攻击的组织,第9层适用于政府撰写和执行有关网络安全的法律,第10层适用于没有政府颁布法律的环境。因此,对第10层的研究既包括具有跨界影响的国家行为者,也包括非国家行为者。
组织、政府和国际事务形成了一个矩阵,可以确定哪些机构参与哪些网络安全领域。下图描述了每一层影响网络安全决策的机构定义。
OSI扩展模型中抽象层 | 机构或国家内的风险应对 | 与其他参与者的关系 | 本层的其他约束 | 协议中的数据单元 |
---|---|---|---|---|
组织层 | 降低组织内部风险的内部政策或行动计划 | 与其他实体(如供应商)签订合同时的管理漏洞 | 私有的标准和限制 | 契约合同 |
政府层 | 管理组织和个人能够或必须做什么的法律 | 管理组织和个人如何互动的法律 | 政府限制自己行为的法律 | 法律 |
国际领域层 | 一国政府针对一个或多个其他国家的单方面行动 | 与其他国家的正式和非正式的关系管理 | 对来自其他国家的联盟限制 | 外交 |
在矩阵中,三列中的每一列细化了决策机构的种类。这些方法应用于第8层(组织层)时变得更加清晰,一个公司(或其他面临网络安全攻击的组织)采取许多行动来降低网络风险,该公司制定事故应对计划和其他内部政策,并培训员工例如 CISO 在管理组织内部网络风险方面的责任。对于组织与其他参与者的关系。首先,公司与供应商建立数据使用协议和其他合同,有缺陷的管理会使公司面临风险,比如雇佣一个分包商来管理系统或数据,而承包商的安全管理可能很糟糕。网络安全的另一个方面是组织之间的信息共享,比如通过信息共享和分析中心。组织的私有限制如果标准设计和实施得当,那么网络安全就会得到改善; 如果做得不好,网络风险和成本就会增加。将第8层作为一个整体来看,整个网络安全在很大程度上取决于一个组织内部处理风险的能力、与其他行为者的合同和关系以及私有的标准和规范。
政府制定的法律规范了个人或组织行为,例如我国的《个人信息保护法》的颁布与实施,还包含了管理组织和个人如何相互作用的法律,例如我国的《中华人民共和国网络安全法》中的未经授权进入计算机系统是犯罪行为。同时,还要明政府对自身行为的限制。监视有时候有助于安全,比如罪犯的发现,但有时候也会伤害安全,例如政府的行为制造了后门或其他漏洞。
国际领域层适用于在一个国家内采取的旨在对其他国家产生网络影响的行动,可以是一个政府的单方面行为,也会涉及到与其他国家的关系,这是外交的主要任务。有一些影响网络安全的正式条约,如《布达佩斯公约》中有关于网络犯罪和司法互助的条款,广泛地说,适用于与其他国家可能进行的网络安全方面的合作。当然,也有来自其他国家的联盟限制,例如,国际电信联盟制定的网络安全规则,如果这些规则得以实施,那么就可以管理具有跨国效应的网络行为。
审视非代码相关的网络安全
通过对OSI 网络协议模型的扩展,可以建立网络安全的大局观,即系统视角。除了技术视角之外, 还要关注该如何管理公司的风险,例如,如何设计和管理网络安全合同的法律和管理问题: 在外包或保险合同中应该如何对待网络安全?进一步,还要关注国家网络安全法律以及国际事务。
当前,有很多人模糊地承认了“跨学科”的必要性,同时,非代码相关网络安全的重要性日益增加,约束矩阵中任何部分的错误决定都可能对网络安全产生负面影响,“真正的”网络安全不再只是指技术措施。