PDRR网络安全模型

申请免费试用、咨询电话：400-8352-114

 一、前言

为了保护数据和网络资源，网络安全服务有五个基本目标，它们是： 

(1)可用性：可用性就是指网络服务对用户而言必须是可用的，也就是确保网络节点在受到各种网络攻击时仍然能够提供相应的服务。
(2)保密性：保密性保证相关信息不泄露给未授权的用户或实体。
(3)完整性：完整性保证信息在传输的过程中没有被非法用户增加、删除与修改，保证非法用户无法伪造数据。
(4)真实性：真实性保证和一个网络节点通信的对端就是真正的通信对端，也就是说要鉴别通信对端的身份。如果没有真实性，那么网络攻击者就可以假冒网络中的某个节点来和其它的节点进行通信，那么他就可以获得那些未被授权的资源和敏感信息。
(5)不可否认性：不可否认性保证一个节点不能否认其发送出去的信息。这样就能保证一个网络节点不能抵赖它以前的行为。

一个最常见的安全模型就是PDRR模型。PDRR模型就是4个英文单词的头字符：Protection（防护）、Detection（检测）、Response（响应）、Recovery（恢复）。这四个部分构成了一个动态的信息安全周期，如图：
 

安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能。安全策略的第一部分就是防御。根据系统已知的所有安全问题做出防御的措施，如打补丁、访问控制、数据加密等等。防御作为安全策略的第一个战线。安全策略的第二个战线就是检测。攻击者如果穿过了防御系统，检测系统就会检测出来。这个安全战线的功能就是检测出入侵者的身份，包括攻击源、系统损失等。一旦检测出入侵，响应系统开始响应包括事件处理和其他业务。安全策略的最后一个战线就是系统恢复。在入侵事件发生后，把系统恢复到原来的状态。每次发生入侵事件，防御系统都要更新，保证相同类型的入侵事件不能再发生，所以整个安全策略包括防御、检测、响应和恢复，这四个方面组成了一个信息安全周期。

二、防护
网络安全策略PDRR模型的最重要的部分就是防护（P）。防护是预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵，防护可以减少大多数的入侵事件。

1、缺陷扫描
安全缺陷分为两种，允许远程攻击的缺陷和只允许本地攻击的缺陷。允许远程攻击的缺陷就是攻击者可以利用该缺陷，通过网络攻击系统。只允许本地攻击的缺陷就是攻击者不能通过网络利用该缺陷攻击系统。对于允许远程攻击的安全缺陷，可以用网络缺陷扫描工具去发现。网络缺陷扫描工具一般从系统的外边去观察。其次，它扮演一个黑客的角色，只不过它不会破坏系统。缺陷扫描工具首先扫描系统所开放的网络服务端口。然后通过该端口进行连接，试探提供服务的软件类型和版本号。在这个时候，缺陷扫描工具有两种方法去判断该端口是否有缺陷：第一种方法是根据版本号，在缺陷列表中查出是否存在缺陷。第二种方法是根据已知的缺陷特征，模拟一次攻击，如果攻击表示可能会成功就停止并认为是缺陷存在（要停止攻击模拟避免对系统损害）。显然第二种方法的准确性比第一种要好，但是它扫描的速度会很慢。

2、访问控制及防火墙
访问控制限制某些用户对某些资源的操作。访问控制通过减少用户对资源的访问，从而减少资源被攻击的概率，达到防护系统的目的。例如只让可信的用户访问资源而不让其他用户访问资源，这样资源受到攻击的概率几乎很小。防火墙是基于网络的访问控制技术，在Internet/Intranet中的广泛应用已经成为不争的事实。防火墙技术可以工作在网络层、传输层和应用层，完成不同粒度的访问控制。防火墙可以阻止大多数的攻击但不是全部，很多入侵事件通过防火墙所允许的规则进行攻击，例如通过80端口进行的攻击。

3、防病毒软件与个人防火墙
病毒就是计算机的一段可执行代码，这些病毒感染到计算机上的过程完全被动的。计算机病毒的传统感染过程并不是利用系统上的缺陷。只要用户直接跟这些病毒接触，例如拷贝文件、访问网站、接受Email等该用户的系统就会被感染。一旦计算机被感染上病毒，这些可执行代码可以自动执行，破坏计算机系统。安装并经常更新防病毒软件会对系统安全起防护作用。防病毒软件根据病毒的特征，检查用户系统上是否有病毒。这个检查过程可以是定期检查，也可以是实时检查。

个人防火墙是防火墙和防病毒的结合。它运行在用户的系统中，并控制其他机器对这台机器的访问。个人防火墙除了具有访问控制功能外，还有病毒检测，甚至有入侵检测的功能，是网络安全防护的一个重要发展方向。

4、数据加密
加密技术保护数据在存储和传输中的保密性安全。所谓加密就是数据经过一种特殊处理使其看起来毫无意义，同时仍保持可以对其恢复成原始数据的途径。这个特殊处理的过程称为加密。加密之前的原始数据被称为明文。加密之后的数据被称为密文，从密文恢复到明文的过程叫解密。

一般来说，加密和解密的算法通常都是公开的。唯一使得数据得到保护的因素就是密钥。密钥其实是一个数值，加密算法使用这个数值对明文进行编码。解密算法就是用与之对应的密钥进行解码。

加密有两种技术：对称加密技术和公开密钥加密技术。在对称加密技术中，加密和解密过程使用同一密钥。数据加密标准（DES）就是对称加密方法的一个实例。在公开密钥加密技术中，加密和解密过程使用一对非对称的密钥：公开密钥和私有密钥。公开密钥可以让所有人知道，私有密钥则要保密。从公钥推导出密钥需要超大的计算量，实际上是不可行的。RSA算法就是一种常见的公开密钥加密算法。

对称加密算法的优点是速度快，保密性强，但是它的缺点就是加密和解密过程使用同一个密钥，在通信中的应用遇到密钥安全发布的问题。公开密钥加密技术可以克服密钥发布的问题。它不但具有保密功能，还具有鉴别功能。但缺点是系统开销很大。在通常的安全通信中，公开密钥加密技术用在建立连接的时候，包括双方的认证过程以及密钥的交换。在连接建立后，双方可以使用对称加密技术对数据进行加密，提高加密和解密的效率。

5、鉴别技术
鉴别技术和数据加密技术有很紧密的关系。鉴别技术用在安全通信中，对通信双方互相鉴别对方的身份以及传输的数据。鉴别技术保护数据通信的两个方面：通信双方的身份认证和传输数据的完整性。鉴别技术主要使用公开密钥加密算法的鉴别过程，即如果你个人用自己的私有密钥对数据加密为密文，那么任何人都可以用相应的公开密钥对密文解密，但不能创建这样的密文，因为没有相应的私有密钥。

数字签名是在电子文件上签名的技术，确保电子文件的完整性。数字签名首先使用消息摘要函数计算文件内容的摘要，再用签名者的私有密钥对摘要加密。在鉴别这个签名的时候，先对加密的摘要用签名者的公开密钥解密，然后跟原始摘要比较。如果比较结果一致则数字签名是有效的，也就是说数据的完整性没有被破坏。

身份认证需要每个实体（用户）登记一个数字证书。这个数字证书包含该实体的信息（如用户名、公开密钥）。另外，这个证书应该有一个权威的第三方签名，保证该证书上的内容是有效的。数字证书类似与生活中的身份证。数字证书确保证书上的公开密钥属于证书上的用户ID的，为了鉴别一个人的身份，只要用他的数字证书中的公开密钥去鉴别就可以了。公钥基础设施PKI就是一个管理数字证书的机构，其中包括发行、管理、回收数字证书。PKI的核心是认证中心CA，它是证书认证链中有权威的机构，对发行的数字证书签名，并对数字证书上的信息的正确性负责。

三、检测
PDRR模型的第二个环节就是检测（D）。上面提到防护系统除掉入侵事件发生的条件，可以阻止大多数的入侵事件的发生，但是它不能阻止所有的入侵。特别是那些利用新的系统缺陷、新的攻击手段的入侵。因此安全策略的第二个安全屏障就是检测，即如果入侵发生就检测出来，这个工具是入侵检测系统（IDS）。

防护主要修补系统和网络的缺陷，增加系统的安全性能，从而消除攻击和入侵的条件。检测并不是根据网络和系统的缺陷，而是根据入侵事件的特征去检测的。但是，黑客攻击系统的时候往往是利用网络和系统的缺陷进行的，所以入侵事件的特征一般与系统缺陷的特征有关系。因此防护和检测技术是有相关的理论背景的。

入侵检测系统（IDS）是一个硬件系统和软件程序，它的功能是检测出正在发生或已经发生的入侵事件。这些入侵已经成功地穿过防护战线。一个入侵检测系统有很多特征，其主要特征为：检测环境和检测算法。根据不同的特征，入侵检测系统可以分为不同的类型。

根据检测环境不同，IDS一般可以分为基于主机的IDS（Host-based）和基于网络的IDS（Network-based）。基于主机的IDS检测基于主机上的系统日志，审计数据等信息，而基于网络的IDS检测则一般侧重于网络流量分析。基于主机的IDS的优点在于它不但能够检测本地入侵（Local Intrusion），还可以检测远程入侵（Remote Intrusion）。而缺点则是它对操作系统依赖比较大，检测范围比较小。而基于网络的入侵检测系统的优点则在于检测范围是整个网段，独立于主机的操作系统。

根据检测所使用的方法，IDS还可以分为两种：误用检测（Misuse Detection）和异常检测（Anomaly Detection）。误用检测技术需要建立一个入侵规则库，其中，它对每一种入侵都形成一个规则描述，只要发生的事件符合于某个规则就被认为是入侵。

这种技术的好处在于它的误警率（False Alarm Rate）比较低，缺点是查全率（Probability of Detection）完全依赖于入侵规则库的覆盖范围，另外由于入侵规则的建立和更新完全靠手工，且需要很深的网络安全知识和经验，所以维持一个准确的入侵规则库是一件十分困难的事情。异常检测技术部不对每一种入侵进行规则描述，而是对正常事件的样本建立一个正常事件模型，如果发生的事件偏离这个模型的程度超过一定范围，就被认为是入侵。由于事件模型是通过计算机对大量的样本进行分析统计而建立的，具有一定的通用性，因此异常检测克服了一部分误用检测技术的缺点。但是相对来说异常检测技术的误警率较高。

入侵检测系统一般和紧急响应及系统恢复有密切关系。一旦入侵检测系统检测到入侵事件，它就会将入侵事件的信息传给应急响应系统进行处理。

四、响应

PDRR模型中的第三个环节就是响应（R）。响应就是已知一个攻击（入侵）事件发生之后，进行处理。在一个大规模的网络中，响应这个工作都是有一个特殊部门负责，那就是计算机响应小组。世界上第一个计算机响应小组CERT，位于美国CMU大学的软件研究所（SEI），于1989年建立，是世界上最著名的计算机响应小组。从CERT建立之后，世界各国以及各机构也纷纷建立自己的计算机响应小组。我国第一个计算机紧急响应小组CCERT，于1999年建立，主要服务于中国教育和科研网。

入侵事件的报警可以是入侵检测系统的报警，也可以是通过其他方式的汇报。响应的主要工作也可以分为两种。第一种是紧急响应；第二种是其他事件处理。紧急响应就是当安全事件发生时采取应对措施，其他事件主要包括咨询、培训和技术支持。

五、恢复

恢复是PDRR模型中的最后一个环节。恢复是事件发生后，把系统恢复到原来的状态，或者比原来更安全的状态。恢复也可以分为两个方面：系统恢复和信息恢复。系统恢复指的是修补该事件所利用的系统缺陷，不让黑客再次利用这样的缺陷入侵。一般系统恢复包括系统升级、软件升级和打补丁等。系统恢复的另一个重要工作是除去后门。一般来说，黑客在第一次入侵的时候都是利用系统的缺陷。在第一次入侵成功之后，黑客就在系统打开一些后门，如安装一个特洛伊木马。

 所以，尽管系统缺陷已经打补丁，黑客下一次还可以通过后门进入系统。系统恢复都是根据检测和响应环节提供有关事件的资料进行的。信息恢复指的是恢复丢失的数据。数据丢失的原因可能是由于黑客入侵造成，也可以是由于系统故障、自然灾害等原因造成的。信息恢复就是从备份和归档的数据恢复原来数据。信息恢复过程跟数据备份过程有很大的关系。数据备份做得是否充分对信息恢复有很大的影响。信息恢复过程的一个特点是有优先级别。直接影响日常生活和工作的信息必须先恢复，这样可以提高信息恢复的效率。

六、结束语

当然，PDRR模型表现为网络安全最终的存在形态，是一类目标体系和模型，它并不关注网络安全建设的工程过程，并没有阐述实现目标体系的途径和方法。此外，模型更侧重于技术，对诸如管理这样的因素并没有强调。网络安全体系应该是融合了技术和管理在内的一个可以全面解决安全问题的体系结构，它应该具有动态性、过程性、全面性、层次性和平衡性等特点，是一个可以在信息安全实践活动中真正依据的建设蓝图。(IT安全世界)