安全模型对比.docx

PDRP2DRIATF概念《信息保障技术框架》 （IATF : In formation Assura neeTechnical Framework）是美国国家安全局（NSA ）制 定的， 描述其信息保障的指导性文件PDR 即：Protection （保护）、Detectioon（检测）、Response （响应）是入侵检测的一 种模型最早是由 ISS公司提出的，后来还出现了很多 变种”，包括ISS公司自己也将其改为 PADIMEE，即：Policy（策略）、Assessment （评估）、Design （设 计）、Implementation （执 行）、Management （管 理）、 EmergencyResponse （紧急响应）、Education （教育）等 七个方面P2DR模型是美国ISS公司提出的动态网络安全 体系的代表模型 [1]，也是动态安全模型的雏形 P2DR模型包括四个主要部分：Policy （安全策略）、Protection （防护）、Detection （检测）和Response （响应）图例惜息供障IA）深慢保工声碼恰if人技术IATF的核心思想IATF提出的信息保障的核心思想是纵深防御战略（Defense in Depth ）。

所谓深层防御战略就是采1. 保护保护是安全的第一步（书上都这么说， 我觉得也是）•安全规则的制定：在安全策略的（1）策略：策略是模型的核心，所有的防 护、检测和响应都是依据安全策略实施的网 络安全策略一般包括总体安全策略和具体安全 策略 2个部分组成用一个多层次的、 纵深的安全措施来保障用户信息及 信息系统的安全在纵深防御战略中，人、技术和操作是三个主要 核心因素， 要保障信息及信息系统的安 全，三者缺一不可IATF的其他信息安全(IA)原则除了纵深防御这个核心思想之外， IATF还提出了其他一些信息安全原则， 这些原则对指导我们建立信 息安全保障体系都具有非常重大的意义1)保护多个位置包括保护网络和基础设施、区域边界、 计算环境等，这一原则提醒我们，仅仅在信息系统的重要敏感设置 一些保护装置是不够的， 任意一个系统漏洞都有可能导致严重的攻击和破坏后果，所以在信息 系统的各个方位布置全面的防御机制，这样才能将风险减至最低2 )分层防御如果说上一个原则是横向防御，那么这一原 则就是纵向防御， 这也是纵深防御思想的一个具体体现分层防御即在攻击者和目标之间部署多层防御机制 每一个这样的机制必须对攻击者形成一道屏障。

而且每一个这样的 机制还应包括保护和检测措施，以使攻击者不得不面对被检测到的 风险，迫 使攻击者由于高昂的攻击代价而放弃攻击行为该理论的最基本原理就是认为，信息安(3)安全强健性不同的信息对于组织有不同的价值，该信 息丢失或破坏所产生的后果对组织也有不同的影响所以对信息系 统内每一个信息安全组件规则的基础上再做细则•系统充安全的配置：针对现有的网络环境 的系统配置，安装各种必要的补丁，提高安全策略 级别•安全措施的采用： 安装防火墙 /硬)软2. 检测采取各式各样的安全防护措施并不意味着 网络系统的安全性就得到了100 %的保障，网络状 况是变化无常的，昨日刚刚提供的补丁，可能今 天就会被发现该补丁存在漏洞面临这样的问题 更多的是要采取有效的手段对网络进行实时监控•异常临视：系统发生不正常情况如：服 务停止，无法正常登陆，服务状态不稳定等•模式发现：对已知攻击的模式进 行发现3 响应在发现了攻击企图或者攻击之后，需要系统 及时地进行反应：•报告：无论系统的自动化程度多高，都需 要管理员知道是否有入侵事件发生2) 防护：防护是根据系统可能出现 的安全问题而采取的预防措施， 这些措施通过传统的静态安全技术实现。

采用的防护技术通常包括数据加密、 身份认证、访问控制、授权和虚拟专用网 (VPN) 技术、 防火墙、安全扫描和数据备份等3) 检测：当攻击者穿透防护系统时， 检测功能就发挥作用， 与防护系统形成 互补检测是动态响应的依据4) 响应：系统一 旦检测到入侵，响应系统就开始工作，进行事件 处理响应包括紧急响应和恢复处理，恢复处 理 又包括系统恢复和信息恢复P2DR 模型是在整体的安全策略的控制 和指导下，在综合运用防护工具 (如防火墙、操作系统身份认证、加密等)的 同时，利 用检测工具(如漏洞评估、入侵检测等)了解和 评估系统的安全状态，通过适当的反应将系统调 整到“最安全”和“风险最低”的状态防护、 检测和响应组成了一个完整的、 动态的 安全循环，在安全策略的指导下保证信息系统的 安全全相关的所有活动，不管是攻击行为、•记录：必须将所有的情况记录下 来， 包括入侵的各个细节以及系统的反 映（尽 最大可能）•反应：进行相应的处理以阻止进 一 步的入侵•恢复：清除入侵造成的影响，使 系 统正常运行响应所包含的告与取证等非技术因 素删除，实际上的响应就意味着进一步 防 护防护行为、检测行为和响应行为等等都 要消耗 时间。

因此可以用时间来衡量一 个体系的安全 性和安全能力作为一个防护体系，当入侵者要发起攻 击时，每一步都需要花费时间当然攻 击成功花费的时间就是安全体系提供的防护时间Pt;在入侵发生的同时， 检测系统也在发挥作用， 检测到入侵行为也要花费时间一检测时间Dt;在检 测到入侵后，系统会做出应有的响应动 作，这也要花费时间一响应时间 Rt P2DR 模型就可以用一些典型的数学公 式来表达安全的要求：公式 1: Pt > Dt + RtPt代表系统为了保护安全目标设置各种保护后的防护时间；或者理解为在这样的保护方式下，黑客（入侵者）攻击 安全目标所花费的时间Dt 代表从入侵者开始发动入侵开始，系统能够检测到入侵行为所花费的时间Rt代表从发现入侵行为开始，系统能够做出足够 的响应，将系 统调整到正常状态的时 间那么，针对于需要 保护的安全目标， 如果上述数学公式满足防护时间大于 检测时间加上响应时间， 也就是在入侵设置的安全强健性（即强度和保障），取决于被保护 信息的价值以及所遭受的威胁程度 在设计信息安全 保障体系时，必须要考虑到信息价值和安全管理成本 的平衡网络与基础设施防御网络和支撑它的基础设施是各种信息系统和业 务系统的中枢，为用户数据流和用户信息获取提供了 一个传输机制，它的安全是整个信息系统安全的基 础。

网络和基础设施防御包括维护信息服务，防止拒绝服务攻击（DoS）；保护在整个广域网上进行交换的公共的、私人的或保密的信息，避免这些信息在无意 中泄漏给未授权访问者或发生更改、延时或发送失 败；保护数据流分析等区域边界防御根据业务的重要性、管理等级和安全等级的不同，“一个信息系统通常可以划分多个区域，每个区 域是在单一统辖权控制下的物理环境”，具有逻辑和物理安全措施这些区域大多具有和其他区域或网络相连接的外部连接区域边界防御关注的是如何对进出这些区域边界的数据流进行有效的控制与监视，区域边界的基础设施实施保护计算环境防御在计算环境中的安全防护对象包括用户应用环者危害安全目标之前就能被检测到并及时处理公式2 : Et = Dt + Rt，如果Pt = 0公式的 前提是假设防护时间为 0Dt代表从入侵者破坏了安全目标系统开始，系统能够检 测到破坏行为所花费的时间Rt代表从发现遭到 破坏开始，系 统能够做出足够的响应， 将系统调整到 正常状态的时间比如，对 Webserver被破坏的页面进行恢复那么， Dt与Rt的和就是该安全目标系统的暴露时间Et针对 于需要保护的安全目标，如果Et越小系统就越安 全。

境中的服务器、客户机以及其上安装的操作系统和应用系统，这些应 用能够提供包括信息访问、存储、传输、录入等在内的服务计算环 境防御就是要利用识别与认证（I&A）、访问控制等技术确保进出内 部系统数据的保密性、完整性和不可否认性这是信息系统安全保 护的最后一道防线支撑性基础设施支撑基础设施是一套相关联的活动与能够提供 安全服务的基础设施相结合的综合体 目前纵深防御策略定义了两种支撑基础设施：密钥管理基础设施（KMI） /公钥基础设施（PKI ）和检测与响应基础设施KMI/PKI 涉及网络环境的各个环节，是密码服务的基础；本地KMI/PKI提供 本地授权，广域网范围的KMI/PKI提供证书、目录以及密钥产生和 发布功能检测与响应基础设施中的组成部分提供用户预警、检 测、识别可能的网络攻击、作出有效响应以及对攻击行为进行调查分 析等功能优点PDR模型建立了一个所谓的基于时间的可证明的安 全模型，定义了：防护时间 Pt （黑客发起攻击时，保护系统不被攻破的时间）、检测 时间Dt （从发起攻击到检测到攻击的时间）和响应 时间Rt （从发现攻击到作出有效响应的时间）当 Pt Dt+Rt的时候，即认为系统是安全的，也就是说, 如果在黑客攻破系统之前发现并阻止了黑客的行为， 那么系统就是安全的。

给出了安全个全新的定义： “及时的检测和响应就是安全”， “及时的检测和恢复就是安全”而且，这样的定义为安全问题的解决给出了明确的 方向：提高系统的防护时间Pt，降低检测时间Dt 和响应时间RtIATF的四个技术焦点区域是一个逐层递进的关系， 从而形成一种纵深防御系统因此，以上四个方面的应用充分贯彻了纵 深防御的思想， 对整个信息系统的各个区域、各个层次，甚至在每一个层次内部都部署了信息安全设备和 安全机制， 保证访问者对每一个系统组件进行访问时都受到保障机制的监视和检测， 以实现系统全方位的充分防御， 将系统遭受攻击的风险降至最低，确保档案信息的安全和可靠IATF认为，信息安全并不是纯粹的技术问题，而是一项复杂的系统 工程，表现为具体实施的一系列过程，这就是信息系统安全工程（ISSE）通过完整实施的ISSE过程，组织应 该能够建立起有效的信息安全体系IATF提出了二个主要核心要素：人、技术和操作尽管1ATF重点 是讨论技术因素， 但是它也提出了 “人”这一要素的重要性，人即管理，管理在信息安全保障体系建设中冋 样起到了十分关键的作用， 可以说技术是安全的基础，管理是安全的灵魂，所以应当在重视 安全技术应用 的冋时，必须加强安全管理。

缺点这个模型同样是一个理想模型，因为系统的Pt、Dt、 Rt根本不可能准确定义，面对 不同黑客和不同种类 的攻击，这些时间都是变化的，其实还是不能有效证 明一个系 统是否安全忽略了内在的变化因素.如人员的流动、人员的素 质和策略贯彻的不稳定性.系统本身安全的〃免疫力〃的增强、 系统和整个网络的优化， 以及人员这个在系统中最重要角色的素质的提升， 都是该安全系统没有考虑到的问题.IATF最大的缺陷在于缺乏流程化的管理要求和对业务相关性在信息 安全管理体。