事实上,现实世界中的网络安全往往致力于解决非代码漏洞,也就是说,除了传统的计算机网络安全,还涉及到网络安全管理、政策、法律和国际事务。借鉴著名的OSI7层协议模型,可以在其中增加一个新的组织层、政府层和国际事务层,从而对与代码无关的网络安全问题进行分类,进而制定对策。被提议。OSI模型的扩展OSI模型是一个概念框架,可帮助我们了解计算机网络(包括安全性)的工作方式。7层模型可以直观地应用于网络安全风险,每一层都有潜在的安全漏洞,例如:抽象层名称潜在安全风险示例1物理层切断电缆、无线干扰、破坏设备、窃听设备等2数据链路层可用性威胁、噪声或延迟增加等3网络层虚假验证、DNS和BGP攻击等4传输层中间人攻击等5会话层会话拼接、消息重组等.6表现层加解密破解、编码攻击等7应用层漏洞人工探查、SQL注入、缓冲区溢出、不良软件等可以在应用层引入对组织、政府和国际事务的抽象,以及第八层引入组织层,组织或企业面临广泛的网络风险,采取多种措施应对。o降低这些风险;在第9层引入政府层,政府制定和执行可以降低网络安全风险的法律;在第10层引入国际域,任何国家都不能在其他法律上执行自己的法律,但可以通过国际条约或多边谈判改善网络安全环境。OSI模型中抽象层名称的潜在安全风险示例8组织级别的内部攻击,缺乏培训和法规;合作伙伴网络安全薄弱,缺乏信息共享;缺乏技术和组织标准等9政府层面缺乏网络安全和物联网安全网络犯罪法律薄弱;政府过度监管等。10国家间网络攻击的国际领域;缺乏有效的国际协议来限制网络攻击;弱化网络安全的跨国监管(如ITU的一些提案)等。对于通信协议的数据单元,组织的控制规则可能来自合约。合同是公司之间关系的治理结构,也管理公司内部的安排,管理董事会、管理层和员工的角色和行为。因此,合约是第8层的协议数据单元,其中提供了规则。政府对PDU的控制规则是政府制定和执行的法律,要求政府管辖范围内的组织采取行动。然而,在第10层国际领域,并没有普遍适用的具有约束力的法律。参与者需要通过外交互动来实现这一点,例如谈判与网络安全相关的条约。一般来说,OSI七层模型侧重于机器语言表达的协议,而扩展的第8至10层侧重于自然语言(合同、法律、外交)表达的协议。这些层也可以以与OSI协议栈相同的方式运行,第8层的组织选择第7层的应用程序,第9层的政府制定法律来管理组织,第10层的国际事务影响第9层的政府,以及法律不能由一个政府制定的情况。与代码无关的网络安全约束矩阵与代码无关的网络安全主要是指OSI模型的扩展,第8层适用于面临网络攻击的组织,第9层适用于政府制定和执行网络安全法律,第9层适用于第10层到没有政府颁布法律的环境。因此,对第10层的研究包括具有跨境影响的国家和非国家行为者。组织、政府和国际事务形成一个矩阵,可以确定哪些机构参与网络安全的哪些领域。下图描述了影响网络安全决策的每一层的制度定义。OSI扩展模型中的抽象层组织或国家内的风险响应与其他参与者的关系该层中的其他约束协议中的数据单元合同时的治理漏洞私人标准和约束合同政府层面管理组织和个人可以或必须做什么的法律法律管理组织和个人如何互动管理限制其自身行为的法律其他国家的单边行动与其他国家的正式和非正式关系管理对来自其他国家的联盟的限制外交在矩阵中,三列中的每一列都指定了决策机构的类型.当应用于第8层(组织层)时,这些方法变得更加清晰,公司(或其他面临网络安全攻击的组织)采取许多行动来降低网络风险,制定事件响应计划和其他内部政策,并培训员工的责任例如CISO在组织内管理网络风险。对于组织与其他参与者的关系。首先,公司与供应商建立数据使用协议和其他合同。有缺陷的管理会使公司面临风险,例如雇用分包商来管理系统或数据,而承包商的安全管理可能很差。网络安全的另一个方面是组织之间的信息共享,例如通过信息共享和分析中心。组织的私人限制如果标准设计和实施得当,网络安全就会得到改善;如果做得不好,网络风险和成本就会增加。从整体上看第8层,整体网络安全在很大程度上取决于组织处理风险、合同和与其他参与者的关系以及专有标准和规范的内部能力。政府制定的法律规范个人或组织的行为,如我国的《个人信息保护法》的颁布和实施,也包括规范组织与个人如何互动的法律,如的未经授权进入计算机系统在我国是犯罪行为。同时,也需要明确政府对自身行为的限制。监视有时可以帮助安全,例如侦查罪犯,有时也可能损害安全,例如政府行为会制造后门或其他漏洞。国际域层适用于在一个国家内采取的旨在对其他国家产生网络影响的行动。它可以是一国政府的单方面行为,也可以涉及与其他国家的关系,这是外交的主要任务。有一些影响网络安全的正式条约,例如关于网络犯罪和司法协助的《布达佩斯公约》条款,从广义上讲,适用于与其他国家可能进行的网络安全合作。当然,也有来自其他国家的联盟限制,比如国际电信联盟制定的网络安全规则,如果得到实施,可以规范具有跨国影响的网络行为。检查非代码相关的网络安全通过扩展OSI网络协议模型,可以建立网络安全的一般视图,即系统视角。除了技术角度,关注如何管理公司的风险,例如如何设计和管理网络安全合同的法律和管理方面:网络安全在外包或保险合同中应该如何对待?此外,国家网络安全安全法和国际事务。目前,对“跨学科”的需求有很多模糊的认识,与此同时,与代码无关的网络安全的重要性日益增加,约束矩阵任何部分的错误决策都会对网络安全产生负面影响,”true“网络安全不再仅仅指技术措施。
