1.5　网络安全模型

很多时候，网络攻击只要找到网络或信息系统的一个突破口就可以成功实施。反过来看，网络防护只要有一点没有做好，就有可能被突破，就这是著名的木桶理论。网络安全防护是一个复杂的系统工程，不仅涉及网络和信息系统的组成和行为、各种安全防护技术，还涉及组织管理和运行维护，后者与网络的使用者（“人”）密切相关。因此，仅有网络防护技术并不能保证网络的安全，必须有相应的组织管理措施来保证技术得到有效的应用。技术与管理相辅相成，既能互相促进又能互相制约：安全制度的制定和执行不到位，再严密的安全保障措施也是形同虚设；安全技术不到位，就会使得安全措施不完整，任何疏忽都会造成安全事故；安全教育、培训不到位，网络安全涉及的人员就不能很好地理解、执行各项规章制度，不能正确使用各种安全防护技术和工具。此外，要保证网络安全，除了组织管理、技术防护，还要有相应的系统运行体系，即在系统建设过程中要完整考虑安全问题和措施，在运行维护过程中要制定相应的安全措施，同时要制定应急响应方案以便在出现安全事件时能够快速应对。

为了更好地实现网络安全防护，需要一种方法来全面、清楚地描述网络防护实现过程所涉及的技术和非技术因素，以及这些因素之间的相互关系，这就是“安全模型”。

网络安全模型以建模的方式给出解决安全问题的过程和方法，主要包括：以模型的方式给出解决网络安全问题的过程和方法；准确描述构成安全保障机制的要素及要素之间的相互关系；准确描述信息系统的行为和运行过程；准确描述信息系统行为与安全保障机制之间的相互关系。

学术界和工业界已有很多安全模型，如PDRR模型、P2DR模型、IATF框架、CGS框架等。

1．PDRR模型

PDRR模型由美国国防部（Department of Defense,DoD）提出，是防护（Protection）、检测（Detection）、恢复（Recovery）、响应（Response）的缩写。PDRR改进了传统的只注重防护的单一安全防御思想，强调信息安全保障的PDRR四个重要环节。图1-8所示的是PDRR模型的主要内容。

2．P2DR模型

P2DR（Policy Protection Detection Response）模型（也称为“PPDR模型”）是由美国互联网安全系统公司（Internet Security System,ISS）在20世纪90年代末提出的一种基于时间的安全模型—自适应网络安全模型（Adaptive Network Security Model,ANSM）。

P2DR模型以基于时间的安全理论（Time Based Security）这一数学模型作为理论基础。其基本原理是：信息安全相关的所有活动，无论是攻击行为、防护行为、检测行为还是响应行为，都要消耗时间，因此可以用时间来衡量一个体系的安全性和安全能力。

模型定义了以下几个时间变量。

●　攻击时间Pt：黑客从开始入侵到侵入系统的时间（对系统是保护时间）。高水平入侵和安全薄弱系统使Pt缩短。

●　检测时间Dt：黑客发动入侵到系统能够检测到入侵行为所花费的时间。适当的防护措施可以缩短Dt。

●　响应时间Rt：从检测到系统漏洞或监控到非法攻击到系统做出响应（如切换、报警、跟踪、反击等）的时间。

●　系统暴露时间Et=Dt+Rt–Pt：系统处于不安全状态的时间。系统的检测时间和响应时间越长，或系统的保护时间越短，则系统暴露时间越长，就越不安全。

如果Et小于等于0，那么基于P2DR模型，认为系统安全。要达到安全的目标需要尽可能增大保护时间，尽量减少检测时间和响应时间。

如图1-9所示，P2DR模型的核心是安全策略，在整体安全策略的控制和指导下，综合运用防护工具（如防火墙、认证、加密等手段）进行防护的同时，利用检测工具（如漏洞评估、入侵检测等系统）评估系统的安全状态，使系统保持在最低风险的状态。安全策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）组成了一个完整动态的循环，在安全策略的指导下保证信息系统的安全。P2DR模型强调安全不能依靠单纯的静态防护，也不能依靠单纯的技术手段来实现。在该模型中，安全可表示为：

安全=风险分析+执行策略+系统实施+漏洞监测+实时响应

目前，P2DR在网络安全实践中得到了广泛应用。

3．IATF框架

信息保障技术框架（Information Assurance Technical Framework,IATF）是美国国家安全局（National Security Agency,NSA）制定的，为保护美国政府和工业界的信息与信息技术设施提供技术指南。其前身是网络安全框架（Network Security Framework,NSF），1999年NSA将NSF更名为IATF，并发布IATF 2.0。直到现在，IATF仍在不断完善和修订。

IATF从整体、过程的角度看待信息安全问题，认为稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施，其代表理论为“深度防护战略（Defense-in-Depth）”。IATF强调人（people）、技术（technology）、操作（operation）这三个核心要素，关注四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施，为建设信息保障系统及其软硬件组件定义了一个过程，依据纵深防御策略，提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。

在IATF定义的三要素中，人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，是第一位的要素，同时也是最脆弱的。正是基于这样的认识，安全管理在安全保障体系中愈显重要，可以这么说，信息安全保障体系，实质上就是一个安全管理的体系，其中包括意识培训、组织管理、技术管理和操作管理等多个方面。技术是实现信息保障的重要手段，信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然，这里所说的技术，已经不单是以防护为主的静态技术体系，而是防护、检测、响应、恢复并重的动态的技术体系。操作或者叫运行，构成了安全保障的主动防御体系，如果说技术的构成是被动的，那么操作和流程就是将各方面技术紧密结合在一起的主动的过程，其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。

IATF将信息系统的信息保障技术层面划分成了四个部分（域）：本地计算环境（local computing environment）、区域边界（enclave boundaries）、网络和基础设施（networks & infrastructures）、支撑性基础设施（supporting infrastructures）。其中，本地计算环境包括服务器、客户端及其上所安装的应用程序和操作系统等；区域边界是指通过局域网相互连接、采用单一安全策略且不考虑物理位置的本地计算设备的集合；网络和基础设施提供区域互联，包括操作域网（OAN）、城域网（MAN）、校园域网（CAN）和局域网（LANs），涉及广泛的社会团体和本地用户；支撑性基础设施为网络、区域和计算环境的信息保障机制提供支持。

针对每个域，IATF描述了其特有的安全需求和相应的可供选择的技术措施。通过这样的划分，让安全人员更好地理解网络安全的不同方面，以全面分析信息系统的安全需求，考虑恰当的安全防御机制。

IATF为信息系统的整个生命周期（规划组织、开发采购、实施交付、运行维护和废弃）提供了信息安全保障，实现网络环境下信息系统的保密性、真实性、可用性和可控性等安全目标。

4．CGS框架

基于美国国家安全系统信息保障的最佳实践，美国NSA于2014年6月发布了《美国国家安全体系黄金标准》（Community Gold Standard v2.0，CGS2.0）。

CGS2.0标准框架强调了网络空间安全四大总体性功能：治理（GOVERN）、保护（PROTECT）、检测（DETECT）和响应与恢复（RESPOND & RECOVER），如图1-10所示。其中，治理功能为各机构全面了解整个组织的使命与环境、管理档案与资源、建立跨组织的弹性机制等行为提供指南；保护功能为机构保护物理和逻辑环境、资产和数据提供指南；检测功能为识别和防御机构的物理及逻辑事务上的漏洞、异常和攻击提供指南；响应与恢复功能则为建立针对威胁和漏洞的高效响应机制提供指南。

CGS框架的设计使得组织机构能够应对各种不同的安全挑战。该框架没有提供选择和实施安全措施的整套方法，而是按照逻辑，在深刻理解组织的基础设施和管理能力的基础上，通过安全机制间的协同工作将安全保护和检测能力有机地整合在一起。

总之，网络安全不仅仅是一个技术问题或管理问题，而是一个系统工程，一定要坚持以组织管理为保障，防护技术为手段，大力提高系统建设、运行、维护能力，三位一体才能提高安全防护水平。