PDRR網(wǎng)絡(luò)安全模型

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

 一、前言

為了保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)資源，網(wǎng)絡(luò)安全服務(wù)有五個(gè)基本目標(biāo)，它們是： 

(1)可用性：可用性就是指網(wǎng)絡(luò)服務(wù)對(duì)用戶而言必須是可用的，也就是確保網(wǎng)絡(luò)節(jié)點(diǎn)在受到各種網(wǎng)絡(luò)攻擊時(shí)仍然能夠提供相應(yīng)的服務(wù)。
(2)保密性：保密性保證相關(guān)信息不泄露給未授權(quán)的用戶或?qū)嶓w。
(3)完整性：完整性保證信息在傳輸?shù)倪^(guò)程中沒(méi)有被非法用戶增加、刪除與修改，保證非法用戶無(wú)法偽造數(shù)據(jù)。
(4)真實(shí)性：真實(shí)性保證和一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)通信的對(duì)端就是真正的通信對(duì)端，也就是說(shuō)要鑒別通信對(duì)端的身份。如果沒(méi)有真實(shí)性，那么網(wǎng)絡(luò)攻擊者就可以假冒網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)來(lái)和其它的節(jié)點(diǎn)進(jìn)行通信，那么他就可以獲得那些未被授權(quán)的資源和敏感信息。
(5)不可否認(rèn)性：不可否認(rèn)性保證一個(gè)節(jié)點(diǎn)不能否認(rèn)其發(fā)送出去的信息。這樣就能保證一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)不能抵賴它以前的行為。

一個(gè)最常見(jiàn)的安全模型就是PDRR模型。PDRR模型就是4個(gè)英文單詞的頭字符：Protection（防護(hù)）、Detection（檢測(cè)）、Response（響應(yīng)）、Recovery（恢復(fù)）。這四個(gè)部分構(gòu)成了一個(gè)動(dòng)態(tài)的信息安全周期，如圖：
 

安全策略的每一部分包括一組相應(yīng)的安全措施來(lái)實(shí)施一定的安全功能。安全策略的第一部分就是防御。根據(jù)系統(tǒng)已知的所有安全問(wèn)題做出防御的措施，如打補(bǔ)丁、訪問(wèn)控制、數(shù)據(jù)加密等等。防御作為安全策略的第一個(gè)戰(zhàn)線。安全策略的第二個(gè)戰(zhàn)線就是檢測(cè)。攻擊者如果穿過(guò)了防御系統(tǒng)，檢測(cè)系統(tǒng)就會(huì)檢測(cè)出來(lái)。這個(gè)安全戰(zhàn)線的功能就是檢測(cè)出入侵者的身份，包括攻擊源、系統(tǒng)損失等。一旦檢測(cè)出入侵，響應(yīng)系統(tǒng)開(kāi)始響應(yīng)包括事件處理和其他業(yè)務(wù)。安全策略的最后一個(gè)戰(zhàn)線就是系統(tǒng)恢復(fù)。在入侵事件發(fā)生后，把系統(tǒng)恢復(fù)到原來(lái)的狀態(tài)。每次發(fā)生入侵事件，防御系統(tǒng)都要更新，保證相同類型的入侵事件不能再發(fā)生，所以整個(gè)安全策略包括防御、檢測(cè)、響應(yīng)和恢復(fù)，這四個(gè)方面組成了一個(gè)信息安全周期。

二、防護(hù)
網(wǎng)絡(luò)安全策略PDRR模型的最重要的部分就是防護(hù)（P）。防護(hù)是預(yù)先阻止攻擊可以發(fā)生的條件產(chǎn)生，讓攻擊者無(wú)法順利地入侵，防護(hù)可以減少大多數(shù)的入侵事件。

1、缺陷掃描
安全缺陷分為兩種，允許遠(yuǎn)程攻擊的缺陷和只允許本地攻擊的缺陷。允許遠(yuǎn)程攻擊的缺陷就是攻擊者可以利用該缺陷，通過(guò)網(wǎng)絡(luò)攻擊系統(tǒng)。只允許本地攻擊的缺陷就是攻擊者不能通過(guò)網(wǎng)絡(luò)利用該缺陷攻擊系統(tǒng)。對(duì)于允許遠(yuǎn)程攻擊的安全缺陷，可以用網(wǎng)絡(luò)缺陷掃描工具去發(fā)現(xiàn)。網(wǎng)絡(luò)缺陷掃描工具一般從系統(tǒng)的外邊去觀察。其次，它扮演一個(gè)黑客的角色，只不過(guò)它不會(huì)破壞系統(tǒng)。缺陷掃描工具首先掃描系統(tǒng)所開(kāi)放的網(wǎng)絡(luò)服務(wù)端口。然后通過(guò)該端口進(jìn)行連接，試探提供服務(wù)的軟件類型和版本號(hào)。在這個(gè)時(shí)候，缺陷掃描工具有兩種方法去判斷該端口是否有缺陷：第一種方法是根據(jù)版本號(hào)，在缺陷列表中查出是否存在缺陷。第二種方法是根據(jù)已知的缺陷特征，模擬一次攻擊，如果攻擊表示可能會(huì)成功就停止并認(rèn)為是缺陷存在（要停止攻擊模擬避免對(duì)系統(tǒng)損害）。顯然第二種方法的準(zhǔn)確性比第一種要好，但是它掃描的速度會(huì)很慢。

2、訪問(wèn)控制及防火墻
訪問(wèn)控制限制某些用戶對(duì)某些資源的操作。訪問(wèn)控制通過(guò)減少用戶對(duì)資源的訪問(wèn)，從而減少資源被攻擊的概率，達(dá)到防護(hù)系統(tǒng)的目的。例如只讓可信的用戶訪問(wèn)資源而不讓其他用戶訪問(wèn)資源，這樣資源受到攻擊的概率幾乎很小。防火墻是基于網(wǎng)絡(luò)的訪問(wèn)控制技術(shù)，在Internet/Intranet中的廣泛應(yīng)用已經(jīng)成為不爭(zhēng)的事實(shí)。防火墻技術(shù)可以工作在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，完成不同粒度的訪問(wèn)控制。防火墻可以阻止大多數(shù)的攻擊但不是全部，很多入侵事件通過(guò)防火墻所允許的規(guī)則進(jìn)行攻擊，例如通過(guò)80端口進(jìn)行的攻擊。

3、防病毒軟件與個(gè)人防火墻
病毒就是計(jì)算機(jī)的一段可執(zhí)行代碼，這些病毒感染到計(jì)算機(jī)上的過(guò)程完全被動(dòng)的。計(jì)算機(jī)病毒的傳統(tǒng)感染過(guò)程并不是利用系統(tǒng)上的缺陷。只要用戶直接跟這些病毒接觸，例如拷貝文件、訪問(wèn)網(wǎng)站、接受Email等該用戶的系統(tǒng)就會(huì)被感染。一旦計(jì)算機(jī)被感染上病毒，這些可執(zhí)行代碼可以自動(dòng)執(zhí)行，破壞計(jì)算機(jī)系統(tǒng)。安裝并經(jīng)常更新防病毒軟件會(huì)對(duì)系統(tǒng)安全起防護(hù)作用。防病毒軟件根據(jù)病毒的特征，檢查用戶系統(tǒng)上是否有病毒。這個(gè)檢查過(guò)程可以是定期檢查，也可以是實(shí)時(shí)檢查。

個(gè)人防火墻是防火墻和防病毒的結(jié)合。它運(yùn)行在用戶的系統(tǒng)中，并控制其他機(jī)器對(duì)這臺(tái)機(jī)器的訪問(wèn)。個(gè)人防火墻除了具有訪問(wèn)控制功能外，還有病毒檢測(cè)，甚至有入侵檢測(cè)的功能，是網(wǎng)絡(luò)安全防護(hù)的一個(gè)重要發(fā)展方向。

4、數(shù)據(jù)加密
加密技術(shù)保護(hù)數(shù)據(jù)在存儲(chǔ)和傳輸中的保密性安全。所謂加密就是數(shù)據(jù)經(jīng)過(guò)一種特殊處理使其看起來(lái)毫無(wú)意義，同時(shí)仍保持可以對(duì)其恢復(fù)成原始數(shù)據(jù)的途徑。這個(gè)特殊處理的過(guò)程稱為加密。加密之前的原始數(shù)據(jù)被稱為明文。加密之后的數(shù)據(jù)被稱為密文，從密文恢復(fù)到明文的過(guò)程叫解密。

一般來(lái)說(shuō)，加密和解密的算法通常都是公開(kāi)的。唯一使得數(shù)據(jù)得到保護(hù)的因素就是密鑰。密鑰其實(shí)是一個(gè)數(shù)值，加密算法使用這個(gè)數(shù)值對(duì)明文進(jìn)行編碼。解密算法就是用與之對(duì)應(yīng)的密鑰進(jìn)行解碼。

加密有兩種技術(shù)：對(duì)稱加密技術(shù)和公開(kāi)密鑰加密技術(shù)。在對(duì)稱加密技術(shù)中，加密和解密過(guò)程使用同一密鑰。數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）就是對(duì)稱加密方法的一個(gè)實(shí)例。在公開(kāi)密鑰加密技術(shù)中，加密和解密過(guò)程使用一對(duì)非對(duì)稱的密鑰：公開(kāi)密鑰和私有密鑰。公開(kāi)密鑰可以讓所有人知道，私有密鑰則要保密。從公鑰推導(dǎo)出密鑰需要超大的計(jì)算量，實(shí)際上是不可行的。RSA算法就是一種常見(jiàn)的公開(kāi)密鑰加密算法。

對(duì)稱加密算法的優(yōu)點(diǎn)是速度快，保密性強(qiáng)，但是它的缺點(diǎn)就是加密和解密過(guò)程使用同一個(gè)密鑰，在通信中的應(yīng)用遇到密鑰安全發(fā)布的問(wèn)題。公開(kāi)密鑰加密技術(shù)可以克服密鑰發(fā)布的問(wèn)題。它不但具有保密功能，還具有鑒別功能。但缺點(diǎn)是系統(tǒng)開(kāi)銷很大。在通常的安全通信中，公開(kāi)密鑰加密技術(shù)用在建立連接的時(shí)候，包括雙方的認(rèn)證過(guò)程以及密鑰的交換。在連接建立后，雙方可以使用對(duì)稱加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密，提高加密和解密的效率。

5、鑒別技術(shù)
鑒別技術(shù)和數(shù)據(jù)加密技術(shù)有很緊密的關(guān)系。鑒別技術(shù)用在安全通信中，對(duì)通信雙方互相鑒別對(duì)方的身份以及傳輸?shù)臄?shù)據(jù)。鑒別技術(shù)保護(hù)數(shù)據(jù)通信的兩個(gè)方面：通信雙方的身份認(rèn)證和傳輸數(shù)據(jù)的完整性。鑒別技術(shù)主要使用公開(kāi)密鑰加密算法的鑒別過(guò)程，即如果你個(gè)人用自己的私有密鑰對(duì)數(shù)據(jù)加密為密文，那么任何人都可以用相應(yīng)的公開(kāi)密鑰對(duì)密文解密，但不能創(chuàng)建這樣的密文，因?yàn)闆](méi)有相應(yīng)的私有密鑰。

數(shù)字簽名是在電子文件上簽名的技術(shù)，確保電子文件的完整性。數(shù)字簽名首先使用消息摘要函數(shù)計(jì)算文件內(nèi)容的摘要，再用簽名者的私有密鑰對(duì)摘要加密。在鑒別這個(gè)簽名的時(shí)候，先對(duì)加密的摘要用簽名者的公開(kāi)密鑰解密，然后跟原始摘要比較。如果比較結(jié)果一致則數(shù)字簽名是有效的，也就是說(shuō)數(shù)據(jù)的完整性沒(méi)有被破壞。

身份認(rèn)證需要每個(gè)實(shí)體（用戶）登記一個(gè)數(shù)字證書(shū)。這個(gè)數(shù)字證書(shū)包含該實(shí)體的信息（如用戶名、公開(kāi)密鑰）。另外，這個(gè)證書(shū)應(yīng)該有一個(gè)權(quán)威的第三方簽名，保證該證書(shū)上的內(nèi)容是有效的。數(shù)字證書(shū)類似與生活中的身份證。數(shù)字證書(shū)確保證書(shū)上的公開(kāi)密鑰屬于證書(shū)上的用戶ID的，為了鑒別一個(gè)人的身份，只要用他的數(shù)字證書(shū)中的公開(kāi)密鑰去鑒別就可以了。公鑰基礎(chǔ)設(shè)施PKI就是一個(gè)管理數(shù)字證書(shū)的機(jī)構(gòu)，其中包括發(fā)行、管理、回收數(shù)字證書(shū)。PKI的核心是認(rèn)證中心CA，它是證書(shū)認(rèn)證鏈中有權(quán)威的機(jī)構(gòu)，對(duì)發(fā)行的數(shù)字證書(shū)簽名，并對(duì)數(shù)字證書(shū)上的信息的正確性負(fù)責(zé)。

三、檢測(cè)
PDRR模型的第二個(gè)環(huán)節(jié)就是檢測(cè)（D）。上面提到防護(hù)系統(tǒng)除掉入侵事件發(fā)生的條件，可以阻止大多數(shù)的入侵事件的發(fā)生，但是它不能阻止所有的入侵。特別是那些利用新的系統(tǒng)缺陷、新的攻擊手段的入侵。因此安全策略的第二個(gè)安全屏障就是檢測(cè)，即如果入侵發(fā)生就檢測(cè)出來(lái)，這個(gè)工具是入侵檢測(cè)系統(tǒng)（IDS）。

防護(hù)主要修補(bǔ)系統(tǒng)和網(wǎng)絡(luò)的缺陷，增加系統(tǒng)的安全性能，從而消除攻擊和入侵的條件。檢測(cè)并不是根據(jù)網(wǎng)絡(luò)和系統(tǒng)的缺陷，而是根據(jù)入侵事件的特征去檢測(cè)的。但是，黑客攻擊系統(tǒng)的時(shí)候往往是利用網(wǎng)絡(luò)和系統(tǒng)的缺陷進(jìn)行的，所以入侵事件的特征一般與系統(tǒng)缺陷的特征有關(guān)系。因此防護(hù)和檢測(cè)技術(shù)是有相關(guān)的理論背景的。

入侵檢測(cè)系統(tǒng)（IDS）是一個(gè)硬件系統(tǒng)和軟件程序，它的功能是檢測(cè)出正在發(fā)生或已經(jīng)發(fā)生的入侵事件。這些入侵已經(jīng)成功地穿過(guò)防護(hù)戰(zhàn)線。一個(gè)入侵檢測(cè)系統(tǒng)有很多特征，其主要特征為：檢測(cè)環(huán)境和檢測(cè)算法。根據(jù)不同的特征，入侵檢測(cè)系統(tǒng)可以分為不同的類型。

根據(jù)檢測(cè)環(huán)境不同，IDS一般可以分為基于主機(jī)的IDS（Host-based）和基于網(wǎng)絡(luò)的IDS（Network-based）。基于主機(jī)的IDS檢測(cè)基于主機(jī)上的系統(tǒng)日志，審計(jì)數(shù)據(jù)等信息，而基于網(wǎng)絡(luò)的IDS檢測(cè)則一般側(cè)重于網(wǎng)絡(luò)流量分析?；谥鳈C(jī)的IDS的優(yōu)點(diǎn)在于它不但能夠檢測(cè)本地入侵（Local Intrusion），還可以檢測(cè)遠(yuǎn)程入侵（Remote Intrusion）。而缺點(diǎn)則是它對(duì)操作系統(tǒng)依賴比較大，檢測(cè)范圍比較小。而基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)則在于檢測(cè)范圍是整個(gè)網(wǎng)段，獨(dú)立于主機(jī)的操作系統(tǒng)。

根據(jù)檢測(cè)所使用的方法，IDS還可以分為兩種：誤用檢測(cè)（Misuse Detection）和異常檢測(cè)（Anomaly Detection）。誤用檢測(cè)技術(shù)需要建立一個(gè)入侵規(guī)則庫(kù)，其中，它對(duì)每一種入侵都形成一個(gè)規(guī)則描述，只要發(fā)生的事件符合于某個(gè)規(guī)則就被認(rèn)為是入侵。

這種技術(shù)的好處在于它的誤警率（False Alarm Rate）比較低，缺點(diǎn)是查全率（Probability of Detection）完全依賴于入侵規(guī)則庫(kù)的覆蓋范圍，另外由于入侵規(guī)則的建立和更新完全靠手工，且需要很深的網(wǎng)絡(luò)安全知識(shí)和經(jīng)驗(yàn)，所以維持一個(gè)準(zhǔn)確的入侵規(guī)則庫(kù)是一件十分困難的事情。異常檢測(cè)技術(shù)部不對(duì)每一種入侵進(jìn)行規(guī)則描述，而是對(duì)正常事件的樣本建立一個(gè)正常事件模型，如果發(fā)生的事件偏離這個(gè)模型的程度超過(guò)一定范圍，就被認(rèn)為是入侵。由于事件模型是通過(guò)計(jì)算機(jī)對(duì)大量的樣本進(jìn)行分析統(tǒng)計(jì)而建立的，具有一定的通用性，因此異常檢測(cè)克服了一部分誤用檢測(cè)技術(shù)的缺點(diǎn)。但是相對(duì)來(lái)說(shuō)異常檢測(cè)技術(shù)的誤警率較高。

入侵檢測(cè)系統(tǒng)一般和緊急響應(yīng)及系統(tǒng)恢復(fù)有密切關(guān)系。一旦入侵檢測(cè)系統(tǒng)檢測(cè)到入侵事件，它就會(huì)將入侵事件的信息傳給應(yīng)急響應(yīng)系統(tǒng)進(jìn)行處理。

四、響應(yīng)

PDRR模型中的第三個(gè)環(huán)節(jié)就是響應(yīng)（R）。響應(yīng)就是已知一個(gè)攻擊（入侵）事件發(fā)生之后，進(jìn)行處理。在一個(gè)大規(guī)模的網(wǎng)絡(luò)中，響應(yīng)這個(gè)工作都是有一個(gè)特殊部門(mén)負(fù)責(zé)，那就是計(jì)算機(jī)響應(yīng)小組。世界上第一個(gè)計(jì)算機(jī)響應(yīng)小組CERT，位于美國(guó)CMU大學(xué)的軟件研究所（SEI），于1989年建立，是世界上最著名的計(jì)算機(jī)響應(yīng)小組。從CERT建立之后，世界各國(guó)以及各機(jī)構(gòu)也紛紛建立自己的計(jì)算機(jī)響應(yīng)小組。我國(guó)第一個(gè)計(jì)算機(jī)緊急響應(yīng)小組CCERT，于1999年建立，主要服務(wù)于中國(guó)教育和科研網(wǎng)。

入侵事件的報(bào)警可以是入侵檢測(cè)系統(tǒng)的報(bào)警，也可以是通過(guò)其他方式的匯報(bào)。響應(yīng)的主要工作也可以分為兩種。第一種是緊急響應(yīng)；第二種是其他事件處理。緊急響應(yīng)就是當(dāng)安全事件發(fā)生時(shí)采取應(yīng)對(duì)措施，其他事件主要包括咨詢、培訓(xùn)和技術(shù)支持。

五、恢復(fù)

恢復(fù)是PDRR模型中的最后一個(gè)環(huán)節(jié)?；謴?fù)是事件發(fā)生后，把系統(tǒng)恢復(fù)到原來(lái)的狀態(tài)，或者比原來(lái)更安全的狀態(tài)?；謴?fù)也可以分為兩個(gè)方面：系統(tǒng)恢復(fù)和信息恢復(fù)。系統(tǒng)恢復(fù)指的是修補(bǔ)該事件所利用的系統(tǒng)缺陷，不讓黑客再次利用這樣的缺陷入侵。一般系統(tǒng)恢復(fù)包括系統(tǒng)升級(jí)、軟件升級(jí)和打補(bǔ)丁等。系統(tǒng)恢復(fù)的另一個(gè)重要工作是除去后門(mén)。一般來(lái)說(shuō)，黑客在第一次入侵的時(shí)候都是利用系統(tǒng)的缺陷。在第一次入侵成功之后，黑客就在系統(tǒng)打開(kāi)一些后門(mén)，如安裝一個(gè)特洛伊木馬。

 所以，盡管系統(tǒng)缺陷已經(jīng)打補(bǔ)丁，黑客下一次還可以通過(guò)后門(mén)進(jìn)入系統(tǒng)。系統(tǒng)恢復(fù)都是根據(jù)檢測(cè)和響應(yīng)環(huán)節(jié)提供有關(guān)事件的資料進(jìn)行的。信息恢復(fù)指的是恢復(fù)丟失的數(shù)據(jù)。數(shù)據(jù)丟失的原因可能是由于黑客入侵造成，也可以是由于系統(tǒng)故障、自然災(zāi)害等原因造成的。信息恢復(fù)就是從備份和歸檔的數(shù)據(jù)恢復(fù)原來(lái)數(shù)據(jù)。信息恢復(fù)過(guò)程跟數(shù)據(jù)備份過(guò)程有很大的關(guān)系。數(shù)據(jù)備份做得是否充分對(duì)信息恢復(fù)有很大的影響。信息恢復(fù)過(guò)程的一個(gè)特點(diǎn)是有優(yōu)先級(jí)別。直接影響日常生活和工作的信息必須先恢復(fù)，這樣可以提高信息恢復(fù)的效率。

六、結(jié)束語(yǔ)

當(dāng)然，PDRR模型表現(xiàn)為網(wǎng)絡(luò)安全最終的存在形態(tài)，是一類目標(biāo)體系和模型，它并不關(guān)注網(wǎng)絡(luò)安全建設(shè)的工程過(guò)程，并沒(méi)有闡述實(shí)現(xiàn)目標(biāo)體系的途徑和方法。此外，模型更側(cè)重于技術(shù)，對(duì)諸如管理這樣的因素并沒(méi)有強(qiáng)調(diào)。網(wǎng)絡(luò)安全體系應(yīng)該是融合了技術(shù)和管理在內(nèi)的一個(gè)可以全面解決安全問(wèn)題的體系結(jié)構(gòu)，它應(yīng)該具有動(dòng)態(tài)性、過(guò)程性、全面性、層次性和平衡性等特點(diǎn)，是一個(gè)可以在信息安全實(shí)踐活動(dòng)中真正依據(jù)的建設(shè)藍(lán)圖。(IT安全世界)