PDRR網(wǎng)絡(luò)安全模型

申請免費試用、咨詢電話：400-8352-114

 一、前言

為了保護數(shù)據(jù)和網(wǎng)絡(luò)資源，網(wǎng)絡(luò)安全服務(wù)有五個基本目標，它們是： 

(1)可用性：可用性就是指網(wǎng)絡(luò)服務(wù)對用戶而言必須是可用的，也就是確保網(wǎng)絡(luò)節(jié)點在受到各種網(wǎng)絡(luò)攻擊時仍然能夠提供相應(yīng)的服務(wù)。
(2)保密性：保密性保證相關(guān)信息不泄露給未授權(quán)的用戶或?qū)嶓w。
(3)完整性：完整性保證信息在傳輸?shù)倪^程中沒有被非法用戶增加、刪除與修改，保證非法用戶無法偽造數(shù)據(jù)。
(4)真實性：真實性保證和一個網(wǎng)絡(luò)節(jié)點通信的對端就是真正的通信對端，也就是說要鑒別通信對端的身份。如果沒有真實性，那么網(wǎng)絡(luò)攻擊者就可以假冒網(wǎng)絡(luò)中的某個節(jié)點來和其它的節(jié)點進行通信，那么他就可以獲得那些未被授權(quán)的資源和敏感信息。
(5)不可否認性：不可否認性保證一個節(jié)點不能否認其發(fā)送出去的信息。這樣就能保證一個網(wǎng)絡(luò)節(jié)點不能抵賴它以前的行為。

一個最常見的安全模型就是PDRR模型。PDRR模型就是4個英文單詞的頭字符：Protection（防護）、Detection（檢測）、Response（響應(yīng)）、Recovery（恢復）。這四個部分構(gòu)成了一個動態(tài)的信息安全周期，如圖：
 

安全策略的每一部分包括一組相應(yīng)的安全措施來實施一定的安全功能。安全策略的第一部分就是防御。根據(jù)系統(tǒng)已知的所有安全問題做出防御的措施，如打補丁、訪問控制、數(shù)據(jù)加密等等。防御作為安全策略的第一個戰(zhàn)線。安全策略的第二個戰(zhàn)線就是檢測。攻擊者如果穿過了防御系統(tǒng)，檢測系統(tǒng)就會檢測出來。這個安全戰(zhàn)線的功能就是檢測出入侵者的身份，包括攻擊源、系統(tǒng)損失等。一旦檢測出入侵，響應(yīng)系統(tǒng)開始響應(yīng)包括事件處理和其他業(yè)務(wù)。安全策略的最后一個戰(zhàn)線就是系統(tǒng)恢復。在入侵事件發(fā)生后，把系統(tǒng)恢復到原來的狀態(tài)。每次發(fā)生入侵事件，防御系統(tǒng)都要更新，保證相同類型的入侵事件不能再發(fā)生，所以整個安全策略包括防御、檢測、響應(yīng)和恢復，這四個方面組成了一個信息安全周期。

二、防護
網(wǎng)絡(luò)安全策略PDRR模型的最重要的部分就是防護（P）。防護是預先阻止攻擊可以發(fā)生的條件產(chǎn)生，讓攻擊者無法順利地入侵，防護可以減少大多數(shù)的入侵事件。

1、缺陷掃描
安全缺陷分為兩種，允許遠程攻擊的缺陷和只允許本地攻擊的缺陷。允許遠程攻擊的缺陷就是攻擊者可以利用該缺陷，通過網(wǎng)絡(luò)攻擊系統(tǒng)。只允許本地攻擊的缺陷就是攻擊者不能通過網(wǎng)絡(luò)利用該缺陷攻擊系統(tǒng)。對于允許遠程攻擊的安全缺陷，可以用網(wǎng)絡(luò)缺陷掃描工具去發(fā)現(xiàn)。網(wǎng)絡(luò)缺陷掃描工具一般從系統(tǒng)的外邊去觀察。其次，它扮演一個黑客的角色，只不過它不會破壞系統(tǒng)。缺陷掃描工具首先掃描系統(tǒng)所開放的網(wǎng)絡(luò)服務(wù)端口。然后通過該端口進行連接，試探提供服務(wù)的軟件類型和版本號。在這個時候，缺陷掃描工具有兩種方法去判斷該端口是否有缺陷：第一種方法是根據(jù)版本號，在缺陷列表中查出是否存在缺陷。第二種方法是根據(jù)已知的缺陷特征，模擬一次攻擊，如果攻擊表示可能會成功就停止并認為是缺陷存在（要停止攻擊模擬避免對系統(tǒng)損害）。顯然第二種方法的準確性比第一種要好，但是它掃描的速度會很慢。

2、訪問控制及防火墻
訪問控制限制某些用戶對某些資源的操作。訪問控制通過減少用戶對資源的訪問，從而減少資源被攻擊的概率，達到防護系統(tǒng)的目的。例如只讓可信的用戶訪問資源而不讓其他用戶訪問資源，這樣資源受到攻擊的概率幾乎很小。防火墻是基于網(wǎng)絡(luò)的訪問控制技術(shù)，在Internet/Intranet中的廣泛應(yīng)用已經(jīng)成為不爭的事實。防火墻技術(shù)可以工作在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，完成不同粒度的訪問控制。防火墻可以阻止大多數(shù)的攻擊但不是全部，很多入侵事件通過防火墻所允許的規(guī)則進行攻擊，例如通過80端口進行的攻擊。

3、防病毒軟件與個人防火墻
病毒就是計算機的一段可執(zhí)行代碼，這些病毒感染到計算機上的過程完全被動的。計算機病毒的傳統(tǒng)感染過程并不是利用系統(tǒng)上的缺陷。只要用戶直接跟這些病毒接觸，例如拷貝文件、訪問網(wǎng)站、接受Email等該用戶的系統(tǒng)就會被感染。一旦計算機被感染上病毒，這些可執(zhí)行代碼可以自動執(zhí)行，破壞計算機系統(tǒng)。安裝并經(jīng)常更新防病毒軟件會對系統(tǒng)安全起防護作用。防病毒軟件根據(jù)病毒的特征，檢查用戶系統(tǒng)上是否有病毒。這個檢查過程可以是定期檢查，也可以是實時檢查。

個人防火墻是防火墻和防病毒的結(jié)合。它運行在用戶的系統(tǒng)中，并控制其他機器對這臺機器的訪問。個人防火墻除了具有訪問控制功能外，還有病毒檢測，甚至有入侵檢測的功能，是網(wǎng)絡(luò)安全防護的一個重要發(fā)展方向。

4、數(shù)據(jù)加密
加密技術(shù)保護數(shù)據(jù)在存儲和傳輸中的保密性安全。所謂加密就是數(shù)據(jù)經(jīng)過一種特殊處理使其看起來毫無意義，同時仍保持可以對其恢復成原始數(shù)據(jù)的途徑。這個特殊處理的過程稱為加密。加密之前的原始數(shù)據(jù)被稱為明文。加密之后的數(shù)據(jù)被稱為密文，從密文恢復到明文的過程叫解密。

一般來說，加密和解密的算法通常都是公開的。唯一使得數(shù)據(jù)得到保護的因素就是密鑰。密鑰其實是一個數(shù)值，加密算法使用這個數(shù)值對明文進行編碼。解密算法就是用與之對應(yīng)的密鑰進行解碼。

加密有兩種技術(shù)：對稱加密技術(shù)和公開密鑰加密技術(shù)。在對稱加密技術(shù)中，加密和解密過程使用同一密鑰。數(shù)據(jù)加密標準（DES）就是對稱加密方法的一個實例。在公開密鑰加密技術(shù)中，加密和解密過程使用一對非對稱的密鑰：公開密鑰和私有密鑰。公開密鑰可以讓所有人知道，私有密鑰則要保密。從公鑰推導出密鑰需要超大的計算量，實際上是不可行的。RSA算法就是一種常見的公開密鑰加密算法。

對稱加密算法的優(yōu)點是速度快，保密性強，但是它的缺點就是加密和解密過程使用同一個密鑰，在通信中的應(yīng)用遇到密鑰安全發(fā)布的問題。公開密鑰加密技術(shù)可以克服密鑰發(fā)布的問題。它不但具有保密功能，還具有鑒別功能。但缺點是系統(tǒng)開銷很大。在通常的安全通信中，公開密鑰加密技術(shù)用在建立連接的時候，包括雙方的認證過程以及密鑰的交換。在連接建立后，雙方可以使用對稱加密技術(shù)對數(shù)據(jù)進行加密，提高加密和解密的效率。

5、鑒別技術(shù)
鑒別技術(shù)和數(shù)據(jù)加密技術(shù)有很緊密的關(guān)系。鑒別技術(shù)用在安全通信中，對通信雙方互相鑒別對方的身份以及傳輸?shù)臄?shù)據(jù)。鑒別技術(shù)保護數(shù)據(jù)通信的兩個方面：通信雙方的身份認證和傳輸數(shù)據(jù)的完整性。鑒別技術(shù)主要使用公開密鑰加密算法的鑒別過程，即如果你個人用自己的私有密鑰對數(shù)據(jù)加密為密文，那么任何人都可以用相應(yīng)的公開密鑰對密文解密，但不能創(chuàng)建這樣的密文，因為沒有相應(yīng)的私有密鑰。

數(shù)字簽名是在電子文件上簽名的技術(shù)，確保電子文件的完整性。數(shù)字簽名首先使用消息摘要函數(shù)計算文件內(nèi)容的摘要，再用簽名者的私有密鑰對摘要加密。在鑒別這個簽名的時候，先對加密的摘要用簽名者的公開密鑰解密，然后跟原始摘要比較。如果比較結(jié)果一致則數(shù)字簽名是有效的，也就是說數(shù)據(jù)的完整性沒有被破壞。

身份認證需要每個實體（用戶）登記一個數(shù)字證書。這個數(shù)字證書包含該實體的信息（如用戶名、公開密鑰）。另外，這個證書應(yīng)該有一個權(quán)威的第三方簽名，保證該證書上的內(nèi)容是有效的。數(shù)字證書類似與生活中的身份證。數(shù)字證書確保證書上的公開密鑰屬于證書上的用戶ID的，為了鑒別一個人的身份，只要用他的數(shù)字證書中的公開密鑰去鑒別就可以了。公鑰基礎(chǔ)設(shè)施PKI就是一個管理數(shù)字證書的機構(gòu)，其中包括發(fā)行、管理、回收數(shù)字證書。PKI的核心是認證中心CA，它是證書認證鏈中有權(quán)威的機構(gòu)，對發(fā)行的數(shù)字證書簽名，并對數(shù)字證書上的信息的正確性負責。

三、檢測
PDRR模型的第二個環(huán)節(jié)就是檢測（D）。上面提到防護系統(tǒng)除掉入侵事件發(fā)生的條件，可以阻止大多數(shù)的入侵事件的發(fā)生，但是它不能阻止所有的入侵。特別是那些利用新的系統(tǒng)缺陷、新的攻擊手段的入侵。因此安全策略的第二個安全屏障就是檢測，即如果入侵發(fā)生就檢測出來，這個工具是入侵檢測系統(tǒng)（IDS）。

防護主要修補系統(tǒng)和網(wǎng)絡(luò)的缺陷，增加系統(tǒng)的安全性能，從而消除攻擊和入侵的條件。檢測并不是根據(jù)網(wǎng)絡(luò)和系統(tǒng)的缺陷，而是根據(jù)入侵事件的特征去檢測的。但是，黑客攻擊系統(tǒng)的時候往往是利用網(wǎng)絡(luò)和系統(tǒng)的缺陷進行的，所以入侵事件的特征一般與系統(tǒng)缺陷的特征有關(guān)系。因此防護和檢測技術(shù)是有相關(guān)的理論背景的。

入侵檢測系統(tǒng)（IDS）是一個硬件系統(tǒng)和軟件程序，它的功能是檢測出正在發(fā)生或已經(jīng)發(fā)生的入侵事件。這些入侵已經(jīng)成功地穿過防護戰(zhàn)線。一個入侵檢測系統(tǒng)有很多特征，其主要特征為：檢測環(huán)境和檢測算法。根據(jù)不同的特征，入侵檢測系統(tǒng)可以分為不同的類型。

根據(jù)檢測環(huán)境不同，IDS一般可以分為基于主機的IDS（Host-based）和基于網(wǎng)絡(luò)的IDS（Network-based）?；谥鳈C的IDS檢測基于主機上的系統(tǒng)日志，審計數(shù)據(jù)等信息，而基于網(wǎng)絡(luò)的IDS檢測則一般側(cè)重于網(wǎng)絡(luò)流量分析?；谥鳈C的IDS的優(yōu)點在于它不但能夠檢測本地入侵（Local Intrusion），還可以檢測遠程入侵（Remote Intrusion）。而缺點則是它對操作系統(tǒng)依賴比較大，檢測范圍比較小。而基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)點則在于檢測范圍是整個網(wǎng)段，獨立于主機的操作系統(tǒng)。

根據(jù)檢測所使用的方法，IDS還可以分為兩種：誤用檢測（Misuse Detection）和異常檢測（Anomaly Detection）。誤用檢測技術(shù)需要建立一個入侵規(guī)則庫，其中，它對每一種入侵都形成一個規(guī)則描述，只要發(fā)生的事件符合于某個規(guī)則就被認為是入侵。

這種技術(shù)的好處在于它的誤警率（False Alarm Rate）比較低，缺點是查全率（Probability of Detection）完全依賴于入侵規(guī)則庫的覆蓋范圍，另外由于入侵規(guī)則的建立和更新完全靠手工，且需要很深的網(wǎng)絡(luò)安全知識和經(jīng)驗，所以維持一個準確的入侵規(guī)則庫是一件十分困難的事情。異常檢測技術(shù)部不對每一種入侵進行規(guī)則描述，而是對正常事件的樣本建立一個正常事件模型，如果發(fā)生的事件偏離這個模型的程度超過一定范圍，就被認為是入侵。由于事件模型是通過計算機對大量的樣本進行分析統(tǒng)計而建立的，具有一定的通用性，因此異常檢測克服了一部分誤用檢測技術(shù)的缺點。但是相對來說異常檢測技術(shù)的誤警率較高。

入侵檢測系統(tǒng)一般和緊急響應(yīng)及系統(tǒng)恢復有密切關(guān)系。一旦入侵檢測系統(tǒng)檢測到入侵事件，它就會將入侵事件的信息傳給應(yīng)急響應(yīng)系統(tǒng)進行處理。

四、響應(yīng)

PDRR模型中的第三個環(huán)節(jié)就是響應(yīng)（R）。響應(yīng)就是已知一個攻擊（入侵）事件發(fā)生之后，進行處理。在一個大規(guī)模的網(wǎng)絡(luò)中，響應(yīng)這個工作都是有一個特殊部門負責，那就是計算機響應(yīng)小組。世界上第一個計算機響應(yīng)小組CERT，位于美國CMU大學的軟件研究所（SEI），于1989年建立，是世界上最著名的計算機響應(yīng)小組。從CERT建立之后，世界各國以及各機構(gòu)也紛紛建立自己的計算機響應(yīng)小組。我國第一個計算機緊急響應(yīng)小組CCERT，于1999年建立，主要服務(wù)于中國教育和科研網(wǎng)。

入侵事件的報警可以是入侵檢測系統(tǒng)的報警，也可以是通過其他方式的匯報。響應(yīng)的主要工作也可以分為兩種。第一種是緊急響應(yīng)；第二種是其他事件處理。緊急響應(yīng)就是當安全事件發(fā)生時采取應(yīng)對措施，其他事件主要包括咨詢、培訓和技術(shù)支持。

五、恢復

恢復是PDRR模型中的最后一個環(huán)節(jié)?；謴褪鞘录l(fā)生后，把系統(tǒng)恢復到原來的狀態(tài)，或者比原來更安全的狀態(tài)。恢復也可以分為兩個方面：系統(tǒng)恢復和信息恢復。系統(tǒng)恢復指的是修補該事件所利用的系統(tǒng)缺陷，不讓黑客再次利用這樣的缺陷入侵。一般系統(tǒng)恢復包括系統(tǒng)升級、軟件升級和打補丁等。系統(tǒng)恢復的另一個重要工作是除去后門。一般來說，黑客在第一次入侵的時候都是利用系統(tǒng)的缺陷。在第一次入侵成功之后，黑客就在系統(tǒng)打開一些后門，如安裝一個特洛伊木馬。

 所以，盡管系統(tǒng)缺陷已經(jīng)打補丁，黑客下一次還可以通過后門進入系統(tǒng)。系統(tǒng)恢復都是根據(jù)檢測和響應(yīng)環(huán)節(jié)提供有關(guān)事件的資料進行的。信息恢復指的是恢復丟失的數(shù)據(jù)。數(shù)據(jù)丟失的原因可能是由于黑客入侵造成，也可以是由于系統(tǒng)故障、自然災(zāi)害等原因造成的。信息恢復就是從備份和歸檔的數(shù)據(jù)恢復原來數(shù)據(jù)。信息恢復過程跟數(shù)據(jù)備份過程有很大的關(guān)系。數(shù)據(jù)備份做得是否充分對信息恢復有很大的影響。信息恢復過程的一個特點是有優(yōu)先級別。直接影響日常生活和工作的信息必須先恢復，這樣可以提高信息恢復的效率。

六、結(jié)束語

當然，PDRR模型表現(xiàn)為網(wǎng)絡(luò)安全最終的存在形態(tài)，是一類目標體系和模型，它并不關(guān)注網(wǎng)絡(luò)安全建設(shè)的工程過程，并沒有闡述實現(xiàn)目標體系的途徑和方法。此外，模型更側(cè)重于技術(shù)，對諸如管理這樣的因素并沒有強調(diào)。網(wǎng)絡(luò)安全體系應(yīng)該是融合了技術(shù)和管理在內(nèi)的一個可以全面解決安全問題的體系結(jié)構(gòu)，它應(yīng)該具有動態(tài)性、過程性、全面性、層次性和平衡性等特點，是一個可以在信息安全實踐活動中真正依據(jù)的建設(shè)藍圖。(IT安全世界)