1.4 信息安全模型

由于信息安全的動態性特點，信息安全防護也在動態變化，同時，信息安全目標也呈現為一個不斷改進的、螺旋上升的動態過程。傳統的以密碼技術為核心的單點技術防護已經無法滿足信息安全的需要，人們迫切地需要建立一定的安全指導原則以合理地組織各種信息安全措施，從而達到動態的信息安全目標。為了有效地將單點的安全技術有機融合成信息安全的體系，各種信息安全模型應運而生。所謂信息安全模型，就是動態信息安全過程的抽象描述。為了達到安全目標，需要建立合理的信息安全模型描述，以指導信息安全工作的部署和管理。目前，在信息安全領域存有較多的安全模型。這些信息安全模型都較好地描述了信息安全的部分特征，又都有各自的側重點，在各自不同的專業和領域都有著一定程度的應用。本節將介紹信息安全領域比較通用的安全模型，通過對安全模型的研究，了解安全動態過程的構成因素，從而構建合理而實用的安全策略體系。

1.4.1 傳統信息安全模型

在信息系統中，為了保證信息傳輸的安全性，一般需要一個值得信任的第三方負責在源節點和目的節點間進行秘密信息（如密鑰）分發，同時當雙方發生爭執時，起到仲裁的作用。圖1-7所示為傳統信息安全模型示意圖。

在圖1-7所示的基本模型中，通信的雙方在進行信息傳輸前，首先建立一條邏輯通道，并提供安全的機制和服務來實現在開放信息系統環境中信息的安全傳輸。信息的安全傳輸主要包括以下幾點。

（1）發送方從源節點發出的信息，使用信息加密等密碼技術對其進行安全的轉換，從而實現該信息的保密性，同時也可以在該信息中附加一些特征信息，作為源節點的身份驗證。

（2）源節點與目的節點應該共享如加密密鑰這樣的保密信息，這些信息除了發送雙方和可信任的第三 方之外，對其他用戶都是保密的。

（3）接收方從目的節點接收安全信息，并將其轉換成接收方能理解的明文信息。

1.4.2 P2DR模型

傳統的信息安全技術都集中在系統信息自身的加固和防護上。單純的防護技術容易導致系統的盲目建設。面對不可避免的各種攻擊，信息系統安全的重點應放在如何在安全策略的指導下及時發現問題，然后迅速響應，為此美國ISS公司提了一種動態的P2DR（Policy，Protection，Detection，Response）信息安全模型。P2DR是在安全策略的統一控制和指導下，在綜合運用防護措施基礎上，利用檢測措施檢測評估信息系統的安全狀態，并通過及時的響應措施將信息系統調整到風險最低的安全狀態。此外，P2DR對傳統安全模型作了很大改進，引進了時間的概念，對實現信息的安全狀態給出了可操作性的描述。圖1-8所示為P2DR模型示意圖。

從圖1-8所示的P2DR模型可以看出，完整的信息安全體系應當包括核心安全策略（Policy）、防護（Protection）、檢測（Detection）和響應（Response）4個主要部分。其中，安全策略是整個P2DR模型的核心，它是P2DR模型中的防護、檢測和響應等部分實施的依據。信息安全策略可以分為總體安全策略與具體安全策略規則。一個安全策略體系的建立包括策略的制定、評估與執行。防護是根據信息系統中可能出現的安全問題而采取的預防措施，這些措施通過傳統的靜態安全技術實現。采用的防護技術通常包括數據加密、身份認證、訪問控制、VPN、防火墻和數據備份等，它對信息系統可能出現的安全問題采取預防措施。防護可以預先阻止可以發生攻擊的條件產生，讓攻擊者無法順利地入侵。檢測是根據入侵事件的特征檢測入侵行為。當攻擊者穿透防護模塊時，檢測模塊就發揮作用，與防護系統形成互補。檢測模塊使用漏洞掃描和入侵檢測等技術。在P2DR模型中，檢測模塊是非常重要的一個環節，檢測是靜態防護轉化為動態防護的關鍵，是動態響應和加強防護的依據，它也是強制落實安全策略的有力工具，通過不斷地檢測和監控信息系統，發現新的威脅和弱點，通過循環反饋及時做出有效的響應。響應是當安全事件發生時采取的對應措施，并把信息系統恢復到原來的狀態或比原來更安全的狀態。信息系統一旦檢測到入侵，響應系統就開始工作，進行事件處理。響應包括緊急響應和恢復處理，恢復處理又包括系統恢復和信息恢復。防護、檢測和響應組成了一個完整的、動態的安全循環，在核心安全策略的指導下保證信息系統的安全。

P2DR模型是基于時間的安全理論。該理論的基本原理就是認為網絡安全相關的所有活動，不管是攻擊行為、防護行為、檢測行為和響應行為等都要消耗時間。因此，可以用時間來衡量一個體系的安全性和安全能力。設Pt為系統保護安全目標所提供的防護時間，它相當于攻擊者攻擊安全目標所花費的時間。在入侵發生的同時，檢測系統也在發揮作用，因此設Dt為從入侵者開始發動入侵開始，到系統能夠檢測到入侵行為所花費的時間。在檢測到入侵后，系統會做出應有的響應動作，設Rt表示從發現入侵行為開始，到系統能夠做出足夠的響應，將系統調整到正常狀態的時間。因此，P2DR 模型就可以用以下數學公式來表達安全的要求：

在公式（1-1）中，針對需要保護的安全目標，如果公式滿足防護時間Pt大于檢測時間Dt加上響應時間Rt，也就是在入侵者危害安全目標之前就能被檢測到并及時處理，目標就是安全的。

當Pt=0，即防護時間為0，則有以下公式：

在公式（1-2）中，Dt與Rt之和為該安全目標系統的暴露時間Et。針對需要保護的安全目標，如果Et越小系統就越安全。P2DR模型闡述了這樣一個結論：安全的目標實際上就是盡可能地增大保護時間，盡量減少檢測時間和響應時間，在系統遭到破壞后，應盡快恢復，以減少系統暴露時間。

通過上面兩個公式的描述，實際上給出了信息安全一個全新的定義：及時的檢測和響應就是安全，及時的檢測和恢復就是安全。而且，這樣的定義為安全問題的解決給出了明確的方向，即提高系統的防護時間Pt，降低檢測時間Dt和響應時間Rt。P2DR模型也存在一個明顯的弱點，就是忽略了內在的變化因素。如人員的流動、人員的素質和策略執行的不穩定性等。實際上，信息安全問題牽涉面廣，除了涉及防護、檢測和響應，信息系統本身安全免疫力的增強、系統和整個網絡的優化，以及人員這個在系統中作為最重要角色的素質提升，都是P2DR安全模型沒有考慮的問題。

1.4.3 PDRR模型

近年美國國防部提出了信息安全保障體系（Information Assurance，IA）概念，其重要內容概括了信息安全的整個環節，即包括防護（Protect）、檢測（Detect）、響應（React）和恢復（Restore），形成了PDRR安全模型。PDRR模型把信息的安全保護作為基礎，將保護視為活動過程，要用檢測手段來發現安全漏洞，及時更正，同時采用應急響應措施對付各種入侵。在系統被入侵后，要采取相應的措施將系統恢復到正常狀態，使信息的安全得到全方位的保障。該模型強調的是自動故障恢復能力，因此，在PDRR模型中，安全的概念已經從信息安全擴展到了信息保障，信息保障內涵已超出傳統的信息安全保密，是防護（Protect）、檢測（Detect）、反應（React）和恢復（Restore）的有機結合。圖1-9所示為PDRR模型示意圖。

從圖1-9可以看出，PDRR模型的4個部分是一個順次發生的過程。首先，采取各種措施對需要保護的對象進行安全防護，即根據系統已知的所有安全問題做出防護的措施，如打補丁、訪問控制、數據加密等。然后，利用相應的檢測手段對安全保護對象進行安全跟蹤和檢測以隨時了解其安全狀態。如果發現安全保護對象的安全狀態發生改變，特別是由安全變為不安全，則馬上采取應急措施對其進行處理，響應系統開始響應事件處理和其他業務，直至恢復安全保護對象的安全狀態。PDRR模型的最后一個環節就是恢復。恢復是安全事件發生后，把信息系統恢復到原來的狀態，或者比原來更安全的狀態?；謴鸵部梢苑譃橄到y恢復和信息恢復兩個方面。其中，系統恢復指的是修補該事件所利用的系統缺陷，不讓攻擊者再次利用這樣的缺陷入侵。一般系統恢復包括系統升級、軟件升級和打補丁等。系統恢復的另一個重要工作是去除后門。一般來說，攻擊者在第一次入侵的時候都是利用系統的缺陷。在第一次入侵成功之后，攻擊者就在系統打開一些后門，如安裝一個特洛伊木馬。所以，盡管系統缺陷已經打補丁，攻擊者下一次還可以通過后門進入系統。系統恢復都是根據檢測和響應環 節提供有關事件的資料進行的。信息恢復指的是恢復丟失的數據。數據丟失的原因可能是由于攻擊者入侵造成，也可以是由于系統故障、自然災害等原因造成的。信息恢復就是從備份和歸檔的數據恢復原來數據，因此信息恢復過程跟數據備份過程有很大的關系。數據備份做得是否充分對信息恢復有很大的影響。信息恢復過程的一個特點是有優先級別，直接影響日常生活和工作的信息必須先恢復，這樣可以提高信息恢復的效率。在入侵事件發生后，把系統恢復到原來的狀態。每次發生入侵事件，防御系統都要更新，保證相同類型的入侵事件不能再發生，所以整個安全策略包括防御、檢測、響應和恢復，這4個方面組成了一個動態的信息安全周期。